ブログ
Josysでは、第4四半期に向けて、SaaS管理の効率化、アクセスガバナンスの最適化、ならびにコスト削減の機会を提供する最新のプラットフォームアップデートをリリースいたします。本アップデートにより実現する機能向上についてご紹介いたします。
SSO・MFAモニタリングによるSaaSセキュリティの強化
複数のSaaSアプリケーションを運用する企業にとって、セキュリティは最優先課題です。Josysの新しいセキュリティ設定モジュールでは、以下の機能を提供いたします。
- シングルサインオン(SSO)および多要素認証(MFA)の導入状況のモニタリングと、セキュリティギャップの可視化
- コンプライアンス違反の可能性があるユーザーやアプリケーションの特定
- 組み込みのメール機能を活用した迅速なアクションの実施
これにより、重要な業務アプリケーションの安全性確保と、組織全体のセキュリティ体制の強化が可能となります。
Okta連携によるSaaS利用状況の可視化強化
管理対象外のSaaSアプリケーションは、ITセキュリティおよび運用効率において大きなリスク要因となります。Josysでは、Oktaとの新たな連携により、検出機能を拡張いたしました。
- Okta経由で接続されているSaaSアプリケーションの識別と監視
- Microsoft Entra IDやGoogle Workspaceとの既存連携を補完
- 管理対象、非管理対象を問わず、アプリケーションの利用状況を包括的に可視化
この機能拡張により、ITチームはSaaS環境全体の状況をより的確に把握し、リスクの低減を図ることが可能です。
アクセスレビューの効率化によるライセンスコストの削減
Josysのアクセスレビューアンケート機能により、ユーザーのアクセス権限およびライセンス管理が効率化されます。
- Josysプラットフォーム上でアクセスレビュー用アンケートの作成と配布が可能
- 回収したフィードバックに基づき、業務ニーズに即した権限最適化を実施
- 一元管理ダッシュボードにより、権限およびライセンスの状況を即座に確認・調整
適切なアクセス権限管理を徹底することで、セキュリティリスクの低減とライセンスコストの最適化を実現します。
無料のSaaSヘルスチェックのご案内
Josysでは、期間限定で無料のSaaSヘルスチェックを提供しています。本診断には以下の内容が含まれます。
- 「SaaSヘルススコア™」により、業界標準と比較したセキュリティ評価を実施
- 未使用ライセンスの可視化と、潜在的なコスト削減提案
- SaaS環境改善に向けた具体的な推奨事項の提示
対象アプリケーションは最大5件まで(例:Salesforce、Google Workspace、Microsoft 365など)。
SaaS管理の向上に向けた取り組み
Josysの最新機能強化により、ITチームは日々の運用負荷を軽減し、より効率的に業務を推進できるようになります。セキュリティ強化、コスト削減、管理効率化を通じ、組織全体のSaaS環境を安定的かつ効果的に運用することが可能です。
.png)
アクセス申請 & 承認ワークフロー
従業員向け新機能:
- 従業員ポータルを提供
企業ブランドに合わせた専用ポータルにログインし、自身に割り当てられたアプリを確認できます。さらに、新しいアプリの利用申請や、既存のアプリのライセンス・権限の変更申請も可能になり、スムーズかつ明確なアプリ連携の申請が実現します。 - アプリ申請の確認 & 対応
アプリのオーナーやマネージャー、関連する担当者は、従業員ポータル内でアプリの申請を直接承認または却下できます。これにより、アクセス管理ポリシーが適切に適用され、IT部門の負担を軽減します。
Josys管理者向け新機能:
- 従業員ポータルの管理: 従業員ポータルへのアクセスを有効・無効にすることができ、「ユーザーカテゴリ」や「ステータス」に基づいてアクセス権を管理できます。
- 承認ワークフローの設定 & 自動化
アプリや従業員の属性に基づいたアプリごとの承認ワークフローを作成できます。また、特定の「Josysの管理者」に設定作業(アカウント発行など)のタスクを割り当て、申請対応を効率化できます。 - ITタスク管理
Josys管理者は 「自分のタスク」 画面で、自身に割り当てられたタスクを確認し、コメントを追加したり、完了後にタスクをクローズしたりすることができます。 - 全社的なアプリ棚卸しの可視化
