SaaSアプリケーションを業務に取り入れる企業が増える中、クラウド上のデータをどう守るかは情シス部門の最重要課題となっています。「SaaSはベンダーが管理してくれるから安全」という認識のまま運用を続けると、気づかぬうちにセキュリティ上の穴が広がりかねません。

本記事では、SaaSセキュリティの定義から責任分担の考え方、現場で起きやすいリスク、具体的な対策まで体系的に解説します。情シス担当者・IT部門マネージャーの方を想定した実務的な内容です。

SaaSセキュリティとは何か

SaaSセキュリティとは、クラウド上で提供されるSaaSアプリケーションに保存・処理されるデータを守り、不正アクセスや情報漏洩を防ぐための一連の取り組みを指します。具体的には、アクセス権限の管理、通信の暗号化、利用状況の監視、シャドーITの検出などが該当します。ベンダー任せで完結しない点がSaaSセキュリティの本質であり、ユーザー企業側にも果たすべき責任範囲があります。

SaaSにおけるセキュリティの責任分担

SaaSでは「責任共有モデル」が基本となります。ベンダーはサーバーインフラ、ネットワーク、OS、アプリケーション本体のセキュリティを担い、ユーザー企業が責任を持つのはデータと、アクセス権限の設定・管理です。「誰にどの権限を付与するか」「退職者のアカウントをいつ削除するか」といった判断は、すべてユーザー企業の側にあります。ここを曖昧にしたまま運用すると、ベンダー側の守りがいかに堅固でも、権限の不備や設定ミスから情報漏洩が起きます。

責任共有モデルを具体的に整理すると以下のようになります。

「SaaSはベンダーが管理してくれる」という認識は、インフラ層には当てはまっても、アクセス管理と設定管理の責任がユーザー企業にあることを見落とします。このギャップが、多くのSaaSセキュリティインシデントの根本原因になっています。

オンプレミスとの違い

オンプレミス環境では、ネットワーク境界を自社でコントロールできるため、内部と外部を明確に分けた防御が可能でした。SaaSはインターネット経由でアクセスするため、その境界が事実上存在しません。どのデバイスからでも、どのネットワークからでも接続できる利便性の裏に、認証の強化と権限管理の徹底が欠かせない現実があります。

オンプレミスとSaaSのセキュリティ管理の主な違いは以下のとおりです。

• 管理範囲: オンプレミスは社内システム全体を自社で管理できる。SaaSは管理できる範囲がアクセス管理・設定管理・データ管理に限定される
• 境界の概念: オンプレミスは物理的なネットワーク境界で守れる。SaaSはインターネット経由でアクセスするため境界が機能しない
• 可視性: オンプレミスは社内インフラを直接監視できる。SaaSはベンダーが提供するログ・監査機能の範囲内での可視性しか得られない

参考: SaaSセキュリティとは？知っておくべき利用時のリスクやセキュリティ対策を紹介｜freee IT 管理

SaaSセキュリティが重要視される背景

SaaSセキュリティへの注目が高まっているのは、利用するアプリケーション数の急増が背景にあります。管理対象が増えるほど、見落としが生じやすくなります。また、攻撃者のターゲットとしてSaaS上のデータが注目されるようになったことも、対策の重要性を高めています。

SaaS利用数の急増と管理の複雑化

2022年時点で、1社が平均130種類のSaaSを利用しており、前年比18%増のペースで増加しています。従業員数が500名を超える中堅企業では、部門ごとに異なるSaaSを導入しているケースも珍しくなく、情シスが全体を把握しきれない状況が生まれています。管理対象が増えるほど、権限設定の漏れ、未承認アプリの利用、退職者アカウントの放置といった問題が発生しやすくなります。

SaaSの利用数が多い組織では、以下のような管理上の問題が顕在化しています。

• 情シスが把握していないSaaSが部門ごとに独自導入されている
• 退職者のアカウントが削除されないまま残存している
• 管理者権限を持つアカウントが必要以上に多い
• 同じ目的で複数のSaaSが並行して使われている
• 契約更新のタイミングを把握できていないSaaSが存在する

これらは個別に対処するのではなく、IT資産管理の仕組みとして体系的に解決する必要があります。

クラウド環境特有のリスクの台頭

ランサムウェアによるデータ暗号化と窃取を組み合わせた二重脅迫が主流となり、SaaS上のデータも攻撃対象になっています。SaaS関連の情報漏洩インシデントは増加傾向にあり、1件あたりの平均被害額が数百万ドル規模に達するケースも報告されています。クラウド上のデータは一度流出すると取り戻しが困難なため、予防的な管理が求められます。

