SaaS管理の課題8選|情シスが直面する問題と解決策【2026年版】
現在の状況をヒアリングし、最適な改善方法をご提案します。
.png)
自社で利用しているSaaSが何種類あるか、即答できる情シス担当者はどれくらいいるでしょうか。気づけば100種類を超えていた、という声は中堅企業でも珍しくなくなっています。
問題はその数だけではありません。情シスの担当者が2〜3名体制で、急増したSaaSを手動台帳とExcelで管理しようとしているケースが多く、「何のSaaSを何本使っているか把握できていない」という状態が常態化しています。この状態は、コスト浪費・セキュリティリスク・監査対応の困難という三つの問題を同時に引き起こします。
SaaSの普及は、業務の効率化と同時に、IT管理の構造を根底から変えました。以前であれば、社内のソフトウェア導入は情シスが一元的に関与する形が当たり前でした。しかしSaaSはクレジットカードとブラウザがあれば即日から利用を開始できるため、各部門が情シスを介さずに導入するケースが常態化しています。こうした変化が、管理の複雑さを一気に押し上げています。
SaaS管理の課題は個別の対処で解消できるものではなく、組織の規模や利用するSaaSの数が増えるほど複雑度が指数的に上がる構造的な問題です。課題の正体を理解することが、効果的な対策への第一歩になります。
SaaS管理における代表的な課題
SaaS管理の難しさは、SaaSの本数が増えるほど管理すべき変数が掛け算で増えていく点にあります。
SaaSが10種類のとき、管理対象は「10の契約・10のアカウント群・10のセキュリティ設定」です。これが100種類になると、管理対象は文字通り10倍ではなく、組み合わせの爆発が起きます。どのSaaSにどの従業員がアクセスできるかを手動で追うだけでも、100名規模の企業では数百〜数千のパターンを管理しなければなりません。
次の8つの課題は、独立して存在するものではありません。可視化不足が根本にあり、そこからコスト浪費・セキュリティリスク・工数増大が連鎖して発生する構造になっています。一つの課題に手を打っても、根本の可視化問題が解消されていなければ、別の課題がすぐに顕在化します。
課題1: SaaSの全体像が把握できない
情シスが最初に直面するのが、「社内でどのSaaSを使っているか分からない」という状況です。これが把握できていないと、以降のすべての管理業務が成り立ちません。
部門ごとに承認なくSaaSを導入するシャドーITは、現代企業でほぼ普遍的に発生しています。営業部門が商談管理ツールを、マーケティング部門がAI文章生成ツールを、人事部門が採用管理システムを、それぞれ情シスへの申請なしに契約するケースは珍しくありません。Cloudflareの調査では、従業員が実際に利用しているSaaSの数は、IT部門が把握している数の6倍以上に達するという結果が報告されています。
承認済みのSaaSと非承認のSaaSが社内に混在した状態では、セキュリティポリシーの適用範囲を特定できません。データをどのクラウドサービスに保存しているか、外部への情報漏洩リスクがどこに存在するかを把握できない状態は、セキュリティ上の根本的な問題です。
管理台帳が存在していても、それが常に最新の状態に保たれているケースは多くありません。担当者が手動でメンテナンスする台帳は、新しいSaaSの導入や利用停止のたびに更新が必要ですが、日常業務に追われる中でこの更新が後回しになり、台帳と実態がずれていきます。「台帳があるが、実態はよく分からない」という状況は、台帳がない状態と本質的には変わりません。
可視化ができていないことは、後述するすべての課題の起点になります。何があるかが分からなければ、コスト管理も権限管理も監査対応も、すべて部分的な対処にしかなりません。
課題2: ライセンス費用の無駄が発生する
SaaSの全体像を把握できないと、コスト管理も必然的に崩れます。
未使用アカウントへの課金継続は、SaaS管理の中でも特に金額インパクトが大きい問題です。退職者のアカウントが削除されずにライセンスを消費し続けるケース、繁忙期のために増やしたライセンスを閑散期に削減しないケース、部署の解散後も契約が残っているケースが、実際に多くの企業で起きています。SaaSのサブスクリプションは自動更新が基本のため、誰も気づかないまま課金が続く「惰性課金」が積み重なります。
