従業員500名を超えた中堅企業では、SaaSの利用状況が部門ごとに分散し、情シスが全体を把握できない状態に陥りやすくなります。営業部門はSalesforceやSales Marker、マーケティング部門はHubSpotやSemrush、エンジニアリング部門はGitHubやNotion——それぞれが独自に契約・運用し、情シスに報告が上がらないケースは珍しくありません。

気づけば「誰がどのSaaSを使っているか」が把握できず、退職者のアカウントがそのまま残存し、月次のSaaS費用がどれだけ無駄になっているか計算もできない。そうした状況を抱える情シス担当者は、今日も増え続けています。

実際、IT調査会社Gartnerの試算では、企業が契約しているSaaSのうち約25〜30%は未活用または過剰ライセンスの状態にあるとされています。さらに、従業員1,000人規模の企業では平均200本以上のSaaSが利用されており、そのうち情シスが把握できているのは半数以下という報告もあります。コストだけの問題ではなく、セキュリティやコンプライアンス上のリスクも見過ごせません。

こうした課題の根本にあるのが、SaaSガバナンスの欠如です。SaaSガバナンスは大企業だけの話ではありません。むしろ、情シス人員が限られた中堅企業こそ、仕組みで対処しなければ手が回らなくなります。SaaSガバナンスの定義から構築ステップ、ツールを活用した実践方法まで、情シス部門の担当者が現場で使える内容を順を追って解説します。

SaaSガバナンスとは何か

SaaS利用の無秩序な拡大を食い止めるには、個別の対処ではなく、組織としての統制の枠組みが必要です。それがSaaSガバナンスです。

SaaSガバナンスとは、組織が利用するSaaSアプリケーションのライフサイクル全体——調達・展開・利用・更新・廃棄——を, ポリシーと仕組みによって統制することを指します。単なる台帳管理や費用の把握にとどまらず、「誰がどのSaaSをなぜ使っているか」を組織として統一されたルールに基づいて管理する体制そのものです。

ITガバナンスとSaaSガバナンスの関係

ITガバナンスは、IT全体のリソース・リスク・パフォーマンスを経営目標と整合させるための枠組みです。SaaSガバナンスはその下位概念として位置づけられ、クラウドアプリケーション、とりわけSaaS特有のリスクと管理課題に特化した領域を担います。

オンプレミスのソフトウェアと違い、SaaSは従業員が情シスを通さずに契約・利用できてしまいます。この「調達の民主化」がシャドーITやスプロールの温床になるため、SaaSに特化したガバナンスの設計が求められます。

SaaS管理とSaaSガバナンスの違い

SaaS管理とSaaSガバナンスは混同されがちですが、役割が異なります。SaaS管理はオペレーション、つまりライセンスの付与・削除、コストの確認、利用状況の追跡といった日常業務を指します。一方、SaaSガバナンスはその上位にあるポリシー設計と統制の枠組みです。

「どのSaaSを使ってよいか」「申請・承認フローをどう設計するか」「誰がアクセス権のオーナーか」——こうした意思決定ルールを定めるのがガバナンスであり、その運用がSaaS管理です。ガバナンスなきSaaS管理は、ルールのないオペレーションになりがちです。

SaaSガバナンスが求められる背景

SaaSスプロール（管理されないSaaSの拡散）、シャドーIT（情シス未把握のSaaS利用）、そしてJ-SOXやISMSといったコンプライアンス要件の強化——これら三つの圧力が重なり、SaaSガバナンスの必要性を押し上げています。特に従業員数が増えるほど、情シスの目が届かない領域が広がるため、500名を超えた企業では早期の枠組み構築が現実的な課題となっています。

2020年代に入りクラウドシフトが加速したことで、SaaS契約の主体が情シスから各事業部門へと分散しました。コロナ禍以降のリモートワーク定着がこの流れを加速させており、情シスが把握できないSaaSが増え続けているのは構造的な問題です。ガバナンスの枠組みを整えない限り、新しいSaaSが導入されるたびに問題は拡大します。

SaaS管理とは

SaaSスプロールとは

SaaSガバナンスが機能しないと何が起きるか

SaaSガバナンスが整っていない企業では、特定のインシデントが起きてから問題に気づくケースが多くあります。しかし実際の被害は、目に見えないところで静かに積み上がっています。

認識されていないSaaSが増え続ける

情シスが把握していないSaaSアプリケーション——いわゆるシャドーIT——は、ガバナンスの欠如が続くほど増殖します。部門が独自に契約したSaaS、個人クレジットカードで支払われているサブスクリプション、無料プランから始まって有料化されたツール……これらは通常の購買記録や経費申請からは見えてきません。

