急増するSaaS／ITデバイスが課題に
解決策になる「従業員起点」の管理術とは

　コロナ禍におけるリモートワークの浸透やDXの加速を背景に、企業・組織におけるITデバイスやSaaSの利用が急速に拡大した。しかし、この大きな変化はITガバナンスに多大な負の影響をもたらしている。増え続けるSaaSやITデバイスを組織が管理しきれず、こぼれた部分がセキュリティーホールになっているのだ。

　実際、ニュースでは様々な情報漏洩事件が日々報道されている。例えば、退職した社員による機密情報の侵害や、個人情報の持ち出しといったケースはITガバナンスが低下していることの裏付けといえるだろう。「もちろん、すべての事故がSaaSやITデバイスの利用拡大と関係しているとは言い切れませんが、無関係ではないと当社は考えています」とジョーシスの堀尾 太一氏は指摘する。

　それでは、企業側は急増したITデバイスやSaaSをどのように扱っているのだろうか。これについてジョーシスは、大小様々な企業1000社に対してアンケート調査を実施した^※1。そこで見えてきたのは、「SaaSの種類が10を超えると、半数以下の企業で一元管理できなくなる」という事実だったという。

　「中でも衝撃的だったのは、自社が何種類のSaaSを使っているのか把握できていない企業が全体の4割もあったことです。しかも、そのうち6割が『特に管理していない』と回答していました」と堀尾氏は言う。ITデバイスについても管理は十分といえず、1000台以上のITデバイスを保有する企業でさえ、その1/3はExcelベースでの管理にとどまっている実態が明らかになったという。

　「ただ、幸いなことに、このままではいけないと考える企業は半数を超えていました。特に、コロナ禍を経てSaaS／ITデバイスの利用が増えた企業では、その9割近くがITガバナンスに課題を感じており、解決策を模索していることが見えてきました」と堀尾氏は語る。

　SaaSやITデバイスの管理が行き届かなくなる要因の1つは、日進月歩で進化するアプリやサービスが、事業部門主導で次々導入されていることがあるだろう。

　こうした「ITの民主化」は決して悪いことではなく、むしろビジネスアジリティーを高める上では効果的だ。問題は、組織のルール／ポリシーが、最新の利用状況に即したものになっていないことにある。「これまでIT部門が運用してきたIT資産管理の“唯一の真実（Single Source of Truth）”が維持できなくなったため、ITガバナンスが崩壊しているのです。この状況を是正しない限り、シャドーITに起因する情報漏洩、コンプライアンス違反、使っていないSaaSにかかるコストの無駄などの問題が発生してしまうでしょう」と堀尾氏は警鐘を鳴らす。

　環境が大きく変わる中、どうすれば“唯一の真実”を維持できるのか。ジョーシスは、そのための方法として「従業員を起点に情報をひも付ける」方法を提案している。

　「SaaSの契約やアカウントの発行・削除、ITデバイス利用における機器の手配やキッティング、回収、初期化などは、その多くが従業員の入社や異動、退職といったライフイベントに沿って発生します。あらゆる情報を従業員起点で取得することで、個々人のIT資産の利用状況を可視化し、分散管理を許容しながら“唯一の真実”を確保できるようになります」と堀尾氏は説明する（図1）。

　この方針のもと、同社が“唯一の真実”を確保するためのソリューションとして提供しているのが「ジョーシス」だ。その活用メリットは大きく次の3つある。

　1つ目は「従業員を起点とした情報の管理・更新が行えること」。従業員台帳、デバイス台帳、アプリ台帳の3つの台帳を作成し、それらを互いにひも付けることで、従来はばらばらだった情報を従業員起点で一元管理する。これにより、誰がどのITデバイス／アプリを利用しているかを簡単に把握できるようになる。

　2つ目は「入退社業務の効率化」だ。従業員が利用する各SaaSについて、未来の日付でアカウントの発行／削除予約が行える。発行する際は個々の従業員にお知らせメールを送ることも可能。また、削除する際はアプリ内のデータを別の従業員に移行することもできる^※2。

　そして3つ目が「セキュリティー強化」である。従業員のITデバイス／SaaSの利用実態を網羅的に可視化する。例えば、大きなリスクになりがちなのが退職者のSaaSアカウントの削除漏れ、ITデバイスの回収漏れだが、これを速やかに検知して管理者に通知することが可能だ（図2）。 　「全従業員が同じアプリを使っているわけではないため、アプリごとにアカウントを管理しようとすると、どうしても無理が生じます。従業員起点の管理でガバナンスを強化することで、情報漏洩をはじめとする重大なセキュリティーインシデントを未然に防ぐことが可能です」と堀尾氏は強調する。

　シャドーITを検知することも可能だ。従業員が利用しているブラウザーに拡張機能をインストールすることで、アクセスしたURLを収集。この情報をジョーシスが持つデータベースの情報と照合して、その結果を管理画面上に表示する。セキュリティー対策が不十分なアプリの利用を抑制できるほか、一度使ったきりで放置されているアカウントも可視化できるため、コスト最適化につなぐことができるだろう。

　上記のように、従業員起点で実態を可視化することで、SaaSやITデバイスに関するライフサイクルマネジメントを大幅に効率化できる。多くの特長が評価され、ジョーシスはサービス提供開始からわずか2年で500社以上の企業・組織に採用されているという。

　「ポストコロナ時代、改めて“唯一の真実”に基づく管理を徹底することが求められています。当社は、そのための効果的なITデバイスやSaaSのマネジメント方法をご提案します」（堀尾氏）。多様化、複雑化したSaaS／ITデバイスの管理に悩む企業は、一度検討してみることをお勧めする。