企業が利用するSaaSの種類数は急速に増え続けています。従業員数1,000名以上の大企業では、1社あたり平均207種類ものクラウドサービスを利用しているという調査結果があります。一方で、65.6%の企業においてシャドーIT対策が未実施という現実もあります。

退職者のアカウントが放置され、部門ごとに個別契約したSaaSが乱立し、監査対応のたびに証跡収集に追われる。SaaSの利用拡大は業務効率を高めますが、同時に情シス部門が把握しきれないリスクを生み出しています。こうした状況に心当たりのある情シス担当者は少なくないでしょう。

本記事では、情シスが今日から実践できる7ステップの体系的な強化手順を、具体的なフロー設計や管理項目を交えて解説します。フレームワークの選び方から組織体制の構築まで、ガバナンスを仕組みとして定着させるための実践知識をまとめています。

SaaSガバナンスとは何か

SaaSガバナンスとは、企業が利用するSaaSの選定・運用・廃止を組織的に統制する仕組みです。IT統制・情報セキュリティポリシーの一部として位置づけられ、可視化・承認・監査の3つの機能が中核を担います。

「ガバナンス」という言葉はITの世界で広く使われますが、SaaSガバナンスはITガバナンス全体の下位レイヤーに位置します。混同しやすいため、まず整理しておきましょう。

IT統制・ITガバナンスとの違い

ITガバナンスとは、IT全体の投資・リスク・成果を最適化するための組織的な取り組みを指します。COBITや国際標準ISO/IEC 38500といったフレームワークが広く参照されており、経営戦略とIT戦略を整合させることが主眼です。

SaaSガバナンスはその中でも、SaaS（クラウドアプリケーション）のライフサイクル全体をどう統制するかに特化した概念です。どのSaaSを承認するか、誰にどのアカウントを付与するか、契約更新時にどう判断するか、退職時にどう削除するか。こうした日々の運用に直結する実務的な統制を担います。

情シス担当者にとっては、ITガバナンス全体の方針を受け取り、SaaSという具体的なレイヤーで実装・運用するのがSaaSガバナンスの役割といえます。

ISO27001（ISMS）とSaaSガバナンスの関係

ISO27001（ISMS）は、情報セキュリティマネジメントシステムの国際規格です。附属書Aには93の管理策が定められており、SaaSガバナンスに直結するものが複数含まれます。

代表的なものとして、アクセス制御（A.8.2）、クラウドサービスの利用セキュリティ（A.5.23）、サプライヤーとのセキュリティ（A.5.19）、変更管理（A.8.32）などが挙げられます。ISMS認証を取得・維持している企業でも、SaaSが急増している現在、これらの管理策をSaaS環境に適用できていないケースは少なくありません。

SaaSガバナンスの体制を整えることは、ISMS審査での証跡提出を容易にするだけでなく、ISO27001の要求事項を日常運用として定着させることにもつながります。

参考：クラウド利用者のためのSaaSガバナンスのベストプラクティス（CSA Japan）

SaaSガバナンスが必要とされる背景

SaaSの利用拡大は業務効率を高める一方、情シスが管理できないリスクを同時に生み出しています。クレジットカード一枚で即日利用開始できる手軽さが普及の背景にあり、現場の担当者が個別に契約を進めた結果、気がつけば情シスも把握していないSaaSが社内に溢れています。

ガバナンスが急務である理由を、4つの構造的なリスクから確認しましょう。

リスク1 シャドーIT（野良SaaS）の増殖

シャドーITとは、IT部門の承認を得ずに現場で導入・利用されているSaaSのことです。assured社の2024年調査では、65.6%の企業でシャドーIT対策が行われていないことが明らかになっています。

問題は「使われていること」だけではありません。未承認のSaaSに機密情報や個人情報がアップロードされても、情シスはその事実を把握できません。セキュリティ設定が不十分なサービスがデータを保持し続けるリスクは、企業規模を問わず深刻です。

関連記事：シャドーITのリスクと対策

リスク2 退職者・異動者のアカウント放置

従業員が退職または異動した後も、SaaSのアカウントが削除されずに残り続けるケースは珍しくありません。複数のSaaSを利用している企業では、退職処理のたびにすべてのSaaSを手作業で確認・削除する必要があり、対応漏れが生じやすい状況です。

