「また知らないSaaSが増えてる……」
ふとしたきっかけで経理部が「freee」を使い始め、営業部は「Salesforce」を独自契約し、マーケ部は「HubSpot」のトライアルのまま本番運用している。 情シス担当者のあなたは、いつの間にか増え続けるSaaSの全体像がまったく把握できなくなっている。 しかもどのツールにいくら払っているのか、誰が使っているのかさえわからない。 IDやパスワードの管理はどうなっているの?退職者のアカウントはちゃんと削除できてる?
この記事では「SaaSとは何か」という基礎から、情シス担当者が直面する「SaaS管理の実務」まで、現場で使える知識を丁寧に解説します。 SaaSの全体像を理解することで、管理の混乱から抜け出す糸口が見えてきます。
1. SaaSとは何か?ソフトウェアの「サービス化」を理解する
1-1. 厳密な定義:Software as a Service
SaaS(Software as a Service、読み方:サース)とは、ソフトウェアをインターネット経由でサービスとして提供するビジネスモデルおよび利用形態のことです。 従来のソフトウェアは、パッケージ(CD-ROMやDVD)やダウンロード版を購入してPCにインストールし、自分たちでバージョンアップやライセンス管理を行う「オンプレミス型」が主流でした。 SaaSはその逆で、ソフトウェアはクラウド上で稼働しており、ユーザーはWebブラウザを通じてアクセスするだけで使えます。 インストール不要、バージョンアップは自動、スマートフォンからでもアクセス可能というのが基本的な特徴です。 月額または年額のサブスクリプション(定額課金)方式が一般的で、ユーザー数や機能に応じてプランを選択できます。
1-2. ざっくり解説:SaaSは「買う車」より「借りるタクシー」
SaaSを理解するために「車の所有と利用」を例えにしましょう。
従来のソフトウェア(パッケージソフト)は「車を購入する」ようなものです。 一度買えば好きなように使えますが、購入費用が高く、メンテナンス(バージョンアップ・バグ修正)は自分でやるか専門業者に頼む必要があります。 壊れたら修理費がかかり、新しいモデルが出たらまた買い直しです。 社内サーバーにインストールするタイプのソフトウェアはこのイメージに近いです。
SaaSは「必要な時だけ使えるタクシー」のようなものです。 自分で車を所有しなくていい。ガソリン代も保険料も修理費も不要です。 使いたい時にアプリを開いて呼ぶだけ。料金は使った分(または月額定額)だけ払います。 常に最新の車(最新バージョン)が来ます。
企業でSaaSを使うことの最大のメリットは、「ITインフラの管理をベンダーに任せることで、本業に集中できる」点です。 メールサーバーの運用、ソフトのバージョン管理、バックアップ——これらをすべてSaaSベンダーに委ねることで、情シス担当者はより付加価値の高い業務に時間を使えるようになります。
1-3. 代表的なSaaS一覧:業務カテゴリ別の整理
現在ビジネスで広く使われているSaaSをカテゴリ別に整理します。 「コミュニケーション・グループウェア」:Microsoft 365、Google Workspace、Slack、Teams。 「顧客管理・営業支援(CRM/SFA)」:Salesforce、HubSpot、Zoho CRM、Sansan。 「会計・経費精算」:freee、マネーフォワードクラウド、Concur。 「人事・勤怠管理」:SmartHR、ジョブカン、KING OF TIME、カオナビ。 「プロジェクト管理」:Asana、Jira、Notion、Backlog、Trello。 「電子契約」:DocuSign、クラウドサイン、Adobe Sign。 「セキュリティ・ID管理」:Okta、Microsoft Entra ID(旧Azure AD)、1Password Team。 これら多種多様なSaaSが企業内で混在しているのが現代の情シスが直面している現実です。
2. SaaS管理の課題:「野良SaaS」と「シャドーIT」問題
2-1. 「野良SaaS」が引き起こす5つのリスク
情シスの許可なく部署単位・個人で導入されたSaaSを「野良SaaS」または「シャドーIT」と呼びます。 野良SaaSが引き起こすリスクは5つあります。 ①セキュリティリスク:会社の機密データが無審査のクラウドサービスに保存され、情報漏洩のリスクが生まれます。 ②コストの無駄:「3人しか使っていないのに10ライセンス分払っている」「同じ機能のツールを複数部署が別々に契約している」という重複・無駄が生まれます。 ③退職者アカウントの放置:人事・情シスが把握していないSaaSは、退職者のアカウント削除が漏れ、不正アクセスのリスクが残ります。 ④コンプライアンスリスク:個人情報保護法、GDPR等の規制対象データが適切な管理のないSaaSに入れられ、法令違反になる可能性があります。 ⑤業務継続リスク:担当者が退職したとき、「そのSaaSが何に使われていたか誰も知らない」という事態になります。
2-2. SaaS管理台帳(SaaS棚卸し)の作り方