シャドーITとは

従業員1人あたり月平均で数千円から数万円規模のSaaS費用が「情シスの外」で発生しているという試算もあり、組織全体で集計すれば無視できない金額になります。

セキュリティインシデントのリスク

管理されていないSaaSには、適切なアクセス権設定がされていないことが多く、退職者のアカウントが無効化されずに残存するケースも頻発します。2023年に発生した複数のSaaS経由の情報漏えいインシデントでは、退職済み社員のアカウントが踏み台になったことが事後調査で判明しています。

最小権限の原則が守られていなければ、一つのアカウントが侵害されるだけで、組織内の複数のSaaSに連鎖的なアクセスが可能になります。

コストの浪費

未使用ライセンスの継続課金は、SaaSコスト最適化の観点で最も損失が大きい問題の一つです。利用実態を把握しないまま更新を繰り返すと、実際には5人しか使っていないツールに30ライセンス分の費用を払い続けることになります。

退職者のアカウント削除を自動化していない場合、月額数千円のツールでも人数分が積み重なれば年間で数百万円規模の無駄になり得ます。

J-SOX・ISMSへの対応困難

J-SOX（日本版SOX法）では、ITシステムへのアクセス制御とその証跡が内部統制の重要要件です。SaaSへのアクセス権が誰にどのように付与・変更・削除されたかを説明できない状態では、監査対応に大きな負荷がかかります。内部監査の際に「SaaSのアクセス権変更履歴を提出してください」と求められても、手動台帳では迅速な対応が難しくなります。

ISMSの認証取得・維持においても、SaaSを含むクラウドサービスの管理状況は審査対象です。ガバナンスが整っていなければ、認証取得そのものが困難になる場合もあります。特にISO/IEC 27001では、情報資産の管理とアクセス制御が具体的な管理策として定められており、SaaSの網羅的な把握と権限管理の記録が求められます。

IT内部統制とは

参考:経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」

‍参考:IPA「情報セキュリティ10大脅威 2024」

SaaSガバナンスの5つの構成要素

SaaSガバナンスは一度に全部構築するものではなく、必要な構成要素を順番に整えていくアプローチが現実的です。ここでは、ガバナンス体制を支える5つの柱を紹介します。

1. ポリシー設計

SaaSガバナンスの出発点は、組織として「何を許可し、何を禁止するか」を明文化したポリシーです。具体的には、新規SaaSの申請・承認フロー、ライセンス追加の承認権限、禁止SaaSリスト（セキュリティリスクが高いカテゴリ等）を定義します。

ポリシーがなければ、現場の担当者は都度判断を求められ、情シスは個別対応に追われます。承認フローを標準化するだけで、シャドーITの発生を大幅に減らせます。

2. 可視化——SaaSポートフォリオの把握

ガバナンスの前提は、何が存在するかを知ることです。現時点で組織内で利用されているSaaSの一覧（ポートフォリオ）を把握し、契約元・費用・利用部門・アカウント数・利用状況を台帳化します。

手動のExcel台帳から始めることもできますが、シャドーITを含む網羅的な把握には、ブラウザ活動やログイン記録からSaaS利用を自動検出するツールが必要になります。

SaaS棚卸し やり方

3. アクセス制御

「誰が何にアクセスできるか」を、業務上の必要性に基づいて管理します。最小権限の原則に従い、役職・職種・部門ごとにアクセス権のロールを定義し、必要以上の権限が付与されない仕組みを作ります。

特にSaaSは管理者権限が簡単に付与できてしまうため、権限の棚卸しと定期レビューの仕組みが欠かせません。

4. ライフサイクル管理——入退社連動

SaaSガバナンスの弱点として最も多いのが、入退社時のアカウント処理の遅延です。入社時に必要なSaaSへのアクセスが即日付与されない、退職時にアカウントが残存する——この2点は、業務効率とセキュリティの両面で直接的な問題を引き起こします。

HRシステムと連携したプロビジョニング自動化によって、人手を介さずアカウントのライフサイクルを管理できます。

5. 継続的モニタリングとレビュー

SaaSの利用状況は時間とともに変化します。導入当初は活発に使われていたツールが、半年後には形骸化していることは珍しくありません。四半期ごとのアクセス権レビュー、半期ごとのSaaSポートフォリオ見直し、コスト対効果の定期評価を体制として組み込む必要があります。

「一度整えれば終わり」ではなく、継続的に更新されるプロセスとして設計することがポイントです。ビジネスの変化に合わせてSaaSも入れ替わるため、ガバナンスの仕組み自体もアジャイルに維持できる体制が理想です。

