SaaSの業務利用が広がる一方、「どのようなリスクがあるのか」を体系的に把握できている情シス担当者は多くありません。ベンダーが提供するセキュリティ機能を信頼しているうちに、アクセス権限の放置やシャドーITの拡大といった自社側の問題が積み上がっていきます。

本記事では、SaaSセキュリティリスクを7種類に分類し、それぞれのリスクが発生する構造的な理由と対策の方向性を解説します。SaaS管理の見直しを検討している情シス担当者・IT部門マネージャーの方に向けた内容です。

SaaSセキュリティリスクとは

SaaSセキュリティリスクとは、クラウド上で提供されるSaaSアプリケーションの利用に伴って発生する、データ漏洩・不正アクセス・コンプライアンス違反などの脅威を指します。オンプレミスと異なり、SaaSはインターネット経由でアクセスするため、従来のネットワーク境界による防御が通用しません。リスクの多くはベンダー側ではなく、ユーザー企業の設定・運用・管理体制の不備から発生します。

なぜSaaS特有のリスクが生まれるのか

SaaS利用では、アプリケーション本体のセキュリティはベンダーが担いますが、アクセス権限の設定・データの管理・ユーザーの行動管理はユーザー企業の責任領域です。2022年時点で1社が平均130種類のSaaSを利用しており（前年比18%増）、管理対象が増えるほど個別管理が破綻しやすくなります。SaaSごとに管理画面・設定方法・権限体系が異なるため、横断的な一元管理なしには見落としが生まれます。

この「責任共有モデル」の理解不足が、多くのインシデントの根本にあります。ベンダーはインフラの可用性とアプリケーション本体のセキュリティを担いますが、アカウントの管理・権限設定・データの取り扱い・アクセス制御はユーザー企業の責任です。ベンダーを信頼しているからといって、ユーザー企業側の管理が不要になるわけではありません。

リスクが顕在化した際の影響範囲

SaaS関連の情報漏洩インシデントは、1件あたりの平均被害額が数百万ドル規模に達するケースも報告されています。直接的な金銭被害にとどまらず、顧客データ流出による信頼失墜、規制当局への報告義務、復旧対応コスト、業務停止リスクまで波及します。SaaSは業務の中枢を担うアプリケーションが多いため、一度インシデントが発生すると組織全体への影響が広がります。

サイバーセキュリティクラウドの調査によると、2025年に国内で公表されたセキュリティインシデントは約3,000件超となり、前年比で大幅に増加しています。インシデントの原因の最多は不正アクセスで、その多くがSaaSへの不適切なアクセス管理や認証情報の流出に関連しています。SaaSセキュリティへの投資は、事業継続リスクへの対処として経営判断の問題になってきています。

SaaSリスクの全体像と管理の考え方

SaaSのリスクを整理すると、「見えていないリスク（シャドーIT・未把握のアカウント）」と「見えているが管理できていないリスク（権限管理の破綻・退職者アカウントの放置）」の2種類に大別されます。まず見えていないリスクを可視化し、次に管理できていないリスクを体系的に整備するという順序で対処することが、現実的なアプローチです。

参考: 2025年のクラウドサービス（SaaS）セキュリティレポート | assured.jp

リスク1｜シャドーITによるデータ漏洩

シャドーITはSaaSセキュリティリスクの中でも検知が困難で、発覚するまでの期間が長くなりやすいリスクです。情シスが把握していない状態で業務データが流出している可能性があります。Assuredの調査によると、65.6%の企業でシャドーIT対策が実施されていないとされており、多くの組織で潜在リスクが放置されています。

シャドーITが発生する構造的な理由

情シスの承認プロセスに時間がかるとき、あるいは申請ルートが不明確なとき、従業員は業務効率を上げるために自分でSaaSを契約します。悪意のある行為ではなく、業務上の課題を解決しようとした結果として生まれるケースがほとんどです。生成AIツールの普及により、個人契約で利用できる高機能なSaaSが増えたことも、シャドーITの発生を加速しています。

