退職した社員のアカウントが、SaaSに残ったままになっていませんか？

この問いに即答できる情報システム担当者は、それほど多くありません。社内で利用するSaaSの種類が増え、異動・兼務・退職が繰り返されるたびにアクセス権の管理は複雑さを増していきます。誰がどのシステムにどの権限でアクセスできるかを把握できていない状態は、情報漏洩・内部不正・監査指摘という3つのリスクに直結します。

本記事では、こうした課題を根本から解決する仕組みである IGA（Identity Governance and Administration：アイデンティティガバナンス・管理）について、定義・IAMとの違い・4大機能・導入の判断基準まで解説します。IDaaSをすでに導入済みで「次に何をすべきか」を探っている情シス担当者の方に、特に参考になる内容です。

IGA（アイデンティティガバナンス・管理）とは何か

IGA（Identity Governance and Administration）は、企業内のすべてのIDとそのIDに紐づくアクセス権限を、継続的に統制・監視・最適化する仕組みです。日本語では「IDガバナンスと管理」とも表記されます。

単にアカウントを作成・削除するだけでなく、付与されたアクセス権限が本当に適正かを継続的に検証し、不要な権限が蓄積しないよう統制し続けることが核心です。IGAは「IDガバナンス（Governance）」と「ID管理（Administration）」という2つの概念を統合したもので、両方が揃って初めてガバナンスとして機能します。

IDガバナンスとID管理それぞれの役割

IGAを構成する2層は、役割が明確に異なります。一方は「権限が適正かを継続的に判定する」機能群、もう一方は「IDを実際に操作する」機能群です。

IDガバナンスが担う主な機能は以下の4つです。

• 職務分掌（SoD：Segregation of Duties）：一人が過度な権限を持たないよう権限を分割し、内部不正を構造的に防ぐ
• ロール管理：職種・部署ごとに必要な権限セットを定義し、人事情報と連動させる
• ログ記録・分析：誰がいつどのシステムにアクセスしたかを自動記録し、異常な行動を検知する
• レポーティング：監査・コンプライアンス対応に必要な証跡レポートを自動生成する

ID管理（Administration）が担う主な機能は次のとおりです。

• アカウント管理：ユーザーアカウントの作成・更新・削除
• 資格情報管理：パスワードポリシーの適用とリセットの自動化
• プロビジョニング・デプロビジョニング：入社・異動・退職に応じたアクセス権の自動付与・削除
• アクセス申請管理：申請を承認ワークフローで管理し、属人的な対応を排除する

この2層が組み合わさることで、「アカウントを作るだけ」で終わらないガバナンスの効いたID管理が実現します。

IAM・IDaaS・IGAの違いと関係性

IAM、IDaaS、IGAの3つは密接に関連しながらも、それぞれ異なる役割を持ちます。混同されやすい概念ですが、整理すると次のように位置づけられます。

IAMはすべてのID管理を包含する最上位の概念です。IDaaSはそのうちクラウドサービスとして提供されるもので、主に認証（誰であるかの確認）と基本的なプロビジョニングを担います。IGAはIAMのサブカテゴリに位置し、付与されたアクセス権が適正かどうかを継続的に検証・管理することに特化しています。

IDaaSだけでは不十分な理由

Entra ID（旧Azure AD）やOktaといったIDaaSをすでに導入している企業でも、次のような課題が残ります。

権限の肥大化が止まらない点は、特に深刻です。入社時に付与された権限が、異動・部署変更のたびに前の権限に新しい権限が積み上がっていきます。IDaaSは権限の付与はできますが、以前の権限を削除すべきかどうかを判断・審査する機能は弱い場合がほとんどです。結果として、退職時には本来必要のない権限を大量に持ったアカウントが残存します。

監査証跡の自動生成も難題です。ISMS審査やSOX対応では、誰がどのシステムに対してどの権限を持っているかを一定期間ごとにレビューし、その証跡を提出することが求められます。IDaaSの標準機能だけでは、このアクセス権レビューレポートを自動生成するのは困難で、担当者がExcelで手動集計する場面が多く見られます。

加えて、アクセス申請・承認の標準化が難しいという問題もあります。部門からの申請がメールやチャットで来る場合、承認フローが属人的になりがちです。IGAを導入すると、申請から承認、自動プロビジョニングまでのワークフローを標準化できます。

