はじめに：なぜ今、IT管理の「分散」が問題になっているのか

クラウドサービスの普及により、IT管理の在り方が根本から変わっています。かつては情報システム部門がシステムやツールをすべて管理する「集中型」が当然の体制でした。ところが今は、各部署が独自にSaaSを導入し、デバイスも多様化した結果、誰も全体を把握しきれない「分散型IT管理」の状態に陥る企業が増えています。

分散型IT管理とは、SaaS・デバイス・アカウントなどの管理主体が情シスに集約されず、部門や個人に分散している状態を指します。SHIFTが実施した「SaaSの導入・管理 実態アンケート調査」（2024年12月25日〜2025年2月10日、有効回答301件）では、SaaS管理を情報システム部門ですべて一元化できている企業はわずか22%にとどまり、残る78%は情シス以外の部門でも管理している実態が示されました。SaaS管理に限った数字ではありますが、多くの企業で管理主体が分散していることがうかがえます。この分散状態が、セキュリティリスクの増大・ライセンスコストの無駄・ガバナンスの形骸化という実害につながっています。

分散型IT管理の定義と発生メカニズム、具体的なリスク、そして情シス担当者が今日から取り組める対策を、順を追って整理していきます。

参考：（データで見るSaaS管理）SaaSの導入・管理 実態アンケート調査（SHIFT）

分散型IT管理とは何か

分散型IT管理は、言葉としては新しくても、多くの企業がすでに直面している状態です。ここではまず用語の定義を整理し、集中型との対比、そして分散がなぜ生まれるのかという背景までを順に見ていきます。意図的な分散と、気づかないうちに進む分散の違いを押さえておくことが、対策を考える出発点になります。

定義と概念

分散型IT管理とは、企業内のITシステム・SaaS・デバイスの管理主体が情報システム部門に集約されず、各事業部門・チーム・個人に分散している状態のことです。

英語では「Decentralized IT Management」と呼び、情シスが一元的に管理する「集中型（Centralized IT Management）」と対比して語られます。

重要な点は、分散型IT管理には「意図して設計されたもの」と「気づかないうちに自然発生したもの」の2種類があることです。

• 設計された分散型：グローバル企業や大規模組織が、各拠点・事業部の自律性を確保するために意図的に権限を委譲した体制。ガバナンスフレームワークが整備されていることが前提
• 自然発生的な分散型：SaaSの普及により、情シスが関与しないまま各部門がバラバラにツールを導入した結果として生じた状態。管理の空白地帯が積み重なっている

日本の中堅・大手企業で問題になっているのは、大部分が後者です。気づいたときには、誰が何のサービスを使っているかさえ把握できていない状態に陥っています。

分散型IT管理が生まれる3つの背景

1. SaaSの導入ハードルが下がりすぎた

クレジットカード1枚あれば、個人が数分でSaaSを契約できます。オンプレミスソフトウェアのように調達プロセスを経る必要がないため、現場が情シスの承認なしに使い始めてしまいます。「とりあえず試してみよう」という軽い判断が、IT管理の分散を加速させています。

2. DX推進の旗印のもとで現場主導が加速した

経営層から「スピードを上げてDXを進めよ」という号令がかかるなか、「情シスに申請すると時間がかかる」という理由から承認プロセスを省いてツールを導入する事例が増えています。DX推進というスピード重視の空気が、結果としてシャドーITを生みやすくしている面があります。

3. 情シスのリソースが限界に達している

慢性的な人手不足の情シス部門では、日々のヘルプデスク対応やシステム保守だけで手が塞がっているケースが珍しくありません。全社のSaaS申請を1件1件審査する余裕がなく、気づいたときには現場の導入を把握しきれなくなっていた、という状況が生まれます。

集中型IT管理との違い

分散型と集中型を比較することで、それぞれの特徴と限界が明確になります。

集中型は統制とセキュリティに優れる反面、スピードと柔軟性に欠けます。分散型は現場の俊敏性を確保できますが、ガバナンスが崩れやすいのが弱点です。

どちらが正解かという問いに答えはなく、現実的な解は「ハイブリッド型」です。情シスが全体の可視性と統制を担保しつつ、現場には承認された範囲で自律性を持たせる設計が、規模を問わず多くの企業で有効な選択肢です。

参考：「2025年の崖」を越えるIT運用管理、分散化するITシステム"3つの課題"を解決する方法

分散型IT管理が引き起こす5つのリスク

意図せず分散した状態のIT管理は、気づかないうちに深刻なリスクを蓄積します。代表的な5つを解説します。

リスク1：シャドーITが常態化する

シャドーITとは、組織が正式に承認していないITツール・デバイス・サービスを従業員が無断で利用している状態です。SaaS管理が分散すると、情シスが知らないサービスが社内に次々と増え、シャドーITが恒常化します。

