SaaSスプロールとは——定義と発生メカニズム

SaaSスプロールは、現代のIT部門が直面する最も深刻な課題のひとつです。その実態を正確に把握することが、対策の第一歩となります。

SaaSスプロールの正確な定義

SaaSスプロールとは、組織内で管理されていないSaaSアプリケーションが制御なく増殖する現象を指します。英語の「sprawl（スプロール）」は本来、都市が計画なく郊外へ無秩序に広がっていく様子を表す言葉です。SaaSの文脈では、IT部門の承認・把握なしに各部門・各個人が独自にクラウドサービスを契約し、組織全体として管理不能な状態に陥ることを意味します。

SaaSスプロールの状態では、どのツールが誰に使われているか、どのアカウントが有効かが不明確になります。その結果、使われていないライセンスへの支払いが継続し、退職者のアカウントが残存し、未承認ツールに機密データが保存されるといった問題が複合的に発生します。

なぜSaaSスプロールが起きるのか——3つのメカニズム

①クレジットカード1枚で誰でも契約できる

SaaSサービスの多くは、クレジットカードさえあれば数分で利用開始できます。かつてのオンプレミスシステムは導入に数ヶ月の検討・稟議・ベンダー交渉が必要でしたが、SaaSはその障壁が極めて低くなっています。営業担当が「便利そうだから」と個人のカードでSlackを契約し、エンジニアがGitHub Copilotを試す——こうした個人単位の小さな契約が積み重なって、組織全体として把握できない規模へと膨らんでいきます。

②部門の独立裁量による購買

マーケティング部門はMAツールを、営業部門はSFA・CRMを、人事部門は採用管理システムを——各部門がそれぞれの業務効率化のために独立してSaaSを選定・契約する文化が根付いています。部門の裁量自体は生産性向上につながる面もありますが、全社視点での統制が欠けると重複契約や非効率が生まれます。たとえば、マーケティングと営業が同機能の別ツールを並行して契約するケースは珍しくありません。

‍③IT承認プロセスの機能不全

IT部門への申請が煩雑すぎる、承認に数週間かかる、申請フォーム自体が整備されていないといった状況では、現場担当者は「IT部門を通さずに自分で契約する」という選択をします。これは合理的な行動ですが、組織全体のガバナンスを崩壊させる原因になります。承認プロセスが形骸化していると、シャドーITとSaaSスプロールが同時進行で悪化します。

国内の実態——SaaS導入本数の現状

国内企業においても、SaaSの導入本数は急速に増加しています。調査によると、国内企業の30.7%が11本以上のSaaSを利用しており、前年比で5ポイント増加しています。さらにグローバルデータでは、平均的な企業は100本以上のSaaSを使用しているとされています。

「100本以上のSaaS」というと誇張に聞こえるかもしれませんが、Slack・Zoom・Google Workspace・Salesforce・HubSpot・Notion・Figma・GitHub・AWS・Azure・Dropbox・DocuSign・Workday……と列挙していくと、中堅〜大企業であれば100本に達するのは難しくないことがわかります。問題は本数の多さではなく、そのうちの何本が実際に活用され、適切に管理されているかです。

参考：SaaSスプロールとは何か（Josys Blog）

SaaSスプロールがもたらすコスト影響——統計と試算

SaaSスプロールによる経済的損失は、多くの経営者が想定するよりはるかに大きい規模です。統計データと具体的な試算で実態を把握しましょう。

実態データ：ライセンスの何%が無駄になっているか

複数の調査が、SaaSライセンスの無駄の実態を明らかにしています。

Productiv調査によると、企業が保有するSaaSライセンスのうち定期的に活用されているのは平均45%のみです（出典：Productiv調査）。つまり、支払い済みライセンスの過半数が十分に使われていないことになります。毎月100万円のSaaS費用を支払っている企業であれば、55万円分が無駄になっている計算です。