IT管理者は、組織内で提出されたすべてのアクセス申請を一元管理し、コンプライアンスの監査やポリシーの適用を強化できます。
アラート設定の導入
新しいアラート設定により、管理者はJosysのアラートや通知をより柔軟に管理できるようになりました。主な機能は以下のとおりです。
- アラートの有効化・無効化
必要に応じてアラートのオン・オフを切り替え可能。 - アラート頻度の調整
アラートの送信頻度を「毎日」「毎週」「毎月」から選択可能。 - Slackチャンネルとの連携
アラートを特定のSlackチャンネルに送信する設定が可能。 - 特定ユーザーへの通知割り当て
IT管理者全員ではなく、指定したユーザーのみにアラートを送信可能。 - タイムゾーン対応
組織のタイムゾーンに合わせ、現地の朝の時間帯にアラートを配信。 - メール & Slack通知の改善
より分かりやすいメール通知とSlackメッセージにアップデート。
アプリ棚卸しの強化
- 複数アプリの一括棚卸し
管理者は、従業員に対して 複数のアプリに関する棚卸し調査を1回のリクエストで送信 できるようになりました。これにより、アプリ棚卸しの手続きを簡略化し、より迅速に実施できます。
さらに、アプリ棚卸しの調査を下書きとして保存 することも可能になりました。 - Slack通知の対応
IT管理者は、アプリ棚卸しの通知を メールに加えてSlackでも送信 できるようになりました。
従業員はSlack上で通知を受け取り、アクセス棚卸しの調査を迅速に確認・対応できます。
SSO & MFAモニタリング機能の拡充
新たに 33種類のアプリ をSSO & MFA(シングルサインオン & 多要素認証)監視機能に追加し、対応アプリ数が 合計37種類 になりました。
対応アプリ一覧(追加分含む)
- Acronis、ActiveCampaign、Azure AD、Bitdefender GravityZone、Bugsnag, Cisco Umbrella、Clinked、Cloudflare、Concord、DatoCMS、Eden LMS、Google Workspace、Gorgias、HENNGE One、JumpCloud、Kylas、LaunchDarkly、Linode、Lychee Redmine、My Redmine、Notepm、Okta、Ping Identity、Pipefy、Productive、Redis Cloud、Salesforce、Sentry、Shortcut、Slack、Splashtop、Sumo Logic、Zendesk、GitHub、AWS、Intune、Zoom.
ユーザーエクスペリエンスの向上
- 「管理アプリ詳細」画面に部署フィルターを追加: 従業員の所属部署ごとにアプリを管理しやすくなりました。
- エクスポート機能の強化: 検知アプリの詳細なアカウントリストをエクスポートできるようになり、より効率的なアプリ管理が可能になりました。
- ユーザープロファイルのエクスポート: ユーザープロファイルのエクスポート時に、以下の 不足していた項目 が追加されました。
- ロール(役割)
- プロビジョニング済みアプリの数
- 管理アプリのエクスポート強化
- 追加フィールド:アプリの使用状況、ライセンス情報、MFA(多要素認証)ステータス、認証方法
- 「アプリサマリー」エクスポート:サブスクリプションの終了日を含むように改善
- 「アプリポートフォリオ」エクスポート:職種、部署、ロール情報を含むように更新
新たに18のアプリ連携を追加しました。
- StrongDM
- Kaiten
- Sketch
- Brabio
- UPSIDER
- ServiceTitan
- Bitrise
- Snowflake
- TalentLMS
- Time Camp
- Docsend
- Raku Raku HR
- IBM MaaS360
- Snyk
- Limble
- Procore
- Runn
- Contractor Foreman
アプリ連携の強化
特権管理アプリの追加
特権管理のできるアプリの数を大幅に拡充しました。これにより、より多くのアプリで 管理者権限や特権アクセスの可視化・制御が可能になり、セキュリティの強化を実現します。
- PandaDoc
- Zoho Inventory
- Mekari Jurnal
- Gitlab
- Gantt Pro
- Zoho Site 24x7