Grip Securityが2024年に公表した「2025 SaaS Security Risks Report」では、組織内のSaaSアプリの90%・AIツールの91%が管理されていない状態にあると報告されています。管理されていないツールは、データ漏洩・マルウェア感染・コンプライアンス違反の入口になりえます。

リスク2：セキュリティ対策の網の目に穴が開く

情シスが把握していないSaaSやデバイスは、セキュリティポリシーが適用されません。パスワードの使い回し・多要素認証の未設定・過剰なアクセス権限といった問題が放置されるため、攻撃者に狙われやすい状態が続きます。

退職した社員のアカウントが放置されるリスクも深刻です。分散管理ではオフボーディング時のアカウント削除が漏れやすく、元社員が退職後も各種システムにアクセスできる状態が続くケースが実際に発生しています。

リスク3：ライセンスコストが静かに膨らむ

分散管理では、同じ機能を持つSaaSを複数の部門が重複して契約するケースが頻出します。全社で1つを一括契約すれば安く済むところを、部門ごとにバラバラに契約しているため、コストが割高になります。

加えて、退職者のライセンスや未使用アカウントが放置されることも多くなります。前述のGrip Securityの調査では、SaaSライセンスを付与されたユーザーの73%が、そのSaaSを一度も利用していなかったと報告されています。有償契約と紐づくライセンスであれば、誰も気づかないまま毎月コストが流れ続けている可能性があり、見直しの余地が大きい領域です。

リスク4：データがサイロ化して業務効率が落ちる

各部門が別々のツールを使うと、データが分断されます。顧客情報・プロジェクト情報・従業員情報が複数のシステムに散在し、整合性が取れなくなります。部門をまたいだ情報共有が難しくなり、同じデータを確認するだけで余計な手間がかかるようになります。

退職者の引き継ぎや新入社員のオンボーディングにも影響します。どのサービスのアカウントを発行すべきか把握できていないため、各担当者への確認作業が必要になり、スタート初日までに準備が間に合わないという事態も起きます。

リスク5：コンプライアンス対応が難しくなる

個人情報保護法への対応・情報セキュリティ監査・社内統制の観点でも、分散型IT管理は大きな障害になります。どのツールにどんなデータが保存されているかを把握できていない状態では、個人情報の管理台帳を正確に作成することすら困難です。

監査が入った際に散在した情報を手作業でかき集める事態になり、担当者の負荷が一時的に跳ね上がります。

参考：SaaS乱立時代の課題を突破する！リスク管理と運用最適化の最新戦略

参考：Grip Security Releases 2025 SaaS Security Risks Report

自社のIT管理が分散しているかを確認するチェックリスト

以下の項目に当てはまるものがないか確認してみてください。

• 社内で利用中のSaaSの一覧が存在しない、または最新の状態を保てていない
• 複数の部門が同じ機能のツールを別々に契約している
• 新入社員のアカウント発行・退職者のアカウント削除を手作業で行っている
• 退職者アカウントが残っていないか、定期的に確認できていない
• 情シスに承認を通さずにSaaSを導入した部門がある
• セキュリティポリシーが全社に均一に適用できているか把握できない
• IT管理業務が担当者個人の記憶やExcelに依存している

3つ以上当てはまる場合、すでに分散型IT管理の問題が顕在化している可能性が高い状態です。早めに実態の把握と対策の検討を始めることをお勧めします。SaaS管理・デバイス管理・アカウント管理における実務課題と解決のアプローチは、Josysの資料でもわかりやすく整理しています。自社の現状整理の手がかりとしてご活用ください。

分散型IT管理への対策：5つのステップ

分散したIT管理を整理し、適切なガバナンスを取り戻すための進め方を解説します。

ステップ1：現状の「見える化」から着手する

最初にすべきことは、社内で利用されているSaaS・デバイス・アカウントの実態把握です。何が使われているかわからない状態では、対策のしようがありません。

具体的には以下の方法が有効です。

• 経費精算データやクレジットカード明細からSaaSへの支払いを抽出する
• 各部門へのヒアリングで利用ツールを洗い出す
• ネットワークログやプロキシログを解析してアクセスされているサービスを確認する
• Active DirectoryやGoogle WorkspaceなどのIDPと連携してアカウント情報を収集する

洗い出したSaaSは、最低限つぎの項目を台帳にまとめておくと、その後の対策が進めやすくなります。

• サービス名と用途
• 管理部署・契約者
• 利用者数
• 月額・年額の費用
• SSO/多要素認証の対応状況
• 扱うデータの種別（個人情報・機密情報の有無）
• 退職者アカウントの残存有無と最終更新日

