自社の価値を高めるISMS認証取得ガイド|ISMS楽トル » ISMS構築におけるSaaSの有用性 » SaaSアカウント棚卸しの効率的なやり方とは?

SaaSアカウント棚卸しの効率的なやり方とは?

増え続けるSaaSアカウントに対し、手動管理はもはや限界を迎えています。退職者の放置アカウントや不要なライセンスコストは、セキュリティ上の脆弱性のみならず、経営を圧迫する大きなリスクです。

本記事では、そんなSaaSアカウントの棚卸しの効率的なやり方や対応しないリスク、具体的にどう解決すべきかのポイントを整理しています。

SaaSアカウントの棚卸しとは?放置するリスクを解説

そもそもSaaSアカウントの棚卸しとは、自社で契約・利用している各種クラウドサービスにおいて、誰にどのアカウント(利用権限)が発行されているかを正確に把握・整理する作業を指します。社内で発行されたすべてのIDを洗い出し、現在の組織図や従業員の在籍状況と詳細に照らし合わせることで、不要なアカウントや不適切な権限を排除していく作業です。

この確認を怠る行為は、企業にとって見過ごせない2つの大きなリスクを招く原因となり得るでしょう。

なぜSaaSアカウントの棚卸しが必要なのか?

近年、リモートワークの急速な普及やDX(デジタルトランスフォーメーション)の推進にともない、多くの企業が業務ごとに複数のSaaSを併用するようになりました。利便性が飛躍的に向上した一方で、誰がどのシステムをどの程度利用しているのかという実態が外部から見えにくく、不透明になりやすい傾向にあります。特に、各現場の部署や個人がシステム部門に報告せず独自の判断で契約・利用している「シャドーIT」と呼ばれるツールが社内に紛れ込んでいると、一元的な把握は困難です。

こうした状況下で定期的な棚卸しを行わなければ、使われていない不要なアクセス権がそのまま残り続け、企業のガバナンス体制は大きく揺らいでしまいます。ライセンスの現状を常に把握できる状態にし、健全で安全な利用環境を社内に維持し続けるためにも、定期的なチェック体制の構築が強く求められているのです。

アカウント放置による2つの大きなリスク

アカウントの管理体制が曖昧なまま運用の継続を許してしまうと、主に2つのリスクを招いてしまいます。セキュリティ面の深刻な脅威と、金銭的な損失という2つの観点からリスクを解説します。

セキュリティリスク(情報漏えいなど)

放置されたSaaSアカウントは、管理者の目が届かない「脆弱な侵入口」へと変わります。退職者や異動者のアカウント(ゴーストアカウント)が有効なまま残っていると、外部の攻撃者は、これを不正アクセスへの踏み台として簡単に悪用できます。また、権限が残ったままの元従業員による機密情報の持ち出しも防げません。

これらは単なる管理漏れではなく、組織全体の重大なセキュリティ事故に直結する危険な状態です。

無駄なコストの発生

退職者や業務変更で不要になったアカウントを放置することは、サービスを利用していないにもかかわらず、支払い続ける「無駄なコスト」に他なりません。SaaSは多くの場合、ユーザー数に応じた課金制を採用しているため、利用実態のない「休眠アカウント」は直接的な財務リスクです。一つ一つのライセンス料は少額でも、組織全体で積み重なれば年間で多額の損失を招きます。

手作業で行うSaaSアカウント棚卸しのやり方

SaaSアカウントの放置は、情報漏洩やコスト増の元凶です。ここからは、どのようなステップを踏んで確認作業を確実に進めるべきか、4つの工程を順に追っていきましょう。

1.社内の従業員台帳(マスターデータ)の最新化

最初のステップは、社内の最新の在籍状況を示す従業員台帳を最新の状態にアップデートすることです。

まずは、人事異動や退職者の情報を反映し、現在の「全従業員リスト」を作成します。次に、各従業員の部署や職位に基づき、本来利用すべきSaaSの権限を整理します。この際、例外的な兼務やプロジェクト用の個別権限も漏れなく追記することが重要です。この台帳が不正確だと後の照合作業が無意味になるため、常に最新の状態を維持するようにしましょう。

