SaaS管理システムの機能体系を整理する
SaaS管理システムの機能は、大きく「検知・可視化」「ライフサイクル管理」「コスト・ガバナンス」の三層に分類できます。製品によってどの層に重点を置くかが異なるため、仕様を読み解く際はこの分類を意識すると比較しやすくなります。
三層で捉える機能マップ
第一層「検知・可視化」は社内で稼働するSaaSを網羅的に把握する機能群で、OAuthトークン解析・ブラウザ拡張収集・ネットワークプロキシログの3種のデータソースが主な手段です。第二層「ライフサイクル管理」は入社から退社まで各SaaSのアカウント状態を人事データと同期する機能群で、SCIMやAPIコネクターによる自動プロビジョニングが中心です。第三層「コスト・ガバナンス」はライセンスの利用率可視化・契約更新通知・コスト按分レポートを通じて支出を適正化する機能群です。三層を連携させることで、検知したシャドーITを申請ワークフロー経由でライフサイクル管理に取り込み、コスト層でライセンス配賦まで一貫して処理できます。
製品仕様を比較するときの確認ポイント
製品を比較する際に確認すべき仕様ポイントは主に5つです。(1)対応するデータソースの種類と網羅範囲、(2)プロビジョニングのプロトコル(SCIM/API/CSV)と対応SaaS数、(3)連携可能なIdP・人事システムの一覧、(4)ライセンス回収フローの自動化レベル、(5)権限設定のモデル(ロールベース/属性ベース)です。製品の紹介文に「自動化」と書かれていても対応範囲や条件設定の柔軟性は異なるため、仕様書レベルの確認が重要です。
シャドーIT検知機能の技術的な仕組みと制限事項
シャドーIT検知は、社内で使われているSaaSを情報システム部門が自動的に把握するための中核機能です。しかし検知に使うデータソースによって、把握できる範囲と精度に大きな差があります。
OAuthトークン解析による検知の仕組みと限界
Google WorkspaceのOAuthトークン情報やMicrosoft Entra IDのサインインログを解析する方式は、会社アカウントのSSO経由SaaS利用を可視化します。Google Workspace管理コンソールのトークン発行ログやMicrosoft Entra IDのサインインログを定期取得し、アクセスされたサービスのクライアントID・スコープ・ユーザーを一覧化します。スコープ情報からSaaSが要求している権限(カレンダー読み取り・メール送信・Drive書き込みなど)も把握でき、リスク評価に活用できます。制限として、メールアドレスとパスワードで直接ログインするSaaSや、SAML認証のみ対応のSaaSはトークンログに残らず検知対象外です。
ブラウザ拡張とネットワークプロキシ方式の比較
ブラウザ拡張機能方式は、業務端末のChromeやEdgeに拡張をインストールし、アクセスしたドメインとログイン操作を収集します。OAuthを使わないサービスやメールアドレスで直接サインアップしたSaaSも検知対象に含められる点がOAuth解析との大きな違いです。ただしBYODや未管理端末には適用できず、プライバシー面の従業員同意も運用上の前提です。ネットワークプロキシ型はフォワードプロキシ経由の通信を解析するため端末OSや認証方式を問わず広く検知できますが、SSL/TLS復号が必要な場合はSSL Inspectionの構成が前提です。製品ごとに対応する検知方式の組み合わせが異なるため、自社環境に合う方式を持つ製品を選んでください。
プロビジョニング機能のプロトコル仕様と対応IdP
アカウントの自動作成・変更・削除(プロビジョニング)は、SaaS管理システムの中核機能の一つです。何のプロトコルを使ってどのSaaSまで対応できるかが、製品選定における技術的な判断軸です。
SCIMプロトコルの仕様と対応SaaSの確認方法
