こちらはJumpCloud社Hatch Ozsahan氏によるSaaSのスプロールに関するブログ記事のCelio社による抄訳です。

散らかった机を、デジタルスケールで考えてみよう。

企業は何百ものクラウドベースのサードパーティ製SaaS（Software-as-a-Service）アプリケーションに依存している。中小企業の従業員の4分の1以上（28%）が、従業員のライフサイクルを管理するために11以上のツールを必要としている。エンドユーザーから見れば、これはまったく悪いことではない。

なぜだろうか？SaaSアプリケーションはアクティベーションが簡単で、多くの場合、無料版や、専門的なタスクを達成するための低価格版が提供されている。個人のスマートフォンに数十（またはそれ以上）のアプリケーションを持つことは、一般的な習慣だ。アプリケーションが役に立たなくなったら、使うのをやめればいいだけだ。

しかし、サードパーティの特殊なSaaSアプリケーションの利便性には、SaaSの乱立という課題がある。SaaSのスプロール（乱立）である。非常に多くのアプリが使用されているため、手に負えなくなるのは簡単だ。このスプロールは、非効率、セキュリティ・リスク、コスト増につながってしまう。

乱雑になりすぎたデジタルデスクに負担を感じているIT管理者であれ、リソースを最適化したいと考えているビジネスリーダーであれ、SaaSのスプロール問題に対する完璧な処方箋を用意した。さっそく始めよう。

SaaSスプロールとは、組織全体で使用されるSaaSアプリケーションが無秩序に拡大することである。企業がさまざまなビジネスニーズに対応するために複数のSaaSソリューションを採用するにつれ、さまざまな部門やチームで使用されるアプリの数が増えていく。多くの場合、IT チームは、従業員がビジネスメールでサインアップした SaaS ツールのほとんどに気付かないままである。最終的に、このような乱立は、盲点、コスト増、データ管理の問題につながってしまう。

SaaSのスプロールは通常、以下のような場合に発生する：

• 導入が戦略を上回る：包括的な管理戦略を持たずに、新しいSaaSアプリを導入する。
• 部門ごとの独立性：チームがその時々のニーズに合ったSaaSツールを選択し、契約する。
• アクセスの容易さ：SaaSアプリケーションのサブスクライブと導入がシンプルなため、導入障壁が低くなる。これにより、従業員はITの監視なしにソリューションを迅速に導入できる。

新しいデジタル経済では、ほとんどの組織がIT組織の所有権や管理権の外にあるテクノロジー・デバイス、ソフトウェア、サービスをサポートするという現実がある。この問題に対する唯一の解決策は、IT部門とビジネス部門との間の継続的なコラボレーションとコミュニケーションを改善し、不意打ちの可能性を最小限に抑えることである。

ガートナー リサーチ・バイス・プレジデント ドナ・フィッツジェラルド

一例を挙げると、ある企業がAIツールに関して明確なポリシーを定め、従業員に対して絶対に使用しないよう求めているとしよう。新しい技術を探求するのが好きな、技術に精通したジュニア・ソフトウェア・エンジニアが、より速くコーディングできる新しいAIツールに出会った。彼はさっそくこの新しいアプリに登録し、会社の重要なコードを入力してテストする。IT部門は、SaaS管理ソリューションを導入していないため、この状況を知らない。

この新しいAIアプリはハッキングされ、彼がそこに入力したデータはすべて流出してしまう。今、会社は悪意のある脅威、財政的・風評的ダメージに直面し、長期的な存続の危機に瀕している。

終わり。

これは最も単純な例の一つに過ぎない。あなたが想像できる仕事関連の問題には、何百ものSaaSアプリがある。これだけ多くの部署と従業員がいれば、物事が拡散して手に負えなくなる運命にあるのはほぼ確実だ。

大企業のIT支出の30％から40％はシャドーITによるものである。エベレスト・グループの調査によると、この数字は50％以上になる可能性がある。

組織がSaaSソリューションを採用するようになると、2つの重大な問題が浮上する：SaaSのスプロールとシャドーITである。

SaaSスプロールとは、組織内でのSaaSアプリケーションの無秩序な拡散を指す。

シャドーITは、SaaSアプリケーションを含むテクノロジーを、IT部門の認識や承認なしに使用することである。従業員は、標準的なプロトコルを回避し、セキュリティ・リスクやデータ・サイロを導入しながら、自分たちのニーズを満たすために承認されていないツールを使用する可能性がある。