IGAはIAMの発展形

IAMが「IDを管理する」仕組みだとすると、IGAは「管理されたIDが常に正しい状態にあることを保証する」仕組みです。IDaaSで認証基盤を整えた企業が次のステップとして検討するのがIGAであり、両者は競合するものではなく、IDaaSの上位層としてIGAが機能する関係性にあります。

参考URL: https://www.onelogin.com/jp-ja/learn/what-is-iga

参考URL: https://mnb.macnica.co.jp/2022/06/zerotrust/iga.html

IGAが必要とされる背景

IGAという概念が急速に注目を集めているのは、いくつかの大きな環境変化が重なっているからです。これらの変化は日本企業においても無関係ではなく、むしろ日本特有の組織文化がリスクをさらに増幅させている側面があります。

SaaSの急増とアクセス管理の複雑化

企業が導入するSaaSの種類数は年々増加しており、中規模以上の企業では数十種類から100種類以上のSaaSを活用するケースも珍しくありません。各SaaSにはそれぞれ独自のアクセス管理機能があり、それらを一元的に把握しなければならない情シス部門の負担は、従来と比較にならないほど大きくなっています。

SaaS管理とは

リモートワーク普及によるアクセスポイントの多様化

オフィス外からの業務アクセスが常態化した今、社内ネットワークの境界だけでアクセスを制御する境界型セキュリティでは限界があります。多様な場所・デバイスからのアクセスが増えるほど、誰がどこからアクセスしているかの継続的な把握が求められます。

日本企業特有の課題：異動・兼務・出向が多い

日本の大企業・中堅企業では、ジョブローテーション型の人事慣行が根付いており、異動・兼務・出向・転籍が頻繁に発生します。欧米のジョブ型雇用と異なり、一人の社員が複数の役割を同時に持つことも珍しくありません。

この結果、アクセス権が前の部署の権限に現在の部署の権限、さらに兼務先の権限として累積し、気づけば本来必要のない広範な権限を持つユーザーが大量に発生します。権限の肥大化と呼ばれるこの問題は、内部不正や情報漏洩のリスクを高める直接的な要因です。

ゼロトラストセキュリティの前提としてのID管理

すべてのアクセスを信頼しないというゼロトラストセキュリティを実装する上で、IDとアクセス権限の継続的な検証は根幹となる要素です。ゼロトラストの文脈では、正しいIDが正しい権限で正しいリソースにアクセスしているかを常時確認することが求められ、その基盤がIGAです。

ゼロトラストセキュリティとは

ISMS・SOX・ISO27001対応の義務化

ISMS認証（ISO/IEC 27001）取得やSOX法（金融商品取引法内部統制）対応が国内企業でも一般化しています。これらの規格・規制では、アクセス権の定期的なレビューとその証跡の保存が義務づけられており、年1回の手動棚卸しでは対応が難しいケースが増えています。

孤立アカウント・過剰権限が生む具体的リスク

退職者のアカウントがSaaSに残っている状況は、多くの企業で実際に発生しています。こうした孤立アカウントは、元従業員による不正アクセスや外部からの攻撃者に悪用されるリスクがあります。また、異動後も旧部署のSaaSにアクセスできる状態が放置されると、機密情報への不正な閲覧が起きる可能性があります。

孤立アカウントとは

参考URL: https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/digital-identity10.html

参考URL: https://jousys-force.deepapex.com/blogs/what-is-iga

IGAの4大機能

IGAはアカウント管理ツールとは本質的に異なるガバナンス基盤です。その中核を構成する4つの機能を理解することで、IGAが「権限を付与するだけの仕組み」ではないことが明確になります。

① アクセス認定（Access Certification）

アクセス認定は、IGAの中核をなす機能です。定期的に「現在のアクセス権が業務上必要なものか」を責任者が審査・承認するプロセスを自動化します。

従来の多くの企業では、アクセス権の棚卸しは年1回、担当者がExcelに手動で入力する形で行われていました。この方法の問題は、棚卸しの直後に権限の状態が変わってしまうと、次の棚卸しまで不適切な権限が放置される点です。

IGAを活用すると、月次・週次のサイクルでアクセス認定を自動化できます。対象者のマネージャーや権限責任者に認定依頼が自動送信され、承認・拒否の結果がシステムに反映されます。ISMS審査やSOX監査でも、この認定履歴を証跡として活用できます。

アクセス権限 棚卸し 方法

参考URL: https://openstandia.jp/tech/column/iga/

② ロール管理（Role Management）

ロール管理は、職種・部署ごとに標準的なアクセス権限セットを定義し、ユーザーにロールを割り当てることで権限管理を効率化する機能です。個別のアクセス権設定という煩雑な作業を排除し、権限付与の判断を標準化します。

