INDEX
株式会社SHIFTの調査によると、SaaSの管理を情報システム部門で一元管理している企業は全体のわずか22%という衝撃的な結果が明らかになりました。企業のIT化やDX推進活動により導入SaaSは増加の一途をたどる一方で、情シス部門の管理下にないSaaSが多数存在する実態が浮き彫りになっています。
SaaSは個別業務に焦点を当てて開発されていることから、従来の基幹システムと比較して導入コスト(初期費用や人的リソース)が大幅に抑えられ、手軽に始められるという特徴があります。また、現場部門では「改善のスピードを上げたい」という思いから、次々とSaaSを導入するケースが増えています。その結果”野良SaaS”や”シャドーIT”と呼ばれる情シス部門の管理の外にあるサービスは増える一方です。
SaaSの分散管理は現場の業務効率化に貢献しているように見えますが、実は企業全体に様々なリスクをもたらします。
現場部門がSaaSを管理する際に最も懸念されるのがセキュリティインシデントの発生です。
システム導入の専門知識を持たない現場では「今のところ問題が起きていないから大丈夫」と楽観的に捉えられることが少なくありません。しかし実際には、トラブル発生時に適切なログが保存されていないことで原因究明が困難になるケースもあります。また、セキュリティアップデートの適用漏れやサポート終了後も使い続けるといった脆弱性への対応不足も問題です。
一元管理されていない状態では、全社的な契約内容の把握が困難になります。同じ機能を持つSaaSを複数の部署が別々に契約していたり、退職や異動で業務から離れた社員のアカウントがそのまま放置されたりといった無駄なコストが発生し続けます。さらに、導入したものの実際にはほとんど活用されないまま月額料金だけが支払われ続けるSaaSも珍しくありません。こうした「見えないコスト」が企業の収益を静かに蝕んでいきます。
「便利だから」「導入したらすぐに使えるから」「今期中に業務改善目標を達成したい」
こうした理由で、現場が独自にSaaSを導入し、情シス部門への報告や相談をしないケースは後を絶ちません。
野良SaaSが増殖する最大の要因は導入の手軽さにあります。機能が業務に特化しているため専門知識がなくとも使い方を理解しやすく、ソフトウェアのインストール作業も不要。さらに、セキュリティ対策はサービス提供側が担っているため、ユーザー側はほぼノーメンテナンスで利用できます。
また、「DX」「業務効率化」を推進する経営層からの「鶴の一声」で、情シス部門を介さずにSaaSが導入されるケースも少なくありません。早急な成果を求める経営判断が、結果的に全社的なガバナンスを弱める皮肉な状況を生み出しているのです。
安全かつ効果的にシステムを運用するための業務(要件定義や検証など)には、多くの時間・人手がかかります。
しかし多くの企業では、情シス部門が慢性的な人手不足という課題を抱えています。「情シスに相談すると承認や導入に時間がかかる」という現場の不満が出る背景には、この人手不足が要因としてあるでしょう。
特に「ひとり情シス」と呼ばれる少人数体制の企業では、日々のトラブル対応だけで手一杯というのが実情です。
その結果、待ちきれなくなった現場部門が独自の判断でSaaSを導入するという悪循環が起こっています。また、初期導入時に情シスが関わったとしても、その後の日常的な運用管理まで手が回らず、結果的に現場主導の管理体制になってしまうケースも少なくありません。
いくら情シス部門が野良SaaSの危険性を訴えても、システム導入に関する明確なルールが社内で共有されていなければ効果は限定的です。多くの企業では、クラウドサービスの急速な普及に社内ルールが追いついておらず、旧来の導入プロセスをそのまま適用しています。
情シス部門はこの状況にどう立ち向かえばよいのでしょうか。完璧な一元管理を一気に目指すのは現実的ではありません。まずは着実に取り組める3つのステップから始めましょう。
最初に取り組むべきは社内に存在するSaaSの全体像を把握することです。部門ごとに調査を行い、導入しているSaaSをリストアップしましょう。契約内容、主な機能、導入目的、使用部署、契約更新日などの情報を網羅的に収集します。
それぞれのSaaSの利用状況を詳しく調査し、ログイン頻度や機能の使用率を確認します。稼働が少ないサービスや費用対効果が見合わないものを洗い出し、不要なアカウントも精査しましょう。「見える化」は定期的に実施し、常に最新の状況を把握し続けることが重要です。
次に、システムの導入・運用に関するルールを現状に合うように再定義します。
• SaaSの導入申請フォーマット:目的設定や期待する効果が明確になっているか
• 承認プロセス:情シスなど必要部門が適切に関与できる仕組みか
• アカウント管理ポリシー:誰が・いつ・どのようなルールで管理するか
• データ管理基準:バックアップや保管場所、削除ルールなどが明確か
• アクセス制限設計:最小権限の原則に基づいた設計になっているか
重要なのは、ルールが「障壁」として機能するのではなく、安全で効率的な利用を「促進」するものになることです。
全てのSaaSを一度に情シス管理下に置こうとするのは現実的ではありません。まずは重要度や影響度に応じた段階的なアプローチを取りましょう。
顧客情報や機密データを扱うSaaS、全社的に利用されているコアサービスから着手します。SSO(シングルサインオン)の導入や定期的なセキュリティレビューの実施など、まずは最もリスクの高い領域を守ることに注力しましょう。
SaaS管理ツールの導入を検討し、利用状況の可視化を進めます。重複契約の解消や未使用ライセンスの削減など、コスト面での最適化を図りましょう。この段階で部門担当者との連携体制を構築することも重要なポイントです。
全社的な理解と協力を得るため、SaaS管理の重要性や適切な利用方法について定期的な研修や情報共有を行います。ルールの遵守を「義務」ではなく「当たり前の文化」として根付かせることを目指しましょう。
SaaSの爆発的普及に伴い、情シス部門の役割も大きく変化しています。もはやすべてのITサービスを直接管理下に置くという従来型のアプローチでは、ビジネスの俊敏性を阻害する恐れがあります。これからの情シス部門に求められるのは「分散を前提としたマネジメント」という新たな視点ではないでしょうか。
現場主導で導入されたSaaSは、適切に管理されれば大きな業務改善の原動力となります。情シスがその「管理者」から「アドバイザー」「サポート役」へと立場を転換することで、企業全体としてのIT活用の質を高めることができるでしょう。
著者:おちあいなおこ
製造・卸・物流を扱う企業で情報システム部に所属。現場とともに走る情シスを目指し、日々現場に足を運び情報収集にいそしむ。基幹システム、Webアプリケーションの選定・導入・運用経験多数。もっと多くの企業の業務を改善したいという想いから独立。バックオフィスの伴走型支援を中心に、Webライターとしても活動中。
(TEXT:おちあいなおこ、編集:藤冨)
月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。
本特集はこちら
30秒で理解!フォローして『1日1記事』インプットしよう!