退職者が外部からSaaSにアクセスできる状態が続くことは、情報漏洩リスクに直結します。特に人事異動が多い時期には、アカウント管理の負担が集中し、対応が追いつかなくなることもあります。

関連記事：退職者アカウント削除の方法と進め方｜情シスが押さえるべき手順とリスク対策

リスク3 コンプライアンス・個人情報保護法違反リスク

個人情報保護法では、個人情報を取り扱う事業者に対して適切な安全管理措置を求めており、2022年4月施行の改正では漏えい時の報告義務が法定化されました。さらに2026年には課徴金制度の新設を盛り込んだ改正法案が国会に提出されるなど、規制強化が続いています。未承認のSaaSに顧客情報や従業員情報がアップロードされれば、これらの要件を満たしているとはいえません。

SOX法対応では、ITシステムへのアクセス管理と証跡保全が求められます。SaaSのアクセス権限が適切に管理されていない状態では、監査対応時に重大な指摘を受けるリスクがあります。GDPRが適用される企業においても同様で、利用するSaaSの安全性を事前に評価・承認する体制が求められます。

リスク4 ライセンス過剰契約によるコスト肥大

企業が契約しているSaaSライセンスの30〜50%が十分に活用されていない、あるいは重複しているという推計があります。ログイン実績のないアカウントが数ヶ月にわたって費用を発生させ続けるケースや、同一機能を持つSaaSが部門ごとに別々に契約されているケースは、棚卸しを実施するまで発覚しないことがほとんどです。

SaaS種類数が増えるほど、こうした見えないコストも比例して増大します。年間で数百万円のライセンス費用が最適化の余地を持ちながら放置されているケースは、決して例外ではありません。

参考：SaaS棚卸しとライセンス最適化（Admina by Money Forward）

参考：シャドーIT対策実態調査2024（assured）

SaaSガバナンス強化の7ステップ

SaaSガバナンスは一度に完成するものではなく、段階的に体制を整えることが現実的です。各ステップは独立しているわけではなく、順番に積み重ねることで効果が出る設計になっています。「どこから手をつければよいかわからない」という状況からでも、ステップ1の棚卸しから始めれば、自然と次のステップが見えてきます。

[画像: オフィスのデスクで複数のモニターを前に作業する情シス担当者が、SaaS管理のダッシュボードを確認している様子]

ステップ1 SaaS棚卸しで現状を完全可視化する

SaaS棚卸しは、社内で契約・利用されているすべてのSaaSを可視化し、アカウント数・利用状況・契約金額・管理権限を網羅的に照合・整理するプロセスです。ガバナンス強化の起点であり、現状を正確に把握しないまま次のステップに進んでも効果は出ません。

棚卸しの対象は、情シスが管理している正式契約のSaaSだけではありません。部門購入のSaaSやフリートライアルのまま使われているもの、SSOに連携されていないSaaSも含めて洗い出す必要があります。台帳に記録すべき基本項目は以下の7点です。

• サービス名（正式名称）
• 契約者・管理者（部門・担当者名）
• 契約金額・請求サイクル
• アカウント数（発行済み・アクティブ）
• 利用状況（最終ログイン日等）
• 契約更新日
• SSO連携状況（連携済み・非連携）

情シスの管理外のSaaSを発見するには、クレジットカード明細の精査、経費精算データの確認、SSOに連携されていないアカウントの洗い出し、ブラウザ拡張機能を使ったシャドーIT検知などが有効です。

[画像: ホワイトボードの前でチームメンバーとSaaS棚卸しの台帳を確認しながら議論している情シス担当者の様子]

ステップ2 SaaSの利用ポリシー・申請承認フローを整備する

棚卸しで現状を把握したら、次は「これからどのSaaSをどのように管理するか」のルールを定める段階です。全社ポリシーとして文書化し、申請から承認・アカウント発行までの標準フローを整備します。

全社ポリシーに明記すべき事項として、以下が挙げられます。

• SaaS導入に必要な承認ステップと承認権者
• セキュリティ審査の基準（ISO27001認証の有無・データ保存場所・暗号化方式等）
• 禁止するSaaSのカテゴリや具体的なサービス
• 個人情報・機密情報を扱うSaaSの特別審査ルール
• 契約更新時の再審査フロー

