近年、リモートワークの普及やDXの推進に伴い、企業におけるSaaSの利用が急速に増えています。
SaaSは、いつでもどこでも簡単に利用できる一方、IT部門が把握できていない部門利用のSaaSが乱立しがちです。
本ブログでは、企業におけるSaaS利用の現状と、必要な運用について解説します。
企業におけるSaaS利用数と把握状況
当社が従業員1,000名以上の企業のIT担当者向けに行った2023年のアンケート調査によると、52%の企業が30個以上のSaaSを利用している一方、半数以上の企業でIT部門が全てのSaaSを把握できていないという状況が明らかとなりました。
SaaSはいつでもどこでも利用できる一方、一般社員でもインターネットにアクセスできれば簡単に契約・利用開始できます。オンプレミスが主流だった時代であれば、社内の利用サービスはIT部門が導入に関与して把握しているケースが多かったですが、クラウドの利用が一般化した時代では、IT部門がまったく関与しないサービスの導入が増えています。その結果、未把握のSaaSの増加につながっています。
一方、近年、認証情報の窃取や設定不備による大規模な個人情報漏えい、機密データ流出などのインシデントが多発しています。被害額が数千万円に及ぶケースもあり、SaaS利用に伴うリスクも目に見えないところで拡大しています。
SaaS管理で重要なポイントとは
このような背景から、社内で利用されるSaaSの管理が求められるようになってきました。
SaaSの運用において重要となるポイントは以下の3つです。
- 一元的な台帳による管理
- 定期的な棚卸し
- 未把握のSaaS利用の特定
1. 一元的な台帳による管理
セキュリティ対策の第一歩は、「誰」が「何」を使っているかを把握することです。
特定のSaaSにおいて、脆弱性や第三者による攻撃が発生した際に、自社でも該当SaaSの利用があるかを確認し、迅速な対処が可能になります。
また、特定のユーザーが不正行為や、セキュリティインシデントを起こした際に、該当ユーザーがほかにどのようなSaaSを利用しているかをすぐに確認できます。
2. 定期的な棚卸し
正しい手順を踏んで利用開始されたSaaSであっても、退職ユーザーのアカウントが放置されていたり、プロジェクト終了後に、機密情報が格納されたSaaSの環境が削除されずに放置されていたりすることで、不正アクセスや情報流出のリスクが高まります。
このようなリスクを減らすために、台帳化されたSaaSの一覧に対して、定期的にサービスの利用状況や、アカウントの棚卸しを実施することが求められます。
3. 未把握のSaaS利用の特定
現場部門で新しいサービスを利用する際には、申請をさせた上でIT部門の審査を行っている企業は多いです。
しかし、ルールを知らなかったり、個人でサービスを勝手に契約したりなど、シャドーITを完全に防ぐことは難しいのが現状です。
シャドーITを可視化して、利用禁止や申請の徹底を促すことは、セキュリティポリシーに従ってSaaSを管理するにあたり必須となります。
SaaS管理における課題
しかし、SaaS管理においてこんな経験はないでしょうか?
「SaaSの台帳化をどこから手をつけていいか分からない」
「棚卸しの作業に時間がかかり、本来の業務に集中できない」
「知らないうちに使われているSaaSがあり、リスクが見えにくい」
以下は、SaaS管理を行う際に直面する課題ですが、多くのIT担当者を悩ませているのが現状です。
1. 台帳管理の煩雑さと手間
- Excel管理をしているが、共同編集によるデータ破損やマスター管理の手間がかかる
- ワークフローで申請された内容を転記する作業が煩雑で負荷が高い
2. 棚卸しの負荷の大きさ
- 台帳からデータを抽出して、手動で棚卸し依頼を行う必要があり、負担が大きい
- 進捗の確認や、実施の催促が大変
3. 未把握のSaaS利用調査の負担
- コーポレートカードの支払い明細から、SaaSの利用を特定しているが運用負荷が高い
- CASBなどのソリューションで通信のログからSaaS利用を判定したいが、コスト面や運用面で導入のハードルが高い
SaaS管理サービス導入による課題解決
当社では、これらの課題に対応するSaaS管理サービス「SaaSパトロール」を開発・提供しています。
SaaSパトロールは、SaaSの管理を効率化し、セキュリティリスクを低減するための多様な機能を搭載しています。
1. 専用のSaaS台帳
SaaS管理専用のシステム台帳をご用意。約200種類のプリセットから自社で利用中のSaaSを選択し、登録・管理することが可能です。
利用用途や利用期間などのサービスの管理項目は、企業ごとにカスタマイズ可能です。
SaaSの利用申請ワークフローも提供しており、IT部門の利用承認後は転記の手間なく、申請内容が自動的に台帳へ登録されます。
2. 棚卸し・削除漏れユーザー可視化
従業員情報連携により、各SaaSに存在する退職者などの削除漏れユーザーの可視化や、定期的な棚卸しをSaaSパトロールで実施できます。
IT管理者は、各事業部門でSaaSを管理している担当者へ棚卸し依頼を行えます。担当者はメールで通知を受け取り、SaaSパトロール上で棚卸しを実行することができます。
また、IT管理者は棚卸しの進捗状況の確認や実施の催促を行えます。
3. サービス可視化
SaaSの利用を簡単に可視化します。
SaaSを可視化するソリューションの導入時に必要となることが多い、一般ユーザーのPC端末への設定作業が不要で、簡単に導入できます。
SaaSの検知方式は2パターンあります。
メールスキャン方式(Microsoft 365 Exchange Online 対応)
会社アドレスで契約・登録したSaaSが検知可能です。通知メールのアドレスと件名の情報をもとにSaaS利用を特定し、一覧化
ログスキャン方式(LANSCOPE エンドポイントマネージャー オンプレミス版/SKYSEA Client View オンプレミス版対応)
資産管理ツールで収集しているWebアクセスログをもとに、高い精度でSaaS利用を特定し、一覧化
SaaSパトロールはこれらの機能により、SaaSの利用申請から台帳化、棚卸し、未把握のSaaS利用の特定までSaaS管理に必要な一連のプロセスを提供し、効率的なSaaS管理をご支援します。
まとめ
増え続けるサイバーリスクに対応するためには、SaaSの管理体制を整え、未把握のSaaSをなくすことが重要です。
SaaS利用を集約化して一元的に把握することで、適切なセキュリティ対策を行うことが可能となり、リスクを大幅に減らすことができます。
SaaS管理サービスの導入で運用を効率化し、安心してSaaSを活用できる環境づくりを進めてみませんか。
SaaS管理でお困りごとがありましたら、ぜひお気軽にお問い合わせください。
