自社で今いくつのSaaSを利用しているか、即答できる情報システム担当者はどれほどいるでしょうか。国内企業が平均93種類のSaaSを利用しているという調査結果がある一方、戦略的に管理へ取り組んでいる企業はわずか17%にとどまっています。

SaaSは各部門が情シスを通さずに契約できるため、コストの垂れ流し、退職者アカウントの放置、全体像の喪失という問題が静かに広がります。問題に気づいたときには、管理すべきSaaSの数が手に負えない規模になっていることも少なくありません。

本記事では、SaaS管理の定義から、管理が必要とされる背景、放置した場合のリスク、現場で実践できるステップまでを、情シス担当者の視点で整理します。

SaaS管理とは何か

SaaS管理とは、企業が利用するSaaS全体の導入・使用状況・コスト・セキュリティ・契約更新を一元的に把握し、継続的に最適化する業務プロセスです。IT資産管理やソフトウェア資産管理の一部に位置づけられますが、クラウド特有の「見えにくさ」への対応が求められる点でオンプレミス管理とは性格が異なります。

SaaS管理の定義

SaaSとは、インターネット経由で提供されるクラウド型のソフトウェアサービスです。Google WorkspaceやSlack、Zoom、Salesforceなど、現代の職場ではすでに当たり前のように使われています。初期投資が不要でサブスクリプション型で利用できるため、各部門が情シスを介さずに独自に契約しやすい構造になっています。

オンプレミスのソフトウェアは、インストールや設定の段階で情シスが必ず関与します。しかしSaaSはブラウザさえあれば即日利用を開始できるため、情シスが知らないうちに社内に広がります。この「知らないうちに増える」という特性が、SaaS管理の難しさの根本にあります。

SaaS管理の対象となる4つの領域

情シス部門が管理すべき対象は、大きく4つの領域に整理できます。いずれか一つでも手薄になると、他の領域にも影響が波及します。

まず、アプリケーション可視化です。社内でどのSaaSが契約・利用されているかを把握する領域で、シャドーITの発見が中心的なテーマになります。可視化が整っていなければ、他の管理業務はすべて「知らないものは管理できない」という壁に当たります。

次に、ライセンス・コスト管理です。各SaaSの契約内容・ライセンス数・利用状況・コストを管理します。未使用ライセンスや重複契約の整理により、IT予算の無駄を削ります。利用されていないSaaSへの支出が続く企業は多く、ここに改善余地が大きい場合があります。

三つ目は、アカウント・権限管理です。従業員ごとのアカウントの発行・変更・削除を担います。入退社・異動に連動した対応は、セキュリティと業務効率の両面で重要な業務です。退職者のアカウントが残ったままになると、不正アクセスの温床となるリスクがあります。

四つ目が、セキュリティ・コンプライアンス管理です。利用ポリシーの策定、アクセス制御、監査ログの保管などを行います。社外のクラウド環境にデータを置くSaaSには、適切なセキュリティ設定と継続的な監視が欠かせません。

なぜ今SaaS管理が必要なのか

SaaS管理が急務となった背景には、市場の急拡大と、企業内での導入主体の変化という二つの変化があります。

SaaS市場の急拡大

総務省の情報通信白書によると、国内のSaaS市場規模は2026年に1.7兆円を超えると予測されています。パブリッククラウド全体では5兆円超に達する見込みで、SaaSはビジネスITの基盤として定着しつつあります。

以前は、企業のソフトウェア導入はIT部門が選定・調達・設置まで一手に担う形が主流でした。クラウドの普及によってこの構造が変わり、現在では月額数千円程度のSaaSであれば部門の裁量で契約できてしまいます。情シスが全体を把握しきれなくなった背景には、この仕組みの変化があります。