申請承認フローは「申請→情シス一次確認→セキュリティ審査→部門長承認→情シス最終承認→アカウント発行」の流れを基本として設計します。フローが複雑すぎると現場の反発を招くため、軽微な更新（アカウント追加等）と新規導入を分けて、それぞれ適切なステップ数に絞り込みましょう。情シス・セキュリティ管理者・部門長の役割分担を明確にし、誰がどの判断を下すかを曖昧にしないことがフローの定着に直結します。

ステップ3 SSOとIdPでアカウントを一元管理する

SSO（シングルサインオン）は、1つの認証情報で複数のSaaSにアクセスできる仕組みです。情シスの観点では、SSOに連携されたSaaSのアカウントを一元管理できる点が最も大きな価値です。

IdPを中心に据えることで、退職者のアカウントを一括停止できるほか、パスワードポリシーや多要素認証（MFA）を全SaaSに横断して適用できます。Microsoft Entra IDやGoogle Workspaceを使っている企業では、それぞれをIdPとして活用するケースが一般的です。

SAML（Security Assertion Markup Language）やSCIM（System for Cross-domain Identity Management）との連携が可能なSaaSは、アカウントの自動プロビジョニング・デプロビジョニングに対応できます。入社時には人事データを基に自動でアカウントが発行され、退職時には自動で削除される仕組みを構築することで、運用負荷を大幅に減らせます。SSOに対応していないSaaSへの対策としては、パスワードマネージャーの一元管理や、そのSaaSの利用を限定・廃止する方向での検討が現実的です。

関連記事：SSOとは？SaaSセキュリティとの関係

ステップ4 最小権限の原則でアクセス権を設計する

最小権限の原則とは、ユーザーに業務上必要最低限の権限のみを付与するという考え方です。実務では「とりあえず管理者権限を付与しておく」「全員に同じ権限を設定する」という運用に流れがちですが、過剰な権限付与は情報漏洩リスクを高める主要因の一つです。

RBAC（ロールベースアクセス制御）を活用することで、ユーザー個人ではなく役割に対して権限を付与し、大人数の管理を標準化できます。同じ役割を持つユーザーは同じ権限を持つため、権限設定の工数と属人化を同時に解消できます。

アクセス権の定期棚卸し（アクセスレビュー）も欠かせません。人事異動・役職変更・プロジェクト異動などのタイミングで権限が変更されないまま残り続けるケースは多く、四半期に1回の定期レビューを実施し不要な権限を回収する仕組みを作ることが、最小権限原則の実践につながります。

関連記事：アクセス権限管理の方法｜SaaS時代の情シス向け実践ガイド

ステップ5 入退社・異動時のアカウントライフサイクルを自動化する

入退社・異動のたびに情シスが手作業でSaaSアカウントを確認・発行・削除する運用は、規模が拡大するほど破綻します。アカウントライフサイクル管理の自動化は、SaaSガバナンス強化において費用対効果が最も高い施策の一つです。

基本的なフローは次のとおりです。入社時には、HRシステムのデータを受け取ったIdPが自動でアカウントをプロビジョニングし、部門・役職に応じたロールで各SaaSへのアクセスを付与します。異動時は新しいロールへの切り替えと旧権限の剥奪を自動で実行し、退社時はIdPのアカウントを無効化するだけで連携するすべてのSaaSへのアクセスが即時停止されます。

HRシステムとIdPの連携が実現していない場合でも、退職者の対応を最優先として手動フローを標準化することが重要です。退職確認のチェックリストを用意し、退職日当日または前日に実行するルールを情シス内で徹底することが、アカウント放置リスクを防ぐ第一歩です。

ステップ6 定期的なアクセスレビューと監査ログを整備する

一度整備したルールが継続的に機能しているかを検証する仕組みがなければ、ガバナンスは形骸化します。アクセスレビューと監査ログの整備が、その中核を担います。

アクセスレビューは、各SaaSのアカウント・権限設定を定期的に見直し、不要なアクセスを削除するプロセスです。実施サイクルは月次・四半期・年次の3段階で設計します。個人情報や財務データを扱う高リスクSaaSは月次、一般業務SaaSは四半期、全体の統合レビューは年次という設定が実務的です。

