入社初日にアカウントが揃っていない。退職者のSaaSがそのまま残っている。3月・4月の入退社ラッシュになると情シス担当者が月単位で残業する。

SmartHRが2025年に実施した調査では、アカウント管理ツールを導入していない情報システム部門のうち63.9%が「退職者や異動者のSaaSアカウントを適切に管理できていない」と回答しています。50.7%が「専任担当者がいない」状況でもあります。SaaSの種類が増え続ける中、手動管理は構造的な限界を迎えています。

本記事では、入退社・異動時のSaaSアカウント管理を自動化するためのプロビジョニングの仕組みから、人事システム連携の構成、13ツールの比較、段階的な導入ステップまでを解説します。従業員500名以上の企業で情シスを担当している方、IT管理責任者の方に向けた内容です。

この記事でわかること：

• なぜ手動管理では追いつかなくなるのか（数値データつき）
• プロビジョニング・デプロビジョニングの仕組み
• 人事システムとIDaaS、SMPの3層連携アーキテクチャ
• 入社・退職・異動別のBefore / After 自動化フロー
• SaaS入退社自動化ツール13選と選定基準

手動管理が崩れる3つの分岐点

入退社時のSaaSアカウント管理が手動では維持できなくなる原因は、SaaSの増加・人事部門との連携遅延・年度境への業務集中という3つの構造的な問題に集約されます。

SaaS利用数の増加と操作件数の爆発

情シス担当者が把握している公式SaaSだけで20〜50種類に達するケースは珍しくなく、シャドーITを含めるとさらに増えます。100名の新入社員が入社し、それぞれが5種類のSaaSを使うとすれば、担当者には500件のアカウント作成操作が積み重なります。各SaaSの管理画面に個別ログインし、氏名・メールアドレス・所属・権限を設定する作業が500回繰り返される計算です。月初・年度初めにこの規模の作業が集中すると、物理的に追いつかなくなります。

SmartHR調査では47.2%が「SaaSを1つずつ手動で管理していること」を主要な課題として挙げています。SaaSの増加とともに、この課題は悪化し続けます。

参考URL: https://smarthr.jp/release/20250609_research/

人事部門からの連絡遅れが引き起こすタイムラグ

入退社対応の前提となる情報を情シスに届けるのは人事・総務部門ですが、SmartHR調査では74.2%が「人事からの連絡タイミングが遅い」と回答しており、67.7%が「連絡漏れが発生することがある」と答えています。

情シスが入社当日に連絡を受け、その日のうちに全SaaSのアカウントを作成しなければならない状況は珍しくありません。退職者については「そういえば先週退職したのですが」と事後報告されるケースもあります。自動化ツールを入れる前に、人事部門との情報連携ルールを整備することが先決です。

年度末・月末への業務集中

入退社は年度替わりの3〜4月と月末・月初に集中します。この時期、情シス担当者は通常業務に加えて数十〜数百件のアカウント操作が積み重なります。専任担当者が不在の組織（50.7%が専任不在）では、繁忙期に対応しきれず漏れや遅延が常態化します。

参考URL: https://smarthr.jp/release/20250609_research/

退職者アカウントの残存が引き起こすリスク

退職後もアカウントが残存し続けることのリスクはセキュリティとコストの両面に及び、放置するほど問題が深刻化します。

セキュリティリスク：不正アクセスの温床

退職者のアカウントが削除されていない場合、元従業員が社外からSaaSにアクセスできる状態が続きます。意図的な利用でなくても、ログイン情報が第三者に渡れば外部からの不正アクセスに発展します。

株式会社アクトが実施した企業セキュリティ調査（2025年版）では、37.3%の企業が退職者アカウントの放置を懸念しており、65.4%が不正ログインをセキュリティリスクとして挙げています。ISMS認証取得企業やSOX対応が必要な企業では、退職者アカウントの即日削除が規程上の要件になっているケースもあります。

コストリスク：削除漏れアカウントの課金継続

退職者のアカウントを削除しても、SaaS側のライセンス契約が残ったまま課金が継続するケースがあります。在職中に利用していたが退職後は誰も使わなくなったライセンスも同様です。SmartHR調査では42.0%が「未使用アカウントによる不要なライセンス費用」を課題として認識しています。

