SaaS管理・シャドーIT対策の検討を始める企業の多くは、「使っているSaaSが全部で何個あるか正確にわからない」という状態から出発します。情シス部門が把握している契約と、実際に現場が使っているSaaSの数が乖離しているケースは珍しくありません。本記事では、SaaS管理ツールの比較に入る前に固めておくべき要件整理の進め方を解説します。
なぜSaaS管理の要件整理は後回しにされやすいのか
SaaS管理・シャドーIT対策は、情報漏えいや退職者アカウントの放置といった具体的な事故が起きるまで優先度が上がりにくい領域です。日常業務が回っている限り「見えない無駄」が顕在化しにくいことが理由の一つです。未利用ライセンスの費用も、退職者アカウントの放置も、事故や監査のタイミングまで表面化しません。まず「今、どの部署がどのSaaSを契約し、誰が実際に使っているか」を可視化できているかを確認してください。
自社のSaaS利用実態をどう棚卸しするか
棚卸しでは以下を確認します。
- 経理部門の支払い明細に基づくSaaS契約の一覧
- 各SaaSのログインをID管理(IdP/SSO)経由で行っているか、個別ログインか
- 退職者・異動者のアカウント削除フローが存在するか
- 部門ごとに個別契約しているSaaS(情シス未把握のもの=シャドーIT)があるか
この棚卸しによって、課題が「可視化不足」なのか「削除フローの不備」なのか「契約の重複」なのかが具体化されます。
シャドーIT放置のよくある失敗は何か
シャドーITとは、情シス部門が把握・許可していない状態で現場が個別に契約・利用しているSaaSを指します。放置した場合の典型的な失敗は次の通りです。
- 退職者のアカウントが残り、外部からアクセス可能な状態が続く
- 同じ用途のSaaSが部門ごとに乱立し、契約コストが重複する
- 情報漏えいが起きた際、どのSaaSに何のデータがあるか即答できない
これらは「見えていない」ことそのものがリスクであり、まず可視化から着手する必要があります。
ID管理(IdP)基盤とSaaS管理ツールをどう比較して使い分けるか
ID管理(IdP/SSO)基盤は「誰がどのSaaSにログインできるか」という認証・アクセス権の統制が主眼です。一方、SaaS管理専用ツールは契約中の全SaaSの可視化、シャドーIT検知、ライセンスのコスト最適化まで対象にすることが多く、両者の役割は重なる部分と重ならない部分があります。すでにIdPを導入済みであれば、まずその範囲でどこまでカバーできているかを確認し、カバーできていない領域(シャドーIT検知・コスト最適化)だけを補う選択肢も検討してください。
戦略パターンの選び方をどう仮置きするか
SaaS管理カテゴリには複数の解き方があります。製品名を先に検討するのではなく、まずどの戦略パターンに近いかを仮置きしてください。
- 「SaaS管理専用ツール導入」:契約中のSaaS数が多く、手作業の棚卸しが追いつかない
- 「ID管理(IdP/SSO)基盤活用」:認証基盤はあるが使いこなせていない、まずそこを固めたい
- 「台帳スプレッドシート運用の高度化」:SaaS数が少なく、運用ルールの整備で対応できそう
- 「情シス・購買部門横断ガバナンス」:契約更新のタイミングで購買部門と連携して統制したい
- 「現状維持・いま買わない」:把握済みのSaaS数が少なく、既存の運用で当面のリスクは許容範囲
この仮置きは後で変わっても構いません。
Must条件とWant条件をどう分けるか
要件整理の次のステップは条件の優先順位付けです。Must条件は「これがないと統制が成立しない」もの。例えば「退職者アカウントの一括棚卸しができること」「主要SaaSとのAPI連携ができること」などです。Must条件は5個以内に絞るのが目安で、それ以上あると「実は全部Wantだった」可能性があります。Want条件は「あると良いが、なくても導入の判断は変わらない」ものとして、評価時の加点要素に留めてください。稟議を通す段階での条件整理の考え方はSaaS管理導入の意思決定に整理しています。
SaaS管理ツールを買わない条件、代替手段をどう定義するか
要件整理の最後に「SaaS管理ツールを買わない条件」を定義してください。以下のいずれかに該当する場合、追加ツールを買わずに済む可能性があります。
- 契約中のSaaS数が少なく、台帳スプレッドシートで棚卸しが追いついている
- 既存のIdPの棚卸し・レポート機能を使いこなせていない
- ライセンスコストの重複が金額として大きくない
「既存の道具で足りるなら買わない」という条件を先に定義しておくことで、比較段階での判断がぶれなくなります。
要件整理の成果物として何を揃えておくべきか
製品比較に移る前に、以下を整理した状態にしてください。
- 契約中の全SaaSと利用部門・利用者数の一覧
- ID管理(IdP)がカバーする範囲とカバーできていない範囲
- 仮置きした戦略パターンと、その理由
- Must条件(5個以内)とWant条件のリスト
- 「買わない条件」の定義
これらが揃った状態で比較に入ると、評価軸が「機能が多いか」ではなく「どの戦略パターンで解くと自社に合うか」という問いに変わります。
関連記事
- 比較段階の論点整理:SaaS管理ツールの選定:製品名でなく「戦略パターン」で比較する方法
- 導入の意思決定を固める:SaaS管理導入の意思決定:稟議の通し方・3年トータルコスト・買わない条件