従業員数1,000名以上の大手企業では、52.3%が100種類以上のクラウドサービスを利用しており、うち情シスが把握できていないものが一定数含まれていると考えられます。クレジットカード1枚あれば即日利用を開始できるSaaSが増えた現在、承認プロセスがシャドーITの抑止力として機能しにくくなっています。

シャドーITの問題は、リスクを知らずに使い始めることにあります。従業員はセキュリティ評価を行うことなく便利なツールを選び、業務データを入力します。その結果、情シスが管理できない場所に企業の重要データが分散していく状況が生まれます。

承認外SaaSが引き起こす具体的なリスク

セキュリティ評価の低いSaaSに業務データを入力することで、データが適切に保護されないリスクが生じます。Assuredの2025年調査では、基本的なセキュリティ対策が不十分なSaaSが約27.4%存在するとされています。また、生成AIサービスの利用規約によっては入力データがモデルの学習に使用される場合があり、機密情報や個人情報が外部に流出する経路となります。

具体的なリスクシナリオとして、従業員が無料の翻訳サービスに社内の機密文書を貼り付けてしまうケース、個人のファイル共有サービスに業務ファイルを保存して退職時にアクセス権が残るケースなどが挙げられます。いずれも悪意のない行為ですが、企業としてのセキュリティリスクは同等に深刻です。

シャドーITへの対処方法として、まず利用状況の可視化が先決です。プロキシログやCASBを活用して社内からのSaaSアクセスを把握し、未承認サービスの使用状況を定期的に確認します。発見後は「すべて禁止」ではなく「業務上必要なものは正式申請で管理下に置く」という対応が現実的で、従業員の反発も少なくなります。

参考: 不安なくSaaSを利用するためのリスク評価方法と最適解 | assured.jp

リスク2｜複雑なアクセス権限管理の破綻

SaaSの種類が増えるにつれ、アクセス権限の管理が手動では追いつかなくなります。権限管理の破綻は、過剰権限アカウントの常態化という形で現れます。この問題は「管理できていない」という認識すら持てていないことが多く、気づかないうちにリスクが蓄積されていく点が厄介です。

SaaS数増加で起きる権限管理の限界

20〜30種類以上のSaaSを利用する組織では、スプレッドシートによる権限管理はすでに限界に達しています。SaaSごとに権限体系が異なるため、担当者が変わるたびに引き継ぎが困難になり、前任者の設定がそのまま残ることが常態化します。異動や昇格に伴う権限変更も後回しになりやすく、業務実態と権限設定がずれ続けます。

例えば、プロジェクトの終了時にプロジェクト専用SaaSの権限を削除し忘れると、そのアカウントは不要な権限を持ったまま残存します。こうした「意図せず残ってしまった権限」が積み重なることで、組織全体のアクセス権限は実態より大幅に広い状態になります。半年に一度の棚卸しすら実施できていない組織も少なくありません。

権限管理の破綻が起きやすいタイミングは、組織改編・人事異動の多い時期、担当者の退職や引き継ぎの時期、新たなSaaSを大量に導入した直後の3つです。これらのタイミングに合わせて、特別な棚卸しセッションを設けることが有効です。

過剰権限・放置アカウントのリスク

管理者権限を広く付与していると、不正アクセスや内部不正が発生した際の被害範囲が最大化します。必要以上の権限を持つアカウントは、攻撃者にとって価値の高い標的となります。定期的な棚卸しを実施しない組織では、本来は削除されているべきアカウントが残存し続け、第三者からの不正アクセスの入口になります。

特にリスクが高いのは、管理者権限を持つアカウントが退職者のものである場合です。管理者権限があれば、他のユーザーのデータにもアクセスできるため、被害規模が一般ユーザーのアカウントとは桁違いになります。退職者処理のフローに「管理者権限の確認」を必ず含めることが重要です。