SaaSのライセンスが1ユーザーあたり月2,000〜5,000円とすれば、削除漏れが10アカウントあるだけで年間24万〜60万円の無駄が発生します。アカウント数が多い企業ほど、この埋没コストは見えにくい形で積み重なります。

SaaSライセンス管理とは

参考URL: https://prtimes.jp/main/html/rd/p/000000282.000076503.html

参考URL: https://smarthr.jp/release/20250609_research/

SaaSアカウント自動化の仕組みを理解する

自動化の土台となるのがプロビジョニングという概念です。仕組みを正確に把握することが、ツール選定や設計の失敗を防ぎます。

プロビジョニングとデプロビジョニングとは

プロビジョニングとは、ユーザーのアカウントや権限を必要なシステムに自動的に作成・設定する仕組みです。入社時に複数のSaaSへのアカウントを一括で作成する操作がこれに相当します。デプロビジョニングはその逆で、退職・異動時にアカウントや権限を無効化・削除する操作を指します。

プロビジョニングには主に5種類あります。

• ユーザープロビジョニング：SaaSアカウントの作成・更新・削除を自動化する
• グループプロビジョニング：部署・チーム単位でのアクセス権グループを管理する
• 権限プロビジョニング：役職・役割に応じたアクセス権限の付与・変更を自動化する
• デバイスプロビジョニング：PCやスマートフォンの初期設定・配布を自動化する
• ライセンスプロビジョニング：SaaSライセンスの割り当て・回収を自動化する

入退社自動化の文脈で特に重要なのは、ユーザープロビジョニングと権限プロビジョニングの2つです。

アカウント プロビジョニングとは

SCIM対応SaaSとSCIM非対応SaaSの違い

SaaSアカウントの自動化において核心的な役割を果たすのがSCIMというプロトコルです。SCIMはIDaaSとSaaS間でアカウント情報を標準化された形で自動同期する仕組みで、対応しているSaaSであればIDaaSからのアカウント作成・更新・削除を自動で受け取れます。

SCIM対応SaaSの代表例はSlack、Salesforce、Zoom、Boxなどグローバルなプロダクトです。一方でkintone、楽楽精算、freeeなど国産SaaSや中小規模のSaaSはSCIM非対応のケースが目立ちます。

SCIM非対応SaaSはIDaaSからの自動プロビジョニングが機能しないため、担当者が個別に操作する必要があります。SCIMを利用するにはSaaS側のエンタープライズプランが必要なケースも多く、プランアップグレードのコストが発生することもあります。この壁を突破するために、SaaS管理プラットフォームがIDaaSを補完する形で機能します。ジョーシスのプラットフォームはSCIM非対応のSaaSも含め、独自のAPI連携で350種類以上のSaaSのアカウントを一元管理できます。

人事システムとIDaaS、SMPの3層連携アーキテクチャ

SaaSアカウントの自動化を正しく設計するには、人事システム・IDaaS・SMPという3層構造を把握することが出発点になります。

3層のそれぞれが担う役割は次のとおりです。

• 人事システム（SmartHR、Workdayなど）：入退社・異動情報の唯一の正しい情報源。社員の在籍状況・所属・役職がプロビジョニングのトリガーになる
• IDaaS（Entra ID、Oktaなど）：SSOと認証基盤を担い、SCIM対応SaaSへのプロビジョニングを自動化する
• SMP（Josysなど）：IDaaSが管理できないSaaS・シャドーIT・コスト・デバイスを補完管理する

人事システムに従業員情報が登録されると、その情報がIDaaSに連携され、IDaaSがSCIM対応SaaSへのアカウントを自動作成します。同時にJosysがIDaaSから情報を受け取り、SCIM非対応SaaSへのアカウント操作も処理します。この3層が連動することで、担当者がSaaSを個別に操作することなくアカウントのライフサイクル管理が完結します。

IDaaS SaaS管理 連携

参考URL: https://smarthr.jp/column/it-solutions/2026-provisioning/

参考URL: https://www.cybernet.co.jp/onelogin/news/article/08.html

入社・退職・異動 別の自動化フロー

プロビジョニングの仕組みが整うと、入社・退職・異動の3つのライフサイクルイベントで自動化の効果が最も大きく現れます。Before / Afterで実際の変化を確認します。

