SaaSを業務に活用している組織で「具体的に何から手をつければいいかわからない」と感じている情シス担当者は少なくありません。リスクの種類は把握できても、対策を体系的に整備する手順が見えていないことが課題になっています。

本記事では、SaaSセキュリティ対策を8つに分類し、それぞれの具体的な実施手順を解説します。優先度の高い順に整理しているので、今日から着手できる形で活用してください。情シス担当者・IT部門マネージャーの方に向けた内容です。

SaaSセキュリティ対策が必要な理由

SaaSセキュリティ対策が求められる背景には、SaaS利用の急拡大と管理体制の整備が追いついていない状況があります。リスクが顕在化してから対策を打つのでは遅く、事前の体制整備が不可欠です。個別の対策ツールを導入するよりも前に、自社のSaaS利用状況とリスクの所在を把握することが出発点になります。

SaaS利用環境の変化と管理上の課題

2022年時点で1社が平均130種類のSaaSを利用しており（前年比18%増）、SaaSの数が増えるほど管理の複雑さが増します。SaaSごとに管理画面・設定方法・権限体系が異なるため、手動管理では情報の一元把握が困難です。情シスが全体を把握できていない状態では、権限の放置・シャドーITの拡大・退職者アカウントの残存が静かに積み上がっていきます。

従業員500名を超える中堅企業では、部門ごとに異なるSaaSを独自導入しているケースが増えており、情シスが把握していない「シャドーIT」の存在が常態化しています。管理対象が見えていない状態では、いかに個別の対策を整えても全体のセキュリティ水準を担保できません。

対策を後回しにした場合のリスク

Assuredの2025年調査では、基本的なセキュリティ対策が不十分なSaaSが約3割存在するとされています。インシデントが発生した場合、直接の被害に加えて顧客への通知義務、規制当局への報告、業務停止対応といったコストが重なります。対策の整備が遅れるほど、リスクの露出期間が長くなります。

2024年に発生したKADOKAWAのランサムウェア被害では、約25万4,000人分の個人情報が流出し、主力Webサービスの長期停止を余儀なくされました。セキュリティ投資を行っている大企業でもこうした被害が発生しており、中堅・中小企業が「対岸の火事」と考えることは適切ではありません。

SaaSセキュリティ対策に取り組む前の確認事項

対策を始める前に、自社の現状として以下を確認しておくことを推奨します。

• 社内で利用しているSaaSの種類数を把握しているか
• 退職者のSaaSアカウントを全件削除できているか
• 全SaaSに対してMFAを義務化できているか
• 管理者権限を持つアカウントの数と正当性を確認しているか
• シャドーITの検出プロセスが整備されているか

把握できていない項目が多いほど、管理の空白が広い状態です。対策8つの実施状況と自社の現状を照らし合わせながら、優先順位を設定してください。

参考: 2025年のクラウドサービス（SaaS）セキュリティレポート | assured.jp

対策1｜SaaS利用状況の全数把握と棚卸し

すべてのSaaSセキュリティ対策は、自社で何のSaaSが使われているかを把握することから始まります。把握できていないSaaSを管理することはできません。まず棚卸しで現状を可視化し、そこから個別の対策に移行するのが最も効果的な順序です。

棚卸しの具体的な手順

SaaS棚卸しは以下の順序で進めます。

ステップ1：経費精算からの一覧化経費精算システムから月次のSaaS利用料を抽出し、契約済みSaaSの一覧を作成します。法人クレジットカードの明細も合わせて確認し、直接請求のSaaSを漏らさず捕捉します。

ステップ2：部門ヒアリング各部門の責任者にヒアリングシートを配布し、部門レベルでの利用実態を収集します。ヒアリングシートには「SaaS名・利用目的・契約形態（個人カード/法人）・月額費用概算・利用ユーザー数」を記入する形式が有効です。

ステップ3：情報の一元化と分類収集した情報を一元化し、SaaS名・契約者・利用部門・ユーザー数・契約形態（個人/法人）を整理します。情シスが把握していなかったSaaSを「シャドーIT候補」として分類し、対応方針を決めます。

