業務のDX化とともに、1つの企業で利用するSaaSの数も増えている。SmartHRが2024年9月に実施したインターネット調査によると、従業員500名以上の企業では平均16.8個のSaaSを利用しており、その運用管理が情報システム部門の残業時間増加の一因となっているという。では、複数のSaaSを適切かつ効率良く管理するには、どうしたらよいのだろうか。

今回は、SmartHRの情シス領域でPMMを担当する古川和芳氏に複数のSaaSを管理するコツを伺った。

  • SmartHR プロダクトマーケティング本部 情シスプロダクトユニットの古川和芳氏

複数のSaaSを導入することで発生するリスク

SaaSを導入することで、効率化や生産性向上が期待できる。そこで、目的ごとにさまざまなSaaSを導入し、より多方面で効率化や生産性向上を目指す企業が多い。一方で、SaaS導入にはリスクもあり、とくに複数のSaaSを利用している場合、大きく分けて3つのリスクがあると古川氏は指摘する。

アカウント管理が甘く、情報漏えいする

1つ目のリスクは、アカウント管理が甘く、情報漏えいしてしまう可能性だ。それにはいくつかの原因がある。

そもそもSaaSを利用する際には、ID、パスワードの入力が必要だ。しかし、SaaSを利用するたびにID、パスワードを入力してログインするのが面倒だという人も多いだろう。古川氏によると、ID、パスワードを忘れてしまわないよう、あるいはすぐに入力できるよう、PCの周辺にID、パスワードを書いた付箋を貼る、紙の手帳にID、パスワードを書き込むといったアナログな管理方法を採っている人も一定数いるそうだ。このような管理方法では、情報漏えいのリスクがあることは明らかである。

「情報漏えいの原因として、従業員によるパスワードを記した付箋やメモの紛失があります。IDやパスワードの保管方法を間違えていると、リスクが大きくなるのです」(古川氏)

また、SaaSを導入する際、パスワードの設定を従業員に任せる企業も多い。パスワードは「記憶の要素を使った認証」であるため、設定を任された側は覚えやすいパスワードを設定してしまうことも容易に想像がつくだろう。例えば、「名前+数字」や「12345」、「password」などはよく使われているパスワードだという。思い出しやすい単語や数字をパスワードとして使うことには、どのようなリスクがあるのか。

同氏は「(サイバー攻撃をする)攻撃者側の手法を理解すると、このようなパスワード設定がいかに危ないかがよく分かる」と話す。その手法の1つが「ディクショナリーアタック」である。これは利用者の多いサービスを対象に、メールアドレスなどのIDと事前に用意した単語リストをパスワードとして入力し、ログインを試みる手法だ。この手法で攻撃された場合、前述のような安易なパスワードは容易に突破されてしまう。

さらに、あるSaaSで使用しているIDとパスワードを、他のSaaSでも使用している場合、何かのきっかけでID、パスワードが流出すると、社内で利用するその他のSaaSへの不正ログインも許してしまうことになる。

「現在はSNSで開示されている本名と社名からメールアドレスを予測することができてしまいます。そのうえで“当てはまりそう”なパスワードを試したら、さまざまなSaaSに簡単にログインできてしまうということが起こり得るのです」(古川氏)

情報漏えいのリスクは従業員の行動に起因するものだけではない。情報システム部門が留意すべきリスクでもあるのだ。前述のとおり、SaaSはID、パスワードが漏れただけで、容易に企業情報が流出してしまう。従業員自身のパスワード管理の甘さが情報漏えいを招くこともあるが、情報システム部門の管理不行き届きでも情報漏えいは発生し得る。

例えば、SaaSを利用する際、アカウント数の関係で部や課といった単位で共有アカウントを設定する場合もあるだろう。共有アカウントのID、パスワードをある従業員が手元でメモしていた場合、メモの存在を情報システム部門側で把握することは難しいうえ、その従業員は退職してもSaaSにアクセスすることが可能となってしまう。こうした事態を回避するには、頻繁にパスワード変更を実施する、そもそも共有アカウントを利用しないといった対策を講じなければならない。いずれにせよ、退職者がアクセスできないようにする仕組みが必要だ。

「情報漏えいと言うと、外部からのアクセスを防ぐことを意識しがちですが、実は内部からの漏えいのほうが圧倒的に多いという話もあります。キャリア形成のかたちとして転職をすることがスタンダードになった今、退職者のアカウント管理を徹底することが求められています」(古川氏)

アカウント消し忘れでコストがかさむ

2つ目のリスクはコストだ。アカウント数による課金制を採用するSaaSが多いことを考えると、不要なアカウントが削除されていない状態は、無駄なコストが発生していることと同等だ。上述した情報漏えいのリスクを回避するという意味でも、従業員の退職や部門の統廃合などで不要になったアカウントは即刻削除したい。とはいえ、「現実には利用するSaaSが増えれば増えるほど、アカウント管理は大変になる」と同氏は説明する。