入社時の自動プロビジョニング

自動化前は、情シス担当者が人事部門から入社予定者のリストを受け取り、Slack・Salesforce・kintone・Notion・Zoomなど利用SaaSのアカウントを個別に作成します。SaaSが20種類あれば20回のログインと設定が必要です。前日や当日に連絡が来るケースでは作業が間に合わず、入社初日に特定のツールが使えない状態が発生します。

自動化後の流れは次のとおりです。

1. 人事システムに新入社員の情報（入社日・所属部署・役職）が登録される
2. IDaaSがSCIM対応SaaSへのアカウントを自動作成する
3. JosysがIDaaSから情報を受け取り、SCIM非対応SaaSのアカウントも並行して作成する
4. 入社初日、新入社員はすべてのSaaSにアクセスできる状態で業務を開始できる

情シス担当者が行う操作はゼロです。人事システムへの情報登録が、すべてのSaaSアカウント作成を自動的にトリガーします。

オンボーディング IT 自動化

退職時の自動デプロビジョニング

自動化前は、情シス担当者が退職者リストをもとに各SaaSの管理画面に個別ログインしてアカウントを手動で削除します。SaaSの数が多いほど対応が追いつかず、退職後も数日〜数週間アカウントが残存するケースが生じます。「誰かが対応するだろう」という属人的な運用が漏れの温床です。

自動化後の退職フローは次の流れです。

1. 人事システムに退職日が登録される
2. 退職日の指定時刻にJosysがIDaaSへのアカウント無効化を指示する
3. IDaaSがSSOを無効化し、SCIM対応SaaSのアカウントを削除する
4. JosysがSCIM非対応SaaSのアカウントも一括で無効化・削除する
5. JosysがすべてのSaaSの処理完了状況を記録し、証跡レポートを自動生成する

退職日の翌日から、元従業員はいずれのSaaSにもアクセスできなくなります。担当者の手動対応は不要で、ISMS審査や内部監査で求められる証跡も自動で整います。

オフボーディング IT 自動化

異動時の権限変更自動化

異動は退職ほど緊急性が意識されにくいため、旧部署の権限が削除されないまま新部署の権限が追加される権限の累積が起きやすいです。営業部から開発部へ異動した社員が、引き続き営業系SaaSの管理者権限を保持し続ける状況は珍しくありません。こうした権限肥大化がセキュリティリスクを高め、監査での指摘につながります。

人事システムに異動情報が登録されると、Josysが旧部署に紐づくSaaSのアクセス権を削除し、新部署のロールに対応したSaaSのアクセス権を付与します。一連の操作は同日中に完了し、最小権限の原則に基づいた状態が常に保たれます。

アクセス権限 棚卸し 方法

参考URL: https://josys.com/jp/blog/benefits-of-automated-onboarding

参考URL: https://josys.com/jp/blog/2024-04-04-how-to-deprovision-employee-access-in-seconds

入退社アカウント自動化ツール比較13選

入退社時のSaaSアカウント自動化に対応するツールを13製品取り上げます。SMPとIDaaSという2つのカテゴリに分かれており、自社の既存環境や優先課題によって最適な選択肢は異なります。

Josys（ジョーシス）

ジョーシスのプラットフォームは、SaaS管理とITデバイス管理を統合したSMPです。350種類以上のSaaSと連携し、SCIM対応・非対応を問わずアカウントのライフサイクルを一元管理します。Entra ID・Okta・Google Workspaceとの連携にも対応しており、IDaaSと組み合わせた3層アーキテクチャで運用できます。

導入前は各SaaSの管理画面を個別に操作する必要があったものが、導入後はJosysの一元管理画面から全SaaSのアカウント状況を確認・操作できる状態に変わります。退職日トリガーによる自動デプロビジョニング、アクセス権棚卸しレポートの自動生成、シャドーIT検出まで対応しています。

参考: https://josys.com/jp/

マネーフォワード Admina

国産SMPとして広く採用されているAdminaは、300種類以上のSaaSと連携します。Admina Automation機能により、人事情報をもとにアカウントの作成・削除を事前設定したフローで自動実行できます。Entra IDやGoogle Workspaceとの連携実績が豊富で、コスト管理と利用状況の可視化を強みとします。