この棚卸し作業は手間がかかりますが、スキップすると後の対策が的外れになります。「現状把握なくして対策なし」が大原則です。

ステップ2：IT管理ポリシーを整備して現場に伝える

現状把握と並行して、全社共通のIT管理ルールを整備します。なかでも重要なのが、SaaS新規導入のプロセスの明文化です。

「情シスへの申請が必要」というルールを形骸化させないためには、申請・審査のプロセスをできるだけシンプルにすることが鍵です。申請の手間が大きいと、現場は迂回してシャドーITに走ります。

承認済みツールリストを作り「このリストから選ぶだけでOK」という運用にすれば、申請ゼロのシャドーIT導入を自然と減らせます。

ステップ3：IDのライフサイクルを自動化する

分散型IT管理で最も工数がかかるのが、入社・退社・異動に伴うアカウントの発行・削除・権限変更です。手作業で行っている限り、漏れや遅延が発生し続けます。

IdP（IDプロバイダー）やSCIMを活用して、人事システムとアカウント管理を連携させることが理想です。入社日に自動でアカウントが発行され、退職日に全SaaSのアカウントが自動で無効化される仕組みを目指します。

ステップ4：シャドーITの検出・対処を継続的に仕組み化する

ポリシーを作っても、現場が迂回してシャドーITを使い続けることはあります。定期的な棚卸しだけでは対応が後手になるため、継続的な検出の仕組みが必要です。

CASB（Cloud Access Security Broker）やSaaS管理プラットフォームを活用することで、承認外サービスへのアクセスをリアルタイムで検出できます。「すべて禁止」よりも「まず検出して評価する」アプローチが現実的です。リスクの高いサービスはブロック、評価待ちは監視下に置くという段階的な管理が有効です。

ステップ5：統合管理ツールで運用を仕組み化する

上記のステップを手作業で回すには限界があります。人手が限られる情シス部門が大量のSaaSとデバイスを継続的に管理するためには、SaaS管理プラットフォームの活用が現実的な解です。

主なSaaS管理プラットフォームでは以下を一元管理できます。

• 全社のSaaS利用状況のダッシュボード管理
• 未使用ライセンスの検出とコスト最適化
• シャドーIT（未承認SaaS）の自動検出
• 入退社・異動に連動したアカウントの自動発行・削除
• アクセス権限の定期レビューの自動化
• デバイスとSaaSの統合管理

参考：シャドーIT対策完全ガイド（Asana）

分散型IT管理を解消するJosysの活用

ジョーシスのプラットフォームは、SaaS・デバイス・アクセス権限を一元的に可視化し、入退社に伴うアカウント運用やアクセスレビューを支援するAI駆動型アイデンティティガバナンスプラットフォームです。国内外で1,000社以上に導入されており、分散したIT管理を集約することで、情シスの日常業務の負荷軽減につなげられます。効果は個社の状況により異なりますが、事例によってはIT工数を最大50%削減したケースもあります。

Josysが解決できること

SaaSの全社可視化

全社で使われているSaaSをJosys上に集約し、誰がどのサービスをどれだけ使っているかをダッシュボードで確認できます。部門別・コスト別の可視化により、重複ツールや未使用ライセンスをすぐに特定できます。

シャドーITの自動検出

未承認SaaSへのアクセスを自動的に検出し、一覧化します。情シスが把握していないツールが社内で使われていても、すぐに発見して対処できる状態になります。

オンボーディング・オフボーディングの自動化

人事システムと連携し、入社時のアカウント発行・退職時のアカウント削除を自動化します。これまで手作業で行っていた業務を効率化し、退職者アカウントの放置を防ぎやすくなります。

デバイスとSaaSの統合管理

PCやスマートフォンのデバイス情報とSaaSアカウント情報を紐づけて一元管理します。「誰がどのデバイスで、どのSaaSを使っているか」を把握することで、退職者対応・セキュリティ監査・棚卸し作業を効率化できます。

アクセスレビューの自動化

定期的なアクセス権限レビューをJosys上のワークフローで実施できます。各SaaS管理者や部門長が権限の妥当性を確認するプロセスを自動化し、過剰なアクセス権限を継続的に排除できます。

実際の画面を見ながら自社の課題に合った活用方法を相談したい場合は、無料デモで現状の課題整理から導入計画の策定まで専門担当者に直接相談できます。

参考：ジョーシスが提供するITデバイスとSaaSの統合管理（NRI）

分散型IT管理から統合管理へ：移行を成功させるポイント

分散状態から統合管理への移行は、段階的に進めることが重要です。現実的な進め方のポイントを整理します。

完全集中型を目指さないことが重要

「すべてを情シスで管理すべき」という発想に引っ張られると、現場の反発を招きます。現場の仕事のスピードを落とさず、ガバナンスだけを確保するには、情シスが全体の統制と可視性を持ちつつ、現場が承認された範囲内で自律的に動けるハイブリッド型の体制が現実的です。