類似機能を持つSaaSの重複導入も頻発します。プロジェクト管理ツール、コミュニケーションツール、ドキュメント管理ツールなど、同じカテゴリのSaaSが部門ごとに別々に契約されているケースでは、統合することで大幅なコスト削減が可能です。それぞれの契約を個別に見れば少額でも、全体を足し合わせると相当な金額になります。
コスト問題が深刻なのは、問題が発生してもなかなか表面化しないからです。月額数千円〜数万円のSaaSが数十種類積み重なる場合、全体のコストを俯瞰できる担当者がいなければ、無駄に気づく機会が生まれません。中堅企業では、SaaSコストが年間ITコストの30〜40%を占めるケースも報告されています。MerryBizは、SaaS管理の最適化を通じて年間約600万円のコスト削減を実現した事例として知られています。体系的なライセンスレビューがなければ、このような削減余地は見つけにくいものです。
課題3: 退職者のアカウントが残存する
退職した従業員のアカウントが各SaaSに残り続けることは、セキュリティリスクとして深刻な問題です。
手動管理の環境では、退職手続きと同時に全SaaSのアカウントを漏れなく削除するのは困難です。情シス担当者がリストを参照しながら一つひとつ削除作業を行う場合、100種類のSaaSを利用している企業では、一人の退職処理だけで膨大な工数がかかります。この対応を急いで行えば見落としが発生し、手を抜けば未削除アカウントが蓄積します。
SmartHRの調査では、58.0%の企業が退職者アカウントの不正利用を懸念しており、適切な管理ができていないと回答した企業が多数あることが報告されています。退職者が自分のアカウントで社内データにアクセスできてしまう状態は、情報漏洩・内部不正の直接的なリスクとなります。
「孤立アカウント(Orphaned Account)」とも呼ばれるこの問題は、利用しているSaaSの種類が多いほど見落としが増えます。特に問題なのが、SSOと連携していないSaaSです。シングルサインオン(SSO)でアカウント管理をしていても、SSOと連携していないSaaSのアカウントは別途削除が必要で、この「連携外」のSaaSが見落としの温床になります。オーファンドアカウントを体系的に検出・削除する仕組みがないと、リスクは静かに蓄積し続けます。
課題4: 権限管理が属人化する
誰がどのSaaSにどんな権限でアクセスできるかを一元的に把握している企業は、決して多くありません。
SaaSが少数の時代は、権限情報をExcelや個人のメモで管理していてもなんとかなりました。しかしSaaSの種類が増え、組織の人員が増えるにつれ、この属人的な管理方法は機能しなくなります。担当者が異動・退職すると、誰がどの権限を持っているかという情報が失われ、次の担当者は一から棚卸しを行う必要が生じます。
異動時の権限更新漏れも深刻な問題です。部署をまたいで異動した従業員が、前の部署で使っていたSaaSの管理者権限を持ったまま業務を続けているケースがあります。この「過剰権限」の状態は、万一その従業員が誤った操作をした場合や悪意のある行動を取った場合に、被害範囲を拡大させます。
さらに、長期間在籍している従業員では、担当業務の変化にともなって権限が積み重なっていくケースもあります。「部署を変わるたびに新しい権限が追加されていくが、古い権限は削除されない」という状態が続くと、特定の従業員が過剰な範囲のデータにアクセスできる状態が生まれます。このような権限の肥大化は、定期的な棚卸しがなければ気づかれないまま続きます。
「最小権限の原則(Principle of Least Privilege)」はゼロトラストセキュリティの基本概念ですが、属人的な権限管理が続く限り、この原則を組織全体で実装することは難しい状況です。
課題5: 入退社対応の工数が増大する
SaaSの種類が増えるほど、入退社時のアカウント操作にかかる工数も比例して増えます。
100名が入社するタイミングを想定すると、1人あたり平均5種類のSaaSのアカウント発行が必要だとすれば、それだけで500件の操作が発生します。SaaSの種類が多い企業では、1人あたりのアカウント数がさらに増えます。年度初めや年度末のような、入退社が集中する時期には、この業務だけで情シス担当者が数日を費やすケースがあります。
