SaaS棚卸し実践ガイド — シャドーIT発見からライセンス最適化まで
なぜ年度初めにSaaS棚卸しが必要か
4月は人事異動、新入社員の入社、組織変更が集中する時期です。SaaSのライセンス管理において、以下の問題が発生しやすくなります。
退職・異動者のアカウントが残ったままになっている、新入社員に必要以上のライセンスが割り当てられている、組織変更で不要になったSaaSの契約が残っている、各部署が独自に導入したSaaSが増殖している。
これらを放置すると、無駄なライセンス費用の発生、退職者アカウント経由のセキュリティリスク、コンプライアンス違反(退職者が社内データにアクセスできる状態)につながります。
本記事では、SaaS棚卸しの具体的な手順を、使用するツールと画面操作のレベルまで掘り下げて解説します。
Step 1:利用中のSaaSを洗い出す
方法1:Entra IDサインインログの分析
Microsoft Entra ID(旧Azure AD)を利用している企業は、サインインログからSaaSの利用状況を把握できます。
Entra管理センター(entra.microsoft.com)にアクセスし、「ID」→「監視と正常性」→「サインイン ログ」を開きます。期間を過去90日に設定し、「アプリケーション」列でソートすると、どのSaaSがEntra ID経由で利用されているかが一覧できます。
サインインに成功しているが、過去30日間利用がないアプリケーションは、利用されていないSaaSの候補です。
ただし、Entra IDのサインインログに表示されるのは、Entra IDとSSO連携しているSaaSのみです。SSO非対応のSaaS(独自のID/パスワードでログインするサービス)は、この方法では検出できません。
方法2:Google Workspaceの監査ログ
Google Workspaceを利用している場合は、管理コンソール(admin.google.com)の「レポート」→「監査と調査」→「OAuthログのイベント」から、GoogleアカウントでOAuth認証しているサードパーティアプリの一覧を確認できます。
許可していないアプリがOAuth認証されている場合は、シャドーITの可能性があります。
方法3:CASB(Cloud Access Security Broker)
CASBを導入している場合は、ネットワーク通信の分析からSaaSの利用状況を網羅的に可視化できます。SSO非対応のSaaSや、ブラウザから直接アクセスしているSaaSも検出対象になります。
Microsoft Defender for Cloud Apps(Microsoft 365 E5に含まれる)は、中小企業でも利用しやすいCASBです。「検出」→「Cloud Discoveryダッシュボード」から、社内で利用されているクラウドアプリの一覧とリスクスコアを確認できます。
方法4:経費精算データの確認
IT予算以外の経費としてSaaS費用が計上されているケースがあります。経理部門に依頼して、クレジットカード明細や経費精算システムから「サブスクリプション」「月額利用料」に該当する支出を抽出してもらいましょう。
これは泥臭い方法ですが、IT部門の把握外で契約されたSaaSを発見する最も確実な手段です。
Step 2:SaaS台帳を作成・更新する
台帳に記録すべき項目
洗い出したSaaSの情報を台帳に整理します。最低限、以下の項目を記録してください。
基本情報として、SaaS名、用途、契約プラン名、契約者(管理者)、管理部署を記録します。
ライセンス情報として、契約ライセンス数、実際の利用者数、1ライセンスあたりの単価、月額/年額の合計費用を記録します。
契約情報として、契約開始日、契約更新日、自動更新の有無、解約に必要な事前通知期間、支払い方法(請求書/クレジットカード/銀行引落)を記録します。
セキュリティ情報として、SSO対応状況(SAML/OpenID Connect)、MFA対応状況、データの保存場所(国・リージョン)、データエクスポート方法を記録します。
台帳のフォーマット
ExcelまたはGoogleスプレッドシートで管理するのが、中小企業にとって最も現実的です。専用のSaaS管理ツール(Josys、メタップスクラウド等)を導入する方法もありますが、50名以下の企業ではスプレッドシートで十分です。
Step 3:シャドーITを特定する
シャドーITの定義
シャドーITとは、情シス(IT部門)の承認を得ずに、各部署が独自に導入・利用しているITサービスのことです。典型的なパターンは以下のとおりです。