JumpCloudのSME IT Trends Report Q3 2024によると、シャドーITはITセキュリティに関する懸念の29%を占めている。

SaaSのスプロールが、既知／未知ではあるがスプロールしているアプリケーションのコレクションを管理することに対処するのに対して、シャドーITは未承認のツールを特定し管理することに重点を置いている。一方を管理せずして、もう一方を管理することはできない。

SaaSスプロールの根本原因を理解することは、効果的な管理戦略を策定するために不可欠である。

可視性の欠如

使用中のすべてのSaaSアプリケーションを追跡する一元化されたシステムがないと、IT部門は自分たちが持っているものを見失う可能性がある。このような可視性の欠如は、SaaSエコシステムの効率的な管理と最適化を困難にし、最終的には重複購入やリソースの未活用につながってしまう。

分散化されたSaaSの調達と意思決定

各部門が独自にツールを選択すると、ITアーキテクチャが分断される。このような分散化は、冗長なアプリケーション、重複する機能、複雑性の増大をもたらす。

企業文化

自律性と迅速な問題解決を促進する企業文化は、SaaSの乱立を不注意に助長する可能性がある。従業員が自分で解決策を見つけることを奨励されると、組織への広範な影響を考慮することなく、新しいSaaSツールに目を向ける可能性がある。

BYOD (Bring Your Own Device) ポリシー

BYOD ポリシーは、従業員が個人のデバイスで承認されていないアプリケーションを使用することを容易にするため、SaaS の乱立につながる可能性がある。従業員のデバイスを追跡する全社的なソフトウェアがないため、この慣行は IT 管理をバイパスし、管理されていないアプリケーションの数を増やすことになる。

IT資産管理の欠如

IT資産管理（ITAM）は、組織のすべてのアプリケーションとツールを追跡することで、SaaSの乱立に対処する。このようなカタログがないと、従業員は新しいツールを独自に探して購読する可能性が高くなり、スプロールの一因となる。

IT部門

中小企業のIT担当者の60%が、最大の課題はセキュリティであると回答しており、次いで新サービスとアプリケーションの展開（42%）、リモートワークソリューションのコスト（41%）となっている。

管理されていないアプリや承認されていないアプリは、重大なセキュリティ上の脆弱性をもたらす可能性がある。IT部門は、監督なしにアプリが使用された場合、セキュリティポリシーの実施や機密データの保護に苦慮することが多い。その結果、次のようなことが起こり得る：

• コンプライアンスの問題
• データの漏洩や損失
• セキュリティ違反
• 統合の複雑さ
• サポートとメンテナンスの増加
• SaaSに費やされる無駄なIT予算
• チーム間の非効率なコラボレーション

財務部

SaaSの乱立は、機能が重複した冗長なアプリを生み出し、その結果、次のような事態を招く：

• SaaSサブスクリプションの重複
• 必要以上の機能に対する支払い
• 異なるチームが同じ機能の異なるアプリを使用
• 十分に活用されていないアプリケーション
• 必要以上のライセンスを購入

エグゼクティブ企業のステークホルダー

組織のSaaSアプリが戦略目標に合致していることを確認することは非常に重要である。エグゼクティブの利害関係者は、各ツールが会社の目標にどのように貢献するかを明確に理解する必要がある。

SaaSのスプロールに関してもう一つ重要なのは、リスク管理である。無秩序なSaaSスプロールは、データ漏洩、コンプライアンス違反、業務妨害など、企業を様々なリスクにさらす可能性がある。経営幹部は、会社の利益を守るために、リスクの軽減を優先しなければならない。

情報に基づいた意思決定には、組織のSaaS利用状況に関する正確なデータが必要である。経営幹部は、テクノロジーへの投資やリソースの割り当てについて戦略的な意思決定を行うために、SaaSの状況を可視化する必要がある。

