SaaS導入時のセキュリティ評価チェックポイント ― 契約前に確認すべき10項目
「便利そうだから契約しよう」でSaaSを導入すると、後から「SSOに対応していなかった」「データが海外サーバーに保存されていた」「退会してもデータが削除されない」といった問題に気づくことになります。
契約前に確認すべき10項目
1. SSO連携(Entra ID / Google): SAML / OIDC でのSSO連携に対応しているか。SSOに対応していないSaaSは、退職者のアカウント停止がSaaSの管理画面からしか行えず、管理漏れの温床になる。
2. MFA対応: SaaS独自のMFA、またはSSO経由のMFAに対応しているか。
3. データの保存先(リージョン): データが日本国内に保存されるか。個人情報保護法やISMS、取引先の要件で国内保存が求められる場合がある。
4. 通信の暗号化: HTTPS(TLS 1.2以上)で通信が暗号化されているか。
5. 保管時の暗号化: 保存データがAES-256等で暗号化されているか。
6. 監査ログ: 管理者操作ログ、ユーザー操作ログ(誰がいつ何にアクセスしたか)が取得可能か。ログの保持期間は何日/何ヶ月か。
7. データエクスポート機能: 将来の乗り換えに備え、データをCSV/JSON等でエクスポートできるか。ベンダーロックインのリスクを評価。
8. セキュリティ認証: ISO 27001、SOC 2 Type II、ISMAP等のセキュリティ認証を取得しているか。
9. SLA(稼働率保証): 稼働率のSLAが明記されているか(99.9%以上が目安)。障害時の補償条件。
10. 退会時のデータ削除: 解約後にデータが完全に削除されるまでの期間と手順が明確か。
評価の進め方
→ SaaS導入・乗り換え比較テンプレート(Excel) を使えば、上記10項目を含む29項目で候補3社を横並び比較できます。
SaaS導入で「あとで困る」典型パターン
実際の中小企業で起きがちな失敗例:
パターン1:営業部門が独自にSlack有料版を契約 → 退職者削除が漏れる
- SSO非対応のスタンダードプランを契約していたため、退職時の停止漏れが発生
- 対策:すべてのSaaSをSSO(Entra ID / Google)配下に集約。SSO非対応のSaaSは原則禁止か、Business+/Enterpriseプランに変更
パターン2:海外ベンダーのSaaSを契約 → 取引先の個人情報を国外保存していた
- 取引先のISMS監査で「個人情報の海外保存」が指摘
- 対策:契約前にデータリージョンを確認。個人情報を扱うSaaSは日本国内データセンター保存を必須要件に
パターン3:解約後もデータが残っていてGDPR違反
- EU取引先のデータが解約後30日経っても削除されず指摘
- 対策:解約条項にデータ削除のSLA(30日以内、削除証明書発行)を明記
SaaS評価フロー(5ステップ)
| Step | 内容 | 担当 |
|---|---|---|
| 1 | 業務要件の整理(必須機能・予算・規模) | 利用部門 |
| 2 | セキュリティ評価(本記事10項目) | 情シス |
| 3 | 法務・契約レビュー | 法務/総務 |
| 4 | パイロット導入(2〜4週間) | 情シス+利用部門 |
| 5 | 本契約・SSO接続・運用ルール周知 | 情シス |
SSO/IDaaSの選定指針
SaaS数が10個を超えたら、IDaaSによる集中管理が必須です。
| 状況 | 推奨IDaaS | 月額目安 |
|---|---|---|
| M365 Business Premium 利用中 | Entra ID(含まれる) | 0円(既契約内) |
| M365 Business Standard以下 | Entra ID Premium P1追加 | 約900円/ユーザー |
| 多様なSaaS(50+)を統合 | Okta | 約1,500円/ユーザー |
| シンプルにSSOだけ欲しい | OneLogin / JumpCloud | 約500〜1,200円/ユーザー |
詳しい比較はIDaaS/SSO比較2026を参照。
SaaS過剰契約のチェックポイント
中小企業でよくある「気づけばSaaSが30個契約されていた」状態への対策:
- 月次でクレジットカード明細から SaaS 課金をリストアップ
- 各 SaaS の利用率(アクティブユーザー比率)を四半期で確認
- 利用率30%未満は契約見直し対象
- 機能重複(メモ系SaaS3つ等)の統合検討
詳しくはSaaSが多すぎて管理しきれない問題で。
関連サービス
- 情シス代行・外注 — SaaS棚卸し・契約管理込み
- Microsoft 365 ライセンス最適化 — M365含むSaaS全般のコスト最適化
- セキュリティ対策の外注 — シャドーIT対策込み
次に読みたい記事
まとめ
SaaSの導入判断は「機能」と「コスト」だけでなく「セキュリティ」の3軸で行ってください。特にSSO対応とデータエクスポートの2点は、後から取り返しがつかない項目です。SaaS数が10個を超えた段階でIDaaSによる集中管理を本格検討するのが定石です。
情シス365では、SaaSのセキュリティ評価・選定・棚卸し・乗り換えまで包括的に支援しています。60分の無料相談で現状診断をご活用ください。