ステップ4：定例棚卸しの仕組み化半年〜1年に一度の定例棚卸しをカレンダーに組み込みます。棚卸し結果は部門責任者への共有と承認を経て、管理台帳として維持します。

100名規模の企業でも、棚卸しを実施すると50〜100種類のSaaSが発見されることがあります。発見されたSaaSは「承認済み・評価中・未承認」の3ステータスで管理し、評価中・未承認のSaaSへの対応方針を順次決定します。

シャドーIT検出方法

ヒアリングだけでは捕捉しきれないシャドーITには、ブラウザ拡張機能を活用した自動検出や、社内プロキシのアクセスログ解析が有効です。ブラウザ拡張機能を従業員のPCに配布することで、会社管理外のSaaSへのアクセス状況をリアルタイムで把握できます。

検出されたシャドーITは一律禁止ではなく、セキュリティ評価の上で承認するか、公式ツールへの移行を案内するかを判断します。「なぜその従業員がそのツールを選んだか」を理解した上で対応することが、実態に合ったシャドーIT管理につながります。単に禁止するだけでは、別の未承認ツールへの移行が繰り返されます。

参考: SaaSを利用する際のセキュリティリスクと企業に求められる対策 | FGLテクノソリューションズ

対策2｜アクセス権限の適正化（RBAC導入）

アクセス権限の管理が属人的なままでは、SaaSの数が増えるにつれて権限の肥大化と放置が起きます。ロールベースアクセス制御（RBAC）を設計することで、権限を構造的に管理できます。権限管理の不備は、情報漏洩・内部不正・アカウント乗っ取り被害の拡大に直結するため、対策1の棚卸し完了後に最優先で取り組むべき施策です。

ロールベースアクセス制御の設計方法

RBACでは、職種・役割・部署に応じてアクセスできるSaaSと権限レベルを定義します。設計の手順は以下のとおりです。

1. 社内に存在する役割（営業・マーケティング・エンジニア・人事・経営など）を一覧化する
2. 各役割が業務で必須のSaaSとオプションのSaaSを分類する
3. 各SaaSでの権限レベル（管理者・編集・閲覧のみ）を3段階以上でグレード設定する
4. 最小限の権限から始める設計を基本とする

役割の変更（異動・昇格）が発生した際に権限を更新するトリガーと手順も事前に明文化しておきます。設計したロール定義をHRシステムの人事データと連携させることで、入社・異動・退職のタイミングで権限を自動的に更新できます。

最初から完璧なロール設計を目指すと整備が頓挫します。主要な役割5〜10種類からシンプルに始め、運用しながら調整するのが現実的な進め方です。

権限棚卸しの実施サイクル

RBACを設計しても、定期的な棚卸しを実施しなければ権限は実態とずれていきます。四半期ごとに以下の項目を確認し、必要に応じて修正します。

• 管理者権限を持つアカウントの正当性確認（管理者権限は最小人数に絞る）
• 90日以上ログインのない長期未使用アカウントの洗い出しと対応
• 異動後も元部署のSaaSへのアクセスが残存していないかの確認
• 業務実態に合わない権限（必要以上の権限、不要なSaaSへのアクセス）の修正

棚卸しの結果を担当マネージャーに確認させる承認フローを組み込むと、部門側のオーナーシップが醸成されます。「自部門の誰が何にアクセスできるか」の責任を情シスだけでなく各部門も持つ体制が、持続可能な権限管理につながります。

参考: SaaSのセキュリティリスクと対策7選 チェックリストで解説

対策3｜多要素認証（MFA）の全社展開

多要素認証（MFA）はアカウント乗っ取りに対する最も費用対効果の高い対策の一つです。パスワードのみの認証では、認証情報が漏洩した時点でアクセスを防ぐ手段がなくなります。フィッシング攻撃や認証情報のリスト型攻撃によるアカウント侵害は、MFAを導入するだけで大幅に低減できます。

MFAの種類と選び方

主なMFAの方式は以下の3種類です。

スマートフォンへのプッシュ通知Microsoft Authenticator・Duo Securityなどを使う方式です。最も導入しやすく、認証操作が直感的なため従業員への展開障壁が低くなります。