たとえば「営業部門の一般社員」というロールには、CRM・MA・請求書管理SaaSへのアクセス権が含まれ、そのロールを割り当てるだけで必要なアクセス権が一括付与されます。

ロール管理の重要な構成要素として、職務分離（SoD：Segregation of Duties）があります。申請する権限と承認する権限を同一人物に持たせないなど、権限の組み合わせを制御することで内部不正のリスクを構造的に下げる仕組みです。会計・購買・承認といった業務では特に重要であり、SOX対応においても必須要件となっています。

③ プロビジョニング・デプロビジョニング自動化

プロビジョニングとはユーザーが必要なシステムにアクセスできる状態を作ること、デプロビジョニングはその逆です。IGAはこの2つを人事情報と連動させて自動実行します。入社・退職・異動という3つの場面での動作を理解することが、この機能の核心です。

入社時は、人事システムに新規社員が登録されるタイミングで、そのロールに対応したすべてのSaaSにアカウントが自動作成されます。情シス担当者が一件ずつ手作業でアカウントを作成する負担がなくなり、入社初日から業務環境が整います。

退職時は、人事システムへの退職日入力を起点に、連携するすべてのSaaSのアカウントが自動削除または無効化されます。誰かが削除し忘れるという人的ミスが構造的に排除されます。

異動時は、旧部署のロールが削除されて新部署のロールが付与されます。これにより権限の累積が防止され、常に現在の業務に必要な権限だけを持つ状態が保たれます。

この自動化の基盤となる技術プロトコルが SCIM（System for Cross-domain Identity Management）です。SCIMに対応したSaaSは、IGAやSaaS管理プラットフォームからの指示を受けてアカウントを自動作成・更新・削除できます。

アカウント プロビジョニングとは

参考URL: https://www.iij.ad.jp/biz/iga/

④ 監査ログ・レポーティング

IGAの4つ目の機能は、アクセスに関するすべての情報を自動記録し、証跡レポートとして出力することです。ISMS・SOX対応で「いつでも即時に証跡を提出できる」状態を作ることが、この機能の目的です。

具体的には、誰がいつどのシステムにどの権限でアクセスしたか、どのアクセス申請が誰によっていつ承認されたか、アクセス認定の結果はどうだったかといった情報が継続的にログとして蓄積されます。IGAを導入すれば、審査が来るたびにデータを慌てて集める作業から解放されます。

IGAが解決する情シスの3つの課題

IGAが実際にどのような業務課題を解決するのかを、情シス部門の視点から整理します。抽象的な概念の説明ではなく、現場で繰り返し発生している具体的な問題への対処法として捉えてください。

課題①「退職者・異動者のアカウントが残り続ける」

Excelや手動作業でアカウント管理を行っている場合、担当者の確認漏れや手続きの遅延により、退職後もアカウントが有効なまま放置されるケースが発生します。従業員が100名を超えると、手動管理の限界は顕著になります。

IGAとSCIM連携を組み合わせると、人事システムへの退職日入力をトリガーに、連携するすべてのSaaSのアカウントが自動的に無効化・削除されます。誰かが対応するだろうという属人的な運用から脱却し、例外なく自動処理される仕組みが構築されます。

課題②「監査対応のたびにExcelで手動集計が発生する」

ISMSの審査が来月に迫っているので今月中にアクセス権一覧を作ってほしい、という依頼が情シス担当者に飛んでくる場面は、多くの企業で繰り返されています。各SaaSにログインして権限情報をエクスポートし、Excelで統合するという非効率な手作業です。

IGAではアクセス権情報が常にリアルタイムで集約されているため、監査レポートを即時に生成できます。誰がどのアクセス申請をいつ承認したかの証跡も自動保存されているため、審査官の要求に即座に応えられます。

課題③「部門が増えるたびにアクセス権の管理が追いつかない」

組織の拡大・新規事業の立ち上げ・M&Aによる組織統合など、情シスが対応すべき場面は増え続けています。その都度、個別にアクセス権を設定していては追いつきません。

ロールベースの権限管理を実装していると、新しい部門が立ち上がった際に既存のロールをベースに必要な権限を追加するだけで、標準化された権限設定が完了します。入社時のオンボーディング工数も削減でき、情シス担当者が本来取り組むべき業務に時間を使えるようになります。