監査ログは、誰がいつどのSaaSに何をしたかの記録です。ISO27001審査・SOX内部監査・個人情報保護法対応において、証跡としての提出が求められるケースがあります。ログの保全期間（最低1年、規制によっては3〜7年）と保管場所（改ざん不可の環境）を事前に設計しておきましょう。

ステップ7 ガバナンス状況をスコア化・継続改善する

「なんとなく管理している」状態から「数値で把握・改善できる」状態へと移行することで、経営層への報告や予算獲得もしやすくなります。ガバナンスの状態を可視化し、継続的に改善する仕組みを作ることが最終ステップです。

ガバナンス成熟度の目安として、以下の4段階が参考になります。

KPIとして設定する候補には、未管理SaaS数、シャドーIT検知件数（月次）、ライセンス利用率（アクティブ率）、アクセスレビュー実施率、アカウント削除リードタイム（退職から完了まで）などがあります。月次でレビューし、課題のあるKPIを翌月の改善アクションに落とし込むPDCAサイクルを回すことで、ガバナンスは段階的に高度化していきます。

Josysでは、SaaSの棚卸しからアカウント管理の自動化まで、ガバナンス強化を一元的にサポートしています。まずは資料でご確認ください。

Josys資料をダウンロードする（無料）

SaaSガバナンスのフレームワーク

自社独自のルールだけではなく、国際的なフレームワークを参照することでガバナンスの網羅性を確保できます。フレームワークはすべてを実装するものではなく、自社で不足している領域を発見するためのチェックリストとして活用するのが現実的です。自社のリスクが高い領域から優先的に対応を進めるという姿勢で参照しましょう。

Cloud Security Alliance（CSA）のSaaSガバナンスベストプラクティス

Cloud Security Alliance（CSA）は、クラウドセキュリティの国際的な非営利団体であり、2022年に「クラウド利用者のためのSaaSガバナンスのベストプラクティス」を公開しています（日本語版はCSA Japan Chapterより入手できます）。

このガイドはSaaSライフサイクル全体に対するチェックポイントを提供しており、「評価」「採用」「運用」「モニタリング」「廃止」の5段階でリスクと対策を整理しています。情シスが見落としがちな廃止フェーズ（契約解除後のデータ削除確認・アカウント整理）まで網羅している点が特徴です。SaaS導入審査のチェックリスト作成や、既存SaaSの定期評価の基準として活用することを推奨します。

ISO27001の管理策をSaaSガバナンスに適用する

ISO27001:2022（最新版）の附属書Aには、クラウド・SaaS管理に直結する管理策が複数含まれています。代表的なものを整理します。

• A.5.19 サプライヤーとの情報セキュリティ：SaaSベンダーとの契約・セキュリティ評価
• A.5.23 クラウドサービスの利用における情報セキュリティ：クラウドサービス固有のリスク管理
• A.8.2 特権アクセス権管理：管理者権限の適切な付与と制御
• A.8.5 セキュアな認証：MFA・SSOによる認証強化
• A.8.32 変更管理：SaaS設定変更・導入・廃止の変更管理

ISMS認証を取得済みの企業であれば、これらの管理策がSaaS環境でも実際に機能しているかどうかを確認する作業が、SaaSガバナンス強化の糸口になります。

参考：ISO27001とは？ISMSとの違いや要求事項の詳細（assured.jp）

NIST CSF 2.0の6機能でSaaS統制を点検する

NIST CSF（サイバーセキュリティフレームワーク）2.0は、2024年2月に公開された米国国立標準技術研究所のフレームワークです。従来の「識別・防御・検知・対応・復旧」の5機能に「統治（Govern）」が加わり、6機能で構成される点が大きな特徴です。SaaSガバナンスの抜け漏れを点検するチェックレンズとしても活用できます。

統治では利用ポリシー・RACI・KPI設計、識別ではSaaS台帳とシャドーIT検知、防御ではSSO・MFA・RBAC・退職者アカウント削除、検知では監査ログと異常利用の把握、対応ではインシデント時の利用停止フロー、復旧では契約終了時のデータ移行・削除確認といった具合に、7ステップで整備した施策を6機能へマッピングすると、どの機能が手薄かを客観的に把握できます。