野良SaaS問題の解決は「現状の把握」から始まります。 まず「SaaS管理台帳」を作成し、全社で使われているSaaSを洗い出しましょう。 台帳に記録すべき項目は以下の通りです。 ①サービス名、②ベンダー名、③用途・機能概要、④利用部署・利用者数、⑤契約形態(月額/年額)と費用、⑥契約者(社内の誰が契約しているか)、⑦管理者アカウント情報の保管場所、⑧契約更新日、⑨セキュリティ審査の実施状況。 洗い出し方法は、①全社員へのアンケート(「現在利用しているクラウドサービスをすべて申告してください」)、②経理部門への協力依頼(クレジットカードや経費精算からSaaS費用を抽出)、③ネットワーク機器のログ確認の3つを組み合わせると効果的です。
2-3. SaaS管理ツール(SaaS Management Platform)の活用
SaaSの数が増えてきたら、専用の管理ツール「SMP(SaaS Management Platform)」の導入を検討する価値があります。 SMPは、社内で使われているSaaSを自動検出し、利用状況・コスト・セキュリティリスクを一元管理するためのツールです。 代表的なSMPとして、「BetterCloud」「Torii」「Zluri」「ソフトウェア資産管理(SAM)ツール」などがあります。 国内向けには「メタップスクラウド」「SmartDB」「rakumo」なども管理機能を提供しています。 SMPを使うことで、「どの社員がどのSaaSにいくら使っているか」が可視化され、コスト最適化と退職者アカウントの自動削除連携などが実現できます。
3. SaaS導入審査と費用管理の実務
3-1. SaaS導入申請プロセスの整備:情シスが関与するための仕組み作り
野良SaaSを防ぐためには「SaaS導入申請プロセス」を制度として整備することが不可欠です。 「新しいSaaSを使いたい場合は、情シスに申請して審査を受ける」というルールを社内規定として明文化します。 審査のポイントは「セキュリティ(データはどこに保管されるか、暗号化されているか、SOC2やISO27001等の認証を持つか)」「プライバシー(個人情報はどう扱われるか、GDPRへの対応は)」「コスト(費用対効果はあるか、既存ツールと重複しないか)」「運用(管理者を誰が担うか、退職時の引き継ぎはどうするか)」です。 申請フォームと審査基準をNotion等のツールで整備し、「申請から承認まで1週間以内」というSLAを設けると、現場からの協力も得やすくなります。
3-2. SaaSのコスト最適化:払いすぎを削減する3ステップ
SaaSのコストを見直すことで、多くの企業が年間数十万〜数百万円の費用削減に成功しています。 ステップ1「利用状況の確認」:各SaaSの管理画面でアクティブユーザー数を確認します。契約ライセンス数より実際のアクティブユーザーが少ない場合は、ライセンスを減らせます。 ステップ2「重複サービスの統廃合」:同じ目的のツールが複数部署で別々に使われていないか確認します。ファイル共有だけでDropbox・OneDrive・Google Driveが混在しているケースは意外と多いです。 ステップ3「年払いへの切り替え」:月払いより年払いの方が割引率が高いSaaSが多いです。長期利用が確実なツールは年払いに切り替えることで20〜30%のコスト削減になることがあります。
3-3. SSO(シングルサインオン)で管理を劇的にシンプルにする
SaaSが増えると、ユーザーは「Salesforceのパスワード」「freeeのパスワード」「Slackのパスワード」……と大量のアカウントを管理しなければならなくなります。 これはセキュリティ上も(パスワードの使い回しが増える)、利便性上も(パスワードリセット依頼が情シスに集中する)問題です。 「SSO(シングルサインオン)」は、一度の認証で複数のサービスにアクセスできる仕組みです。 Microsoft Entra ID(旧Azure AD)やOkta、Google Workspaceを「IdP(Identity Provider)」として使い、対応するSaaSをすべてSSOでつなぐことで、ユーザーは1つのアカウントだけで全ツールにアクセスできます。 退職者のアカウントも「IdPのアカウントを無効化する」だけで、連携している全SaaSのアクセスを一括停止できます。 SaaS管理の工数を劇的に削減する最も効果的な施策がSSOの導入です。
4. SaaSセキュリティと契約管理の実務知識
4-1. SaaSのセキュリティ審査:チェックすべき7つのポイント
新しいSaaSを導入する際のセキュリティ審査では、以下の7つを確認します。 ①データの保管場所:日本国内なのか海外なのか(法規制対応の観点から重要)。 ②暗号化:転送中・保存中のデータが暗号化されているか(TLS・AES-256等)。 ③セキュリティ認証:SOC2 Type II、ISO27001、ISMSなどの認証取得状況。 ④アクセスログ:誰がいつ何にアクセスしたかのログが取れるか、どれくらい保管されるか。 ⑤多要素認証:MFAに対応しているか、強制化できるか。 ⑥バックアップ:データのバックアップ頻度と復元手順は明確か。 ⑦インシデント対応:セキュリティ事故発生時の通知義務(48時間以内等)と対応体制はどうなっているか。 この7点をベンダーの公開情報やホワイトペーパーで確認できない場合は、ベンダーに直接問い合わせるか、導入を見送る判断をしましょう。