認証アプリのワンタイムパスワード（TOTP）Google Authenticatorなどを使うTOTP方式です。オフライン環境でも利用でき、プッシュ通知を使えない環境での代替として有効です。コストが低く、多くのSaaSでサポートされています。

ハードウェアセキュリティキーYubiKeyなどの物理デバイスを使う方式です。セキュリティ水準が最も高く、特権アカウントや機密システムへのアクセスに適しています。フィッシングに対しても耐性があります（FIDO2/WebAuthn対応）。

展開時の優先順位と注意点

全従業員への一括展開が難い場合は、以下の優先順位で段階的に適用します。

1. 管理者権限を持つアカウント: 最優先。侵害された場合の影響が最大
2. 機密データを扱うSaaSのユーザー: 顧客情報・財務情報・人事情報を扱う担当者
3. VPN・リモートアクセス: 外部公開されている認証ポイントはリスクが高い
4. 一般従業員: 段階的に全社展開を完了させる

スマートフォンを業務利用していない従業員への代替手段（ハードウェアトークン・SMS認証など）の提供も、事前に検討しておく必要があります。MFAの強制適用を一方的に行うと、従業員からの反発が生じやすいため、展開前に目的と操作方法の説明をセットで行うことを推奨します。

参考: 安全なSaaS利用のために注意したいセキュリティリスクと5つの対策方法 | インテック

対策4｜退職者・異動者のアカウント即時無効化

退職者のアカウント削除漏れは、情シス担当者が最も対応漏れを起こしやすいリスクの一つです。手動対応に頼っていると、SaaSの数が増えるほど確実性が下がります。退職者のアカウントが残存した状態では、元従業員による意図的な情報持ち出しのリスクに加え、外部の攻撃者が休眠アカウントを乗っ取って侵入する経路にもなります。

オフボーディングプロセスの設計

退職・異動が確定した時点で情シスへの通知が自動で届く仕組みを整えます。HRシステムと情シスの連絡フローを明確にし、退職確定時点で情シスが対象者のSaaS利用状況を把握できる体制を作ります。

オフボーディングのチェックリストには以下を含めます。

• 対象者が利用しているSaaSとシステムの完全なリスト
• 各サービスのアカウント削除担当者と期限
• 端末（PC・スマートフォン）の回収確認
• 社内メール・チャットツールのアクセス停止
• 共有フォルダ・クラウドストレージのアクセス権削除
• 会社所有のパスワードマネージャーからの除名
• 完了確認と記録

退職日の前日または当日に対象者の全SaaSアカウントを一括で無効化し、完了確認を記録として残します。異動の場合は、元の部署で使用していたSaaSのアクセス権を削除し、新部署用の権限を付与する切り替えを確実に実施します。

自動化による対応漏れの防止

HRシステムの退職情報と連携し、アカウント削除を自動実行できる仕組みを整えると担当者の手作業を排除できます。50種類のSaaSを手動で処理する場合、1名の退職処理に数時間かかることがあります。自動化を導入すると、処理時間の大幅な短縮と対応漏れリスクの低減を同時に実現できます。

自動化の仕組みがない場合でも、最低限のチェックリストと対応期限の設定だけで、対応漏れ率を下げられます。「SaaSのアカウントは退職日当日の17時までに全件削除する」という明確なルールと責任者の設定が、手動管理下での現実的な対策です。

参考: SaaSを利用する際のセキュリティリスクとできる対策｜CTC-SaaS

対策5｜SaaSセキュリティ監査の定例化

定期的な監査なしには、権限の実態把握もシャドーITの検出も後手に回ります。監査を年1〜2回の定例業務として組み込むことで、問題を早期に発見できます。監査が定例化されると、情シス担当者の「気づき」に頼った管理から、仕組みとしての管理への移行が実現します。