IPAが発表した「情報セキュリティ10大脅威2025」では、「クラウドサービスへの不正アクセスや設定ミス」が上位にランクインしています。SaaSは利便性が高い反面、設定ミスによる情報公開やアクセス権限の不備による侵害リスクが従来のオンプレミス環境より発生しやすい側面があります。

参考: 2025年のクラウドサービス（SaaS）セキュリティレポート | assured.jp

SaaSセキュリティの主なリスク

SaaSを業務利用する際に発生しやすいリスクは、大きく4種類に整理できます。いずれも技術的な対策だけでなく、運用プロセスの見直しが伴います。自社がどのリスクに対して脆弱かを把握することが、対策の優先順位づけにつながります。

不正アクセス・アカウント乗っ取り

フィッシング攻撃や認証情報の使い回しによって、正規アカウントが第三者に乗っ取られるケースが増えています。2025年11月には日本経済新聞社がSlackアカウントを侵害される被害を公表しており、従業員端末のマルウェア感染が起点でした。パスワードのみの認証では、認証情報が漏洩した時点でアクセスを防ぐ手立てがなくなります。

アカウント乗っ取りの主な手口は以下のとおりです。

• フィッシング攻撃: 偽のログイン画面に誘導してIDとパスワードを窃取する
• パスワードリスト攻撃: 他サービスから流出した認証情報を使い回す
• ブルートフォース攻撃: パスワードを総当たりで試行する
• マルウェア感染: 端末に仕込んだマルウェアでブラウザの認証情報を窃取する
• ソーシャルエンジニアリング: 人を欺いて認証情報を引き出す

多要素認証（MFA）の導入は、これらの多くに対して効果的な対策になります。認証情報が漏洩しても、MFAによる追加認証がなければ不正ログインを防げます。

シャドーITによるデータ流出

情シスの承認を得ずに従業員が導入・利用するSaaSをシャドーITと呼びます。セキュリティ評価の低いサービスが業務データを扱うリスクに加え、ベンダーの利用規約によっては入力データが機械学習の学習データとして利用される可能性もあります。Assuredの2025年調査では、基本的なセキュリティ対策が不十分なSaaSが約3割存在すると報告されています。

シャドーITが生じやすい背景として、「業務に必要な機能を承認済みツールが提供していない」「承認申請のプロセスが煩雑で時間がかかる」「無料で使い始められるSaaSが増えた」といった実態があります。禁止だけを徹底してもシャドーITは消えません。従業員が何を求めてシャドーITを使うのかを把握し、承認済みの代替手段を提供するアプローチが有効です。

過剰・放置アクセス権限

「とりあえず管理者権限を付与する」「前任者の設定のまま使い続ける」という慣行が、権限の肥大化を招きます。必要以上の権限を持つアカウントは、不正アクセスや内部不正が発生した際の被害範囲を広げます。定期的な権限棚卸しを実施しないまま放置されたアカウントは、見えないリスクを積み上げ続けます。

権限の肥大化は、異動や昇格のたびに新しい権限が付与され、古い権限が削除されないことで徐々に発生します。「権限が必要になったら付与する」だけで「不要になった権限を削除する」プロセスがなければ、時間とともに権限は際限なく広がっていきます。

退職者アカウントの残存

退職日当日にSaaSアカウントの削除が間に合わず、元従業員がログイン可能な状態が続くケースは、規模の大きな組織ほど頻繁に発生します。手動で各SaaSの管理画面を操作する方法では、SaaSの種類が多いほど対応漏れのリスクが高まります。退職者による意図的な情報持ち出しだけでなく、放置されたアカウントへの第三者からの不正アクセスも想定されます。

利用SaaSが50種類ある組織で退職者の対応を手動で行う場合、50か所の管理画面を操作する必要があります。この作業は時間がかかるだけでなく、見落としが発生しやすく、新しいSaaSが追加されるたびに対応の複雑さが増します。

参考: SaaSを利用する際のセキュリティリスクとできる対策｜CTC-SaaS

SaaSセキュリティの基本的な考え方

個別の対策を講じる前に、セキュリティ管理の設計思想を整えておくことが必要です。現代のSaaS環境では、3つの原則が土台となります。原則を理解せずに個別の対策ツールを積み上げると、体系性のないセキュリティ管理になりがちです。