最小権限の原則を実装する上での現実的な課題は、業務上必要な権限の定義が難しいことです。「とりあえず管理者権限を付与しておく」という慣行を変えるには、各SaaSの権限体系を理解した上で、部門責任者と協議しながら適切な権限を設定する作業が必要です。この作業は一度やれば終わりではなく、業務の変化に合わせて継続的に見直す必要があります。

参考: SaaSのセキュリティリスクと対策7選 チェックリストで解説

リスク3｜退職者・異動者のアカウント残存

退職者のアカウントが削除されないまま残存することは、多くの組織で発生している現実的なリスクです。SaaSの数が多いほど、対応漏れの確率が上がります。このリスクは情シス担当者も問題として認識していながら、手動対応の限界から解決できていないケースが多く見られます。

アカウント削除漏れが起きやすい理由

退職手続きの当日に、HRシステムへの情報登録と各SaaSのアカウント削除を同時に進めるのは、手動対応では限界があります。対象となるSaaSが30種類あれば、退職者1人につき30回の管理画面操作が必要になります。担当者が多忙な時期に退職が重なると、対応が後回しになりアカウントが放置されます。

アカウント削除漏れが起きやすいサービスとして、情シスが契約を把握していないシャドーITが挙げられます。把握していないサービスは削除リストに入らないため、退職処理が完了していても当該SaaSへのアクセスが残ります。また、外部のクライアント向けポータルや取引先が管理するSaaSに招待されているアカウントも、退職処理の対象から漏れやすいです。

退職処理を確実に実行するためには、従業員が利用しているSaaSの一覧を平時から管理しておくことが前提となります。入社時にアカウントを発行したSaaSを記録し、退職時にそのリストをもとに削除処理を進める体制が理想です。この「入社時のアカウント発行記録」が存在しない組織では、退職時の削除漏れが構造的に発生します。

放置アカウントから発展するリスクシナリオ

放置されたアカウントは、退職した元従業員が意図的に利用する内部不正のリスクだけでなく、認証情報の漏洩により第三者が不正アクセスする入口にもなります。長期間ログインされていないアカウントほど、多要素認証が設定されていなかったり、パスワードが古くなっていたりする可能性が高く、攻撃者にとって狙いやすい標的になります。

IPAの「情報セキュリティ10大脅威2025」では、内部不正が前年から順位を上げており、退職者による情報持ち出しや元従業員による不正アクセスが実際の被害事例として報告されています。退職時に適切なアクセス遮断が行われていれば防げた被害が、処理の漏れによって発生しているケースが多数あります。

放置アカウントリスクへの根本的な解決策は、SaaS管理ツールを活用した自動デプロビジョニングです。人事システムから退職情報が連携されると、自動で対象のSaaSアカウントを無効化する仕組みを構築することで、手動作業のミスに依存しないアカウント管理が実現できます。

参考: SaaS のセキュリティリスクとは？ユーザーが行うべき対策を紹介 | Magic Moment

リスク4｜不正アクセス・アカウント乗っ取り

認証情報を狙った攻撃は年々巧妙化しており、SaaSアカウントは攻撃者にとって価値の高いターゲットになっています。SaaSは業務データが集積される場所であるため、SaaSアカウントの乗っ取りは企業にとって深刻なセキュリティインシデントに直結します。

主要な攻撃手法

フィッシング攻撃は、正規のSaaSログイン画面に見せかけた偽サイトへ誘導し、認証情報を窃取する手法です。生成AIの普及により、自然で精巧な日本語のフィッシングメールが低コストで大量生成できるようになり、従業員が引っかかるリスクが高まっています。クレデンシャルスタッフィングは、他サービスで漏洩したID・パスワードの組み合わせを使ってログインを試みる攻撃で、パスワードの使い回しが多い環境では被害が連鎖します。

