ITデバイス&SaaS(Software as a Service)の統合管理クラウドを提供するジョーシスはこのほど、記者向けの勉強会を開き、現在の情報システム部門が抱えるSaaSの課題や実態を解説した。

勉強会に登壇したジョーシス VP of GTMの芹澤倫史氏は「業界や企業規模を問わず、SaaS管理の不行き届きは喫緊の課題だ。急増するSaaS利用が起因となり、情報漏えいとったさまざまな問題が浮上している」と警鐘を鳴らした。

  • ジョーシス VP of GTM 芹澤倫史氏

    ジョーシス VP of GTM 芹澤倫史氏

起こるべくして起こるSaaS起因の情報漏えい

国内企業によるSaaS利用は飛躍的に増大している。総務省によると2022年時点で企業のクラウドサービスの利用率は72%と5年間で25%増加した。SaaSは基幹システムと異なりエンドユーザー(部門・チーム・個人)主導で導入できる。また、管理運用も比較的容易で、テレワークにも最適といったメリットが多い。

ジョーシスがIT部門で働く全国1000人を対象に実施した調査結果によると、情報システム領域の責任者の55%が「(今後のアプリケーションを)SaaS中心にしていきたい」と回答している。

  • 情報システム領域の責任者の55%が「(今後のアプリケーションを)SaaS中心にしていきたい」と回答 出典:ジョーシス

    情報システム領域の責任者の55%が「(今後のアプリケーションを)SaaS中心にしていきたい」と回答 出典:ジョーシス

だが、SaaSの普及で利便性は高まった一方で、さまざまなリスクや課題も浮き彫りになっている。例えば、煩雑なID管理作業やヒューマンエラー、情報システム部門が把握していないSaaSを従業員が利用する「シャドーIT」といった負の要素が増加している。

前出の調査結果によると、8割を超える企業が「社員のSaaS利用状況を正しく把握できていない」と回答。退職者が「何のSaaSアカウントを持っているか」の最新情報がないため、アカウント削除漏れにつながっている。

  • 8割を超える企業が「社員のSaaS利用状況を正しく把握できていない」と回答 出典:ジョーシス

    8割を超える企業が「社員のSaaS利用状況を正しく把握できていない」と回答 出典:ジョーシス

また、認知していないSaaS(シャドーIT)の検知・対応ができているかという質問に対して「完璧にできている」と回答した企業はわずか2割弱だった。芹澤氏は「8割弱の企業でシャドーITのリスクがあるにもかかわらず、そのほとんどは対策を打てていない」との懸念を示した。

また、退職者が離職後もIDを使用し続けてしまうことで、営業情報や技術情報などが外部流出してしまう可能性もある。ジョーシスの調査では、74%の企業が「退職者のアカウント削除に抜け漏れがあるかもしれない」と回答しており、多くの企業が退職者による情報漏えい事故を発生させてしまうリスクを孕ませている。

  • 74%の企業が「退職者のアカウント削除に抜け漏れがあるかもしれない」と回答 出典:ジョーシス

    74%の企業が「退職者のアカウント削除に抜け漏れがあるかもしれない」と回答 出典:ジョーシス

実際にこうしたリスクが起こした事件も少なくない。芹澤氏は、2023年9月に報道されたSaaSからの情報漏えいで逮捕者が出た事件を紹介。建設業の人材派遣会社で起こった事件で、容疑者は、転職先へ前職の名刺情報管理システムから取引先などの情報提供を行っていた。

  • 2023年の検挙事例

    2023年の検挙事例

転職前の元同僚が、容疑者にシステムのIDとパスワードを不正に共有し、容疑者は営業先などの名刺データ数万件すべて閲覧可能な状態になっていたという。「3つの条件『動機』『機会』『正当性』がそろうと内部不正は起きやすい。この場合、動機となるのが『転職』だった。そして機会を作っているのが“SaaS化"だと考えられる」と、芹澤氏は解説した。

なぜ、SaaS管理は難しいのか?

芹澤氏によると、企業内に存在するSaaSは3つのカテゴリー「会社標準SaaS(全社利用)」「会社認知SaaS(部門利用SaaS)」「未認知SaaS(シャドーIT)」に分類できるという。

会社標準SaaSは、「Microsoft 365」や「Zoom」といった全社共通で利用するツールで、会社認知SaaSは「Sansan」や「GitHub」などの部門が個別のニーズを満たすために利用するツール。両者の明確な違いは、契約・管理主体がIT部門なのか否かだ。会社標準SaaSは基本的にIT部門が契約・管理するが、会社認知SaaSは各部門がIT部門に対して申請し。許可を得てから導入しているケースが多い。

そして、未認知SaaSは部門や個人がIT部門に申請をせずに利用しているツールのことで、「ChatGPT」や「Eight」などが挙げられる。

  • 企業内に存在する3つのSaaSカテゴリー

    企業内に存在する3つのSaaSカテゴリー

そして「管理」と一言で言っても、その意味の範囲は広い。芹澤氏は大きく分けて「アカウント管理(発行削除)」「権限管理」「認証連携」「設定管理/利用制御」「ライセンス管理/利用状況管理」の5つに分類した。

「誰が何を使える状態なのか」「誰がどの情報までアクセスできる状態なのか」「システムに入ろうとしているのが誰なのか」「正しい設定で利用されているか」「購入ライセンス数やユーザーの利用状況はどうなっているのか」といったことを、それぞれのSaaSで考える必要があるという。未認知SaaSに関しては、それらを管理することができないため、検知、可視化、利用背景の調査、そして利用禁止といった然るべき対応などが求められる。

  • 管理とは何をさすのか?

    管理とは何をさすのか?

芹澤氏は「会社標準SaaSで認証連携までしか対応できていない企業がほとんどだ。大企業であればあるほど、SaaSを管理できている企業は少ない」と説明した。

  • 芹澤氏によると、ほとんどの企業は「会社標準SaaSで認証連携」までしか対応できていないという

    芹澤氏によると、ほとんどの企業は「会社標準SaaSで認証連携」までしか対応できていないという

では、一体なぜSaaS管理は難しいのだろうか。芹澤氏によると大きく3つの理由があるという。

「まず考えられるのはSaaSの普及スピードが早すぎるということ。SaaSは業務部門主導で導入できるため普及するスピードが早く、部門管理SaaSは数百の規模で導入されているケースが多い。そして2つ目の理由はルールが十分に整備されていないこと。SaaSそのものに対するリスク認識や知識が欠如しており、そもそもIT部門がすべてを管理するリソースを持っていないことも問題だ。そして3つ目の理由は技術的な問題だ。SaaSごとに仕様がバラバラで、Microsoft Azure ADなどで一元化を試みるも難しいケースがほとんどだ」(芹澤氏)

そのうえで芹澤氏は「『誰が何を使っているか?』はSaaS管理の一丁目一番地だ。全社利用、部門利用問わず社内で使われているSaaSの利用状況をすべて把握することが必要。そこに行けばすべてがわかる『唯一の真実』(Single Source of Truth)と呼ばれる状態を作らないといけない」と提言した。

  • 『誰が何を使っているか?』はSaaS管理の一丁目一番地

    『誰が何を使っているか?』はSaaS管理の一丁目一番地