4-2. SaaSの契約更新管理:自動更新の落とし穴
SaaSの多くは「自動更新(Auto-renewal)」が標準設定になっています。 「試しにトライアルを開始したらそのまま課金が始まっていた」「解約し忘れて1年分を支払う羽目になった」というトラブルは非常に多いです。 SaaS管理台帳に「契約更新日」を記録し、更新日の60〜90日前にリマインドアラートを設定することが基本的な対策です。 またSaaSによっては「年払い契約の途中解約では返金なし」という条件が付いているものもあります。 契約前に「解約条件」「返金ポリシー」「データのエクスポート方法(ベンダーロックインリスク)」を必ず確認してください。 特に大規模導入の前には、契約書を法務部門と一緒に確認することをおすすめします。
4-3. データポータビリティ:SaaSに縛られないためのデータ管理
SaaSに業務データを入れていくにつれて「もし提供が終了したら」「乗り換えたい時にデータを移せるか」という懸念が生まれます。 「ベンダーロックイン」とは、特定のSaaSへの依存度が高まり、他のサービスへの乗り換えが困難になる状態です。 この対策として「データポータビリティ(Data Portability)」の確認が重要です。 自社のデータをいつでもCSV・JSON等の標準形式でエクスポートできるか、APIでのデータ取得が可能かを事前に確認しましょう。 また定期的にデータをエクスポートしてバックアップする運用を組み込んでおくことで、万一のサービス終了にも慌てずに対応できます。 「出口戦略」を事前に考えることが、SaaS活用を長期的に安全にするための重要な習慣です。
5. SaaS活用の関連用語と将来展望
5-1. iPaaS:複数SaaS間の自動連携を実現する統合基盤
複数のSaaSを使い始めると「AのSaaSに入力したデータをBのSaaSに自動で同期したい」というニーズが生まれます。 この課題を解決するのが「iPaaS(Integration Platform as a Service)」です。 Zapier、Make(旧Integromat)、Microsoft Power Automate、MuleSoftなどが代表的なiPaaSです。 例えば「Google Formに回答があったら→Slackに通知して→Salesforceにリードを登録する」というワークフローを、プログラミングなしに構築できます。 API連携の知識がない現場担当者でもビジュアルな操作でSaaS間の自動化を実現できるため、「市民開発」と組み合わせてDXを加速する手段として注目されています。
5-2. AI機能を組み込んだSaaSの急速な進化
2023年以降、ほぼすべての主要SaaSがAI機能を積極的に組み込んでいます。 Microsoft 365にはCopilot(AI文章作成・会議要約)、SalesforceにはEinstein AI(営業予測・自動メール生成)、NotionにはNotion AI(文書生成・要約)が搭載されています。 これらのAI機能は「SaaSのサブスク料金に追加で月額数百〜数千円」で提供されることが多く、導入コストは低いです。 「会議の議事録を自動生成」「メールの下書きをAIが作成」「顧客データから次のアクションを提案」——これらが現実のものとなっています。 SaaSを評価・選定する際には「AI機能の有無と品質」が重要な評価基準になってきています。
5-3. SaaSガバナンスの将来:FinOps・SaaSOpsという新たな職能
SaaSの普及に伴い、企業内でのSaaS管理を専門的に担う「SaaSOps(SaaS Operations)」という職能が生まれつつあります。 ITコストをビジネス価値に結びつけて最適化する「FinOps(Financial Operations)」の考え方と組み合わせ、「SaaSにかける投資が適切なビジネス成果を生んでいるか」をデータで継続的に評価することが、これからの情シスに求められる役割です。 「SaaSを導入すること」から「SaaSを最適に管理し、ビジネス価値を最大化すること」へ——情シスの役割は確実に変化しています。 この変化をチャンスと捉え、SaaSガバナンスの専門家として価値を発揮してください。
まとめ:SaaSは「増やすこと」より「管理すること」が重要
「知らないSaaSが増えている」という状況は、情シスとしての管理不足ではなく、現代の組織が直面している普遍的な課題です。
まず今日できることは「自社で使われているSaaSを洗い出すアンケート」を社内に展開することです。 全貌が見えれば、次のステップは自ずと明らかになります。
SaaSを味方にするか、リスクにするかは、管理する側の知識と仕組み次第です。 この記事を読んだ今日が、SaaSガバナンスを始める最良のタイミングです。