- King of Time
- Mailwise
アカウント削除機能の拡充
以下の新たなアプリにおいて、Josys上から直接ユーザを削除できるようになりました。
- CloudSign
- Lychee Redmine
- Expensify
- Money Forward Accounting
- Figma
- RECEPTIONIST
- HRMOS Hire
- Productive
- NotePM
- Zoho Analytics
アプリ利用状況モニタリング:
- ServiceTitan
アカウント発行機能の拡充
- CloudSign
- Lychee Redmine
- Expensify
- Money Forward Accounting
- Figma
- RECEPTIONIST
- HRMOS Hire
事業速度を緩めない、生成AIガバナンスの構築に向けて
先進的なテクノロジーを積極的に取り入れる企業では、イノベーション促進と情報管理のバランスが常に課題となります。特に昨今は、生成AIの急速な普及により、企業の情報システム部門は新たな挑戦に直面しています。生成AIは、利便性から利用制限をすることが困難であり、会社が公式に導入していない「シャドーAI」として利用されてしまい、セキュリティリスクを高めています。
本稿では、AIの活用を積極的に推進するA社の事例を通じて、シャドーAIによって発生したインシデントと、その対応から学んだ教訓を紹介します。
<トップダウンのAI促進>
A社はテクノロジー領域で事業を展開する企業であり、社内でもAIの活用を積極的に推進しています。代表自身がAIのリテラシーが高く、業務への利用頻度も高いそうです。
ーーー御社ではAIの導入・活用についてどのような方針で取り組まれていますか?
弊社はトップダウンでAIを積極的に活用する方針です。代表自身がAIリテラシーが非常に高く、日常業務でも頻繁に活用しています。「AIを使って」というメッセージを常に発信しており、社内全体にAIフレンドリーな文化が根付いています。
一方で、AIの急速な普及に情報管理体制が追いついていない課題もありました。従来のSaaS管理と同様の考え方でAIも管理する必要がありますが、当初はコントロール不可能な状態になっていました。把握できているAIツールと、実際に使われているものには大きな乖離があったのです。
<インシデントの概要>
そんな中、2023年12月、A社で生成AIに関連したインシデントが発生しました。
ーーー具体的にどのようなインシデントが起きたのでしょうか?
一部の社員が『Arc』というブラウザを業務で使用していた際に、意図せず機密情報を含むデータがAIに送信されてしまうという事態が発生しました。
Arcブラウザには「Ask on Page」という機能があり、ページ内検索を行う際に検索結果が見つからないと、自動的にこの機能に切り替わる仕組みになっています。
この機能はページの内容をClaudeなどの生成AIに送信して要約や情報取得を行うもので、デフォルトで有効になっていました。
社員が機密情報や顧客情報を含むページを閲覧中に検索を実行したところ、自動的に『Ask on Page』機能が起動し、閲覧中のページ内容がAIに送信されてしまったのです。
問題はそれだけではありませんでした。Arcのプライバシーポリシーを確認すると、別の機能である「Arc Max」については「データを学習に利用しない」と明記されていましたが、「Ask on Page」機能についてはその記載がなかったのです。つまり、送信された情報がAIの学習データとして使用されてしまう可能性がありました。
<社内での反応>
ーーーこのインシデント発生後、社内の反応はいかがでしたか?
情報を共有した直後は、社員の多くがAIの利用に対して慎重になり、一定のリテラシーが必要だという雰囲気が広がりました。
企業としてAIの活用を推進したい一方で、現場では慎重な姿勢が広がるというギャップが生じまったのです。このインシデント以降、AIに関する相談窓口には問い合わせが急増しました。
社内には生成AIに関する相談チャンネルがあり、インシデント後は利用が活発になりました。「これは本当に使っていいのか」このデータをAIに入力しても問題ないのか」といった質問が増え、AIへの関心と同時に適切な利用への意識が高まりました。
<問題発生。どのように対応したか>
ーーー具体的にどのような対策を実施されましたか?