問題は工数だけではありません。対応が遅れると、新入社員が業務を開始するうえで必要なツールにアクセスできない状態が続き、生産性の損失に直結します。「入社したのにSlackもGmailも使えない」という状況は、新入社員の体験と組織の評判にも影響します。逆に退職時の対応が遅れると、先述のセキュリティリスクが生じます。繁忙期に集中する対応量の多さから、どうしても優先度の低い作業が後回しになりがちです。
入退社対応に時間を取られることで、情シスが本来注力すべき戦略的な業務が後回しになるという悪循環も起きています。毎年同じタイミングに同じ作業が繰り返され、担当者の負担感は高まる一方で、改善のための時間も確保できないという状況が続きます。SaaS管理の自動化が遅れている組織ほど、この悪循環にはまりやすい傾向があります。
課題6: セキュリティリスクが可視化されない
社内にどんなSaaSが存在するかが分からなければ、そのSaaSのセキュリティ評価もできません。
情シスが把握していない非承認SaaSがセキュリティ事故を起こした場合、その影響範囲を即座に特定することが困難です。侵害されたSaaSが社内のどのデータに接続していたかを追うだけでも、大きな工数がかかります。インシデント対応の遅れは被害を拡大させます。セキュリティ事故が発覚してから影響範囲を把握しようとしても、そもそも利用状況が把握できていなければ調査の起点すら見えません。
近年増加しているシャドーAIの問題も無視できません。ChatGPT or GeminiなどのAIツールを業務に使うことを、情シスに申請せず個人で始める従業員が増えています。社内の機密情報や顧客データをAIツールに入力している可能性があり、情シスが把握していないSaaSへのデータ流出は、情報漏洩事故として顕在化するリスクがあります。AIツールの急速な普及により、この問題は2026年現在、情シスが最も対応を急いでいる課題の一つになっています。
ゼロトラストセキュリティの実装においても、SaaSの全体像の把握は前提条件です。どのアプリケーションへのアクセスを制御すべきかを特定できなければ、ゼロトラストのポリシーを有効に機能させることはできません。全SaaSの把握なしにゼロトラストを目指しようとしても、管理外のSaaSが抜け穴として残り続けます。
課題7: J-SOXやISMS対応が困難になる
アクセス権の棚卸しと証跡の取得は、内部統制対応の核心的な作業です。しかし、SaaSが多数存在し権限管理が属人化している環境では、この作業が非効率になります。
J-SOX(日本版SOX法)では、ITに関わる内部統制として「アクセス管理の適切性」が評価されます。誰がどのシステムにアクセスできるかのリストを、監査時に提出できる形で整備・更新し続けなければなりません。Excelで管理している場合、最新の権限状況を一覧で提出するには、各SaaSの管理画面を開いて手動でデータを収集する作業が発生します。SaaSが100種類あれば、この作業だけで丸1〜2日を費やすこともあります。
ISMSの定期審査でも同様の状況が起きます。審査前になって慌ててアクセス権の棚卸しを行い、過去の操作ログをかき集める「監査前の総動員」は、多くの情シス担当者が経験していることです。本来であれば、日常的な管理の中で証跡が自動的に蓄積されていくことが理想です。この「日常運用の中での証跡蓄積」が実現できていないと、監査のたびに臨時対応が繰り返されます。
内部統制の観点で特に問題になるのが、アクセス権の「適時性」です。権限の変更・削除が適切なタイミングで実施されていることを証明するためには、変更の操作ログと承認記録が必要です。手動管理では、この記録が断片的に成り立ちます。
課題8: 情シスが管理業務に追われる
SaaS管理の問題の中で、最終的に最も広い影響を与えるのが、情シスの工数の問題です。
アカウント発行・削除、権限変更、ライセンス整理、監査対応——これらはすべて必要な業務ですが、その多くが本来は自動化できる反復作業です。ところが、ツールや仕組みが整っていない環境では、担当者が手を動かし続けなければならず、一人あたりの作業量は際限なく増えていきます。SaaSの増加にともない、この作業量は毎年右肩上がりになる傾向があります。
情シスが管理業務に追われる状態が続くと、セキュリティ強化・IT戦略の企画・DX推進といった戦略的な業務に割く時間がなくなります。IT部門の役割を「コストセンター」から「ビジネスイネーブラー」へと変えようという経営の期待に、現場が応えられなくなります。結果として、情シス担当者のモチベーション低下や離職につながるケースもあります。
