>
>
公開日
急成長するSaaS管理ツールの市場背景や、情報システム部門が直面するID・コスト管理の課題を整理。主要ツールの機能・料金比較に加え、実際の企業による削減事例やセキュリティリスク対策、自社への導入可否を判定する具体的な判断基準までを網羅的に解説します。
SaaS管理とは?定義と4つの管理対象
はじめに
この記事でわかること
SaaS管理の定義と、企業が今すぐ取り組むべき理由
SaaS管理ツール主要5製品の特徴と料金
自社に最適なツールを選ぶための3つの判断軸
導入から運用定着までの5ステップ
ISMS・監査対応におけるSaaS管理の活用法
企業が利用するSaaSの数は年々増え続けています。総務省「令和5年通信利用動向調査」によれば、クラウドサービスを利用する企業の割合は77.7%に達しました。しかし、SaaSの導入が進む一方で、管理が追いつかない企業が大半です。
「どの部門が何のSaaSを契約しているか把握できていない」「退職者のアカウントが放置されたままになっている」「毎月のSaaS支出の全体像が見えない」——こうした課題を抱える情報システム部門は少なくありません。
本記事では、SaaS管理の基礎から、ツール選定・導入・運用定着までを一本で解説します。SaaS管理ツールの導入を検討している方はもちろん、現在のExcel管理に限界を感じている方にも実践的な指針を提供します。
SaaS管理とは、企業が利用するすべてのSaaS(Software as a Service)を可視化し、アカウント・コスト・セキュリティ・コンプライアンスの観点から統制する取り組みです。英語では「SaaS Management」と呼ばれ、専用ツールはSaaS管理プラットフォーム(SMP:SaaS Management Platform)と総称されます。
SaaS管理が必要とされる背景
かつてのオンプレミス環境では、ソフトウェアの導入は情報システム部門が主導し、利用者と費用を把握できていました。国内SaaS市場は2025年に約1.5兆円、2029年には3.4兆円へ拡大する見通しです(CAGR 11.6%)。しかしSaaSはクレジットカードひとつで誰でも契約できるため、部門ごと・個人ごとにSaaSが乱立しやすい構造にあります。マネーフォワードiの調査(2023年、N=1,021)では、40.8%の企業で事業部門が主体となってSaaSを選定しており、事業部門が契約するSaaSの数が全社契約を上回る企業は50.6%に達しています(出典)。この「誰が・何を・いくらで」使っているかが見えない状態が、以下のリスクを生んでいます。
SaaS管理の4つの管理対象
SaaS管理で統制すべき領域は大きく4つに分かれます。
管理対象 | 具体的な内容 | 放置した場合のリスク |
|---|---|---|
アカウント管理 | 誰がどのSaaSを利用しているか。入社・異動・退職に伴うアカウントの作成・変更・削除(IDライフサイクル管理) | 退職者アカウント放置による不正アクセス、ライセンス無駄遣い |
コスト管理 | SaaSごとの月額費用、未使用ライセンスの特定、契約更新時期の管理 | サイレント支出(使われていないライセンスへの支払い)、更新忘れによる不利な条件での自動更新 |
セキュリティ管理 | シャドーIT検知、多要素認証(MFA)の適用状況、外部共有ファイルの監視 | 情報漏洩、シャドーITによるデータガバナンス欠如 |
コンプライアンス管理 | 利用SaaSのセキュリティ評価、ISMS・Pマーク要件への適合確認、監査証跡の整備 | 監査指摘、セキュリティ認証の更新困難 |
これら4つの管理対象を横断的にカバーするのが、SaaS管理ツール(SaaS管理システム)の役割です。
SaaS管理が今すぐ必要な3つの理由
1. シャドーIT・シャドーAIの急増
情報システム部門が把握していないSaaSの利用(シャドーIT)は、多くの企業で常態化しています。当社マネーフォワードiの調査(N=1,021)によると、シャドーITを完全に検知できている企業はわずか15.3%にとどまり、「まったく検知できていない」「わからない」と回答した企業が合計33.3%を占めました(出典)。さらに2024年以降はChatGPTやClaude、Geminiといった生成AIサービスの業務利用が急拡大し、「シャドーAI」という新たなリスクカテゴリが加わりました。