最小権限の原則

業務に必要な最小限の権限だけを付与するという考え方です。「管理者権限は全員に付与しておいた方が便利」という発想は、被害が発生した際の影響範囲を最大化します。役割に応じた権限設計（ロールベースアクセス制御）を整備することで、権限の肥大化を構造的に防げます。入社時から退職時まで、権限が業務実態に即した状態を保ち続けることが目標です。

最小権限の原則を実践するための具体的な取り組みとして、以下が有効です。

• 新入社員の初期権限は最小限からスタートし、必要に応じて追加申請する
• 管理者権限は明確な業務上の理由がある場合のみ付与し、定期的に必要性を再確認する
• プロジェクト単位で付与した権限は、プロジェクト終了後に削除する
• 権限変更の申請・承認フローを整備し、承認なしの権限変更を禁止する

可視化と継続的監視

「どのSaaSを誰が使っているか」「どのアカウントが長期間ログインされていないか」を常時把握できる状態を作ることが、セキュリティ管理の出発点です。可視化なしには、問題の発見も対応も後手に回ります。利用状況のモニタリングと定期的な棚卸しを仕組みとして組み込むことで、異常を早期に検知できます。

可視化が不十分な状態では、「気づいたら退職者のアカウントが1年以上残っていた」「シャドーITが50種類以上存在していた」という状況が発生します。定期的な棚卸しと監査のサイクルを組み込むことが、可視化を維持するための基本的な仕組みです。

ゼロトラストアプローチ

「社内ネットワーク内にいるから安全」という前提を捨て、すべてのアクセスを検証する考え方です。SaaSはどこからでもアクセスできる性質上、ゼロトラストの考え方との親和性が高く、多要素認証や条件付きアクセスポリシーが実装の中心となります。

ゼロトラストの実装には、以下のような具体的な技術的施策が伴います。

• 全サービスへのMFA義務化
• デバイス認証（会社管理外のデバイスからのアクセスを制限）
• 条件付きアクセス（場所・時間・デバイス状態に基づくアクセス制御）
• 継続的な認証と行動ベースの異常検知

参考: SaaSセキュリティとは？ | チェック・ポイント・ソフトウェア

SaaSセキュリティ対策の5つの柱

基本的な考え方を踏まえた上で、情シス担当者が実際に取り組むべき対策を5つに整理します。優先度の高いものから段階的に整備していくのが現実的な進め方です。どの対策も「一度やれば終わり」ではなく、継続的に運用することで効果を発揮します。

アクセス権限管理（RBAC）

職種・役割・所属部署に応じてアクセス権限を定義し、入社・異動・退職のライフサイクルに合わせて権限を付与・変更・削除する仕組みを整えます。権限の設定をスプレッドシートで手動管理していると、SaaSが20〜30種類を超えた時点で対応漏れが常態化します。権限管理をシステム化することで、属人的な対応を排除できます。

RBACを設計する際は、社内の役割を洗い出すところから始めます。「正社員・派遣・業務委託」の雇用形態の違い、「部門・役職・プロジェクト」の組み合わせによって異なるアクセス要件を整理し、シンプルな対応表を作成します。完璧な設計を追求するより、まず主要な役割をカバーする設計から始め、実運用の中で調整していく方が現実的です。

多要素認証（MFA）の導入

パスワードに加えて、スマートフォンへのプッシュ通知や認証アプリのワンタイムパスワードを組み合わせた認証を全社で義務化します。MFAを導入するだけで、アカウント乗っ取りのリスクを大幅に低減できます。全従業員への展開が難しい場合は、管理者権限を持つアカウントから優先して適用するのが現実的です。

Microsoft社の研究によると、MFAを導入するだけでアカウント乗っ取り攻撃の99.9%を防げるとされています。費用対効果が高い対策であり、最優先で取り組む価値があります。

シャドーIT検出と棚卸し

ブラウザ拡張機能や社内ネットワークのログ解析によって、承認されていないSaaSの利用実態を定期的に把握します。検出された情報は「承認済み・評価中・未承認」の3ステータスで管理し、評価結果に応じた対応方針（承認/移行案内/禁止）を決定します。