ビジネスメール詐欺（BEC）も増加しており、役員や取引先になりすましたメールで不正な振り込み指示や情報提供を求めるケースが国内外で増えています。2024〜2026年にかけて国内でも複数の大手企業がBECによる被害を公表しており、SaaSの認証情報だけでなく、企業の資金・情報への直接的な攻撃も増えています。MFAが未導入であれば、パスワードのみの認証では防ぎきれないため、多要素認証の導入が事実上の必須要件となっています。

被害事例と想定ダメージ

アカウントが乗っ取られると、攻撃者は正規ユーザーとして社内情報にアクセスし、他のSaaSへの侵入を試みる横展開攻撃を仕掛けることがあります。SSOで連携されたSaaSが多い環境では、1つのアカウントが乗っ取られると連鎖的に被害が広がります。被害が発覚するまでの期間が長いほど、情報流出の規模が拡大します。

国内の製造業・サービス業でも不正アクセスによるSaaS上の情報漏洩事故が相次いでおり、顧客情報・取引情報・財務情報などが流出する深刻な事態が報告されています。インシデント発生後の対応コスト（調査費用・復旧費用・賠償・広報対応）は、数千万円から億単位に上るケースもあります。

アカウント乗っ取りへの主な対策は、多要素認証の全サービス導入、異常なログインを検知するアラートの設定、IDaaSによる認証の一元化です。パスキー（FIDO2認証）への移行は、フィッシング耐性が高い認証手段として注目されており、段階的な導入を検討する価値があります。

参考: 2025年の国内セキュリティインシデントを振り返る | トレンドマイクロ

リスク5｜データセキュリティとプライバシー侵害

SaaSを複数連携させて業務を進める現代の環境では、データが複数のサービス間を流通します。その過程でデータ保護の空白が生まれることがあります。データの所在が分散することで、どこにどんな情報があるかを把握することが難しくなり、漏洩が発生した際の影響範囲の特定も遅くなります。

SaaS上のデータ移行・連携に潜むリスク

SaaS同士のAPI連携を設定する際に、必要以上のアクセス権限を付与したまま放置すると、連携先のSaaSを経由したデータ流出が起きる可能性があります。データをあるSaaSから別のSaaSへ移行する際に、移行元のデータが削除されずに残存する事例も報告されています。API連携の設定は一度行うと長期間変更されないことが多く、業務の変化に伴い不要になったAPI連携が残り続けるリスクがあります。

ノーコードツール（Zapier、Make等）を活用したSaaS間の自動連携も、情シスが把握せずに部門担当者が設定していることがあります。こうした連携では、顧客データや業務データが情シスの管理外で他のサービスに送信されており、情報管理上のリスクを生んでいます。

個人データ・機密情報の漏洩経路

顧客情報・従業員個人情報・財務データなどをSaaS上で管理している場合、SaaSへのアクセス権を持つユーザーの行動管理が不十分だと、内部からの情報持ち出しを検知できません。操作ログの取得と定期的な監視を組み合わせることで、異常な操作を早期に発見できます。

Google DriveやBoxなどのクラウドストレージで「リンクを知っている全員がアクセス可能」の設定になったままのファイルが存在するケースも多く見られます。こうした設定は社内での利便性を高める一方で、URLが外部に漏洩した場合に誰でもアクセスできる状態を作ります。定期的なファイル共有設定の棚卸しが必要です。

個人情報を取り扱うSaaSについては、個人情報保護法の委託先管理義務にも注意が必要です。個人情報を処理するSaaSベンダーは委託先に該当し、定期的な安全管理措置の確認が求められます。契約書への情報管理条項の記載とあわせて、ベンダーのセキュリティ対策の実態を定期的に確認する体制を整えます。

参考: SaaS利用時のセキュリティリスクと対策｜日立ソリューションズ

リスク6｜ベンダーリスク・サプライチェーン攻撃

SaaSベンダー自体がセキュリティインシデントの被害を受けることで、ユーザー企業のデータが影響を受けるリスクがあります。自社のセキュリティ管理だけでは防げない領域であり、ベンダー選定の段階からリスク評価を組み込む必要があります。

