SaaSスプロールによる無駄なコストとセキュリティリスクを減らすには

新たなシステムが必要になったとき、自社でシステムを開発するよりも「SaaS（Software as a Service）」を導入することが増えています。SaaSは会員登録するだけで速やかに導入できるだけでなく、コストを抑えられる可能性もあります。

このようなメリットがある一方で、似たようなサービスを複数契約してしまうと無駄なコストが発生し、セキュリティリスクも増えます。このような状況について、情報システム担当者が直面する課題とその対策を整理します。

contents ・SaaSスプロールとは
・情報システム担当者が取るべき対策
・定期的な見直しの実施
・まとめ

SaaSスプロールとは

組織内で適切に管理されていないSaaSアプリが増え、誰が何を使っているか、どのような機能が重複するのか、といった状況が不明瞭になった状態を「SaaSスプロール（SaaS sprawl）」といいます。

たとえば、Google WorkspaceとMicrosoft 365、サイボウズのようなグループウェア、LINEとSlack、Discordのようなチャット機能などが社内で共存しているという状況です。この原因として、以下のようなことが挙げられます。

・シャドーIT（現場がIT部門を介さずにSaaSを契約・利用する）
・部門単位での最適化志向（各部門が独自にツールを導入）
・権限管理やライセンス管理の不備
・組織合併・買収による重複サービスの発生

これらが重なると、同じ目的のツールが複数存在してしまい、データを効率よく管理できないだけでなく、支払いが重複することで無駄が発生します。管理者としても把握が困難になり、運用負荷が増えるだけでなく、セキュリティ上の問題が発生することもあります。

特に、個人情報や機密情報を扱う業務では、無秩序にSaaSを導入してしまうことにより、データ管理やガバナンスといった観点からも問題が発生します。

情報システム担当者が取るべき対策

SaaSスプロールの発生を予防するため、原則としては新しいSaaSを導入するときには「情報システム部門の承認を必須とする」といった対応が挙げられます。そして、契約や支払い時には総務部門や経理部門、法務部門などと連携し、支払いと契約条件などについて管理します。

導入後はシングルサインオンなどを含めてIDを管理し、人事異動や退職なども踏まえたアクセス権限の管理を徹底します。

理想的には上記のような対応ですが、現時点ですでにSaaSスプロールの状況が発生していた場合、まずは現状を把握しなければなりません。一般的なのは、従業員に対してアンケートやヒアリングを実施し、それぞれの部門でどのような業務ツールを使っているかを把握する方法です。

必要に応じて、資産管理ソフトなどを使用して、従業員が使用している端末に導入されているソフトウェアを把握する方法もあります。また、ネットワークの通信履歴を使う方法や、クレジットカードの履歴や請求書の支払い先などを把握する方法もあります。

参考

IT資産管理ツールSS1「ソフトウェア管理」機能

把握した結果は、サービス名や利用部門、利用目的、費用、契約形態、管理者、データの所在などを一覧として整理します。そのうえで、現場が運用しやすい形態（代替ツールの提示や導入支援）を考慮します。

定期的な見直しの実施

SaaSは導入して終わりではありません。運用を続ける中で、使っていない利用者が増えるだけでなく、新たに便利なサービスが登場することもあります。そこで、定期的な見直しを実施します。

このとき、手作業だけで管理するのは限界があるため、ツールを導入して可視化することも有効です。既存のIT資産管理（ITAM）ツールを活用し、定期的に棚卸しを実施するとともに、利用状況に応じた契約の変更を検討します。ライセンス数の変更、プランのダウンロード、解約などを実施することもあります。

参考

IT資産管理ツールSS1「SaaS管理」機能

企業の合併や部門の統廃合が発生したタイミングは、ツールの統合や見直しの絶好のタイミングです。時間が経つとどんどん増える無用なサービスを、定期的に見直すことで抑制できます。

ここで大事なのは、SaaSスプロールの原因の多くが現場にあることです。情報システム担当者がどれだけ頑張って管理しようとしても、現場が勝手に行動してしまうと防げません。現場のニーズを捉えて、現場が納得できる代替案やサポートを提供することも重要です。

たとえば、次のような内容を実施することが考えられます。

・現場が抱える悩みを聞く打ち合わせなどの場を定期に開催する
・既存ツールの使い方や活用方法をレクチャーして、代替可能かを検討する
・ガイドラインとFAQを整備して、気軽に申請できる体制を作る

まとめ

SaaSスプロールは、放置するとコスト面だけでなく運用効率やセキュリティ面でも悪影響を及ぼします。一気に解決することは難しいものですが、1つずつ段階的に進めることで、無駄な支出を削減でき、業務効率とセキュリティの両面を向上につながります。

業務とデータを守るガバナンスのハブとして、情報システム部門の役割の強化が求められています。

著者プロフィール
増井敏克氏

増井敏克氏（ますいとしかつ）
増井技術士事務所代表。技術士（情報工学部門）、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。

「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。

著書に『図解まるわかりセキュリティのしくみ』『図解まるわかりプログラミングのしくみ』『図解まるわかりアルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑［エンジニア編］』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』（以上、翔泳社）、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』（以上、ソシム）、『基礎からのプログラミングリテラシー』（技術評論社）、『RとPythonで学ぶ統計学入門』（オーム社）などがある。