※N=1021
シャドーITの問題は、検知できていないSaaSが存在すること自体にあります。特に生成AIツールは従来のシャドーITより検知が困難です。個人のクレジットカードで課金されるためSSO/IdPのログに残らず、フリープランであれば経費精算データにも現れません。ネットワークログの監視やブラウザ拡張機能の導入など、複数の検知手法を組み合わせる必要があります。
検知できなければ、セキュリティポリシーの適用も、退職時のアカウント削除も、コストの把握もできません。SaaS管理ツールのシャドーIT検知機能は、この「見えないリスク」を可視化する最初のステップです。
2. サイレント支出の拡大
「サイレント支出」とは、実際には使われていないのに毎月課金され続けているSaaSライセンスの費用を指します。退職者や異動者のアカウントが放置されている、トライアルから有料プランに自動移行していた、同じ用途のSaaSが複数部門で別々に契約されている——こうしたケースが積み重なると、SaaS支出全体の20〜30%が無駄になっているケースも珍しくありません。前述の調査でも、約8割(78.0%)の企業がムダになっているアカウントの存在を認識しており、そのうち63.2%が月額3万円以上のコストが発生していると回答しています。
※N=796
SaaS管理を導入した企業では、未使用ライセンスの特定と解約だけで年間数百万円のコスト削減に成功した事例があります。SaaS管理ツールのコストマネジメント機能は、支出の全体像を可視化し、最適化の余地を明らかにします。
関連記事:SaaSコスト削減の決定版|情シスが実践すべき最適化とライセンス管理
3. 退職者アカウント放置によるセキュリティ事故
50%以上の企業が「退職時のアカウント削除」を最も手間のかかる業務として挙げており、手動でのアカウント棚卸しでは、利用中のSaaSが30〜50種類を超えた時点で抜け漏れが発生しやすくなります。退職者のSaaSアカウントが削除されずに残っている場合、第三者が退職者の認証情報を使って社内データにアクセスできる状態が続きます。これはISMS(情報セキュリティマネジメントシステム)の管理策「A.9 アクセス制御」にも抵触する重大なリスクです。
SaaS管理ツールによるIDライフサイクル管理(JML:Joiner=入社・Mover=異動・Leaver=退職)は、入社時のアカウント作成、異動時の権限変更、退職時の一括削除までを自動化し、「消し忘れ」を構造的に防止します。
※N=758
SaaS管理の手法比較:スプレッドシート管理 vs 専用ツール
SaaS管理に取り組む方法は大きく2つあります。コストをかけずにExcelやGoogleスプレッドシートで管理する方法と、SaaS管理ツール(SaaS管理プラットフォーム)を導入する方法です。
スプレッドシート管理の限界
SaaSの利用数が少ない段階(〜10種類程度)では、スプレッドシートでの台帳管理でも運用は可能です。しかし、SaaS数が増えるにつれて以下の問題が顕在化します。
更新が追いつかない:部門が独自に契約したSaaSが台帳に反映されず、実態と乖離する
リアルタイム性がない:利用状況やコストが「調べた時点」のスナップショットにとどまる
退職対応が属人化する:退職時に「どのSaaSのアカウントを消すべきか」を担当者の記憶に依存する
監査対応に工数がかかる:ISMS審査等でアクセス権の棚卸しエビデンスを求められた際、手動で一つずつ確認する必要がある
SaaS管理ツールのメリットとデメリット
メリット | デメリット | |
|---|---|---|
スプレッドシート | コストゼロ、導入ハードルが低い、カスタマイズ自由 | 更新漏れ、リアルタイム性なし、属人化、スケールしない |
SaaS管理ツール | 自動検知・自動更新、リアルタイム可視化、退職対応の自動化、監査対応の効率化 | 月額コスト発生、導入時の初期設定工数、ツール自体の運用学習 |