SCIM(System for Cross-domain Identity Management)はRFC 7642~7644で標準化されたユーザー・グループ管理APIです。SCIMエンドポイントを持つSaaSとIdPまたはSaaS管理システムが連携することで、ユーザーの作成(POST /Users)・更新(PATCH /Users/{id})・無効化(PATCH で active:false)・削除(DELETE /Users/{id})をHTTP APIで自動実行します。主要なSaaSのSCIM対応状況は各サービスの開発者ドキュメントで確認できます。Slack・Salesforce・GitHub Enterprise・Box・ZoomなどはSCIM対応サービスの代表例です。SCIM未対応のSaaSについては、SaaS管理システムが独自APIコネクターをあらかじめ用意しているケースがあります。自社で使っているSaaSのうち何件がSCIM対応か、残りについてコネクターで補完できるかを製品ごとに確認してください。
ITトレンドでは、最新の製品・サービスを多数比較・掲載しています。まず資料を取り寄せて、各製品のSCIM対応範囲やコネクター数を比較してみてください。忙しい業務時間内でも、各社に問い合わせる手間なく、たった1回の入力(約60秒)でSaaS管理システムの一括資料請求が可能です。
対応IdPの一覧と連携設定の考え方
プロビジョニング機能を動かすには、ユーザーディレクトリの正となるIdPまたは人事システムとの連携が必要です。主要なIdPはOkta・Microsoft Entra ID・Google Workspace・OneLogin・Ping Identityで、製品ごとに公式コネクターが用意されているIdPが異なります。連携設計ではIdPをマスターとしてユーザー情報の変更をSaaS管理システムが受け取り各SaaSへ伝搬させる構成が一般的で、双方向同期を行う場合はデータ競合の解消ルールも確認が必要です。人事システム(SmartHR・COMPANY・奉行クラウドHRなど)から直接連携する場合は、CSV取り込みかAPIか、またリアルタイム同期か日次バッチかを確認し運用設計に反映させてください。
ライセンス回収フローの自動化レベルと制限事項
使われていないライセンスを回収してコストを削減するには、「検知→確認→回収」のフローをどこまで自動化できるかが製品の差別化ポイントです。自動化レベルと制限事項を理解した上で運用設計を行うことが重要です。
未使用ライセンスの検知基準と閾値設定
SaaS管理システムによるライセンス未使用の判定基準は、主に「最終ログイン日からの経過日数」です。製品によって30日・60日・90日など複数の閾値を設定できるものと固定値しか選べないものがあります。ログインを「サービストップへのアクセス」で判定するか「実際の機能操作(APIコール・ファイル作成など)」まで含めるかも製品ごとに異なります。前者は表示のみで離脱したケースも「ログインあり」と判定するため過小検知が起きやすい点に注意してください。SaaSによっては最終ログイン日時のAPIを非公開としているケースがあり、その場合はブラウザ拡張ログや操作ログAPIなど別の収集手段で補完します。自社の主要SaaSのデータ取得可否を製品ごとに確認することが選定の重要な基準です。
回収フローの設計:猶予期間・アンケート・自動停止の連携
ライセンス回収のフローは一般に「未使用検知→利用者へ確認アンケート送信→猶予期間経過後にアカウント停止→ライセンス解放」という段階を踏みます。アンケート自動送信機能を持つ製品では、メール本文・送信タイミング・回答期限をテンプレートで設定でき、回答状況(継続利用・返上・未回答)に応じて次のアクションを自動分岐できます。猶予期間の設定は、サービスの業務重要度に応じて変えられるかを確認してください。コミュニケーションツールに7日・専門業務ツールに30日という具合に種別ごとに設定できる製品と、全サービス共通の固定値しか持てない製品があります。アカウント停止後のデータ保全ポリシー(停止後何日でデータ削除されるか)はSaaS側の仕様に依存するため、回収前にサービスごとのデータ保持期間も確認しておくことが必要です。
ロールベースアクセス制御と権限設計の仕様