Gartner（2020年）の調査では、さらに厳しい実態が示されています。SaaSサブスクリプションを十分に活用しているCIOは全体の1割未満にとどまり、SaaSの30%以上が未使用と推定されています（出典：Gartner 2020年調査）。CIOの9割以上が自社のSaaSを有効活用できていないという事実は、SaaSスプロールがいかに広範な課題であるかを示しています。

国内に目を向けると、国内企業の7割以上が未使用ライセンスを保有しているという調査結果があります。これは「SaaSスプロールは海外企業特有の問題」という認識が誤りであることを示す重要なデータです。

コスト影響の3パターン

SaaSスプロールによるコスト損失は、大きく3つのパターンに分類できます。

①未使用・休眠ライセンス

最もわかりやすいコスト損失のパターンです。契約しているが誰も使っていないライセンス、あるいは月に1〜2回しかログインしない実質的な休眠ユーザーへのライセンス費用が発生し続けます。プロジェクトが終了した後もツールの契約だけが続いている、試用期間終了後もそのまま課金が続いているといったケースが典型例です。

②重複契約

同じ機能を持つツールを複数の部門が別々に契約しているケースです。たとえば、マーケティング部門がCanva Proを契約している一方で、デザイン部門がAdobe Creative Cloudを使い、さらに営業部門がPiktochartを契約しているといった状況が生まれます。それぞれの部門は最適な選択をしているつもりでも、組織全体として見ると大幅なコスト重複が発生しています。

③ゾンビアカウント

退職・異動・転籍した従業員のアカウントが削除されずに残り続け、ライセンス費用が発生し続けるパターンです。「ゾンビアカウント」とも呼ばれるこの問題は、特に従業員の流動性が高い企業や、オフボーディング（退職処理）が手動対応の企業で深刻になります。年間離職率10%の500名規模の企業であれば、毎年50人分のゾンビアカウントが発生する計算になります。

規模別コスト影響の試算

では、SaaSスプロールによる無駄なコストは実際に何円規模になるのでしょうか。企業規模別に試算します。

従業員100名規模の企業：年間120〜360万円の無駄

100名規模の企業でも、SaaSの種類が30〜50本に達するケースは珍しくありません。1ライセンスあたり月額数百円〜数千円のSaaSでも、未使用ライセンス率が40〜50%に達すれば、年間120〜360万円規模の損失が生まれます。これは新卒1名分の人件費に相当する金額です。

従業員500名規模の企業：年間600万〜1,800万円の削減ポテンシャル

500名規模になると、使用ツールの種類も増え、SaaS費用全体が大幅に膨らみます。同様の試算で、年間600万〜1,800万円の削減ポテンシャルがあります。MerryBizがJosys導入により年間約600万円のコスト削減を実現した実績は、この試算が現実的な数字であることを示しています。

Josysの資料を無料でダウンロードする

参考：SaaSスプロールによる無駄なコストとリスク（SS1LAB）

SaaSスプロールがもたらすセキュリティリスク

コスト面の損失だけでなく、SaaSスプロールはセキュリティ上の深刻なリスクも生み出します。情報漏えいやコンプライアンス違反につながるリスクを理解することが重要です。

リスク①：退職者アカウントの放置による不正アクセス

従業員が退職しても、各SaaSのアカウントが適切に削除・無効化されない場合、元従業員は退職後もシステムにアクセスできる状態が続きます。意図的な不正アクセスに悪用されるリスクはもちろん、元従業員のアカウント情報が第三者に漏れた場合に組織のシステムへの侵入口になるリスクもあります。

IT部門が把握していないSaaSは、オフボーディング時の削除リストにも含まれません。「IT部門が管理しているツールは削除した」が「各部門が独自に契約したツールは手つかず」という状況が、ゾンビアカウントを大量に生む温床となります。

リスク②：未承認ツールへの機密データ保存

従業員が業務効率化のために無承認のSaaSツールを利用する際、顧客情報・契約書・財務データといった機密情報を、セキュリティ審査を受けていないサービスにアップロードするリスクがあります。特に生成AIツール（ChatGPT・Claude・Gemini等）の利用が急拡大している現在、社内の未公開情報やコードが外部サービスに送信されるリスクは無視できません。