シャドーITは禁止するだけでは消えません。なぜその従業員が未承認のツールを使うのかを理解し、公式承認するか代替手段を提供するかを判断するプロセスが必要です。従業員の業務上の課題に向き合う姿勢が、結果的にシャドーITの総量を減らすことにつながります。

退職者・異動者のアカウント即時停止

退職日当日に全SaaSのアクセス権を無効化できる体制を整えます。HRシステムと連携して退職情報を自動取得し、アカウント削除を一括実行できる仕組みがあれば、対応漏れは構造的に防げます。手動対応に頼っていると、SaaSが多いほどリスクが積み上がります。

退職者対応のチェックリストを整備し、対応完了を記録する習慣をつけることが、手動管理での現実的な対処法です。自動化ができていない場合でも、「誰が、いつ、どのサービスを削除したか」の記録を残すことで、事後確認と棚卸しが可能になります。

SaaS利用状況の定期監査

四半期ごとに全SaaSの利用状況を棚卸しし、長期未使用アカウント・重複アカウント・不審な操作ログを確認します。監査を定例化することで、問題の早期発見と是正がルーティン化されます。監査結果を経営陣・部門責任者と共有する仕組みは、組織的なセキュリティ文化の醸成にもつながります。

参考: SaaSのセキュリティリスクと対策7選 チェックリストで解説

SaaS管理ツールがセキュリティ強化に果たす役割

SaaSが10種類を超えてくると、各アプリケーションの管理画面を個別に操作する方法では対応が追いつかなくなります。SaaS管理ツールを活用することで、管理の負荷を下げながらセキュリティの水準を引き上げられます。ツールの導入は「楽をするための手段」ではなく、「人間の限界を補い、対応漏れを構造的に防ぐための仕組み」として位置づけます。

一元管理による可視化

SaaS管理ツールは、社内で利用されているSaaSのアカウント・権限・利用状況を単一のダッシュボードで把握できる環境を提供します。「誰がどのSaaSに何の権限でアクセスしているか」「長期間ログインされていないアカウントはどれか」といった情報を横断的に確認できるため、監査や棚卸しにかかる工数を大幅に削減できます。

可視化のダッシュボードは、定期報告資料の自動生成にも活用できます。経営層やコンプライアンス部門への報告に必要な情報をツールから直接エクスポートできると、報告資料作成の工数も削減できます。

自動化によるヒューマンエラー排除

入社・退職・異動といった人事イベントに連動して、アカウントの発行・権限変更・削除を自動実行できます。手作業で複数のSaaS管理画面を操作する場合と比べ、対応漏れや設定ミスのリスクを抑えられます。100種類以上のSaaSに対応した管理ツールであれば、対応範囲の広さ自体がセキュリティ強化に直結します。

自動化が特に効果を発揮するのは退職者対応です。退職日を設定しておくと、その日の指定時刻に全SaaSのアカウントが自動で無効化されます。情シス担当者の手作業と確認の負荷がなくなり、削除漏れが構造的に発生しなくなります。

参考: 基礎から理解するSaaSセキュリティガイド | josys.com

JosysによるSaaSセキュリティの実現

JosysはSaaSアクセス管理・権限棚卸し・シャドーIT検出を中核機能として持つSaaS管理プラットフォームです。情シス担当者が抱えるSaaSセキュリティ上の課題を、一元管理の仕組みで解決します。350種類以上のSaaSとのインテグレーションに対応しており、主要なビジネスSaaSのほとんどをカバーしています。

シャドーIT検出機能

Josysのブラウザ拡張機能と連携することで、従業員が使用しているSaaSを自動的に検出し、未承認のアプリケーションを可視化します。シャドーITの実態把握から評価・対応方針の決定まで、管理業務を体系的に進められます。定期的なヒアリングでは把握できなかった未承認SaaSをリアルタイムで発見できます。

権限棚卸しと自動プロビジョニング

入社・退職・異動の情報をHRシステムから連携し、対象SaaSのアカウント発行・権限変更・削除を自動実行します。350種類以上のSaaSとのインテグレーションに対応しており、対応漏れが発生しにくい体制を構築できます。権限の棚卸しも定期的に自動実施でき、過剰権限アカウントの検出と反映が効率化されます。

リアルタイム監視と監査ログ

SaaS上のユーザー行動をリアルタイムで監視し、不審なアクセスやリスクの高い操作を検知します。監査ログはJosysのダッシュボード上で一元的に閲覧でき、定期監査の証跡としても活用できます。コンプライアンス要件への対応において、監査ログの保存と出力機能は重要な要素となります。