参考：NIST Releases Version 2.0 of Landmark Cybersecurity Framework（NIST）

ガバナンスを形骸化させないための組織体制

ポリシーとツールを整えても、組織・役割の設計が不明確であればガバナンスは機能しません。SaaSガバナンスが形骸化する最大の理由の一つは、誰が責任者なのかが曖昧なまま運用が始まることです。体制設計の段階で役割と責任範囲を明確にすることが、長期的な定着に向けた最重要課題です。

ガバナンス推進の責任体制（RACI）を設計する

RACI（Responsible・Accountable・Consulted・Informed）は、業務ごとに誰が「実行者」「責任者」「相談先」「報告先」であるかを定義するフレームワークです。SaaSガバナンスに適用することで、各プロセスの曖昧さを解消できます。

SaaS新規導入の申請承認プロセスに対するRACIは、たとえば以下のように設計できます。

こうした整理によって、情シスが一人で抱え込む構造から脱却し、各部門が自律的に動ける体制を作ることができます。

現場部門との合意形成

SaaSガバナンスを情シスによる管理・制限として現場に伝えると、反発や回避行動（隠れた利用）につながることがあります。ガバナンスの目的を「現場の業務を守るためのルール」として伝えることが、信頼関係の構築に欠かせません。

申請フローの負荷を最小化し、緊急時の例外対応フローを用意することも重要です。「申請すれば2営業日で使える」という迅速な対応体制が整っていれば、承認なしで使い始めるという行動は自然と減少します。情シスが現場と経営をつなぐ調整者として機能するためには、SaaS選定の判断基準を事前に公開し、現場からの問い合わせに丁寧に対応する姿勢が基盤となります。

経営層・上位役職者へのガバナンス報告方法

SaaSガバナンスへの投資対効果を経営層に伝えるには、リスク指標とコスト指標を組み合わせた報告が効果的です。以下のKPIをダッシュボードで可視化し、定期的に経営報告に組み込む設計が推奨されます。

• 未管理SaaS数（前期比）
• シャドーIT検知件数（月次推移）
• ライセンス利用率とコスト最適化額（削減金額）
• アクセスレビュー完了率
• セキュリティインシデント件数（SaaS関連）

「未管理SaaSを30種類から5種類に削減した」「ライセンス最適化で年間300万円を節約した」という具体的な数値が、ガバナンス強化の予算獲得を後押しします。

ガバナンス強化の事例

ガバナンスの課題は業種や規模によって異なりますが、退職者アカウントの放置、シャドーITの乱立、監査対応の工数という3点は多くの企業で共通して見られます。Josysの活用事例から3つのパターンを確認しましょう。

事例1 退職者アカウント削除漏れを解消したIT企業

従業員100名規模ながら利用SaaSは50種類以上に達しており、退職者のアカウントが複数のSaaSに残り続けていることが内部監査で発覚したIT企業の事例です。入退社管理と連動していないSaaSアカウント管理が課題の根本にありました。

JosysをHRシステムと連携させ、退職情報が登録されると同時に連携SaaSのアカウントが自動で停止される仕組みを構築しました。SSO非対応のSaaSについても、Josysのダッシュボードから退職者のアカウントを確認・削除できる運用フローを整備しています。導入後は退職者アカウントのクローズが退職日当日に完了するようになり、情シスの月次確認工数も大幅に削減されました。「管理できているつもりになっていた」状態から、証跡として示せる管理体制への移行を実現した事例です。

事例2 シャドーIT50種類超を検知・統制したコンサルティング会社

プロジェクト単位で業務ツールを選択する文化を持つコンサルティング会社では、部門ごとの個別契約により情シスが管理できないSaaSが乱立していました。Josysのブラウザ拡張機能を活用したシャドーIT検知を導入し、情シス未把握のSaaSを可視化。検知したSaaSに対して、継続承認・廃止・代替ツールへの移行という判断基準を設けた審査フローを整備しました。

棚卸しの結果、機能が重複しているSaaSが複数確認されたため統廃合を実施。重複ライセンスの解約によってIT支出の最適化に成功しました。現場の利便性を損なわずに統制を実現した点がこの事例のポイントです。

事例3 ISO27001審査でSaaS証跡提出を効率化した製造業

ISMS認証を取得している製造業において、年次審査のたびにSaaSのアクセス権限証跡の収集に多大な工数がかかっていました。各SaaSの管理画面を担当者が個別に確認し、スクリーンショットを取得・整理する作業が審査前に集中していたのです。