セキュリティ審査を通過していないツールは、暗号化要件・アクセス制御・データ保持ポリシーが自社のセキュリティ基準を満たしているかどうかが不明です。一度流出した情報は取り戻せないため、未承認ツールへのデータ保存リスクは事前に防ぐ必要があります。

リスク③：データの分散によるガバナンス喪失

SaaSが無秩序に増殖すると、組織のデータがさまざまなクラウドサービスに分散します。「顧客情報はどこにあるか」「契約書はどのサービスに保存されているか」という問いに答えられない状態は、データガバナンスの喪失を意味します。

GDPR・個人情報保護法・SOC2・ISO27001といったコンプライアンス要件への対応においても、データの所在が把握できていない状態では適切な対応が不可能です。監査対応のコストが増大し、場合によっては規制当局からの指摘や制裁リスクも生まれます。

SaaSスプロールが引き起こすガバナンス・業務上の課題

SaaSスプロールの影響は、コストとセキュリティにとどまりません。組織の業務効率と意思決定のガバナンスにも大きなダメージを与えます。

業務データの分散と非効率

各部門が異なるSaaSを使っていると、業務に必要なデータが複数のシステムに分散します。たとえば、顧客情報がCRM・MA・カスタマーサポートツール・スプレッドシートにバラバラに存在する状況では、全体像を把握するためだけに多大な工数がかかります。データの一元管理ができないため、分析・レポーティングの精度も低下します。

従業員の混乱と生産性低下

使えるツールが多すぎると、従業員はどのツールで何をすべきかわからなくなります。「この情報はSlackで共有すべきか、Notionに書くべきか、Teamsに投稿すべきか」という判断に時間を取られ、コミュニケーションが分散します。ツールの乱立は「協力」ではなく「分断」を生む原因にもなります。

IT部門の管理コストの増大

IT部門が把握していないSaaSが増えるほど、インシデント発生時の対応が複雑になります。「どのシステムに問題が起きているのか」「どのアカウントが影響を受けているのか」という特定に時間がかかり、対応が後手に回ります。また、IT部門が知らないシステムへのサポート依頼が現場から来るたびに、個別調査の工数が発生します。

コンプライアンスリスクの増大

IT資産台帳に記載のないシステムが存在する状況では、内部監査・外部監査・認証取得のプロセスに支障をきたします。また、各SaaSのデータ処理委託契約（DPA）が締結されていない場合、個人情報保護法やGDPRへの違反リスクが生じます。「知らないSaaSがある」こと自体がコンプライアンスリスクになります。

SaaSスプロールを克服する8つの対策

SaaSスプロールは「気づいたときに手を打てば改善できる」課題です。8つの対策を優先度と実施難易度の観点から解説します。

SaaSスプロールを抑制するには、単発の施策ではなく複数の対策を組み合わせた体系的なアプローチが必要です。以下の8つは、即効性の高いものから中長期的な仕組みづくりまでを網羅しています。

対策①：定期的なSaaS棚卸し（四半期に1回）

まず取り組むべきは、現状把握のためのSaaS棚卸しです。具体的には、①支払い記録（クレジットカード明細・経費精算データ）からSaaS名を洗い出す、②各部門へのヒアリングで把握できていないツールを特定する、③各SaaSの利用者数・利用頻度・コストを整理するという手順で進めます。

棚卸しは最低でも四半期に1回実施することが推奨されます。年1回では変化の速いSaaS利用状況に追いつけません。棚卸しの結果は、次の対策につながるインプットとなります。

対策②：SaaS管理プラットフォーム（SMP）の導入

手動での棚卸しは初回の実態把握には有効ですが、継続的な管理には限界があります。SaaS管理プラットフォーム（SMP）を導入することで、全SaaSの自動検出・利用状況の可視化・コスト管理・アカウントのライフサイクル管理を自動化できます。