SaaSベンダー側のセキュリティ問題

ベンダーがサイバー攻撃を受けたり、内部の設定ミスによってデータが外部から閲覧できる状態になったりすることがあります。SaaSを導入する際、ベンダー自身のセキュリティ対策の水準を確認しないまま契約すると、ベンダー起因のリスクを引き受けることになります。

2024〜2025年には、複数の海外SaaSベンダーが大規模なデータ侵害を経験しており、そのユーザーである国内企業のデータも影響を受けるケースが発生しています。ベンダーへの依存度が高いSaaSほど、ベンダーのインシデントが自社事業に与える影響が大きくなります。主要業務を特定のSaaSに依存している場合は、そのベンダーのセキュリティ状況を定期的に確認することが重要です。

サプライチェーン攻撃では、ベンダーのシステムに侵入した攻撃者が、ベンダーのサービスを経由して顧客企業に攻撃を仕掛けます。2023〜2024年に発生した複数のSaaSベンダーへの攻撃では、ベンダーの顧客数百社・数千社のデータが一度に被害を受けています。こうしたサプライチェーンリスクへの対処として、重要データのバックアップ・ベンダー分散・利用規約の精査が有効です。

ベンダー評価で確認すべき項目

SaaS導入前に確認すべきセキュリティ項目として、ISO 27001などのセキュリティ認証取得状況、データセンターの物理的セキュリティ、暗号化方式（転送中・保存中）、インシデント発生時の報告体制と過去の対応実績があります。Assuredの2025年調査ではセキュリティスコア70点未満のSaaSが約27.4%存在するとされており、導入前の評価プロセスを整備することが重要です。

ベンダー評価を体系化するには、評価チェックシートを作成してすべてのSaaS導入前に確認するフローを整備します。セキュリティ評価ツール（Assured等）を活用することで、個別にベンダーへ問い合わせることなく、評価済みのSaaSのセキュリティ情報を参照できます。既に導入済みのSaaSについても、年 1回程度の再評価を実施することが望ましいです。

データの所在地（国内/海外）も確認すべき項目です。EU GDPRや日本の個人情報保護法では、個人情報の越境移転に一定の要件が設けられており、契約上の対応が必要になる場合があります。

参考: SaaSのセキュリティ評価 有効かつ低負担な進め方のコツ - UNITIS

リスク7｜リソース不足による管理の空白

セキュリティリスクを把握していても、対応するための人員・工数が不足していると実質的な管理が機能しません。リソース不足はSaaSセキュリティの最大の構造的課題の一つです。特に情シス担当者が少人数で多くの業務を兼任している中小〜中堅企業で、このリスクが顕在化しやすくなっています。

人員・工数不足がもたらすセキュリティの穴

情シス担当者が少人数で多数のSaaSを管理している組織では、新しいリスクへの対応が後回しになりやすく、定期監査の頻度も下がります。Gartnerの調査によれば、新技術の採用が阻まれる主因の一つにIT人材不足が挙げられています。管理が追いつかない状態が続くと、権限棚卸し・シャドーIT対応・退職者処理といった基本的なセキュリティ業務すら滞ります。

日本の情シス部門は、欧米と比較して人材が少ない傾向があります。100名規模の企業では情シス担当者が1〜2名というケースも珍しくなく、ヘルプデスク業務・インフラ管理・セキュリティ対応・新システム導入など、幅広い業務をこなす必要があります。この状況でSaaSの数が増えると、個々のSaaSへの管理品質が低下することは避けられません。

人材不足はSaaS管理だけの問題ではなく、セキュリティ人材全体の不足として業界全体の課題になっています。採用で解決することが理想ですが、短期的には自動化・効率化による対応範囲の拡大が現実的なアプローチです。