参考: https://admina.moneyforward.com/jp

Bundle by freee

freee株式会社が提供するSMPです。SmartHRとの連携により、人事発令を起点とした入退社対応をゼロクリックで実現できます。SaaSアカウントの棚卸し・自動発行削除・セキュリティリスク検知をオールインワンで提供しており、中堅企業を中心に普及しています。

参考: https://bundle.jp/

freee IT管理

190種類のSaaSと連携し、部署・属性に応じたSaaS権限ルールを事前設定することで、入退社・異動のタイミングでアカウントを自動発行・削除します。freee会計・freee人事労務との連携がスムーズで、freeeスタックで業務を統一している企業に向いています。

参考: https://www.freee.co.jp/it-management/

OPTiM サスマネ

OPTiMが提供するSaaSとデバイスの統合管理ツールです。SaaSのアカウント管理に加えてデバイスのリモート管理機能を持ち、PCやスマートフォンの設定・制御まで対応しています。デバイスとSaaSをセットで管理したい企業に向いています。

参考: https://www.optim.co.jp/products/saas-management/

LOCKED

社内で利用されているSaaSのアカウントを可視化し、退職者・未使用アカウントのリスクを検知するセキュリティ特化型SMPです。既存SaaSのシャドー利用発見とリスクスコアリングが得意で、セキュリティ強化を優先する企業に向いています。

参考: https://locked.jp/

Keyspider

クラウドとオンプレミス双方に対応したID管理ツールです。オンプレミスのActive DirectoryとクラウドSaaSを横断してIDを統合管理できるため、ハイブリッド環境を持つ企業で採用されています。（参考: https://keyspider.co.jp/）

YESOD

株式会社イエソドが提供するディレクトリサービス型SMPです。企業内の人・組織マスタを統合し、SaaSアカウントの統制管理や入退社オペレーションの自動化を支援します。Google Workspace中心の組織での採用実績があります。（参考: https://yesod.co/）

Gluegent Gate

サイオステクノロジーが提供するIDaaS型のSSO・ID管理サービスです。SSOによる認証一元化と、SCIMを活用したSaaSアカウントの自動プロビジョニングに対応します。国産ベンダーのサポートを重視する企業に向いています。

GMO トラスト・ログイン

GMOグローバルサイン・HDが提供するIDaaSです。SSOとMFAを中心にSaaSへの安全なアクセス管理を実現します。国産SaaSとの連携実績も充実しており、中堅企業での導入事例が多くあります。

HENNGE One

HENNGE株式会社が提供するセキュリティSaaSです。メールセキュリティとIDaaSを統合しており、SSOとアクセス制御に加えてメール誤送信防止機能を提供します。メールセキュリティとID管理を同時に解決したい企業に向いています。

デクセコ（Dxeco）

SaaSのコスト管理と利用状況の可視化に特化したSMPです。AIによるSaaS利用分析と更新管理の自動通知が得意で、コスト削減を優先課題とする企業で採用されています。

ITboard

SaaSアカウントとIT資産を統合管理するプラットフォームです。アカウント管理台帳の自動更新と、入退社時の権限変更ワークフローを提供します。人事・総務部門と情シス部門が協業してアカウント管理を行う組織に向いています。

参考URL: https://www.aspicjapan.org/asu/article/11854

参考URL: https://kigyolog.com/service.php?id=394

参考URL: https://digi-mado.jp/category/business/saas-management-tool/

自社に合うツールを選ぶ5つの判断基準

13種類のツールから自社に合うものを選ぶために、実際の選定で使える判断軸を5点整理します。

連携SaaS数とSCIM非対応SaaSへの対応力

自社が利用しているSaaSのうち、ツールが連携できる種類の割合を確認してください。グローバルSaaSはSCIM対応が進んでいますが、国産SaaSや中小規模のSaaSはSCIM非対応のケースが目立ちます。SCIM非対応SaaSを独自API連携でカバーできるツールを選ぶことが、管理の空白地帯をなくすための前提になります。

人事システム・IDaaSとの連携実績

SmartHR・Workday・SAP SuccessFactorsなど、自社が利用している人事システムとの連携実績があるかを確認してください。Entra IDやOktaなどのIDaaSをすでに導入している場合は、そのIDaaSとの連携設定が容易かどうかも判断材料になります。