SaaS管理システム自体のアクセス制御設計も、製品選定の重要な確認項目です。管理者・閲覧者・部門担当者など複数ロールを設定できるかどうかが、組織規模や運用形態に合わせた権限委譲の可否を決めます。
ロール設計の選択肢:固定ロール・カスタムロール・属性ベース
SaaS管理システムの権限モデルには大きく三種類あります。固定ロール型は「管理者/閲覧者/申請者」などあらかじめ定義されたロールを割り当てる方式で、設定が簡単な反面、細かい権限制御には向きません。カスタムロール型は管理者が閲覧・編集・承認・ユーザー管理などの権限をON/OFFで組み合わせてロールを定義できる方式で、柔軟性が高い分設計工数が増えます。属性ベース型(ABAC)は部署・役職・拠点などのユーザー属性に応じて自動的に権限が付与される方式で、組織変更があっても属性が変われば権限が追随するため大規模組織に向いています。自社の情報システム体制(集中管理か部門分散管理か)に応じて、どの権限モデルを持つ製品が適合するかを判断してください。
最小権限原則の実装と定期棚卸しの仕組み
最小権限原則(Principle of Least Privilege)を実装するには、付与した権限を定期的に棚卸しして不要な権限を剥奪するサイクルが必要です。SaaS管理システムの中には、各SaaSの権限設定を収集して「付与済み権限」と「実際の利用操作」を比較し、過剰付与と考えられる権限を一覧で表示するアクセスレビュー機能を持つものがあります。棚卸しの頻度(月次・四半期・年次)を設定し、承認者が承認または削減アクションを取るワークフローと組み合わせることで、権限の肥大化(Privilege Creep)を防ぐことができます。この機能の対応範囲もSaaSによって異なるため、自社で使用している主要SaaSの権限データを取得できるかを確認してください。
SaaS管理システムに関するよくある質問
製品仕様を調べる中で多く寄せられる技術的な疑問をまとめました。製品選定や導入設計の参考にしてください。
- ■Q1:SCIMに対応していないSaaSはどのように管理できますか?
- SCIM未対応SaaSへの補完手段は、(1)製品が独自に用意したAPIコネクター、(2)CSVによる一括処理、(3)担当者への手動対応タスク通知の三つが代表的です。コネクター数が多い製品ほど手動作業を削減できますが、SaaSのAPI仕様変更に対するコネクターの追随速度も合わせて確認してください。
- ■Q2:複数のIdPを併用している環境でも使えますか?
- マルチIdP対応の製品では各IdPのユーザーディレクトリを統合して単一インベントリを生成し、どのIdP経由でも一元管理できます。未対応製品ではいずれか一方をメインとして設定する必要があります。複数IdP環境では、統合後のID名寄せ(同一人物が複数IdPに別IDで存在する場合の照合)ロジックも仕様として確認してください。
- ■Q3:ライセンス回収の自動化と承認ワークフローは共存できますか?
- 多くの製品で共存可能です。アカウント停止まではシステムが自動処理し、契約数削減や解約は管理者承認を必要とする二段階設計が一般的な構成です。どのステップで承認を挟むかをルールとして設定できる製品と固定フローのみの製品があるため、自社の承認プロセスへの適合性を確認してください。SlackやMicrosoft Teamsへの通知連携の有無も選定ポイントです。
まとめ
SaaS管理システムの機能は名称が共通していても、検知に使うデータソース・プロビジョニングのプロトコルと対応範囲・ライセンス回収フローの自動化レベル・権限モデルの種類において製品間で仕様の差があります。シャドーIT検知ではOAuth解析・ブラウザ拡張・プロキシの3方式の違いを、プロビジョニングではSCIM対応SaaSとコネクター補完の範囲を、ライセンス回収では猶予期間設定やアンケート連携の柔軟性を、権限設計ではロールモデルと棚卸し機能の有無を確認ポイントとして押さえてください。自社の技術環境・使用中のIdP・対象SaaSの構成に照らして仕様を比較することが、導入後のギャップを防ぐ最善の方法です。まずは資料請求で各製品の技術仕様シートを取り寄せて比較してください。