情シスが担うべき役割

• 全社のIT資産・SaaSの可視化と台帳管理
• セキュリティポリシーの策定と適用
• ガバナンスフレームワークの設計・運用
• シャドーITの監視と対処
• 承認済みツールカタログの管理

現場部門が担う役割

• 承認済みツールリストの中からの選定・活用
• 自部門のSaaS利用状況の情シスへの報告
• 利用ツールに関するフィードバック

優先順位をつけて段階的に進める

すべてを一度に整理しようとすると途中で止まります。以下の順番で進めることをお勧めします。

1. 退職者アカウントの棚卸し：セキュリティリスクとして最も緊急度が高い
2. SaaS利用一覧の整備：全体像が見えないと次に進めない
3. 重複コストの解消：削減効果が見えると経営層の理解を得やすい
4. ポリシー整備と申請プロセスの構築：現場との合意形成を丁寧に行う
5. 自動化・ツール導入：手作業の限界を超えたタイミングで投資を判断する

経営層・現場の巻き込み方

IT管理の整備は、情シス単独では進みません。経営層には「セキュリティリスクとコストの無駄」という両面から必要性を説明し、現場には「管理強化＝制限」ではなく「快適に使えるIT環境の整備」として伝えることが重要です。

参考：Decentralized IT vs. Centralized IT: Which Approach Works Best for SaaS Management?（Josys英語ブログ）

よくある質問

Q：分散型IT管理と集中型IT管理、どちらが正解ですか？

どちらが絶対的に正しいということはありません。企業の規模・組織構造・事業フェーズによって最適な体制は異なります。ただし、自然発生した分散状態（情シスが把握していないSaaSが蔓延した状態）と、意図的に設計された分散体制は区別する必要があります。管理されていない分散はセキュリティとコストの両面でリスクが高く、早急な対処が必要です。

Q：分散型IT管理の解消に、まず何から始めればよいですか？

最初の一歩は「現状把握」です。社内で何のSaaSが使われているか、誰がどのアカウントを持っているかを棚卸しすることから始めてください。経費精算データの確認・各部門へのヒアリング・ネットワークログの解析などが有効な方法です。

Q：ひとり情シスでも統合管理は実現できますか？

実現しやすくなります。むしろ人員が少ない情シスほど、管理ツールへの投資が効果を発揮しやすい傾向があります。SaaS管理プラットフォームを活用すれば、少人数でも全社のIT資産を把握・管理する体制を整えやすくなります。手作業に頼った管理は属人化と漏れを招きやすいため、早い段階でツール導入を検討することをお勧めします。

Q：シャドーITをゼロにすることは現実的ですか？

完全にゼロにすることは現実的ではありません。目指すべきは「把握と評価の仕組みを整えること」です。未承認ツールを検出し、リスク評価のうえで承認・禁止・監視下に置くというサイクルを回すことで、リスクをコントロールできる状態を維持できます。

Q：SaaS管理ツールを選ぶ際のポイントは何ですか？

主な確認ポイントは4つです。(1)既存のSaaSや人事システムとの連携機能、(2)シャドーIT検出機能の精度、(3)アカウントライフサイクル管理（自動プロビジョニング）の有無、(4)操作性と情シス担当者の習熟コストです。無料デモや試用期間を利用して、実際の操作感を確かめることをお勧めします。

まとめ

分散型IT管理は、SaaSの普及と現場主導のDX推進を背景に、多くの日本企業で静かに進行している課題です。自然発生的な分散状態は、シャドーIT・セキュリティリスク・コストの無駄・ガバナンスの崩壊という実害を引き起こします。

対策は5つのステップで進めます。(1)現状の見える化、(2)ITポリシーの整備、(3)IDライフサイクルの自動化、(4)シャドーITの継続的な検出・制御、(5)統合管理ツールの導入です。

完全な集中型を目指すのではなく、情シスが全体の可視性と統制を持ちつつ、現場には適切な自律性を与えるハイブリッド型の体制が現実的なゴールです。

ジョーシスのプラットフォームは、デバイスとSaaSを1つの基盤で統合管理することで、分散型IT管理の課題に横断的に対応できるAI駆動型アイデンティティガバナンスプラットフォームです。人手が限られる情シス部門でも、アカウント運用の自動化・シャドーIT検出・ライセンスの最適化に取り組みやすくなります。

まず自社の状況を整理したい方は資料ダウンロードを、画面を見ながら相談したい方は無料デモをご活用ください。

Josys資料ダウンロード（無料）

無料デモを申し込む