オンボーディング IT 自動化

IDaaS × IGA × Josysで実現する一気通貫管理

IGAを理解した上で、実際の現場でどのように実装するかを考えると、専用のIGA製品を導入しなければならないのかという疑問が生まれます。ジョーシスのプラットフォームは、SaaS管理という視点から、この問いに対して実践的な選択肢を提供しています。

Josysが果たす役割

ジョーシスのプラットフォームは、IDaaS（Entra ID・Okta・Google Workspaceなど）と連携しながら、全SaaSのアカウント状況をリアルタイムで可視化・管理します。IGA専用製品が持つ機能の多くを、SaaS管理と組み合わせた形で提供しています。

主な機能は4つあります。

• アカウントの可視化：連携しているすべてのSaaSのアカウント情報を一元管理画面に集約する。どの社員がどのSaaSにどのアカウントを持っているかを即時に確認でき、アクセス認定の前提となる現状把握を実現する
• 退職・異動トリガーによる自動制御：人事システムや管理者の操作を起点に、連携するすべてのSaaSのアカウントを一括で無効化・削除できる。SCIMに対応したSaaSであれば、Josysからの指示で自動的にデプロビジョニングが実行される
• 未使用アカウントの自動検出：ログインが長期間ないアカウントを自動的に検出する。孤立アカウントや不要なライセンスを発見し、セキュリティリスクとコストを同時に削減できる
• アクセス権棚卸しレポートの自動生成：SaaS全体のアカウント情報を集約したレポートを自動生成し、ISMS審査や内部監査でのエビデンス提出を効率化する

SaaSアクセス管理とは

連携アーキテクチャのイメージ

ジョーシスのプラットフォームを中心とした連携アーキテクチャは次のような流れになります。

1. 人事システムから入退社・異動情報がJosysに連携される
2. JosysがIDaaS（Entra ID / Okta）に対してプロビジョニング指示を送る
3. IDaaSがSSOと認証基盤を管理しながら、各SaaSにアカウント情報を同期する
4. 各SaaSでアカウントが自動作成・更新・削除される
5. Josysがすべてのアカウント状況を収集・可視化し、棚卸しレポートを自動生成する

この連携により、IGA的なガバナンスを専用製品を別途導入することなく実現できます。エンタープライズ向けのIGA専用製品では導入・運用コストが課題になる中堅企業においても、Josysのような統合プラットフォームは現実的な選択肢となります。

参考URL:https://www.lac.co.jp/lacwatch/service/20230322_003320.html

IGAの主要製品・サービス6選

IGAまたはIGA機能を提供する代表的な製品・サービスを整理します。自社の規模・要件・既存インフラとの適合性を確認することが、選定の第一歩です。

各製品はターゲット規模・既存インフラ・導入コストによって選択肢が変わります。以下に代表的な6製品の特徴を整理します。

SailPoint IdentityNow

グローバルIGA市場でシェアトップクラスを誇るSailPointが提供するクラウド型IGA製品です。アクセス認定・ロール管理・プロビジョニング自動化・AIによるリスク分析など、IGA機能を包括的に提供します。大規模エンタープライズを主なターゲットとしており、日本でも金融・製造・公共機関などで導入実績があります。機能の豊富さと引き換えに、導入・運用コストは高めです。（参考: https://www.sailpoint.com/）

Saviynt

クラウドネイティブなIGAプラットフォームとして注目を集めるSaviyntは、SaaS特化のアクセス管理とコンプライアンス対応を強みとします。マルチクラウド環境でのアクセス管理、SOX・HIPAA・ISO27001などへの対応機能が充実しており、SaaSを多数利用する企業に適しています。（参考: https://saviynt.com/）

Microsoft Entra ID Governance

Entra IDの上位機能として提供されるIGA機能です。すでにMicrosoft 365やEntra IDを利用している企業であれば、追加ライセンスでIGA機能を有効化できるため、導入障壁が低い点が魅力です。アクセスパッケージ管理・エンタイトルメント管理・アクセス認定などの機能が含まれます。

Okta Identity Governance

IdPとして広く普及するOktaが提供するIGA機能です。Okta基盤を導入済みの企業であれば、既存の認証・SSO基盤とシームレスに統合できます。アクセス認定・ガバナンスワークフロー・リスクベースのアクセス管理が特徴です。（参考: https://www.okta.com/jp/products/okta-identity-governance/）

IIJ IDガバナンス管理サービス

国内大手ISPのIIJが提供するマネージドIGAサービスです。日本企業特有の人事発令（入退社・異動・兼務・出向・転籍）に対応したカスタマイズが可能で、国内のサポート体制が整っている点が中堅企業に向いています。IIJのネットワーク・セキュリティサービスとの統合も検討できます。

