昨今、生成AIの爆発的な普及により社内で活用されるSaaSの数は急増し、情報システム部門がその全てを把握・統制するのは極めて難しくなっている。また、見えないSaaSの増加、データの流れの変化など、リスクの質も大きく変化している。

3月18日に開催された「TECH+セミナー SaaS連携 2026 Mar. SaaS飽和時代の“統合による生産性向上” ツール導入のその先、連携を成果に変えるには? 」にエンジニアリングマネージメント 社長の久松剛氏が登壇。生成AI時代におけるSaaS管理の現実的な課題と、情シスがこれから考えるべき対応について解説した。

なぜ生成AIでSaaS管理は難しくなったのか

講演冒頭で久松氏は、社内で実際に動いているSaaSのうち、情報システム担当者が把握しているのはほんの一部でしかないと指摘した。現場で独自に導入したもの、無償枠であるため気軽にアカウントを登録してしまったもの、トライアルで登録したものなど、実際にはさまざまなSaaSが使われている。さらにインストール制限をすり抜けてしまうブラウザの拡張機能もあるし、導入後のアップデートで新規にAIに連携するSaaSもある。このように情シスには見えないSaaSがあるため、全てを統制することは難しい。

  • 情シスによるSaaS管理の難しさを問いかける久松氏

    情シスによるSaaS管理の難しさを問いかける久松氏

このような状況になった大きな理由の1つが、生成AIによる爆発的な拡散だ。メールアドレス1つでアカウントを簡単に登録できるようになった。また従来はトップダウンで使うSaaSが決められていたが、今は従業員が「これを使いたい」と先に使い始めるボトムアップ導入が急増している。こうした理由で、社内ではさまざまなSaaSが使われるようになった。

SaaSのAI統合でリスクはどう変わるのか

既存のSaaSにAIが統合されるなど、SaaSの進化によってデータの扱い方が変わってきている点にも注意が必要だ。例えばSlackやMicrosoft TeamsのようなコミュニケーションツールにAIが連携して自動的に応答するようになっていると、そこから機微な情報が拡散してしまうことも考えられる。サービス事業者にとっては、AIに対応していることがその企業の時価総額の向上につながるため、AI統合は今後も続くだろう。昨日まで安全であったツールが、AI統合により急に扱うデータの範囲が変わるという可能性も考えなければならない。また、利用規約は通知されないまま更新されていることがあるので、情シスは利用規約についてもつねに確認しておく必要がある。

景気動向やAI導入によるコスト増によって、サービスの価格も上がってきているほか、サービスが突然終了してしまう「サ終」のリスクも高まっている。ユーザーやデータの獲得が目的でM&Aが行われた場合には、サービスが同じように継続されないことも多いし、スタートアップ不況で事業が終了となる事例も増加見込みである。

「永続的に現状が続くサービス、現状の費用感のまま続くサービスはもはや存在しないと考えたほうがよいでしょう」(久松氏)

シャドーITはなぜ増えるのか、どう管理すべきか 

現場のスピード感も問題となることがある。これは生産性向上意欲の裏返しともいえることだが、新たな技術を試したい気持ちが先走って、稟議を待たずにシャドーITを使い始めることも考えられる。これは法務にとっても問題で、利用規約が改修されたときにいちいちチェックを受けていないことが多い。またAI導入のリスクについては、法務より情シスのほうが専門性が高いため、双方がすり合わせながらスピード感をもって対応する必要がある。

「導入時のチェックという点の管理から、継続的に監視をする線の管理へと変化しているのが現状です」(久松氏)

AI時代には、シャドーITのリスクの考え方も変わってくる。従来のシャドーITではローカルディスクやファイルサーバ、データセンターなど、データがどこに保管されているかが問題だった。しかし今は、サービスを通じてデータが第三者のAIに送られることもある。つまりデータがどこに流れているのかを意識しなければならない。

ブラウザの拡張機能とAPI連携も管理を難しくしている。URLフィルタリングがバイパスされる可能性があるし、IDやパスワードを使わないOAuth権限によって知らない間にデータアクセスが発生するリスクもある。どのSaaSがどこにつながっているかが見えにくくなっていることも、問題をより複雑にしている。

従業員が個人アカウントでサービスを利用するケースも増えている。無料枠で使用できるため会社に申請せずアカウントをつくることも多く、そこが法務やセキュリティのチェックを通らない裏口になってしまう。

会社で生成AIの利用が認められないため個人用PCでAIを使う場合は、そこに管理できないようなデータの流れが発生し、個人アカウントからデータが流出する可能性もある。さらに、退職時に個人アカウントにデータが残るという問題もある。こうなるとシャドーITや個人アカウントを厳しく制限したくなるところだが、久松氏は慎重な姿勢を示した。

「厳しすぎる制限は、さらなる“隠れIT”を生んでしまいます。全面禁止ではなく、安全な道を示すガイドラインをつくるべきです」(久松氏)

SaaSはAIに取って代わられるのか

昨今よく取り上げられる言葉に、「SaaS is dead」がある。ユーザーから見れば、インプットに対して望むようなアウトプットが得られるならSaaSでも生成AIでも構わないという考えから、性能向上を続ける生成AIがSaaSに取って代わるのではないかという言説だ。しかし久松氏は、「ここでいう“dead”は“黄金期の終わり”程度の意味。個々のサービス単位で見れば突然終了するものもあるため注意は必要だが、SaaSがなくなるということはない」と話す。

ではどんなSaaSが生き残るのか。チャットのように相互接続が必要なもの、会計、決済、権限などの監査対象になるもの、会計、法務、労務など深いドメイン知識が必要なもの、そしてセキュリティレベルが求められるもの。この4タイプが生き残ると同氏は予想する。

SaaSの出口戦略も重要だ。例えばサービスが急に終了する可能性を想定し、データロックインを避ける対策が必要だ。SaaSによってはダウンロード機能がなかったり、あっても高価だったりする場合がある。またAPI経由でのバックアップができないものもあるし、独自形式のファイルになってしまう場合もある。このSaaSがなくなったら何が起きるのかを考え、ダウンロードやAPIのテストはしておくべきだろう。また、例えば別のSaaSに置き換える、AIでつくる、といったプランBも検討しておくことが望ましい。

ただし、AIに置き換えるべきではないものもある。プログラムの停止とともに事業も停止する体制であれば、SaaSをAIに置き換えることはできないし、外部公開を伴うSaaSであれば、クオリティアシュアランスやセキュリティチェックがなければそのまま事業リスクとなってしまう。AIに渡す権限が多い場合は、重要ファイルの削除や情報漏えいの危険がある。さらに、思い入れがある担当者が一人で進めているような場合も、退職時に安定利用ができなくなる可能性があるため、AIへの置き換えは慎重に考えるべきだろう。

最後に久松氏は、情シスに求められる姿勢が「NOと言う門番」から「安全な道を舗装する人」へと変わってきていると話した。

「これからの情シスは、現場の自律的なツール活用を技術で支えることが役割になります。一律禁止ではなくガードレールを敷くという姿勢が求められるのです。ガイドラインは縛るのではなく守るものとし、現場の不満をより良いツールの選定に活かすというような、現場を味方につけるコミュニケーションも重要です。予算も降りやすいAIブームの今、情シスとしてのポジショニングをしましょう」(久松氏)