JosysのSaaS Discovery機能は、組織内で使用されているすべてのSaaSを自動的に検出し、利用状況を可視化します。管理者が把握していないシャドーSaaSも含めて一覧化できるため、棚卸しの精度が飛躍的に向上します。

対策③：新規SaaS導入の承認プロセス構築

SaaSスプロールを防ぐには、新規ツール導入のゲートキーパー機能が必要です。申請フォーム・セキュリティ審査チェックリスト・承認フロー・導入後の定期評価を組み合わせた「SaaS導入承認プロセス」を整備します。重要なのは、プロセスを「通過しやすく」することです。煩雑すぎる申請プロセスは、シャドーSaaSを増やす逆効果になります。

目安として、承認は5営業日以内に完了させることが望ましいです。緊急性の高い案件向けに「即日承認トラック」を設けることも有効です。

対策④：SSO（シングルサインオン）による一元認証

SSOを導入することで、全SaaSへのアクセスを一元管理できます。従業員は1つのIDでアクセスし、IT部門はアクセス状況を中央から監視・制御できます。退職者のアクセスをSSOから遮断するだけで、すべてのSSOに連携したSaaSへのアクセスを一括無効化できるため、ゾンビアカウント問題の解消にも直結します。

また、SSOに接続されていないSaaSが存在する場合は、シャドーSaaSの疑いがあるものとしてフラグを立てることができます。

対策⑤：退職者アカウントの自動無効化（SCIM連携）

SCIM（System for Cross-domain Identity Management）を活用することで、人事システムの退職情報と連携し、各SaaSのアカウントを自動的に無効化・削除できます。手動での対応は漏れが生じるリスクがあるため、自動化が最善の対策です。

JosysのAccess Automation機能では、人事データとの連携により、従業員の入社・異動・退職に応じたSaaSアクセスの自動付与・変更・削除を実現します。Sales MarkerはJosys導入によりIT工数を約50%削減しており、そのうちの大きな割合がアカウント管理の自動化によるものです。

対策⑥：部門横断のSaaSガバナンス委員会設立

SaaSスプロールはIT部門だけでは解決できません。経営企画・CFO・各部門の責任者が参加する「SaaSガバナンス委員会」を設立し、全社方針・予算・ツール選定基準を決定する場を設けることが重要です。委員会は月1回〜四半期に1回程度開催し、新規SaaSの承認・既存SaaSの継続可否・コスト削減状況のレビューを行います。

対策⑦：「全社公認SaaS一覧」の整備と公開

全社で利用が承認されたSaaSの一覧を作成し、イントラネットや社内Wikiで公開します。「承認済みのツールはここを見ればわかる」という仕組みを作ることで、重複契約を防ぎ、従業員が適切なツールを選択しやすくなります。SaaS一覧には、ツール名・用途・管理部門・契約形態・問い合わせ先を記載します。

対策⑧：シャドーAI対策（生成AIツールへの対応）

生成AIツール（ChatGPT・Claude・Gemini等）の急速な普及により、新しい形のシャドーSaaSが台頭しています。従業員が業務でAIツールを個人利用する際に、機密情報を入力するリスクが急増しています。

対策として、①会社として利用を認める生成AIツールを明示する、②利用ガイドラインを整備する（入力してよい情報・してはいけない情報を明記）、③SSO連携・ログ監視できるエンタープライズプランの活用を推進するという3点が有効です。「禁止」するだけでは現実的に機能しないため、「安全に使える環境を整備する」アプローチが重要です。

8対策の効果×実施難易度マトリクス

参考：SaaSスプロール：課題の理解と克服方法（Josys Article）

SaaSスプロール解消を支援するツール比較8選

SaaSスプロールの解消に役立つツールを選定する際は、自社の規模・課題の優先順位・既存環境との親和性を考慮することが重要です。ここでは代表的な8つのツールを紹介します。