まず、『Arc Max』機能と『Ask on Page』機能をオフにするよう全社に通達しました。Arcブラウザ自体は業務で使用してもよいとしましたが、この機能は使わないよう指示しました。
さらに、AIに関する相談窓口と専門チームの体制を強化しました。また、先ほど話した相談チャンネルの利用も増え、社員が気軽に質問できる環境を整えています。軽微な案件から重大なものまで、何でも相談できる雰囲気づくりを意識しています。
問題が発生しても隠さずに報告する文化があります。今回のインシデントも自己申告でした。ITリテラシーの高い社員が問題に気づき、すぐに報告してくれたおかげで早期対応ができました。インシデント発生を機に生成AI利用に関するガイドラインやルールの整備にも着手しました。
<把握が難しいシャドーAIの実態>
近年、企業内で公式に承認されていないAIツールを個人的に利用する「シャドーAI」の問題が浮上しています。A社も例外ではありませんでした。
ーーーシャドーAIの管理についてはどのような課題がありますか?
IT部門が把握できているAIツールは、社員が利用している一部に限られているのが現状です。正式に承認されている生成AIとして、社内開発のAIと一部チーム向けに提供されているものがありますが、実際には個人が独自に利用しているケースが多数あります。
シャドーAIの検知は技術的にも人的リソース的にも難しい課題でして、社員の認識としてシャドーAIを使うことへの危機感が薄いのも問題です。無料でアカウントを作って使っている社員に「やめてほしい」と伝えると「なぜダメなの?」と反論されることもあります。
ーーーシャドーAIの管理方針はどのようにお考えですか?
完全に禁止するのではなく、ブラックリスト方式でのコントロールを考えています。「これだけは使ってはいけない」とする一方で、許可されたAIについては「どういったデータを入力していいのか、いけないのか」を明確にしていく方針です。
それでも課題は残っています。ルールを作っても、リテラシーの差があるため、インシデントが発生するリスクはゼロにはなりません。そこが悩みどころです。
<AI時代のガバナンス体制の構築に向けて>
A社では、AI時代に適したガバナンス体制の構築を進めています。
ーーー今後の管理体制についてはどのようなアプローチをお考えですか?
まず、シャドーAIの可視化を進めています。専用ツールを導入して、誰がどのAIツールを使っているかを把握する体制を整えました。
可視化以外にも、地道な取り組みを続けています。社員のAIリテラシー向上のため、社内コラムを定期的に配信しています。
リスク評価体制も強化していきたいと考えています。従来は工数が不足してリスク評価が後回しになりがちでしたが、現在はツールを活用して効率的に評価できるようになりました。各AIツールのリスクに応じた適切な管理レベルを設定し、全社的なルールとして運用しています。
<経営層と認識をすりあわせることの重要性>
ーーー経営層とIT部門での認識のズレはありましたか?
AIに対する基本姿勢は一致していましたが、リスクへの認識には差がありました。経営層がAI活用を強く推進する一方、インシデント後は現場が委縮するというギャップが一時的に生じました
しかし、A社ではこのギャップも時間とともに解消されました。生成AIの専門チームを強化して、相談体制を整えたことも大きかったです。また、シャドーAIの可視化ツールを導入したことで「これなら安心して使える」という雰囲気が広がりました。
経営層のAIリテラシーが高いことは大きな強みです。情報セキュリティ関連の提案が通りやすく、柔軟かつ堅牢な体制を構築できています。情報システム部門の稟議もスムーズに承認されるようになりました。
<見えてきた教訓と適切なAIガバナンスに向けて>
ーーー今回のインシデントから得られた教訓は何でしょうか?
まず、AIツールの管理体制の重要性を再認識しました。従来のSaaS管理と同様に、AIも適切に管理する必要があります。ただ単に使用を禁止するのではなく、リスクを理解した上で適切に活用する環境を整えることが大切です。
問題が起きた時に隠さず報告できる文化が重要です。今回も自己申告があったからこそ、迅速に対応できました。情報セキュリティに関する相談窓口があり、何でも気軽に相談できる環境を作っておくことが大切です。
AIは進化し続けるので、ガバナンス体制も常に見直す必要があります。リスクを恐れるあまりAIの利用を過度に制限するのではなく、「事業速度を緩めない、適切なAIガバナンス」を目指すべきだと考えています。
すべての記事
.avif)
Josysについて、より詳しく
ガバナンスを強化する、SaaS ID管理クラウド