監査で確認すべき項目と頻度

監査の実施頻度は、企業規模とSaaS利用数に応じて調整します。SaaSが50種類以上ある環境では四半期ごと、10〜50種類程度であれば半年ごとが目安になります。

監査結果の記録と活用

監査結果は記録として保存し、前回との比較で改善・悪化の傾向を把握できるようにします。改善傾向にある項目（削除漏れ件数の減少・未使用ライセンスの削減額など）は、情シスの取り組み成果として経営陣・部門責任者への定期報告に組み込みます。

セキュリティ管理は「問題がなかった」という結果よりも「継続的に監視できている」というプロセスそのものが価値を持ちます。定期報告の場を設けることで、経営層のセキュリティ意識の醸成にもつながります。

参考: SaaS事業者が知っておくべきセキュリティチェックシート | 認証パートナー

対策6｜SaaSベンダーのセキュリティ評価

自社のセキュリティ対策を整えても、利用するSaaSベンダーのセキュリティ水準が低ければリスクを引き受けることになります。SaaS選定時のベンダー評価は、セキュリティ管理の一環として位置づけます。ベンダーがインシデントを起こすと、自社データが被害を受ける可能性があります。

導入前に確認すべきチェックポイント

新しいSaaSを導入する前に確認すべき項目は以下のとおりです。

セキュリティ認証・コンプライアンス

• ISO 27001・SOC 2 Type IIなどのセキュリティ認証の取得状況
• 個人情報保護関連法（GDPR・個人情報保護法）への対応

データ管理方針

• データの保存場所（国内/海外）と適用される法規制の確認
• 転送中・保存中のデータ暗号化の方式（AES-256など）
• データ削除・エクスポートポリシーの確認

インシデント対応

• 過去のセキュリティインシデント履歴と対応実績
• インシデント発生時のユーザー企業への通知体制と所要時間

事業継続性

• サービス可用性のSLA（99.9%以上が目安）
• バックアップ・災害復旧計画の存在

これらの項目を確認するセキュリティチェックシートをあらかじめ整備しておくと、評価の一貫性が保てます。新規SaaS導入の申請フローにチェックシートへの回答を組み込むことで、情シスによる承認前評価を標準化できます。

既存SaaSの継続的なリスク評価

導入済みのSaaSについても、ベンダーのセキュリティ体制を継続的に評価する仕組みが必要です。SaaSベンダーがセキュリティインシデントを起こした際に即座に把握できるよう、ベンダーからのセキュリティ通知メールを情シスが確実に受け取れる体制を整えます。

Assuredのようなクラウドサービス評価プラットフォームを活用することで、評価工数を削減しながら継続的なモニタリングが可能になります。年に一度のベンダー評価レビューを定例化することで、セキュリティ水準が低下したSaaSへの対応を早期に取れます。

参考: SaaSのセキュリティ評価 有効かつ低負担な進め方のコツ - UNITIS

対策7｜セキュリティポスチャ管理（SSPM）の活用

SaaSの設定ミスや不適切なセキュリティ構成を継続的に検知・修正する仕組みとして、SaaS Security Posture Management（SSPM）が注目されています。SaaSが増えるほど、個別の管理画面を一つひとつ確認することは現実的ではなくなります。SSPMはその非効率を解消するアプローチです。

SSPMとは何か

SSPMとは、利用するSaaSのセキュリティ設定状況を継続的に監視し、設定ミスや脆弱な構成を自動的に検出するソリューションのカテゴリーです。SaaSごとに推奨されるセキュリティ設定のベースラインと実際の設定を比較し、逸脱している箇所を特定します。

SSPMが解決する主な問題は以下のとおりです。

• SaaS管理画面を個別に確認する工数の問題
• 設定ミスの見落としによるリスクの放置
• セキュリティ設定の変更履歴が追えないという問題
• 複数のSaaSにまたがるセキュリティ状況の一元把握

個別のSaaS管理画面を確認する手間なく、セキュリティ設定の状態を一元的に把握できるため、少人数の情シス組織でも網羅的な管理が可能になります。

SSPMで自動化できること

SSPMが自動化する主な機能として、以下が挙げられます。

• MFAの有効化状況の確認: 未設定のアカウントをリストアップしアラート通知
• 外部共有設定の監視: 機密ファイルが社外に公開されていないかを自動確認
• ログイン失敗回数の閾値設定の確認: ブルートフォース攻撃への対策設定が有効か確認
• 不審なログイン試行の検知: 通常と異なる場所・時間帯からのアクセスをアラート
• 管理者権限の変更検知: 権限の不正変更をリアルタイムで把握