情シス主導から現場主導へのシフト

SaaS管理が難しくなった最大の要因は、導入の判断者が情シスから各部門の担当者に移ったことです。

SaaSはインターネット環境とクレジットカードさえあれば、技術知識がなくても即日から利用を開始できます。営業部門が商談管理ツールを、マーケティング部門がメール配信ツールを、人事部門がHRツールをそれぞれ独自に契約するケースが、すでに多くの企業で常態化しています。

現場主導の導入が業務効率化をもたらす側面は確かにあります。その一方で、情シスが自社の全SaaS利用状況を把握できないという問題を引き起こします。IT責任者の81%がSaaS導入の増加を認識しているにもかかわらず、戦略的な対策を講じている企業は17%にとどまるという調査結果は、この構造的な問題を端的に示しています。

リモートワークの普及も状況を悪化させました。テレワーク環境では従業員が各自のSaaSに自宅からアクセスするため、把握と統制の難度がさらに上がります。コミュニケーションツールや業務効率化ツールが次々と個人判断で導入され、気づけば組織全体で数十種類から数百種類のSaaSが乱立するケースも珍しくありません。

SaaS管理をしないと何が起きるか

SaaS管理を後回しにすることで、組織には四つの具体的な問題が生じます。コストとセキュリティの問題は比較的早期に顕在化しますが、ガバナンスと担当者負荷の問題は長期間にわたって蓄積します。

リスク①：コストの垂れ流し

SaaSのサブスクリプション料金は比較的少額なため、一件一件では見過ごされがちです。しかし、数十から数百種類のSaaSに未使用ライセンスや重複契約が積み重なると、年間で数百万〜数千万円規模の無駄が発生しているケースも報告されています。

SaaSは月額・年額の自動更新が基本です。契約後に利用が落ちても解約手続きをしなければ課金が続き、担当者が異動・退職した後も「誰が契約したか不明なまま」費用だけが発生し続けます。惰性課金と呼ばれるこの現象は、管理台帳を持たない企業で広く起きています。適切なライセンス管理と定期的な利用状況のレビューがあってはじめて、このコスト漏れを止めることができます。

リスク②：セキュリティインシデントの発生

退職者や異動後の従業員のSaaSアカウントが削除されずに残ると、深刻なセキュリティリスクにつながります。SmartHRの調査では、58.0%の企業が退職者アカウントの不正利用を懸念していると回答しています。

放置されたアカウントは、元従業員本人による意図的なアクセスだけでなく、パスワードが流出した際に第三者に悪用されるリスクも抱えます。SaaSには顧客情報・財務データ・社内文書など機密性の高い情報が集積しているため、一件の不正アクセスが情報漏洩インシデントに発展する危険があります。

情シスが把握していないシャドーITのSaaSは、セキュリティ設定が不十分なまま使われているケースが多く、情報漏洩の入り口になりえます。シャドーITとは

リスク③：ガバナンスの崩壊

誰が何のSaaSを使っているかわからない状態は、組織のITガバナンスが機能不全に陥っているサインです。各部門が独自に導入を進め、情シスが全体像を把握できなければ、内部統制の観点からも問題が生じます。

監査対応の場面では「SaaS利用状況の一覧を提出してください」という要求に即座に答えられなくなります。同一用途のSaaSが複数部門で別々に契約されていれば、データが分散して連携できず、業務プロセス全体の非効率を招きます。SaaSガバナンスとは

リスク④：情シス業務の逼迫

手動によるSaaS管理は、担当者の業務量を確実に圧迫します。ある調査では、情シスがSaaSを一元管理できていると回答した企業は22%にとどまり、残る 78%は情シス以外の部門が管理しているか、実質的に管理できていない状態にあることが明らかになっています。

SaaSの数が増えるほど、棚卸し・更新管理・アカウント管理の手間は比例以上に増えます。スプレッドシートで数十から数百のSaaSを追い続けることは現実的ではなく、管理の抜け漏れが常態化します。情シスが本来集中すべき戦略的なIT活用や自動化の検討が、繰り返し発生する事務作業に押しのけられるという悪循環も見逃せない問題です。