少人数体制の情シス部門では、このような状況がより深刻になります。2〜3名で数百名の従業員の入退社対応・SaaS管理・セキュリティ対応・ヘルプデスク対応を兼務している場合、どれかが高負荷になれば他が圧迫されます。IT部門の生産性向上は経営課題として認識されるようになっており、情シスが反復作業から解放されることは、事業成長への貢献という観点でも重要なテーマです。
関連記事: IT内部統制とは|情シスが押さえるべき基本と実践
SaaS管理の課題を解決するアプローチ
SaaS管理の課題を個別に対処しようとすると、場当たり的な対応が続いて根本的な解決になりません。課題の根本にある三つの不足——可視化不足・自動化不足・ガバナンス不足——を順に解消するアプローチが有効です。
対処の優先順位は、影響の大きさと緊急度で判断します。セキュリティリスク(退職者アカウント残存・シャドーIT)が最も緊急度が高く、次にコスト(未使用ライセンス・重複契約)、そして情シスの業務効率化という順番が実務的です。この順番には理由があります。コストや工数の問題は徐々に最適化できますが、セキュリティリスクは顕在化した時点で深刻な損害が生じるためです。
ステップ1: 現状把握(SaaS棚卸し)
まず、社内で利用されているSaaSの全容を把握します。情シスが把握しているSaaSだけでなく、シャドーITとして運用されているものも含めて一覧化することが目標です。
把握の方法としては、社内アンケートによる申告収集、経費・クレジットカードの明細からの抽出、ネットワークログや認証サービスのアクセス記録の分析などがあります。手動での棚卸しは時間がかかりますが、まず現状を数値として把握しておくことが、改善の出発点になります。棚卸しの結果をもとに、「管理必要」「利用停止」「統合検討」の三つに分類して整理します。棚卸しを実施した企業が最初に驚くのは、想定よりもはるかに多くのSaaSが使われていたという事実です。
ステップ2: ポリシー整備
現状把握ができたら、SaaS導入・利用に関するルールを整備します。どのSaaSを承認済みツールとして使えるか、新規SaaSを導入する際の申請プロセスをどうするか、権限の付与と変更のルールをどう設計するかを文書化します。
ポリシーが存在しない状態では、担当者が変わるたびに管理の質が変動します。ポリシーを整備することで、管理業務を属人化から脱却させ、複数人での対応を可能にします。また、ポリシーが存在することで、部門からの無断導入に対してルールに基づいた対応ができるようになります。SaaS導入の申請フローを整備するだけでも、シャドーITの抑制に一定の効果があります。
ステップ3: ツール活用による自動化
ポリシーが整ったら、反復作業の自動化を進めます。入退社時のアカウント発行・削除、定期的なライセンスレビュー、アクセス権の棚卸しは、適切なツールを使えば大幅に効率化できます。
自動化の対象として優先度が高いのは、入退社対応です。手動対応の工数が最も集中するタイミングであり、ミスが発生した場合のリスクも高い領域です。SaaS管理ツールやSCIM連携を活用したプロビジョニング自動化が有効な手段になります。自動化が進むと、情シスは個別のアカウント操作から解放され、ポリシーの設計やセキュリティ評価といった上流業務に時間を割けるようになります。
ツール選定の際には、自社が利用しているSaaSとの連携数と、既存のHRシステムとの連携可否を確認することが重要です。連携数が少なければ、ツールを導入してもカバーできないSaaSの管理は引き続き手動で行うことになります。
JosysがSaaS管理課題を解決する方法
ジョーシスは、SaaSアプリケーション・デバイス・アクセス権限を一元管理するAI駆動型アイデンティティガバナンスプラットフォームです。国内外700社以上の企業が導入しており、350以上のアプリケーションと連携しています。先述した課題のそれぞれに対して、プラットフォーム上の具体的な機能で対応しています。
SaaS Discovery:全SaaSの自動検出と可視化
課題1「SaaSの全体像が把握できない」に直接対応するのが、SaaS Discoveryです。
従業員のSaaS利用状況をログインデータやブラウザ活動から自動で検出し、情シスが把握していないシャドーITを含めた全SaaS一覧を可視化します。手動での棚卸し作業を不要にし、常に最新の利用状況をダッシュボードで確認できる状態を維持します。未承認SaaSの発見と、そのリスク評価もプラットフォーム上で行えます。棚卸しのためにアンケートを配布したり、ネットワークログを手動で解析したりする作業から解放されます。