デバイス管理との統合要否

PCやスマートフォンのキッティング・回収・リモートワイプまで含めてデバイス管理を統合したい場合は、SaaSとデバイスを一体管理できるツールを選ぶと工数を一本化できます。SaaS管理に特化するツールとデバイス管理まで統合するツールではコストや設定工数が異なるため、自社の優先課題に応じて判断してください。

監査証跡・アクセス権棚卸しレポート機能

ISMS認証やSOX対応が必要な企業では、アカウント操作の証跡を記録・出力する機能が必須です。全SaaSにまたがるアクセス権棚卸しレポートを自動生成できるツールを選ぶと、監査対応の工数を大幅に削減できます。

IGA アイデンティティガバナンス とは

導入規模・段階と価格体系

初期導入コストと運用コストのバランス、ユーザー数に応じた価格設計を確認してください。一度に全機能を導入しようとすると設定工数が大きくなります。まず可視化機能から始め、段階的に自動化範囲を広げる導入パスのほうが現場への定着が早くなります。

参考URL: https://meetsmore.com/product-services/saas-management

参考URL: https://www.aspicjapan.org/asu/article/11854

導入時の注意点と段階的な進め方

ツールを選定した後、実際に導入を進める際に見落としやすい注意点と、現場に定着しやすい進め方を整理します。

SCIMのライセンスコストを事前に確認する

SCIMによる自動プロビジョニングを活用するには、SaaS側のプランがSCIMに対応している必要があります。多くのSaaSではSCIM対応がエンタープライズプランのみに限られており、現在のプランから移行すると追加コストが発生します。導入前に自社が利用しているSaaSのSCIM対応状況とプラン要件を一覧化しておくと、コスト試算が正確にできます。

人事部門との情報連携フローを先に整備する

アカウント自動化ツールを導入しても、人事システムへの情報登録が遅れれば自動化も遅れます。入社の何営業日前までに人事システムへ登録するか、退職日は確定した時点で即時登録するか、というルールを情シス・人事・総務の3部門で合意してから、ツールの設定に入ることが現場定着の鍵です。

退職デプロビジョニングから自動化を始める

一度に全機能を実装しようとすると設定工数と検証作業が膨大になります。効果が高くリスク削減効果も明確な退職時のデプロビジョニング自動化から着手するのが現実的です。退職者アカウントの即日削除を実現し、セキュリティリスクの改善を確認してから、入社プロビジョニングの自動化へ拡張していく順序のほうが定着が早くなります。

段階的な進め方は次のとおりです。

1. 全SaaSのアカウント状況をJosysで可視化し、退職者・未使用アカウントの数を把握する
2. 退職日トリガーによるデプロビジョニングを設定する
3. 人事システム連携で入社プロビジョニングを自動化する
4. 異動時の権限変更を自動化し、アクセス権の肥大化を防ぐ
5. 棚卸しレポートをもとに定期的なアクセス権レビューを実施する

参考URL: https://www.cybernet.co.jp/onelogin/news/article/08.html

まとめ

入退社・異動時のSaaSアカウント管理を手動で続ける限り、工数の増大・漏れ・退職者アカウントの残存は構造的に繰り返されます。SmartHR調査が示す「63.9%が適切に管理できていない」という数字は、個々の担当者の問題ではなく、手動管理という運用設計の限界が露わになった結果です。

自動化は、人事システムとIDaaS、SMPという3層アーキテクチャを整えることで実現します。SCIM対応SaaSはIDaaSが、非対応SaaSはJosysのようなSMPが補完することで、企業が利用する全SaaSのアカウントライフサイクルを一元管理できます。

最初の一歩は、現在の全SaaSのアカウント状況を可視化することです。退職者や未使用アカウントの実数を把握することで、自動化の優先課題と対象ツールが自然に絞り込まれます。

Josysの無料デモを申し込む

ジョーシスのプラットフォームは350種類以上のSaaSに対応し、入社初日から退職日まで一貫したアカウントライフサイクル管理を実現します。Entra ID・Okta・Google Workspaceとの連携設定、SCIM非対応SaaSへの対応、棚卸しレポートの自動生成をデモ環境でご確認ください。

Josys 無料デモ申し込みはこちら