設定の逸脱を検知した際のアラート発報機能により、問題を早期に発見して修正できます。SSPMの導入により、セキュリティ設定の継続的な確認作業が自動化され、情シスの工数を大幅に削減できます。

参考: SaaS利用時のセキュリティリスクと対策｜日立ソリューションズ

対策8｜SaaS管理ツールによる一元化

SaaSが20種類を超えてくると、個別の管理画面を操作する方法では対応の限界に達します。SaaS管理ツールを導入することで、前述の対策を効率的かつ確実に実施できます。個別の対策を個別ツールで実施するのではなく、一元管理ツールで統合的に管理することで、情シスの運用負荷を最小化できます。

管理ツールが解決する課題

SaaS管理ツールが解決する主な課題は4点です。

全SaaSの利用状況の一元把握複数のSaaSにまたがったアカウント・権限・利用状況をダッシュボードで一元管理できます。各SaaSの管理画面を個別に確認する必要がなくなります。

アカウント管理の自動実行入社・退職・異動といった人事イベントと連動して、アカウントの発行・権限変更・削除を自動実行できます。人為的なミスが排除され、対応漏れリスクを大幅に低減できます。

シャドーITの継続的な検出ブラウザ拡張機能やAPIを通じて未承認SaaSを自動検出し、一覧化できます。定期ヒアリングだけでは捕捉できなかったSaaSをリアルタイムで把握できます。

定期棚卸しと監査の仕組み化権限棚卸しのスケジュール自動実行と、監査ログの自動記録により、定期業務として確実に実施できます。監査レポートの自動生成で報告業務の工数も削減できます。

JosysによるSaaSセキュリティ対策の実現

Josysは350種類以上のSaaSとのインテグレーションに対応したSaaS管理プラットフォームです。入社・退職・異動に連動したアカウント管理の自動実行、ブラウザ拡張機能によるシャドーIT検出、権限棚卸しの定期スケジュール実行などを一元管理できます。

情シス2〜3名体制の組織でも、Josysを活用することで網羅的なSaaSセキュリティ管理を実現できます。HRシステムとの連携により、退職者のアカウントを退職日に自動削除する仕組みを構築でき、手動での削除漏れを構造的に排除できます。

参考: 基礎から理解するSaaSセキュリティガイド | josys.com‍

参考SaaSセキュリティとはSaaSセキュリティ リスク

SaaSセキュリティ対策の優先順位の付け方

8つの対策を同時に整備することは現実的ではありません。まず自社の現状を棚卸しし、最もリスクが高い領域から着手することが重要です。

対策の優先順位と進め方

段階的に整備を進める場合の推奨優先順位は以下のとおりです。

フェーズ1（今すぐ着手）

• 対策1：SaaS利用状況の全数把握と棚卸し
• 対策4：退職者・異動者のアカウント即時無効化

全数把握なしには他の対策が機能せず、退職者アカウントの残存は発覚しにくいため早期対処が有効です。どちらもツール導入前に手作業でも開始できます。

フェーズ2（1〜3か月以内）

• 対策3：MFAの管理者への展開（優先）→全社展開
• 対策2：権限棚卸しとRBACの設計

フェーズ3（3〜6か月以内）

• 対策5：定期監査の仕組み化
• 対策6：SaaSベンダーのセキュリティ評価体制整備
• 対策8：SaaS管理ツールの導入検討・選定

フェーズ4（継続的な取り組み）

• 対策7：SSPMの活用

SaaS管理ツールを活用することで、フェーズ1〜3の複数の対策を同時に効率化できます。自社の現状と課題に合わせた導入計画の策定から始めてください。情シスのリソースが限られている場合ほど、ツールによる自動化の効果が大きくなります。

資料ダウンロード: Josys製品資料 - SaaSセキュリティ対策