SaaS管理の実践
企業におけるSaaS利用の現状
SaaS(Software as a Service)は、インターネット経由で利用するクラウドアプリケーションの総称です。現代の企業では、CRM(Salesforce)、会計(freee、マネーフォワード)、勤怠(KING OF TIME)、チャット(Slack)、ストレージ(Box、Dropbox)、プロジェクト管理(Backlog、Asana)など、業務のあらゆる場面でSaaSが活用されています。
調査によると、中小企業でも平均20〜30のSaaSサービスを利用しており、この数は年々増加しています。ひとり情シスにとって、これらのSaaSを適切に管理することは、セキュリティ、コスト、コンプライアンスの観点から極めて重要です。
SaaS棚卸し
SaaS管理の第一歩は、組織で利用されているすべてのSaaSサービスを把握する棚卸しです。
棚卸しの手法
- 経費精算データの分析:クレジットカード明細や経費精算システムからSaaS利用料の支払いを抽出
- SSOログの確認:Entra IDやGoogle Workspaceのサインインログから利用SaaSを特定
- 部門ヒアリング:各部門に利用しているSaaSのアンケートを実施
- ネットワークログの分析:プロキシやファイアウォールのログからSaaSアクセスを検出
- SaaS管理ツールの導入:Josys、マネーフォワード IT管理クラウドなどの専用ツールを活用
SaaS台帳の管理項目
| 項目 | 記録内容 |
|---|---|
| サービス名 | SaaSの正式名称 |
| 提供元 | ベンダー名、連絡先 |
| 利用部門 | 主に利用する部門 |
| 管理者 | 社内の管理責任者(ID発行担当者) |
| 契約形態 | 月払い/年払い、プラン名 |
| 契約更新日 | 更新日と自動更新の有無 |
| 月額/年額費用 | ライセンス数と総コスト |
| ユーザー数 | 現在のアクティブユーザー数 |
| SSO対応 | SAML/OIDC対応の有無 |
| データ保管場所 | データセンターの所在国 |
| セキュリティ認証 | ISO 27001, SOC2等の取得状況 |
📋 具体例
SaaS台帳の記入例:
| サービス名 | 利用部門 | 契約 | 費用 | ユーザー数 | SSO | 更新日 |
|---|---|---|---|---|---|---|
| Salesforce | 営業部 | 年払い | ¥18,000/月×15名 | 15 | SAML対応 | 4月1日 |
| freee会計 | 経理課 | 年払い | ¥3,980/月(法人) | 3 | 未対応 | 7月1日 |
| Slack | 全社 | 月払い | ¥925/月×50名 | 50 | SAML対応 | 毎月 |
| Backlog | 開発部 | 年払い | ¥12,980/月 | 20 | SAML対応 | 10月1日 |
アカウントのプロビジョニングとデプロビジョニング
プロビジョニングとは、新規ユーザーに必要なSaaSアカウントを作成・設定することです。デプロビジョニングは、退職や異動時にアカウントを無効化・削除することです。
プロビジョニングの課題
- 入社時に10以上のSaaSアカウントを手動で作成する作業負荷
- 設定漏れによるアクセス不能、業務開始の遅延
- パスワードの初期設定と安全な伝達
デプロビジョニングの課題(より深刻)
- 退職者のアカウント削除漏れによるセキュリティリスク
- 使われていないライセンスへの継続課金(コスト浪費)
- 退職者がデータを持ち出すリスク
⚠️ 注意
退職者のアカウントのデプロビジョニング漏れは、情報漏洩インシデントの主要原因の一つです。退職処理チェックリストを作成し、全SaaSのアカウント無効化を確実に実行してください。人事部門との連携を密にし、退職日の情報を事前に共有してもらう仕組みが不可欠です。
SCIM(System for Cross-domain Identity Management)
SCIMは、ID管理システム(Entra ID、Google Workspace等)とSaaSアプリの間でユーザーアカウントの自動プロビジョニング/デプロビジョニングを行うための標準プロトコルです。
SCIMの仕組み:
- Entra IDでユーザーを作成・グループに追加
- SCIMコネクタがSaaSアプリにユーザー情報を自動送信
- SaaSアプリ側でアカウントが自動作成される
- Entra IDでユーザーを無効化すると、SaaS側も自動無効化
SCIM対応の主なSaaSサービス:
- Salesforce、Box、Slack、Zoom、ServiceNow、AWS IAM Identity Center
- Entra IDのエンタープライズアプリケーションでSCIMプロビジョニングを設定可能
ポイント:SCIM自動プロビジョニングを導入すると、入退社時のアカウント管理工数が劇的に削減されます。Entra IDでのグループメンバーシップの変更だけで、対応するSaaSのアカウント作成・削除が自動実行されます。ただし、すべてのSaaSがSCIMに対応しているわけではないため、非対応SaaSは手動管理のチェックリストで補完しましょう。
SaaSコスト管理
SaaSの総コストは、個々のサービスは安価でも積み重なると大きな金額になります。効果的なコスト管理のポイントを解説します。
コスト最適化の手法
- 利用率の可視化:各SaaSの実際のログイン頻度を確認し、未使用ライセンスを特定
- プランの見直し:上位プランの機能を使っていない場合はダウングレード
- 年払いへの切り替え:月払いより年払いの方が通常10〜20%安い
- ライセンス数の適正化:退職者や非アクティブユーザーのライセンスを回収
- 類似サービスの統合:同じ機能のSaaSが部門ごとに別々に使われている場合は統合
- ボリュームディスカウントの交渉:ユーザー数が増えたタイミングでベンダーに値引き交渉
契約更新管理
SaaSの契約更新管理は、コスト管理とサービス継続性の両面で重要です。
契約更新管理のポイント:
- 更新日カレンダーの作成:全SaaSの契約更新日をカレンダーに登録し、2ヶ月前にアラート設定
- 自動更新条項の確認:多くのSaaSは自動更新がデフォルト。解約したい場合は更新日前に通知が必要
- 価格改定への対応:更新時の値上げ通知を見逃さず、代替サービスの検討も視野に
- 利用状況レビュー:更新前に利用状況を確認し、ライセンス数の調整を行う
📋 具体例
SaaS契約更新カレンダーの運用例:
Googleカレンダーまたはリマインダーツールに、以下のアラートを設定します。
- 更新日の90日前:利用状況レビューの開始(未使用ライセンスの確認)
- 更新日の60日前:ライセンス数調整の決定、ベンダーへの連絡
- 更新日の30日前:解約する場合の通知期限(契約書の解約条項を確認)
- 更新日:更新内容と新料金の記録
ひとり情シスの視点:SaaS管理は地味な作業ですが、放置するとコストが膨らみ、セキュリティホールが生まれます。まずはExcelやスプレッドシートでSaaS台帳を作成し、四半期ごとの棚卸しを習慣化しましょう。ユーザー数が50名以上でSaaS数が20を超える場合は、SaaS管理ツール(Josys等)の導入も検討してください。
✅ 完了済み