バラバラなSaaSアカウントを一元管理！情シス担当が知っておくべきツールと設定法

情シスがSaaSアカウント管理で詰まる本当の理由

ここ数年で、企業のSaaS利用は一気に拡大しました。営業はCRM、マーケティングはMA、人事は労務SaaS、開発はソースコード管理と、あらゆる業務がクラウドサービスに分散しています。その一方で、SaaSアカウント管理だけは情シスに集約されている会社が多く、「申請と問い合わせだけがひたすら増えていく」という状況になりがちです。特に兼務情シスでは、インフラ管理やヘルプデスクと平行してSaaSアカウント管理を行うことになり、後回しになったタスクがどんどん積み上がっていきます。

根本的な問題は、SaaSアカウント管理を「サービスごとの設定作業」として捉えてしまっていることです。本来は、入社・異動・休職・退職といった人事イベントを起点に、「どのタイミングで、誰に、どのSaaSアカウントを、どんな権限で、どのように払い出すか／削除するか」を設計する必要があります。しかし、現場ではExcel台帳やメールだけでの連絡に頼り、「この人はどのSaaSアカウントを持っているのか」が一目で分からないケースが多く見られます。その結果、SaaSアカウント管理の確認に時間がかかり、退職者対応や棚卸しが遅れがちになります。

さらに、クレジットカード1枚で誰でも契約できる今、情シスの知らないSaaSが勝手に増えていくシャドーITも深刻です。現場が自分たちで試験導入したSaaSアカウント管理が、いつの間にか本番運用に組み込まれてしまい、アカウントや請求の所在が不明瞭になることも珍しくありません。情シスとしては、「すべてを禁止する」のではなく、SSO（シングルサインオン）やSCIM（ユーザー同期の標準仕様）、SaaSマネジメントツールを使いながら、見える化と統制を両立していくことが求められます。

つまり、SaaSアカウント管理がうまく回っていない背景には、「SaaSの増加スピード」と「人事・組織情報との連携不足」と「道具の不足」という3つの要因があります。この記事では、SaaSアカウント管理を一元管理するための考え方と、SSOやSCIMを活用した具体的な運用ステップを、情シス目線で整理していきます。

放置されたSaaSアカウント管理が生むコスト・セキュリティリスク

SaaSアカウント管理を「忙しいから」と後回しにすると、まず顕在化するのはコストのムダです。退職者のSaaSアカウントが削除されずに残っている、いつの間にか部門ごとに別IDで契約している、使われていないライセンスが大量に眠っている──こうした状況は、多くの企業で見られます。SaaSマネジメントツールの導入プロジェクトでは、「契約ライセンスの20〜30％が実質未使用だった」という結果もよく聞かれます。SaaSアカウント管理をきちんと行うだけで、毎月の固定費を数十万円単位で削減できる余地が隠れていることも珍しくありません。

次に深刻なのが、セキュリティと内部統制のリスクです。退職者のアカウントが残ったまま、SSOにも紐づいていない状態だと、ログインが続いていても情シス側で気づきにくくなります。また、パスワードを部署内で共有している「共有アカウント」は、誰がいつ何をしたのか追跡できず、万が一の情報漏えい時に原因究明ができません。SaaSアカウント管理をID単位で行わず、「メールアドレスさえログインできればOK」という運用にしてしまうと、監査に耐えられない状態になります。

SSOなしでサービスごとにパスワードを管理している場合、パスワード使い回しやMFA未設定も起こりがちです。1つのSaaSアカウント管理が突破されると、同じID・パスワードで他のサービスにも侵入されるリスクがあります。SSOを導入し、IdP側でMFAを必須とすることで、すべてのSaaSアカウント管理に一貫したセキュリティポリシーを適用できるようになります。また、SCIMを使って人事システムと連携すれば、退職者のアカウントを自動で無効化でき、「削除漏れ」のリスクも減らせます。

内部統制や監査の観点でも、SaaSアカウント管理の不備は大きな懸念になります。「誰がどのSaaSにアクセスできるのか」「特権管理者は何人いるのか」「四半期ごとの権限棚卸しをどう実施しているか」といった質問にすぐ答えられない場合、監査対応に膨大な時間がかかり、情シスが疲弊します。SSOと監査ログ、SCIMによるユーザー同期を組み合わせることで、SaaSアカウント管理の状態をレポートとして即座に出せるようになり、監査負荷を大きく削減できます。

一元管理の設計図：IDaaS・SSO・SCIMで「人を主語」にする

SaaSアカウント管理を本気で整えるなら、最初に見直すべきは「管理モデル」です。サービス単位ではなく、「人」を主語にしたモデルに整理し直します。具体的には、従業員IDを軸に「所属部署」「役割（ロール）」「雇用区分」「就業ステータス（在籍・出向・休職・退職予定など）」を紐づけ、その情報を元にSSO基盤（IDaaS）でグループやロールを作成します。そして、そのグループやロールを使って各SaaSアカウント管理の権限を割り当てることで、「この人にはこのロールだから、このSaaSにはこの権限」という対応関係をシンプルにします。

このとき鍵になるのがSCIMです。SCIMは「System for Cross-domain Identity Management」の略で、IdPとSaaS間でユーザーやグループ情報を同期する標準仕様です。人事システムやディレクトリをマスターにして、ステータスが「入社」になったタイミングでSaaSアカウント管理側のユーザーを自動作成し、「退職」で自動削除する、といったことが簡潔に実現できます。これにより、「人事から退職連絡メールが来て、情シスが各SaaS管理画面にログインして削除する」といった属人的な作業から解放されます。