2.各SaaSの管理画面からのアカウントリストのエクスポート

各SaaSの管理画面から、現在登録されているアカウントデータを抽出します。具体的には、管理権限で各サービスへログインし、ユーザー管理メニューからCSV出力やエクスポートを実行します。この際、メールアドレス・氏名・ステータスの他、最終ログイン日を項目に含めるようにしましょう。

また、サービスごとにデータの形式が異なるため、一つの比較用シートに集約しやすいよう、共通のフォーマットで保存しておくことで、後の照合作業をスムーズに行えます。

3.従業員台帳とSaaSごとのアカウントリストの突合

準備した従業員台帳と、各SaaSから抽出したアカウントリストを細かく突き合わせる作業に入ります。台帳に載っていない退職者の名前がSaaS側に残っていないか、あるいは休職中のメンバーのアカウントが有効なままになっていないかを1件ずつ確認していきましょう。

また、異動によって現在の業務には不要となった古い権限がそのまま残っているパターンもここで厳密に検出します。最終ログイン日も併せて確認し、在職者であっても長期間利用がない場合は、回収対象としてフラグを立てます。ExcelのVLOOKUP関数などを活用して照合を進めるのが一般的な手法です。

4.不要なアカウントの削除・権限変更

突合の結果、特定された不要なアカウントに対し、各SaaSの管理画面で速やかに削除の手続きを行います。退職者のアカウントは、情報の持ち出しを防ぐため即座に削除または無効化し、アクセス権を完全に遮断します。

また、在職者でも利用実態がない場合は、ライセンスを回収するか、低コストな閲覧専用権限などへ変更を検討します。ただし、手作業では操作ミスが起こりやすいため、作業後に必ず「台帳と実際の有効数が一致しているか」を再確認し、対応履歴を記録に残すことが重要です。

Excel等での手作業管理が直面する限界

管理するSaaSが数個なら手作業も可能ですが、数十個を超えると限界が訪れます。Excel等での突合には膨大な時間がかかり、表記揺れ(姓名の全角半角、旧姓・新姓、アドレスの大文字小文字の違いなど)により同一人物を正しく紐付けられないミスが多発してしまうものです。その結果として「抜け漏れ」が発生し、重大なリスクを招きやすくなります。

また、Excel等での手作業管理は属人化しやすく、作業のたびに最新データの抽出が必要なため、リアルタイムの状況把握や変更履歴の追跡が困難になるという運用上の壁に直面します。

IDaaSやSaaS管理ツールを活用した棚卸しの効率化

手作業による管理が限界を迎えた時、その壁を打破する鍵は、IDaaSやSaaS管理ツールなどを活用したシステム連携による自動化・効率化です。SaaS管理ツールを活用し、人事システムや各SaaSとAPIで直接連携することで、アカウント情報の自動収集や突合が可能になります。これにより、手作業で発生していた膨大な工数や表記揺れによるミスを排除し、常に正確な利用状況をリアルタイムで把握できます。

管理ツールで一元管理するメリット

従業員データベースと各SaaSの情報を直接紐付けられることが、管理ツールによる一元管理の最大のメリットです。これにより、入退社や異動に合わせてアカウントの発行・削除を行う「プロビジョニング」を自動化でき、手作業での煩雑な管理画面操作や、Excelでの突合作業が不要になるため、棚卸し工数は劇的に削減されます。

さらに、手作業による「削除漏れ」や「設定ミス」という人的リスクを根本から排除し、効率性と強固なセキュリティを同時に実現できます。

利用状況の可視化によるコスト最適化

SaaS管理ツールを活用することで、ログイン履歴や利用状況をリアルタイムで可視化できます。これにより「ライセンスは割り当てられているが、数ヶ月間一度もログインしていないユーザー」や「安価なプランで十分なライトユーザー」の特定が可能に。また、勘や記憶に頼らず、客観的なデータに基づいて不要なライセンスを排除できるため、セキュリティを維持したまま、ITコストの最適化を確実に実現できます。