Access Automation:入退社の自動プロビジョニング
課題5「入退社対応の工数が増大する」と課題3「退職者のアカウントが残存する」を解消するのが、Access Automationです。
HRシステムや人事データと連携し、入社・退社・異動のイベントに応じて各SaaSのアカウント発行・削除・権限変更を自動で実行します。情シス担当者が一件一件手動で操作する必要がなくなり、対応漏れや遅延によるセキュリティリスクも排除できます。退職のイベントが登録された時点で自動的にアカウント削除が走るため、オーファンドアカウントの発生を防ぐことができます。Sales Markerは、ジョーシスの導入によってIT工数を約50%削減した事例として報告されています。
SaaS Insights:未使用ライセンスの自動検出
課題2「ライセンス費用の無駄が発生する」に対応するのが、SaaS Insightsです。
各SaaSの利用状況をリアルタイムで収集し、利用頻度の低いアカウントや未使用ライセンスを自動的に特定します。「どのアカウントを削除すれば月次コストがいくら下がるか」を具体的な数値で示すため、ライセンス最適化の判断が明確になります。定期的なライセンスレビューをプラットフォーム上で体系的に実施できるため、コスト削減の機会を見落としずに把握できます。MyBestは、SaaS管理コストを70%削減した事例として知られています。また、KCONは月40時間の工数削減を実現しています。
Access Reviews:J-SOX対応の定期アクセス棚卸し
課題7「J-SOXやISMS対応が困難になる」を解消するのが、Access Reviewsです。
アクセス権の定期的な棚卸し(レビュー)をプラットフォーム上で実施し、承認・却下の結果を証跡として保管します。監査時に必要な記録が自動で蓄積されるため、「監査前の総動員」が不要になります。内部統制の評価に必要なアクセス管理ドキュメントを、常にメンテナンスされた状態で保つことができます。レビューの対象者・承認者・実施日時が記録されるため、監査担当者への証跡提出もスムーズになります。
導入企業の成果
ジョーシスを導入した企業の実績として、以下の成果が報告されています。
IT工数を最大50%、ITコストを最大75%削減という実績は、SaaS管理を自動化することで得られる効果の規模感を示しています。SaaS管理ツールの導入効果は「工数削減」「コスト削減」「リスク低減」の三方向に現れますが、ジョーシスの事例ではいずれの観点でも具体的な数値として結果が出ています。
ジョーシスの詳細が気になる方は、まず資料請求や無料トライアルで自社の状況に当てはめてご確認ください。
ジョーシスの資料をダウンロードする
SaaS管理の課題解決に取り組みたい方向けに、ジョーシスの機能概要・導入事例・ROI試算の資料を無料で提供しています。
まとめ
SaaS管理の課題は、ツールの選定や手順書の整備といった個別対処では根本的に解消されません。SaaSが増え続ける以上、管理の複雑度は放置すれば自然に増加します。
この記事で取り上げた8つの課題は、独立して存在するのではなく、「SaaSの全体像が把握できていない」という根本的な問題から連鎖して発生しています。まず可視化に取り組むことで、コスト浪費・セキュリティリスク・工数増大という問題の全体像が初めて見えてきます。
重要なのは、この課題を構造的な問題として捉えることです。可視化できていなければ管理できない。管理できなければコストとリスクが増大し続ける。増大したコストとリスクが情シスの工数を圧迫する——この連鎖を断ち切るには、可視化→ガバナンス整備→自動化という順序で、体系的に取り組む必要があります。
SaaS管理の見直しを検討している方は、まず現状の棚卸しから着手することをお勧めします。利用中のSaaSの全容を把握するだけでも、改善の優先度と方向性が見えてきます。
over your identities, applications, and files?
Sign-up for a 14-day free trial and transform your IT operations.
Questions? Answers.
.png)
.avif)
ジョーシスとは
エンドツーエンドのアイデンティティ
IT 部門にとってガバナンスを簡単に実現