Josysのアクセスレビュー機能を活用し、主要SaaSのアクセス権限状況をJosysのダッシュボードから一元的に確認・エクスポートできる体制を整備しました。定期的なアクセスレビューの記録もJosysに蓄積されるため、審査時には過去のレビュー履歴を証跡として提出できるようになっています。審査対応にかかる工数が大幅に短縮され、ISMSの管理策を年に一度の審査対策ではなく日常運用として定着させることができました。

参考：Josys導入事例

SaaSガバナンス強化を加速するツールの選び方

ツールを活用することで、手動では限界があるガバナンス業務を自動化・効率化できます。ツールを選ぶ前に「何を自動化・効率化したいか」を明確にすることが重要です。棚卸しの効率化が最優先なのか、アカウントライフサイクルの自動化が急務なのか、監査対応の工数削減が目的なのかによって、選ぶべき機能の優先度が変わります。

ガバナンス強化に必要な5つの機能要件

SaaS管理ツールを評価する際に確認すべき機能要件は以下の5点です。これらが揃っているかを確認することで、導入後に想定していた機能がなかったという事態を防げます。

• SaaS自動検知・棚卸し機能：ブラウザ拡張機能やネットワーク分析によるシャドーIT検知、台帳の自動生成・更新
• アカウントライフサイクル管理：入社・異動・退社に連動したアカウントのプロビジョニング・デプロビジョニング自動化
• アクセス権限レビュー・監査ログ：定期レビューの実施記録、監査証跡としてのログ保全・エクスポート機能
• HRシステム・IdP連携：既存の人事システム（SmartHR・SuccessFactors等）やMicrosoft Entra ID・Google Workspaceとの連携
• ガバナンススコア・ダッシュボード：ガバナンス成熟度の定量評価、KPIの可視化・レポート出力

JosysがSaaSガバナンス強化に選ばれる理由

Josysは、デバイス管理とSaaS管理を一元化できる統合基盤として、情シスのガバナンス強化を支援します。SaaSスコアダッシュボード機能では、各SaaSのガバナンス状況（アカウント管理・権限設定・利用率）を定量スコアとして可視化でき、どのSaaSでガバナンスが弱いかを一目で把握して優先的に対応するSaaSを特定することができます。

アクセスマネジメントワークフロー機能では、SaaSの利用申請・承認・アカウント発行のフロー全体をJosys上で完結できます。申請者・承認者・情シスそれぞれの対応が記録され、監査証跡としても活用できます。SCIM・SAML対応により、Microsoft Entra ID・Google Workspace・Okta等の主要IdPとの連携も可能です。

SaaSの可視化・棚卸しから始まり、アクセス管理の自動化、監査対応まで一気通貫で対応できる点が、Josysが多くの情シスに選ばれる理由です。

Josysのデモで実際のガバナンス管理画面を確認できます。30分の無料デモをご予約ください。

無料デモを予約する

参考：Josys SaaS管理スコアダッシュボード・アクセスマネジメントワークフローリリース（PR TIMES）

まとめ

SaaSガバナンスの強化は、一度整備すれば終わりではありません。7ステップで体系を構築し、ツールで自動化しながら継続的に改善する仕組みをつくることが長期的な成功の鍵です。

本記事で解説した7ステップを改めて整理します。

1. SaaS棚卸しで現状を完全可視化する
2. 利用ポリシー・申請承認フローを整備する
3. SSOとIdPでアカウントを一元管理する
4. 最小権限の原則でアクセス権を設計する
5. 入退社・異動時のアカウントライフサイクルを自動化する
6. 定期的なアクセスレビューと監査ログを整備する
7. ガバナンス状況をスコア化・継続改善する

これらのステップを積み重ねることで、セキュリティリスクの低減・コンプライアンス対応の効率化・ライセンスコストの最適化という3つの成果を同時に実現できます。ガバナンスが整った組織では、情シスが管理に追われる状態から解放され、より戦略的なIT投資の判断に時間を使えるようになります。

Josysは、SaaS棚卸しからアカウントライフサイクル管理の自動化・監査対応まで、情シスのSaaSガバナンス強化を一気通貫でサポートします。まずは資料でJosysの全体像をご確認ください。

Josys資料をダウンロードする（無料）