問い合わせ対応で本来の業務ができない

3つ目のリスクはアカウントを管理する立場にある情報システム部門のヘルプデスクがひっ迫することだ。SaaSが増えると、管理すべきID、パスワードも増える。これに伴い増えるのが、情報システム部門への問い合わせだ。「パスワードが分からない」「ログインURLが分からない」「新しいアカウントを発行してほしい」……このような問い合わせをしたことがある人も多いだろう。

「利用するSaaSが1個、2個であれば、このような問い合わせに対応することもできるでしょうが、20、30となったとき、これら1つ1つに対応するためには多くのリソースが必要になります。問い合わせへの対応が既存の業務を圧迫する原因となり、本来やるべき業務ができないリスクになるのです」(古川氏)

複数のSaaSのアカウントをどう管理すべきか

では、複数のSaaSを利用する際、どのようなアカウント管理方法を採るべきなのか。古川氏は「どのような管理をしたいかから逆算し、管理方法を考えなければならない」と言う。その際ポイントとなるのが発行管理、削除管理、パスワード管理の3つだ。

発行管理のポイント

仮に、ある企業が10のSaaSを利用しているとしよう。毎月10名の中途入社社員がいれば、アカウントの新規発行数は100個。情報システム部門と受け入れ部署の間で「メールアドレスは正しいか」「どの権限が必要か」などを確認したうえで、手入力でアカウントを発行するのは、思いのほか手間と時間のかかる作業だ。

そこで同氏が提案するのが、それぞれのSaaSの利用者や権限の定義付けだ。このSaaSはどの部署が利用する、どの職種が利用する、この役職者にはここまでの権限を与えるといったことをあらかじめ定義しておけば、部門間のやり取りが減り、効率良くアカウントを発行できる。定義に準拠する部分は自動化のツールを活用することも可能だ。

削除管理のポイント

どのアカウントを削除するかについても、発行管理と同様に、アカウントがどういう状態になったら削除するのか、しないのかを定義付けておくことが肝要だ。とくに退職者の情報は「どうキャッチするのか、仕組みをつくっておくべき」だと同氏は話す。

「所属部署や人事への連絡、PCの返却などの仕組みはあっても、情報システム部門への退職連絡のオペレーションまで決めている企業は多くはありません。情報漏えいのリスクを軽減するためにも、退職者の情報を情報システム部門まで伝えるためのルール決めが必要です」(古川氏)

パスワード管理のポイント

パスワード管理のポイントとして同氏が挙げたのは、シングルサインオンツールの利用だ。シングルサインオンツールを用いることで、複数のSaaSの入口を1か所に集約することができる。システム部門側も、守るべき場所を1か所に限定することができ、多要素認証などとの併用によりさらにセキュリティを強化することにつながる。また、従業員が使う際にも、1か所のログインに限定することができるので、「パスワードが分からない」といった問い合わせやパスワード使い回しなどを減らせる。結果、セキュリティの向上と情報システム部門の負荷を減らすことの両立ができるのだ。

「従業員がログインを意識せずに全てのSaaSを使える環境を整えるべきでしょう」(古川氏)

複数のSaaSのアカウントを効率良く管理するためには?

古川氏は、複数のSaaSのアカウントを効率良く管理するための方法として、「人事データと連携させる管理を意識した業務設計をすべき」だとアドバイスした。この考えは「アカウントライフサイクル管理」とも呼ばれている。

重要なのは人にひもづくアカウント管理

企業にとって人事データ、つまり人にひもづくデータの起点は入社だ。情報システム部門は、新たなメンバーが入社したタイミングから、その情報を把握し、アカウントを発行・適切に管理する。そして退職、つまりアカウントを削除するところまでを、“人”単位で管理する必要がある。

だが、複数のSaaSを使用している場合、SaaSごとにIDやパスワードの設定ルールやデータの収集方法が異なり、“人”単位での管理が困難になることも考えられる。

そこで同氏が推奨するのが、一つをマスターデータとし、他のSaaSがそれを参照する仕組みの構築だ。このかたちであれば、マスターデータで新規作成、更新、削除を行えば、全てのSaaSにそのデータが反映される。

「データベースやデータウェアハウスのような、『ここを“正”とする場所』をつくると、非常に管理しやすくなります」(古川氏)

* * *

複数のSaaSを活用するのが当たり前になっている今、その恩恵を十分に享受するためにも適切な運用管理は必須となる。特に、ID/パスワードの管理については情報漏えいのリスクを低減する意味でも、真摯に向き合う必要がある。古川氏のアドバイスを参考に、改めて適切なSaaSの管理ができているか、考えてみてほしい。