SaaS管理の主要業務

SaaS管理は単一の業務ではなく、複数の領域にまたがる継続的な取り組みです。情シス部門が実際に担う主要業務を五つに整理します。

①SaaS棚卸し（可視化）

SaaS管理のすべての起点となる業務が棚卸し、すなわち社内でどのSaaSが使われているかを全量把握することです。把握できていないSaaSは管理の対象にならないため、コスト管理もアカウント管理もセキュリティ対策も、可視化が整っていなければ成立しません。

棚卸しでは、部門ごとのヒアリング・従業員向けアンケート・経費精算データの分析・IDプロバイダーとの連携といった複数の手段を組み合わせて利用実態を把握します。ツールを導入すれば自動検出も可能になりますが、まず手動での全体調査からスタートすることが多い実態があります。SaaS棚卸し やり方

②ライセンス管理

利用状況を把握した後は、各SaaSのライセンス数と実際の利用人数を照合し、適正化を進めます。契約ライセンス数が利用実態を大幅に上回っている場合は、削減交渉や解約判断が必要になります。

複数部門で同一用途のSaaSが重複して契約されていないかの確認も、ライセンス管理の重要な仕事です。重複契約を一本化するだけで、コストを大幅に削減できるケースがあります。定期的な棚卸しと連動して、ライセンス最適化のサイクルを仕組みとして確立することが求められます。SaaSライセンス管理とは

③アカウント・権限管理

従業員の入社・異動・退職に連動して、各SaaSのアカウントを適切に発行・変更・削除する業務です。管理するSaaSの数が増えるほど、この対応に費やす工数は増大します。

入社時には利用すべきSaaSへの一括アカウント発行と権限設定が必要です。退職時には全SaaSのアカウント削除を漏れなく実施しなければなりません。手作業での対応は抜け漏れが生じやすく、退職者アカウントの放置リスクに直結します。アカウント プロビジョニングとは

④コスト管理

SaaSに関連する費用全体を一元的に把握し、IT予算に基づいた適正管理を行います。各SaaSの月額・年額費用、契約更新日、担当部門を台帳に整備し、定期的に費用対効果を評価します。

未使用SaaSの解約や、ベンダーとの交渉によるプラン変更・値引き取得もコスト管理の成果です。部門別のSaaSコスト配賦を明確にすることで、各部門が自律的にコストを意識する組織文化を育てることにもつながります。SaaSコスト最適化 方法

⑤セキュリティ・コンプライアンス管理

SaaSの利用ポリシーを策定し、適切なアクセス制御と監査ログの管理を行います。シングルサインオンや多要素認証の導入促進、定期的なアクセス権限の棚卸し、SaaSベンダーのセキュリティ水準の評価といった業務も含まれます。

ISMS・ISO27001・SOC2などのセキュリティ認証・監査への対応においても、SaaS利用状況の記録と統制が求められます。SaaS管理の水準を高めることは、企業としての信頼性を底上げすることと同義です。SaaSセキュリティとは

SaaS管理の実践ステップ

SaaS管理を仕組みとして根付かせるには、現状の把握から始めて段階的に精度を高めていくアプローチが現実的です。以下の4ステップで進めます。

ステップ1：全社のSaaSを棚卸しする

最初にやるべきことは、全社で利用されているSaaSの全量把握です。利用部門へのヒアリングやアンケートを実施し、どの部門が何のSaaSを何人で使っているかを収集します。

経費精算システムのデータを分析すると、SaaSへの支出を一覧化できます。クレジットカード明細や購買履歴の確認によって、情シスが把握していない隠れた契約を発見できることもあります。収集した情報をスプレッドシートにまとめ、管理台帳の初期版を作成します。

