“SaaSを制する企業がDXの時代を制する”

DX時代は、ITが競争力を生む。新しいIT技術を活用し、いかに競合よりも早く結果を出すか。日本でも、生産性向上やイノベーション創出に向けてSaaS活用が進む。この流れは不可逆だ。ポイントは、このスピード感にSaaS管理と活用を合わせること。攻めのセキュリティーでSaaSのメリットを最大化すること、これは経営アジェンダである。セキュリティーコンサルティングも手掛ける野村総合研究所と、クラウドでSaaS管理プラットフォームを提供するジョーシスのキーパーソンが対談。今、経営者が取り組むべきビジネススピードに応えるSaaSのセキュリティーについて考察した。

―DXを加速するITトレンドについてお聞かせください。

大元　米国では、ナレッジワーカーの8割以上が生成AIを利用しているといわれています。注視すべきは会社指定ではない、いわゆる“野良AI”が5割以上を占めるという点です。それが本当だとしたら、半数近くの利用が情報漏洩等のリスクにさらされていることになります。現場は情報システム部門にAIサービス利用の要望を伝え、システム利用許可を得るまでに数週間から長くて2カ月程度かかることがあります。DX時代のビジネススピードに応えるには、IT活用にもアジリティ（機敏性）が必要です。例えば、生成AIはスマートフォンでも簡単に使え、業務効率化や生産性向上に役立てられます。経営視点で重要なのは、いかに安全にメリットを享受するかです。これは今や経営課題であり、SaaSにおいても同様です。

高山　日本でもコロナ禍でSaaS利用が進みました。今後もDX推進、人手不足への対応などにより活用拡大は不可逆です。重要なのは、大元さんが指摘した「ビジネススピードに応えるIT活用」の観点です。当社でシャドーIT（野良SaaS）利用者1000人以上に対し、アンケートを実施しました。「なぜ利用するのか」との質問に対し、「社内審査が面倒で、申請しても半年以上待たされる」「自らの生産性を上げるために使っている」がトップ2の回答でした。企業競争力を考えた時、シャドーITを利用不可にするという方策は本質を捉えていません。

大元　SaaSで生産性を高めたいという従業員の声にスピード感を持って対応することが、現場から生まれるイノベーションの源泉になるという観点が重要です。

SaaSの投資対効果を把握
人にひも付けた管理が重要

―企業競争力を高めるSaaS管理のポイントは何ですか。

大元　自社がどのクラウドを使っているか分からない“クラウドカオス”が問題となっています。それに比べると、アプリごとに無数に存在する“SaaSカオス”の方がより問題ではないかと危惧しています。

SaaS管理は、経営課題として捉えるべきです。まずは経営者や管理部門が、自社内のSaaSの種類や利用状況、コスト、投資対効果、セキュリティーリスクを正確に把握できる仕組みづくりが基本になります。その上で、野良SaaSのリスクを回避しセキュリティーやITガバナンスの強化を図ります。

高山　増え続けるSaaSを管理するには、「人」にひも付けることが大切です。例えば自社の研究者が使っていると分かったSaaSを、部門で正式に使えるようにするなど、前向きな施策を打てます。また、SaaSライセンスを保有したまま退職するリスクも回避できます。SaaS管理についても「攻め」と「守り」のバランスがポイントですね。

SaaS管理プラットフォームの
組織導入、2027年に50%以上

―SaaSの活用拡大が進む中、DX時代のセキュリティー対策はどうあるべきですか。

大元　従来の考え方の延長で、時間をかけてSaaSセキュリティー審査をやっていては、DX時代のスピードに対応できません。運用管理全般（障害監視やリソース監視、変更管理等）はもちろん、セキュリティー管理（アクセス権限管理、構成管理、マルウエア対策、ログ保管等）など、必要な要素がすべて組み込まれているサービスの活用がトレンドです。いかに競合他社よりも早く、新しく安全なサービスを使いこなすか。DX時代を勝ち抜く鍵として、SaaS管理プラットフォーム「SMP（SaaS Management Platform）」の注目が高まっています。

高山　調査会社の米Gartnerは、「2024年の導入率10%未満の状況から、2027年までに50%以上の組織が、SMPを使用してSaaSアプリケーション管理を行う」と予測しています。

「ジョーシス」は、SMPとして必要な機能をすべて備えています。人にひも付けてSaaSの利用状況を可視化できるため対策が打ちやすく、ビジネススピードを阻害しがちな「SaaS審査問題」も解決できます。またシャドーITも検知し、危険度レベルも表示されます。サービス開始から3年、グローバルで導入が進んでいます。

日本発のSMP
協業でベストプラクティスを提供

―SaaSセキュリティーの観点からサイバー攻撃対策のポイントをお聞かせください。

大元　サプライチェーンがサイバー攻撃の対象となるケースが増えており、注意が必要です。実際にSaaSサービスなどのサービスサプライチェーンのセキュリティー侵害により、企業の重要な業務が停止してしまった事例も起きています。だからこそ、SMPでサプライチェーン全体を守ることが大切です。

高山　日本の製造業の多くは、アジアの拠点で利用しているSaaSの数や種類を把握できていないのが現状でしょう。当社ではサプライチェーン全体に対し、利用状況の見える化を支援しており、その事例も増えています。

また業界動向として、2024年から日本自動車工業会では関係するすべての企業に対し、使っているSaaSとそのセキュリティーレベルに関するリストの提出を求めています。SaaSリスクの高まりが背景にあると考えています。

―両社協業の意義、今後の展望についてお聞かせください。

大元　NRIグループのセキュリティーコンサルタントは、DXのインフラが中心です。企業の生命線を守るためには、インフラ上で動くソフトウエアも含めた、総合的な対策が重要となります。SaaS活用のメリットを最大化し、デメリットを最小化する手段としてSMPは有効です。当社は導入やカスタマイズなどをお手伝いし、共にSMPの普及・拡大を通じて日本企業の躍進に貢献していきます。

高山　SMPは新しいトレンドです。セキュリティーのプロフェッショナルである野村総合研究所様とのパートナーシップは、日本企業に安心と信頼をもたらします。セキュリティーの観点ではSaaSだけでなく、オンプレミスとの連携などトータルサポートが欠かせません。両社の協業により日本発SMPベストプラクティスをつくっていきたいと思います。