ラニテック合同会社 全事業公式サイト

2025.10.19

社員が自分で導入したSaaSを情シスが把握するには?

  • IT_MITENA
  • SaaS管理
  • アカウント管理
  • シャドーIT
  • セキュリティ
  • 情シス代行
  • 社員教育

近年、SaaS(クラウドサービス)の導入ハードルは劇的に下がりました。
クレジットカード1枚あれば、誰でも簡単にツールを契約し、チームで使い始めることができます。

しかしこの便利さの裏で、情シスが把握していないSaaSの乱立という課題が広がっています。
いわゆる「シャドーIT(Shadow IT)」です。

この記事では、社員が個人判断で導入したSaaSをどのように把握し、組織として安全に管理していくかを考えます。

1. シャドーITが発生する背景

まず、なぜ社員が勝手にSaaSを導入してしまうのか。
そこには「禁止」ではなく「仕組みがない」ことが原因としてあります。

  • 社内の承認・導入プロセスが複雑すぎる

  • 現行ツールが使いにくく、業務に合わない

  • 試しに使ってみたら便利で、そのまま継続利用している

  • SaaS契約を把握・管理する窓口が社内に存在しない

結果として、「Googleフォームで顧客情報を集めていた」「外部ツールに社内データを保存していた」など、情報漏えいやコスト重複のリスクが生じます。

2. 把握が難しい理由

SaaSはクラウド上で動くため、インストール型アプリのように検知ツールで管理するのが難しい点が特徴です。
さらに、フリーミアム(無料プラン)で利用されるケースも多く、管理台帳や請求明細に残らないことも珍しくありません。

主な課題は次の通りです。

  • IT資産管理ツールでは検知できない

  • クレジットカード明細だけでは用途が不明

  • 無料プランではアカウント管理が曖昧

  • 個人アカウントと業務アカウントの境界が不明瞭

この“見えないIT”をどのように可視化していくかが、情シスに求められる課題です。

3. 現実的な把握ステップ

完全な監視や禁止ではなく、「協力して可視化していく」ことが現実的なアプローチです。

ステップ1:現状の洗い出し

  • クレジットカード・経費明細・メールドメインをもとに利用中SaaSをリスト化

  • 管理台帳に「契約者」「用途」「利用者数」「支払い方法」を追記

  • 情報セキュリティポリシーで“業務利用可否”を仮分類

ステップ2:社員アンケート・ヒアリング

  • 「業務で使っている外部サービス」を自己申告してもらう

  • “禁止”ではなく、“安心して申告できる空気”をつくる

  • 利用目的を確認し、業務改善に有効なら正式導入も検討

ステップ3:ツールで自動検出

  • **SaaS管理ツール(SMP)**を導入し、OAuthやメールログから利用SaaSを自動検出

  • Google WorkspaceやMicrosoft 365の管理コンソールでも「外部連携アプリ」を確認可能

  • 定期的にレポートを出力し、リスクが高いサービスをリスト化

ステップ4:承認・利用ルールを明文化

  • 新規SaaS導入時の申請フローを設ける(Notionやフォームでも可)

  • 個人利用アカウントの登録禁止、管理者共有アカウントの利用推奨

  • セキュリティ要件(MFA・ログ保存・データ削除)をチェック項目化

「使ってはいけない」ではなく、「安全に使うためのルールを作る」という発想が重要です。

4. シャドーITを防ぐ運用文化

ツール導入を完全にコントロールすることは困難です。
そのため、技術的な管理と同じくらい“文化づくり”が重要になります。

  • 「ツール利用の相談窓口」を明示

    • 「このSaaSを使っていいか確認したい」と気軽に聞ける場をつくる

  • 情シスを“監視者”ではなく“相談相手”にする

    • 承認フローよりも「伴走支援」として寄り添う姿勢が定着を生む

  • 社内Wikiやポータルで「承認済みツール一覧」を公開

    • 使用可能・要相談・禁止の3区分で分かりやすく管理

  • 定期的なSaaS利用レビューを実施

    • 使われていないSaaSの削減、重複機能の整理を半年ごとに行う

このように「見える化」「共有」「協働」の3点を意識することで、社員の主体性を損なわずに安全な運用が可能になります。

5. 情シス代行による支援例

外部の情シス代行チームでは、次のような支援を行うケースがあります。

  • シャドーIT検出の初期診断(メール・認証・経費ログ分析)

  • SaaS管理台帳テンプレートの整備と自動更新設定

  • SaaS導入申請フローの設計(Googleフォーム/Notion連携)

  • 定期棚卸し・リスクレポート作成の運用設計

  • 社内周知用「承認済みSaaS一覧ページ」の作成支援

これらを通じて、単にツールを制限するのではなく、「社員の創意と安全の両立」を実現する仕組みづくりを支援します。

まとめ:シャドーITは“潜在的な改善ニーズ”のサイン

社員が個人でSaaSを導入するのは、裏を返せば「現場の業務を良くしたい」という意欲の表れです。
情シスがこれを“禁止対象”ではなく“改善のヒント”として捉えることで、組織全体のITリテラシーを高めるきっかけになります。

把握 → 分析 → 合意 → ルール化
このプロセスを継続することで、安全と柔軟性を両立したIT環境を構築できます。

lanitechの IT MITENA では、SaaS利用状況の可視化、承認フロー設計、台帳自動更新、セキュリティポリシー整備などを支援するケースがあります。
「どのSaaSが使われているのか分からない」「承認ルールを作りたい」といった課題をお持ちの方は、ぜひお気軽にご相談ください。

カテゴリ

人気記事

同じカテゴリーの記事

まずはお
気軽にご相談ください

必要な範囲で、柔軟に始められます。
お困りごとをぜひお聞かせください。

無料相談

Services

提供サービス

MITENA Care

日常業務を安心して任せられる
ヘルプデスク支援

詳しく見る

MITENA Drive

IT活用を前進させる
プロジェクト推進支援

詳しく見る

MITENA Vision

IT戦略を描き、
企業の未来を導くCIO機能支援

詳しく見る