1. すべてのSaaS利用を特定する

見えないものを保護することはできない。組織全体で使用されているすべてのSaaSツールを発見し、リストアップすることで、SaaSのスプロール管理プロセスを開始する。JumpCloudのような自動化ツールを活用して、使用中のすべてのアプリケーションを特定し、サブスクリプションの詳細を追跡し、ユーザーアクティビティを監視する。この継続的な発見プロセスにより、最新のインベントリを維持し、SaaSランドスケープの盲点を最小限に抑えることが可能となる。

2. SaaSアプリケーションの一元管理

SaaSアプリケーションの管理を一元化することで、冗長性を大幅に削減し、従業員の生産性を向上させることができる。承認されたすべてのSaaSアプリケーションが一覧表示される一元化されたプラットフォームを導入する。このアプローチにより、ITチームと調達チームはコントロールを取り戻すことができ、従業員はITチームに問い合わせることなく、承認されたアプリケーションを一箇所で簡単に見つけることが出来るだろう。

3. 従業員の教育

SaaS の乱立の意味と、承認されたツールを遵守することの重要性について、従業員を教育 することが重要である。トレーニングセッションを実施し、承認されていないアプリケーションに関連するリスクと、標準化されたソリューションを使用するメリットについて従業員に知らせる。SaaSツールを選択する際に、従業員が十分な情報を得た上で意思決定を行えるようにするためには、どのアプリケーションが承認されているのかを一元的に把握することが重要である。

4. SaaS 採用ガイドラインとポリシーの導入

一貫性とコンプライアンスを確保するために、SaaS採用に関する明確なポリシーを確立する。新しい SaaS アプリケーションを選択するための基準を定義し、承認プロセスの概要を示し、使用ポリシーを設定する。これらのガイドラインは、すべてのチームにとっての指針となるべきである。SaaSの調達と利用を標準化し、乱立のリスクを最小限に抑え、組織目標との整合性を確保するのに役立つ。

5. オンボーディングとオフボーディングの改善

新入社員は、標準化されたSaaS利用ポリシーを知らないことが多い。同様に、退職する従業員が開いたままのSaaSアカウントは、脅威要因の侵入口となり、セキュリティ侵害、予算の浪費、データの拡散につながる可能性がある。

このようなリスクを回避するため、新入社員には必要なSaaSツールを迅速にプロビジョニングするようにする。同様に、不正使用や潜在的なセキュリティリスクを防止するため、従業員が退職する際にアクセス権を剥奪し、ライセンスを管理するための徹底したオフボーディング手順を導入する。

参照すべき資料：ITオンボーディング：IT管理者のための包括的ガイド

6. SaaS監査の実施

SaaS 監査を定期的に実施することで、非効率性やコンプライアンス上の問題を特定し、対処することができる。すべての SaaS サブスクリプションを見直し、使用パターンを評価し、各アプリケーションの関連性を評価する。SaaS 監査は、十分に活用されていないツール、冗長なアプリケーション、コスト削減の可能性についての洞察を提供し、情報に基づいた意思決定と SaaS 投資の最適化を可能にする。

7. 資産管理への投資

IT資産管理（ITAM）は、SaaS管理を自動化し、ITの乱立を最小限に抑えるのに役立つ。また、SaaSアプリケーションは、ITAMが管理できる一側面に過ぎない。適切なツールを使用すれば、インフラ内のすべてのハードウェア、ソフトウェア、ネットワーク資産を追跡可能である。これには、調達、ライセンス管理、廃棄などが含まれる。

SaaSの乱立に対抗するには、すべての資産を一元的かつ意図的に管理することが重要である。クラウドベースのIDおよびデバイスアクセス管理ソリューションであるJumpCloudは、まさにそれを支援するように設計されている。

JumpCloudは、IT管理者が組織で使用されているすべてのSaaSアプリケーションを発見し、その数から誰がどのアプリケーションにアクセスしているかまで、使用パターンを把握できるブラウザ拡張機能を提供する。管理者は、アプリケーションへのアクセスをブロックしたり、許可されていないアクセスについてユーザーに警告したりすることが可能となる。また、管理者がインベントリやトラブルシューティングを行うために、許可されていない/許可されているすべてのアプリケーションを一箇所に表示することもできる。

JumpCloudによるSaaS管理について詳しく知りたい方はこちらからお問い合わせください。