自動化による対応範囲の拡大

限られたリソースでセキュリティ水準を維持するには、自動化が現実的な解です。入社・退職・異動に連動したアカウント管理の自動実行、定期的な権限棚卸しのスケジュール化、不審なログインの自動検知といった仕組みを整えることで、担当者の工数を大幅に削減できます。SaaS管理ツールの活用は、少人数の情シス組織がリスクを網羅的に管理するための現実的な選択肢です。

自動化の優先順位として最も効果が高いのは、退職者・入社者に伴うアカウント操作の自動化です。この作業は発生頻度が高く、かつ漏れが直接的なセキュリティリスクにつながるため、自動化による効果が最も大きい領域です。次に、定期的な権限棚卸しと未使用アカウントの検出の自動化を進めることで、常時監視の負担を減らせます。

自動化ツールの導入にあたっては、ツール自体のセキュリティも評価対象です。多数のSaaSへのアクセス権を持つSaaS管理ツールは、攻撃者にとって価値の高い標的になり得るため、ツール自体の認証設定・アクセスログ・監査機能を確認した上で導入を判断します。

参考: SaaSを利用する際のセキュリティリスクと企業に求められる対策 | FGLテクノソリューションズ

SaaSセキュリティリスク対策の優先順位の付け方

7種類のリスクを把握した上で、どの対策から手をつけるべきかを整理します。限られたリソースの中で最大の効果を出すには、リスクの深刻度と対応の難易度を組み合わせた優先順位の設計が重要です。

まず取り組むべき「可視化」の実践

SaaSセキュリティリスクの多くは「見えていないこと」から始まります。リスク1のシャドーIT、リスク3の退職者アカウント残存、リスク2の権限管理の破綻も、まず「今の状態を知る」ことから対処が始まります。最初の一手は、自社で利用しているSaaSの全量把握です。

SaaSの棚卸し方法として、プロキシログの分析によるアクセス先の確認、クレジットカード明細・経費精算システムからのSaaS契約の洗い出し、部門ヒアリングによる利用SaaSの申告収集の3つを組み合わせることで、精度の高い棚卸しが実現できます。

費用対効果の高い「MFA全社展開」

可視化と並行して、最も費用対効果が高い対策がMFAの全サービス展開です。MFAを導入するだけで、パスワードリスト攻撃・フィッシング・ブルートフォース攻撃による不正ログインの大半を防ぐことができます。初期投資が少なく、効果が大きいため、セキュリティ対策の第 1優先に位置づけるべき施策です。

IDaaSを導入することで、MFAの一括設定と管理が実現します。IDaaSは初期コストがかかりますが、長期的にはSaaS管理の効率化にもつながるため、一定規模以上の組織では投資対効果が高い選択肢です。

継続的な管理体制の構築

単発の対策ではなく、継続的に管理できる体制を構築することが長期的なセキュリティ水準の維持につながります。権限棚卸しの定期実施（半年に1回以上）、シャドーITの定期スキャン、退職処理フローの自動化の3つを仕組みとして組み込むことで、担当者が変わってもセキュリティ水準を維持できます。

参考: SaaSのインシデントは設定不備が原因？最新事例でわかる身近なリスク

SaaSセキュリティリスクへの対応を加速するには

7種類のリスクを整理すると、その多くは「把握できていない」ことから始まっていることがわかります。シャドーITも放置アカウントも過剰権限も、可視化できていなければ対処する契機が生まれません。

JosysはSaaSアクセス管理・シャドーIT検出・権限棚卸しを一元化するSaaS管理プラットフォームです。350種類以上のSaaSとのインテグレーションに対応し、入社・退職・異動に連動したアカウント管理の自動化を実現します。SaaS管理体制の現状を把握するところから始めたい場合は、まず資料をご確認ください。

SaaSセキュリティとはSaaSセキュリティ 対策

資料ダウンロード: Josys製品資料 - SaaS管理・セキュリティ