マーケティング部門がCanvaの有料プランを契約している、営業部門がTrelloの有料プランを個人のクレジットカードで契約している、人事部門がオンライン面接用にZoomの有料プランを契約している(会社はTeamsを利用しているのに)、経理担当者が個人のDropboxに業務ファイルを保存している。
シャドーITのリスク評価
発見したシャドーITのすべてを即座にブロックする必要はありません。リスクベースで対応を判断します。
高リスクとして即時対応が必要なのは、業務データ(顧客情報、財務情報等)が保存されているサービス、SSO/MFA非対応のサービス、海外にデータが保存されるサービス(データ主権の問題)です。
中リスクとして計画的に対応するのは、既存SaaSと機能が重複するサービス(Zoom+Teams等)、個人アカウントで利用されているサービスです。
低リスクとして経過観察するのは、無料プランで利用されており業務データが含まれないサービス、利用者が1〜2名の限定的な利用です。
Step 4:ライセンスを最適化する
未使用ライセンスの回収
台帳の「契約ライセンス数」と「実際の利用者数」を比較し、差分がある場合はライセンスの回収を行います。
Microsoft 365の場合、Microsoft 365管理センターの「課金情報」→「ライセンス」から、各プランの割り当て済み/未割り当て数を確認できます。「使用状況レポート」から過去30日間のアクティビティがないユーザーを特定し、ライセンスの回収を検討してください。
Google Workspaceの場合、管理コンソールの「レポート」→「アプリレポート」→「アカウント」から、ユーザーごとの利用状況を確認できます。
プランのダウングレード
利用頻度の低いユーザーには、より安価なプランを割り当てることを検討します。
例えば、Microsoft 365 E5(月額約6,200円/ユーザー)を全社員に割り当てている企業で、E5の高度な機能(Power BI Pro、電話システム等)を実際に利用しているのが一部のユーザーだけなら、残りのユーザーをE3(月額約4,500円/ユーザー)やBusiness Premium(月額約2,750円/ユーザー)に変更することで、大幅なコスト削減が可能です。
重複SaaSの統合
同じ機能を持つSaaSが複数契約されている場合は、統合を検討します。典型的な重複パターンとして、Zoom+Teams(Web会議)、Box+SharePoint+Google Drive(ファイル共有)、Slack+Teams(チャット)、Trello+Planner+Asana(タスク管理)が挙げられます。
統合の判断基準は、既存の利用者数が多い方に寄せる、SSO対応・セキュリティ機能が充実している方を選ぶ、Microsoft 365/Google Workspaceに含まれる機能で代替できるならそちらを優先する、の3点です。
Step 5:棚卸しを定期化する
推奨サイクル
SaaS棚卸しは年1回では不十分です。以下のサイクルを推奨します。
月次では、退職者・異動者のアカウント棚卸しを実施します。人事異動リストとSaaSアカウントの突合を行い、不要アカウントを速やかに無効化します。
四半期では、ライセンス利用状況の確認を行います。未使用ライセンスの回収、プランの見直しを実施します。
年次(4月)では、全SaaSの棚卸しを実施します。シャドーITの発見、契約条件の見直し、翌年度のIT予算策定に反映します。
自動化のヒント
棚卸しの作業を省力化するため、以下の自動化を検討してください。
Entra IDの「アクセスレビュー」機能で、定期的にアプリケーションのアクセス権をレビュー対象者に確認させる仕組みを構築できます。退職者のアカウント無効化は、人事システムとEntra IDをAPI連携し、退職日に自動で無効化する仕組みが理想です。
コスト削減効果の目安
100名規模の企業でSaaS棚卸しを実施した場合の、典型的なコスト削減効果です。
未使用ライセンスの回収で月額5〜15万円、プランのダウングレードで月額3〜10万円、重複SaaSの統合で月額2〜5万円。合計で月額10〜30万円、年間120〜360万円のコスト削減が期待できます。
50名規模の企業でも、年間60〜180万円の削減効果が見込めます。
まとめ
SaaS棚卸しは、セキュリティリスクの低減とコスト削減を同時に実現できる、費用対効果の高い取り組みです。年度初めの今、まずはStep 1のSaaS洗い出しから着手してください。
情シス365では、SaaS棚卸しの実施支援からライセンス最適化の提案、シャドーIT対策の導入まで、一括で支援しています。お気軽にご相談ください。