Josys（SaaS Discovery＋Access Automationでスプロール解消）

JosysはAI駆動型アイデンティティガバナンスプラットフォームです。350以上のアプリ（31カテゴリ）との連携に対応しており、国内外1,000社以上の企業に導入されています。SaaSスプロールの解消において特に強力な機能は以下の通りです。

SaaS Discovery：IT部門が把握していないシャドーSaaSも含め、組織内で使用されている全SaaSを自動検出します。ログイン状況・利用頻度・コストを可視化し、未使用ライセンスの特定を自動化します。

SaaS Insights：SaaS利用状況の分析・コスト最適化の提案を行います。「このライセンスは3ヶ月以上未使用」「このツールは重複契約の可能性あり」といったインサイトを自動的に提供します。

Access Automation：人事データと連携し、入社・異動・退職に応じたSaaSアクセスの自動付与・変更・削除を実現します。オンボーディング・オフボーディングの工数を大幅に削減します。

Access Reviews：定期的なアクセス権限の棚卸しを自動化します。各マネージャーが自チームのSaaSアクセスを確認・承認・削除する仕組みを提供します。

Device Management：PCや端末の管理と連携し、デバイスとSaaSの統合管理を実現します。

導入実績として、Anker JapanがITコストを75%削減、MerryBizが年間約600万円のコスト削減、MyBestがSaaS管理コストを70%削減、KCONが月40時間の工数削減を実現しています。IT工数の最大50%削減、ITコストの最大75%削減を実現するポテンシャルを持つプラットフォームです。

関連記事：SaaS管理ツールの選び方と比較

Admina by Money Forward

Money ForwardグループのAdminaは、SaaS管理に特化したプラットフォームです。会計ソフトとの親和性が高く、コスト管理の観点からSaaSを可視化する機能が充実しています。特に経理部門との連携を重視する企業に適しています。Google WorkspaceやMicrosoft 365との連携が強みです。

HENNGE One

HENNGEが提供するクラウドセキュリティ基盤です。SSO・多要素認証・メールセキュリティを中心に、クラウドサービスへのアクセスを一元管理します。特にセキュリティ面を優先する企業や、メールセキュリティとの統合を求める企業に適しています。

KAMOME SSO

国産のSSOソリューションです。オンプレミスのActive Directoryとのシームレスな連携が特徴で、既存のAD環境を維持しながらクラウドSaaSへのシングルサインオンを実現します。金融・製造・公共系など、セキュリティ要件が厳しい業界での導入実績があります。

dxeco

SaaSのコスト管理・最適化に特化したツールです。クレジットカード明細やインボイスと連携してSaaSコストを自動集計し、未使用ライセンスや契約更新日のアラートを提供します。コスト削減の即効性を重視する企業に向いています。

Netskope（CASB）

NetSkopeはCloud Access Security Broker（CASB）ソリューションです。未承認のSaaS利用（シャドーIT）の検出・制御に強みを持ち、データ損失防止（DLP）との統合も可能です。セキュリティ重視の大企業での採用実績が豊富です。

Microsoft Defender for Cloud Apps

MicrosoftのCASBソリューションで、Microsoft 365環境との統合が強みです。Microsoft 365を中心に展開している企業では、追加コストを抑えながらシャドーIT対策・SaaSリスク評価・コンプライアンス管理を実現できます。

BetterCloud

SaaSオペレーション管理（SaaSOps）に特化したプラットフォームです。Google WorkspaceやSlackなどのコラボレーションツールの管理に特に強く、ワークフロー自動化・セキュリティポリシー適用・利用状況分析を一元化します。北米での採用実績が多く、グローバル展開する企業に適しています。