SaaSセキュリティ リスク

IT資産管理とは

SaaSセキュリティにおいて情シスが見落としやすいポイント

SaaSセキュリティの整備を進める中で、情シス担当者が見落としやすいポイントがあります。対策の盲点を事前に把握しておくことで、整備の抜け漏れを防げます。

「設定したら終わり」という落とし穴

MFAを設定した、権限を見直した、退職者アカウントを削除した。これらの対策は「設定した時点」では有効でも、時間の経過とともに形骸化するリスクがあります。新しいSaaSが追加されるたびにMFAが設定されているか確認しなければ、設定対象のSaaSが増えても対策が追いつきません。権限も、異動のたびに放置されれば数年後には実態と大きくずれます。セキュリティ対策は「設定する」だけでなく「継続的に維持する」仕組みが不可欠です。

部門が導入するSaaSへの対応不足

情シスが管理しているSaaSだけを対象に対策を整備しても、部門が独自に導入したSaaSが対策の対象外になっていれば全体のセキュリティ水準は下がります。SaaS導入の申請・承認フローを整備し、情シスが関与しないまま新しいSaaSが使われ始める状態を防ぐことが重要です。承認フローが煩雑すぎると迂回が増えるため、申請から承認までを2〜3営業日以内で完結できる軽量なプロセス設計が求められます。

個人アカウントと法人アカウントの混在

従業員が個人のメールアドレスで契約したSaaSは、法人管理の範囲外になります。退職時に個人アカウントのSaaSへのアクセスを情シスが停止できない状況が生まれます。SaaSは法人のドメインメールアドレスで契約することを原則とし、個人アカウントによる業務SaaSの利用を禁止するポリシーを明文化しておくことが重要です。

外部ユーザー・業務委託先のアクセス管理

従業員だけでなく、業務委託先や協力会社のメンバーに付与したSaaSのアクセス権管理も見落とされやすいポイントです。契約終了後も業務委託先のメンバーのアカウントが残存するケースは、退職者アカウントと同様のリスクを持ちます。外部ユーザーのアカウントは、契約期間に連動した有効期限を設定し、期限到来時に自動で無効化する仕組みを整えることを推奨します。

参考: SaaSセキュリティとは？ | チェック・ポイント・ソフトウェア

SaaSセキュリティ対策の自己診断チェックリスト

自社のSaaSセキュリティの現状を把握するためのチェックリストです。対応できている項目に✓をつけながら確認してください。

棚卸し・可視化

• 社内で利用しているSaaSの全数を把握している
• シャドーITの検出プロセスが整備されている
• 四半期ごとのSaaS棚卸しを定例化している

アクセス管理

• 全SaaSにMFAを義務化している
• 役割に応じた権限設計（RBAC）を整備している
• 管理者権限を持つアカウントを最小限に絞っている

ライフサイクル管理

• 退職者のアカウントを退職日当日に全件削除できている
• 異動時の権限切り替えプロセスが明文化されている
• 業務委託先・外部ユーザーの権限管理ができている

監査・改善

• 定期的な権限棚卸しと監査を実施している
• SaaSベンダーのセキュリティ評価を導入時に実施している
• 監査結果を経営層・部門責任者と共有している

対応できていない項目が多いほど、管理の空白が大きい状態です。チェックできない項目から優先的に整備を進めることで、効率的にセキュリティ水準を高められます。

SaaSセキュリティ強化に向けた最初の一歩

SaaSセキュリティとは、クラウドサービス上のデータとアクセスを組織として責任を持って管理する継続的な取り組みです。ベンダー任せにできない責任共有モデルを理解した上で、最小権限の原則・可視化・継続的な監視という3つの軸を整備することが基本となります。

「完璧な体制を一度に構築する」よりも「最もリスクの高い部分から順番に整備する」アプローチが、限られたリソースで成果を出すための方法です。まず自社で利用しているSaaSの全数把握から始め、権限の棚卸しと退職者アカウントの確認を実施してください。

手動での管理に限界を感じている場合は、SaaS管理ツールの導入を検討する段階にあります。Josysでは、SaaSセキュリティ管理の課題解決に向けた詳細資料を無料でご提供しています。自社のSaaS管理体制を見直したい方は、以下よりご確認ください。

資料ダウンロード: Josys製品資料 - SaaSセキュリティ管理