台帳に最低限記録すべき項目は次のとおりです。

• SaaS名・提供ベンダー名
• 利用部門・契約担当者
• 月額または年額コスト・ライセンス数
• 契約更新日
• 利用人数・用途

初回の棚卸しで終わりにせず、四半期に1回など定期的に見直す習慣を作ることが、台帳を有効に保つ条件です。

ステップ2：コストと利用状況を分析する

棚卸し台帳が整ったら、次はリストを分析します。コスト・利用頻度・契約者の3軸で各SaaSを評価し、継続・縮小・解約の判断材料を整えます。

「3ヶ月以上利用のないアカウントは原則停止」のような明確な基準を設けることで、判断が属人化せず運用しやすくなります。利用頻度が低いにもかかわらずコストが高いSaaSは、解約または代替ツールへの統合を検討する対象です。

逆に、利用率が高くコスト効果も優れているSaaSは、さらなる活用を推進する方針を立てる価値があります。SaaS管理は削減だけが目的ではなく、ポートフォリオ全体を最適な状態に整えることが本来の目的です。SaaSポートフォリオ 最適化

ステップ3：ルールと権限体制を整備する

SaaS管理を属人的な取り組みで終わらせないためには、組織全体のルールと権限体制の整備が欠かせません。個人の頑張りではなく、仕組みとして機能させることが継続のカギです。

新規SaaSを導入する際の申請・承認フローを明文化します。どのような場合に情シスへの申請が必要か、承認の決裁権者は誰か、申請から承認までの目安期間はどれくらいか、といった点を定め、社内に周知します。各SaaSの管理責任者を部門ごとに設定することで、情シスと現場が連携して管理できる体制が整います。

承認済みSaaSのリストを作成・公開しておくと、従業員が新たなSaaS導入を検討する際の参考になり、シャドーITの発生抑制にも効果があります。

ステップ4：ツール・自動化で継続運用する

SaaSが増えるにつれて、手動管理には限界が生じます。50種類を超えるあたりから、更新漏れ・棚卸し漏れ・アカウント対応の遅延が常態化し始めると言われています。この段階になったら、SaaS管理ツール、いわゆるSaaS Management Platform（SMP）の導入を検討するタイミングです。

SMPを活用すれば、SaaSの自動検出・一元可視化・入退社連動のアカウント処理・コストダッシュボードなどが実現できます。スプレッドシートを手動更新し続けるコストと比較すると、ツール導入による工数削減と精度向上の効果は大きいものがあります。SaaS管理プラットフォームとは

SaaS管理の成熟度モデル

自社のSaaS管理が現在どの段階にあるかを把握することで、次に取り組むべき施策が自然と見えてきます。成熟度を4段階で整理しましたので、現状の確認にご活用ください。

Lv1はアドホック管理の段階です。各部門が独自にSaaSを導入・管理しており、情シスには全体像がありません。台帳も存在せず、利用中のSaaSの全量が把握されていない状態です。コストの無駄・セキュリティリスク・ガバナンスの欠如が最も顕在化しやすく、「SaaSが増えてきたが何から手をつければいいかわからない」という状態がこれに相当します。

Lv2は一元把握の段階です。情シスが主導して棚卸しを実施し、スプレッドシートなどで全SaaSの台帳を整備した状態です。少なくとも「自社にどんなSaaSがあるか」は把握できています。ただし更新は手動であり、定期的な見直しが行われなければ台帳はすぐに実態とずれていきます。SaaS管理のスタートラインとなる段階です。

Lv3は継続的最適化の段階です。台帳管理に加えて、定期的なライセンスレビュー・コスト最適化・利用状況の評価サイクルが確立されています。未使用ライセンスの削減や重複契約の整理が継続的に行われており、IT予算の効率が向上しています。新規SaaSの申請・承認フローも整備され、シャドーITの発生が抑制されています。

Lv4は自動化・ガバナンスの段階です。SMPを活用し、可視化・アカウント管理・コスト管理の大部分が自動化されています。リアルタイムで全SaaSの利用状況が把握でき、入退社に連動したアカウント処理も自動で完了します。ガバナンスポリシーが整備され、情シスは個別作業から解放されて戦略的なIT管理に集中できる状態です。