SaaSスプロール対策のロードマップ——3フェーズで進める

SaaSスプロールの解消は、一度に完璧を目指すのではなく、3つのフェーズに分けて段階的に進めることが成功への鍵です。

フェーズ1（0〜1ヶ月）：可視化——全SaaSの棚卸し

最初の1ヶ月は「全貌を把握する」ことに集中します。手を動かす前に、まず「どんな問題があるか」を数字で把握することが重要です。

具体的なアクションとして、①支払い記録（クレジットカード明細・経費精算・請求書）からSaaSの一覧を作成する、②各部門の責任者へのヒアリングで補完する、③SaaS管理ツールの無料トライアルを活用して自動検出を試みる、④ツール名・契約者・月額費用・ユーザー数・利用頻度を一覧化するという4ステップを実施します。

この段階でのアウトプットは「全社SaaS台帳（ドラフト版）」です。完璧である必要はなく、まず「見えていなかったものを見える化する」ことが目的です。

フェーズ2（1〜3ヶ月）：最適化——未使用削除・重複統合

可視化によって実態が把握できたら、次は最適化の実行です。棚卸し結果をもとに、以下の判断を行います。

削除候補の特定：3ヶ月以上ログインがないアカウント、退職者のアカウント（ゾンビアカウント）、類似機能を持つ重複ツールを削除候補として特定します。削除前に必ず利用部門への確認を取り、業務影響がないことを確かめます。

重複ツールの統合：同機能のツールが複数あれば、最も利用率が高く・コストが最適なツールに統合します。統合にあたっては、データ移行計画・利用者への告知・代替ツールのトレーニングも含めて計画します。

承認プロセスの仮整備：新規SaaS導入の申請フローをシンプルな形で整備します。最初は申請フォーム1枚からでも構いません。

フェーズ3（3ヶ月〜）：ガバナンス構築——再拡散防止

最適化が一段落したら、「再びスプロール状態に戻らない仕組み」を構築します。ここが最も重要なフェーズです。一時的なコスト削減ではなく、継続的なガバナンスを実現することが目標です。

具体的には、①SaaS管理プラットフォームの本導入とプロセスへの組み込み、②SaaSガバナンス委員会の設立と定例化、③SSOとSCIMを活用したアカウントライフサイクル管理の自動化、④「全社公認SaaS一覧」の公開と維持管理ルールの策定、⑤四半期ごとの定期棚卸しの習慣化を実施します。

KCONは、Josys導入によって月40時間のIT管理工数を削減しています。この削減分は、SaaS台帳管理・アカウント管理・オフボーディング対応といった手作業の自動化によって実現しています。適切なツールと仕組みを整備することで、IT部門はより戦略的な業務に注力できるようになります。

まとめ

SaaSスプロールは、放置すれば複利的に悪化する課題です。今日1本増えた未管理のSaaSが、半年後には5本に、1年後には20本になっていたという事態は決して珍しくありません。支払い続ける無駄なライセンス費用が積み重なり、退職者アカウントが増え、管理コストが増大するという負のスパイラルが形成されます。

Productiv調査では定期活用されているSaaSライセンスが平均45%のみ、Gartner調査ではCIOの9割以上が自社SaaSを有効活用できていないという実態が明らかになっています。国内企業の7割以上が未使用ライセンスを保有し、100名規模の企業で年間120〜360万円、500名規模では年間600〜1,800万円の削減ポテンシャルが眠っています。

しかし、SaaSスプロールは「現状を把握すること」から解決が始まります。完璧な管理体制を一から構築しようとする必要はありません。まず支払い記録を見直し、SaaSの一覧を作るだけでも、想定外の無駄を発見できます。その次のステップとして、SaaS管理プラットフォームの導入で継続的な管理を自動化することで、コスト削減・セキュリティ強化・ガバナンス確立をまとめて実現できます。

棚卸しから始めるだけでよいのです。最初の一歩を踏み出せば、SaaSスプロールの解消は着実に進みます。

Josysの資料を無料でダウンロードする

Josysの無料デモを申し込む

関連記事：SaaSスプロールの原因と解決策

関連記事：未使用SaaSライセンスの削減方法

関連記事：SaaS管理ツールの選び方と比較