SaaSスプロールとは

参考:NIST SP 800-53「Security and Privacy Controls for Information Systems and Organizations」

SaaSガバナンスを構築する4ステップ

情シス2〜3名体制の中堅企業でも、段階的に取り組めば現実的な水準のガバナンスを構築できます。一度にすべてを完成させようとせず、4ステップで着実に進めることをお勧めします。

ステップ1: 現状の棚卸し

まず手をつけるべきは、現在使われているSaaSの全量把握です。経費精算データ、クレジットカード明細、購買記録を横断して、契約中のSaaS一覧を抽出します。あわせて、各SaaSの契約元（会社 or 個人）、月額費用、利用部門、アカウント数、最終ログイン日を記録します。

このフェーズで重要なのは、情シスの外にある支出まで拾うことです。部門予算で支払われているSaaS、個人払いで申請されているサブスクリプションを含めなければ、真の利用実態は見えてきません。

SaaS棚卸し やり方

棚卸しの結果は、後続のポリシー設計とコスト最適化の基礎データになります。1〜2週間かけて徹底的に洗い出す価値があります。

ステップ2: ポリシー策定

棚卸しの結果を踏まえ、SaaSの申請・承認フロー、ライセンス管理ルール、禁止カテゴリを文書化します。この段階で完璧なポリシーを作ろうとする必要はありません。現場で発生している問題を解決するための最低限のルールから始め、運用しながら改善するアプローチが現実的です。

承認フローは「申請→情シス確認→部門長承認→契約」といったシンプルな3〜4ステップで設計し、全社周知を行います。ポリシー文書は社内wikiやイントラネットに公開し、いつでも参照できる状態にします。

ステップ3: ツール導入

ポリシーの策定が終わったら、その運用を支えるツールを選定します。SaaSガバナンスを支援するツールには、SaaS利用状況の自動検出、アクセス権管理、コスト最適化のレコメンドなど、複数の機能が統合されたプラットフォームが登場しています。

手動台帳では対応が追いつかない規模（SaaS50本以上、従業員300名以上など）になったタイミングがツール導入の目安です。ツール選定では、既存のHRシステムやIdP（Azure AD / Okta等）との連携可否を必ず確認します。

ステップ4: 定期レビュー体制の整備

ガバナンスは一度構築して終わりではありません。四半期ごとのアクセス権レビュー、半期ごとのSaaSポートフォリオ見直し、年次のポリシー更新——これらをカレンダーに入れ、担当者を明確にした定期レビューの体制を整えます。

レビューの結果をドキュメント化し、変更履歴を残すことで、J-SOX対応の証跡にもなります。情シス2名体制であれば、四半期レビューを1名2時間程度で実施できるプロセス設計が現実的な目安です。

参考:総務省「テレワークセキュリティガイドライン」

参考:IPA「中小企業の情報セキュリティ対策ガイドライン」

SaaSガバナンスの成熟度モデル

どの企業も最初からガバナンスが整っているわけではありません。現在地を把握し、次のレベルに向けた改善ステップを明確にするために、成熟度モデルを活用します。

SaaSガバナンスの成熟度は、大きく4段階に分類できます。

レベル1: 把握なし（アドホック）

現在利用しているSaaSの全量を把握していない状態です。SaaSの申請・承認フローは存在せず、退職者のアカウント削除も手動かつ不定期です。シャドーITが多数存在する可能性が高く、コストの全貌が不明です。

国内の中堅企業（500〜2,000名規模）の多くがこのレベルにあるとされており、「把握していない問題があることに気づいていない」状態が長く続くケースも少なくありません。このレベルでは、情シスが問題を認識しているかどうかに関わらず、シャドーITとセキュリティリスクが静かに積み上がり続けています。

レベル2: 台帳管理（Excelベース）

情シスが手動でSaaS台帳を作成・管理している状態です。主要なSaaSは把握できているものの、部門が独自に契約したSaaSや無料プランのツールは漏れがちです。アカウント管理や権限変更は手動対応で、情シスの工数負担が増大しています。

多くの情シス担当者がこのレベルに到達しようと取り組んでいますが、手動運用の限界からレベル3への移行を検討するケースが増えています。

レベル3: ツール活用（自動可視化）

SaaS管理ツールを導入し、シャドーITを含むSaaS利用状況を自動検出・可視化できている状態です。ライセンス最適化のレコメンドを受け取り、コスト削減が継続的に実施できています。承認フローはシステム化されており、申請から承認までの追跡が可能です。