ISMSを意識するなら!ツールだけでは解決できない「ポリシー設計」

ISMS運用の本質は、単なるツールの導入ではなく「組織として何をどう守るか」という意思決定にあります。最新の管理ツールは作業を効率化しますが、どの情報に誰がアクセスすべきかという判断基準までは作ってくれません。そのため、ISMSを意識したセキュリティ管理には「ルール作り」が欠かせません。

「誰に何の権限を与えるか」はツールでは決められない

ツールは、設定されたルールに従い処理を実行しますが「誰に何の権限を与えるか」といったルールの妥当性までは判断できません。職種や役職に応じ「どの部署の誰に、どのSaaSの、どのレベルの権限を付与するのが適切か」といったポリシーの策定自体は人間の手で明確に策定する必要があります。

例えば、全社で使うチャットツールと、財務情報を扱う会計ソフトでは、アクセス権の厳格さが異なるのは当然です。この設計図にあたるポリシーが曖昧なままツールを動かしても、過剰な権限付与による情報漏えいリスクは解消されないまま残ってしまいます。システムの自動化を正しく機能させるためにも、前提となるルール設計が不可欠なのです。

ポリシー設計はISMSの知見を持つプロに頼るのも手

適切な権限付与のルール作りや、情報資産管理といったポリシー設計には、ISMS(情報セキュリティマネジメントシステム)の運用に長けた専門家の知見を借りるのが最善です。ツールは設定通りに動きますが、組織の業態やリスク許容度に応じたセキュリティの基準は、ISMSの客観的な枠組みへの深い理解が必要です。

ISMSの運用に長けたコンサルタントなら、複雑な組織構造に合わせた権限設計や、将来的な拡張性を見据えた資産管理体制の構築を支援できます。こうした専門家による精緻なポリシー設計を土台に据えることで、ツールの自動化機能は初めて最大限に発揮され、事故を起こさないガバナンスを実現できます。

関連ページ
目的別に選べる!
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】

ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。

コストを抑えて手間なく
「まず取得したい」
なら
ISOサポート
ISOサポート
※引用元:ISOサポート公式HP(引用元:https://www.iso-sp.co.jp/2700.html )
特徴
  • 専任不要&月額3.3万円の低コスト
    情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。
  • 中小企業向けフルアウトソーシング支援
    書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。
  • 維持運用しやすい実務重視の設計
    最小限の設計で、取得後も1名体制で継続しやすい。
公式サイトで
サービスの詳細を確認
電話で問い合わせる
複雑な組織や業種にも
柔軟に対応
してほしいなら
ISOプロ
ISOプロ
※引用元:ISOプロ公式HP(https://activation-service.jp/iso/lp/)
特徴
  • 現役審査員が直接サポート&訪問無制限
    複雑な多拠点対応も、現場に即した導入設計が可能。
  • 業種特化・6か月以内の取得も相談可
    業界特有の運用にも対応し、スピード重視の企業にもおすすめ。
  • ISO事務局も代行し全工程を一括支援
    社内対応の手間を減らし、効率・品質を向上。
公式サイトで
サービスの詳細を確認
電話で問い合わせる
中小企業で
運用負担を削減
したいなら
ワークストラスト
ワークストラスト
※引用元:ワークストラスト公式HP(https://www.workstrust.com/)
特徴
  • 書類作成の負担が少ない
    提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。
  • 取得時も取得後も運用の負担が少ない
    負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。
  •                          取得後は自社で維持、運用が可能
    必要最小限な運用が可能なため、自社だけでも準備が容易。
公式サイトで
サービスの詳細を確認
電話で問い合わせる