Josys

ジョーシスのプラットフォームはIGA専用製品ではありませんが、SaaS管理の文脈でIGA的なガバナンス機能を提供します。全SaaSのアカウント一元管理・退職トリガーによるデプロビジョニング自動化・アクセス権棚卸しレポートの自動生成を、SaaSコスト管理・デバイス管理と組み合わせて利用できます。IGA専用製品の導入・運用コストが課題となる中堅企業にとって、現実的な選択肢の一つです。

参考URL: https://www.sailpoint.com/identity-library/identity-governance

参考URL: https://www.iij.ad.jp/biz/iga/

参考URL: https://jousys-force.deepapex.com/blogs/what-is-iga

自社にIGAが必要か？5つの判断基準

IGAの重要性を理解した上で、自社に導入が必要かどうかを判断するための基準を整理します。以下の5項目で現状を確認してみてください。

チェックリスト

以下の5項目はIGA導入の必要性を判断するための実務的なセルフチェックです。各項目を確認し、当てはまる数で自社の現状を評価してください。

退職者のアカウントを即日削除できているか

退職日当日中に、利用しているすべてのSaaSのアカウントを確実に削除できていますか。削除漏れがないか自信がない、対応が翌週になることがある、という場合、孤立アカウントが発生しているリスクが高い状態です。

ISMS・SOX監査でアクセス権証跡を即座に提出できるか

アクセス権の棚卸し一覧を作成するよう依頼があった場合、何日で対応できますか。3日以上かかる場合、手動依存の運用から脱却する必要があります。

異動者の旧権限が自動で削除されているか

部署異動・役職変更があった際に、前の部署で使っていたSaaSのアクセス権が自動で削除されていますか。明示的に削除を依頼しないと残るという運用は、権限の肥大化を招きます。

全SaaSのアカウント一覧を5分以内に出力できるか

社内で利用中のSaaS全体にわたって、誰がどのアカウントを持っているかの一覧を即座に取り出せますか。把握できていない場合、シャドーITや過剰権限の温床になっている可能性があります。

シャドーITとは

アクセス申請・承認プロセスが標準化されているか

部門からのSaaSアクセス申請が、メールやチャットで非公式に来ていませんか。申請フローが属人的になっていると、承認なしのアクセス付与や申請内容の追跡不能という問題が生じます。

判断の目安

3つ以上が当てはまる場合

IGA的なガバナンス基盤の導入を本格的に検討すべきタイミングです。まずはJosysのようなSaaS管理プラットフォームでアカウントの可視化と自動化を始め、その上で本格的なIGA製品への移行を検討するステップが現実的です。

1〜2つが当てはまる場合

特定の課題にフォーカスしたツール導入や、運用プロセスの見直しで対応できる可能性があります。

すべて問題ない場合

現状の管理レベルは高い水準にあります。次のステップとして、AIによるリスク分析や、より細粒度のアクセス制御（属性ベースアクセス制御）への移行を検討できます。

まとめ

IGAは「IDを管理する」ことを超えて、付与されたIDとアクセス権限が常に適正な状態にあることを保証するガバナンスの基盤です。クラウドSaaSの多様化、ゼロトラストセキュリティの普及、ISMS・SOX対応の厳格化という3つの変化が重なる現在、IGA的なガバナンスは情シス部門にとって避けられない課題になっています。

特に日本企業では、異動・兼務・出向という人事慣行によって権限の肥大化が起きやすく、退職後のアカウント残存も深刻なリスクです。IGAは大企業だけのものという認識は過去のものになりつつあり、従業員500名以上の中堅企業においても、優先課題として位置づける動きが広がっています。

導入を検討する際、エンタープライズ向けの専用製品だけが選択肢ではありません。ジョーシスのプラットフォームを活用することで、SaaS管理・アカウント管理・デバイス管理を統合しながら、IGA的なガバナンスを段階的に実装できます。まずは自社の全SaaSのアカウント状況を把握できているかという問いから始め、管理の空白地帯を可視化するところから着手してみてください。

Josysの無料デモを申し込む

SaaS全体のアカウント管理・アクセス権棚卸しの自動化に関心がある方は、ジョーシスのプラットフォームの詳細をご確認ください。Entra ID・Okta・Google Workspaceとの連携で、退職・異動トリガーによるアカウント管理の自動化を実現します。

Josys 無料デモ申し込みはこちら