このレベルに到達すると、情シスの対応工数を大幅に削減でき、ガバナンス対応の証跡をシステムから出力できるようになります。

レベル4: 自動化・継続改善

入退社に連動したアカウントのプロビジョニング・デプロビジョニングが自動化されており、アクセス権レビューも定期的に自動化されています。SaaSポートフォリオの最適化が継続的に行われ、コストと利用実態が常に整合している状態です。

このレベルに達すると、情シスはオペレーションから解放され、より戦略的な業務に集中できるようになります。

現状レベルを正直に評価したうえで、次のレベルに移行するための「1アクション」を決めることが、ガバナンス改善の第一歩になります。レベル1からレベル2への移行であれば、まずSaaSの棚卸しを1回実施することです。レベル2からレベル3への移行であれば、SaaS管理ツールの選定・トライアルを始めることが具体的な出発点になります。

JosysによるSaaSガバナンス強化

内部リンク: SaaS管理とは

ジョーシスは、SaaS・デバイス・アクセス権限を一元管理するAI駆動型アイデンティティガバナンスプラットフォームです。国内外700社以上の企業が導入しており、SaaSガバナンスの各構成要素をシステムとして支援します。

SaaS Discoveryで全SaaSを可視化する

ジョーシスのSaaS Discoveryは、ブラウザの活動ログとシングルサインオン（SSO）のログインデータを分析し、従業員が実際に利用しているSaaSを自動検出します。情シスが把握していないシャドーITも含めて一覧化されるため、「何があるかわからない」状態から脱却できます。

検出されたSaaSはポートフォリオとして整理され、利用頻度・コスト・担当部門が可視化されます。台帳を手動で作成する工数が不要になり、常に最新状態に保たれます。

SaaS Insightsでライセンスを最適化する

SaaS Insightsは、ライセンスの利用状況とコストを分析し、削減できるライセンス数をレコメンドします。「購入しているが使われていないライセンス」「複数ツールで機能が重複している領域」などを特定し、具体的なアクションとして提示します。

MyBestでは、ジョーシス導入後にSaaS管理コストを70%削減しています。手動では気づきにくいコスト最適化の機会を、継続的に発見できる仕組みが評価されています。

Access Reviewsで定期的な権限棚卸しを実現する

Access Reviewsは、SaaSへのアクセス権限を定期的にレビューするための機能です。各SaaSの権限オーナーに対して、アクセス権の継続可否を確認するサーベイを送付し、その結果を記録・反映します。

J-SOXやISMSの監査対応では、アクセス権の変更履歴とレビュー実施証跡が求められます。Access Reviewsの記録はそのままコンプライアンス対応の証跡として活用できます。

Access Automationで入退社処理を自動化する

Access Automationは、HRシステムと連携して入退社時のアカウントプロビジョニング・デプロビジョニングを自動化します。入社時には業務に必要なSaaSアカウントを即日発行し、退社時には全SaaSのアクセスを一括無効化します。

Sales Markerでは、ジョーシス導入によりIT工数を約50%削減しています。入退社のたびに複数のSaaSを手動で操作していた作業がなくなり、情シス担当者が本来注力すべき業務に時間を振り向けられるようになっています。

Anker Japanでは、ITコストを75%削減した事例も報告されています。コスト最適化だけでなく、セキュリティとガバナンスの体制を同時に強化できる点が、ジョーシスの強みです。

参考:Josys公式サイト

参考:Josys導入事例（MyBest・Sales Marker・Anker Japan)

まとめ

SaaSガバナンスとは、SaaSのライフサイクルを組織として統制する仕組みです。シャドーITの可視化、アクセス権の適切な管理、コストの最適化、コンプライアンス対応——これらはすべて、ガバナンスの枠組みがあって初めて継続的に機能します。

多くの中堅企業は現在、成熟度レベル1〜2に位置しています。すべてを一度に解決しようとすると動けなくなるため、まずSaaSの棚卸しから着手し、段階的にポリシーを整え、ツールを活用して自動化へと移行するプロセスが現実的です。

情シス担当者がオペレーションに追われず、組織のIT戦略に貢献できる体制をつくる——SaaSガバナンスはその第一歩です。ジョーシスの無料トライアルや資料請求から、自社のガバナンス課題を具体的に確認してみてください。

SaaSガバナンスの現状を把握したい方へ

ジョーシスでは、SaaSの利用状況可視化から入退社自動化まで、SaaSガバナンスに必要な機能を一つのプラットフォームで提供しています。まずは資料をダウンロードして、自社のガバナンス課題と照らし合わせてみてください。

資料ダウンロード　無料トライアルを試す

• SaaS管理とは
• SaaSスプロールとは
• シャドーITとは
• IT内部統制とは
• SaaS棚卸し やり方