SSOは、ユーザーにとっての利便性向上だけでなく、SaaSアカウント管理の統制にも大きく貢献します。SSOログインを前提にすることで、ユーザーは社内アカウントで一度ログインすれば様々なSaaSにシームレスにアクセスできるようになります。一方で情シスは、IdPの設定を変えるだけで、パスワードポリシーやMFA、IP制限などを一元的に適用できます。複数のIDaaS（SSO基盤）がありますが、どれを使うにしても、「人事システム・ディレクトリ → IDaaS → SSO → SCIM → 各SaaSアカウント管理」という全体フローを、一枚の図として描けることが重要です。

このような設計図を最初に作ることで、個々のSaaSアカウント管理の設定も「モデルに合わせて調整する」だけになり、設計思想がぶれずに済みます。

ツールと設定の実務：SSO・SCIM・SMPをどう入れて運用するか

設計図が描けたら、次は実際のツール選定と設定です。まずはSSO基盤（IDaaS）を整えます。既にActive DirectoryやAzure ADなどを使っている場合は、それをベースにしてSSOを拡張する形が一般的です。まだSaaSアカウント管理と連携していないSaaSが多い場合は、「全社で毎日使うサービス（グループウェア・ストレージなど）」「セキュリティリスクの高いサービス（CRM、開発系）」から優先してSSO対応を進めましょう。段階的に対象を広げることで、トラブル時の影響範囲を抑えつつ、ユーザー側の「パスワードが楽になった」というメリットも伝えやすくなります。

次にSCIMによる自動プロビジョニングです。SaaSアカウント管理では、「SCIM対応しているSaaS」から優先すると工数対効果が高くなります。たとえば、グループウェア・ファイル共有・コラボレーションツールなど、ユーザー数が多く退職時の削除漏れが発生しやすいサービスをSCIM連携しておけば、退職処理のミスを大幅に減らせます。設定としては、「人事システムのステータス」「組織情報」「ロール情報」をベースに、IDaaS側でユーザーとグループを作成し、その情報をSCIMで各SaaSアカウント管理に同期させる、という流れになります。

加えて、SaaSマネジメントプラットフォーム（SMP）を導入することで、SaaSアカウント管理の「見える化」が進みます。SMPは、SSOログや経費精算データ、メールドメインの情報などをもとに、社内で使われているSaaSを自動検出し、ライセンス数・利用状況・コストを一覧で把握できるようにするツールです。SMPでシャドーITや休眠アカウントを洗い出し、SSOとSCIMで制御されたSaaSアカウント管理の枠組みに順次取り込んでいく、という運用フローが現実的です。

こうした流れを踏むことで、SaaSアカウント管理は「個々のサービスごとに頑張って設定するもの」から、「設計図に沿ってIDaaS・SSO・SCIM・SMPを組み合わせて回す仕組み」へと進化していきます。

成功するSaaSアカウント管理のKPIと社内説明、ソフィエイトに相談できること

SaaSアカウント管理の取り組みを社内で継続的に進めるには、「ちゃんと効果が出ている」と示すことが重要です。そのためにおすすめなのが、いくつかのKPIを設定することです。たとえば、「休眠ライセンス削減額（月次・年間）」「退職から全SaaSアカウント削除完了までのリードタイム」「全ユーザーのうちSSO経由でログインしている割合」「人事イベントのうちSCIMで自動処理されている件数」「特権管理者アカウントの棚卸し完了率」などが挙げられます。これらの指標をダッシュボード化し、経営層や情報セキュリティ委員会に共有することで、SaaSアカウント管理の重要性を数字で伝えられます。

また、現場への説明も欠かせません。ユーザーにとっては、「色々うるさくなった」「ログイン方法が変わった」と感じられてしまうと、SSOやSaaSアカウント管理強化への抵抗が生まれます。そこで、「ログイン回数が減る」「パスワードを覚える必要が減る」「退職者による誤アクセスが防げる」「監査対応が楽になる」といった具体的なメリットを分かりやすく伝え、「情シスのため」ではなく「会社全体の安全性と生産性のため」の取り組みであることを繰り返し説明していくことが大切です。

SaaSアカウント管理は、一度完了すれば終わりではなく、SaaSの追加や組織変更とともに常に更新されていく領域です。とはいえ、最初の設計と仕組みづくりさえしっかり行えば、あとは運用の改善で済むようになります。情シス一人で抱え込まず、社内の関係部門や外部パートナーと連携しながら、少しずつ「ちゃんとしたSaaSアカウント管理」へ近づけていくことが、長期的にはもっとも楽な道になります。

まとめ

本記事では、情シスが抱えがちなSaaSアカウント管理の課題から、一元管理の設計図、SSO・SCIM・SaaSマネジメントツールを活用した実務的な進め方までを整理しました。ポイントは、「サービスごとの設定作業」から「人事イベントとIDを主語にした設計」へ発想を切り替えることです。そのうえで、IDaaSによるSSOを基盤に据え、SCIMでユーザー同期を自動化し、SMPでシャドーITや休眠ライセンスを見える化することで、SaaSアカウント管理のコスト削減とセキュリティ強化を同時に実現できます。

すべてを一度に完璧にする必要はありません。まずは主要SaaSの棚卸しから着手し、優先度の高いサービスにSSOを適用し、SCIM連携が可能なものから自動プロビジョニングを進めていく──そんな段階的なアプローチで十分です。KPIを定めて効果を可視化しつつ、社内への説明やルール整備を進めれば、情シス一人では難しかったSaaSアカウント管理も、組織全体の取り組みとして前に進めていけます。

もし「自社だけでは設計やツール選定が難しい」「既存のSaaSアカウント管理が複雑になりすぎて手が付けられない」と感じている場合は、ぜひ株式会社ソフィエイトにご相談ください。現場目線と技術的な視点を両立した支援で、御社のSaaSアカウント管理を、現実的かつ持続可能な形でアップデートするお手伝いをいたします。