現在の自社の立ち位置は、下記のチェックリストで確認できます。

SaaS管理を効率化する仕組みとジョーシスの活用

手動管理が限界を迎えたタイミングで、ツール導入がSaaS管理の質と効率を大きく変えます。どのような変化が生じるか、具体的に確認します。

手動管理の限界

スプレッドシートによる管理は、SaaSが少ない初期段階では十分に機能します。しかし、管理対象が50種類を超えるあたりから、複数の問題が同時に顕在化し始めます。

契約更新日の管理が追いつかなくなります。年間・半年・月次とサイクルが異なるSaaSが乱立すると、更新漏れや自動更新への対応遅れが発生します。退職者アカウントの削除対応も滞ります。退職のたびに各SaaSへの削除依頼を手作業で行うと、担当者1人で何十もの作業を行う事態となり、漏れが出やすくなります。

さらに、棚卸し作業の頻度を下げざるを得なくなります。手動では年1〜2回が限界となり、その間にシャドーITが増え続けるリスクが高まります。管理精度を保つために担当者の工数が限界を超え、本来の業務に支障が出る悪循環に陥ります。

ジョーシスのプラットフォームで実現できること

ジョーシスのプラットフォームは、SaaS管理に必要な一連の業務を一元化・自動化するソリューションです。手動管理から移行した企業の多くが、次のような変化を実感しています。

自動検出・一元可視化では、社内で使われているSaaSを自動的に検出してダッシュボードに一覧表示します。これまで把握できていなかったシャドーITの発見に直結し、手動で台帳を更新していた時間を別の業務に充てられるようになります。SaaS可視化とは

入退社連動のアカウント処理では、人事データベースとの連携により、入社・退職・異動のタイミングに合わせて各SaaSのアカウント処理を自動で実行します。退職者アカウントの放置リスクが根本から解消され、セキュリティの確保と情シスの工数削減が同時に実現します。

コスト・ライセンス最適化ダッシュボードでは、SaaSごとのコスト・ライセンス数・利用状況をリアルタイムで把握できます。未使用ライセンスや重複契約をひと目で確認でき、最適化の判断を素早く下せます。

SaaSセキュリティ管理の面では、アクセス権限の一元管理、多要素認証の適用状況の確認、監査ログの取得など、セキュリティ・コンプライアンス対応に必要な機能を統合的に提供します。

まとめ

SaaS管理とは、企業が利用するSaaSの契約・利用・コスト・セキュリティを一元的に把握し、継続的に最適化する業務プロセスです。SaaS市場が急拡大し、現場主導での導入が加速する今、情シス部門がSaaS管理を主導することは、IT戦略の根幹をなす取り組みです。

管理を放置すると、コストの垂れ流し・セキュリティインシデント・ガバナンスの崩壊・情シス業務の逼迫という四つのリスクが現実のものとなります。しかし、棚卸しから始めて段階的に成熟度を高めていけば、これらはすべてコントロール可能な問題です。

まず着手すべき3点を挙げます。

1. 全社のSaaS棚卸しを実施して管理台帳を整備する
2. 新規SaaS申請・承認のルールを文書化して社内に周知する
3. SaaSが50種類を超えたらSMPの導入を具体的に検討する

SaaS環境は常に変化します。一度整えた管理台帳も、定期的な見直しがなければ実態とずれていきます。継続的なレビューと最適化のサイクルを組織に根付かせることが、長期的なSaaS管理の成功条件です。

関連記事もあわせてご確認ください。

• SaaSスプロールとは
• SaaS管理プラットフォームとは
• SaaS棚卸し やり方

参考情報

• 総務省「令和6年度版 情報通信白書」
• SmartHR SaaS管理実態調査:
• BOXIL SaaS管理ツール市場調査（企業平均93種類・戦略的対策17%データ）
• 株式会社SHIFT「SaaSの導入・管理実態アンケート」（情シス一元管理22%データ）
• Wikipedia「SaaS管理」‍