企業規模別の判断基準
一般的な目安として、以下の条件に1つでも該当する場合はSaaS管理ツールの導入を検討すべきタイミングです。
利用しているSaaSが20種類以上
従業員数が50名以上
年間のSaaS支出が500万円以上
ISMS・Pマークを取得済み、または取得予定
過去1年以内に退職者のアカウント削除漏れが発覚した
SaaS管理ツールの3タイプと選び方
SaaS管理ツール(SaaS管理システム)は、機能の設計思想によって大きく3つのタイプに分類できます。自社の課題に合ったタイプを選ぶことが、導入成功の第一歩です。
タイプ1:コーポレートIT統合管理型
SaaSだけでなく、PCやモバイル端末などのIT資産(デバイス)もまとめて管理できるタイプです。情報システム部門が扱うIT資産全体を一画面で把握したい企業に向いています。SaaS管理とデバイス管理を別々のツールで運用する手間がなくなる反面、各機能の深さは専用ツールに劣る場合があります。
タイプ2:SaaS管理プラットフォーム(SMP)型
SaaSの管理に特化したタイプです。SaaS連携数の多さ、アカウントのライフサイクル管理、コスト可視化など、SaaS運用管理に必要な機能を深くカバーします。SaaSの利用数が多く、SaaS管理を中心に据えたい企業に最適です。
関連記事:SaaS管理プラットフォーム(SMP)とは?IDaaS・CASBとの違いと機能を解説
タイプ3:IDaaS / SSO起点型
シングルサインオン(SSO)やID管理を主軸として、その延長でSaaSの利用状況を把握するタイプです。認証統合がまだ進んでいない企業や、まずはSSO/MFAの導入から始めたい企業に向いています。SaaS管理の専門機能はタイプ1・2に比べて限定的です。
SaaS管理ツールと隣接カテゴリの違い
SaaS管理ツール(SMP)は、関連する他のセキュリティ・IT管理カテゴリと混同されがちです。それぞれの役割と使い分けを整理します。
カテゴリ | 主な役割 | SaaS管理との関係 |
|---|---|---|
SMP(SaaS管理プラットフォーム) | SaaSのアカウント・コスト・ライセンスの一元管理 | SaaS管理の中核ツール |
SSPM(SaaSセキュリティ態勢管理) | SaaSのセキュリティ設定の監視・是正 | セキュリティに特化した補完ツール |
IDaaS | SSO・MFA・ID管理の統合 | 認証統合でSaaS管理の一部をカバー |
CASB | クラウドサービスへのアクセス制御・通信監視 | ネットワーク層の補完ツール |
多くの企業ではSMPを中核に据え、必要に応じてIDaaSやCASBを組み合わせる構成が一般的です。SSPMは特にセキュリティ要件の厳しい業界(金融・医療等)で導入が進んでいます。
SaaS検知方式の違い
SaaS管理ツールがシャドーITやアカウント情報をどう検知するかは、製品ごとに大きく異なります。
検知方式 | 仕組み | メリット | 限界 |
|---|---|---|---|
API直接連携 | 各SaaSのAPIに接続し、アカウント・権限・最終ログイン日時を取得 | 最も高精度。SSO外のSaaSもカバー | 連携開発が必要。対応SaaS数がツールの実力を左右する |
SSO / IdP連携 | シングルサインオン経由の利用状況を取得 | 導入が容易。既存のIdP基盤を活用 | SSO非対応のSaaS(安価なツール等)が検知対象外になる |
ブラウザ拡張機能 | ブラウザ上のSaaS利用を検知 | API非対応SaaSも検知可能 | モバイルアプリ利用を検知できない。社員への導入依頼が必要 |
API連携数が多いツールほど、手動設定なしで広範なSaaSを自動検知・管理できます。
SaaS管理ツール選定の3つのチェックポイント
チェックポイント | 確認すべき内容 | 判断基準の例 |
|---|---|---|
1. 連携SaaS数とAPI対応 | 自社で利用中のSaaSとの連携可否。API連携・SCIM連携のサポート範囲 | 連携SaaS数が100以上あるか。利用中の主要SaaSがカバーされているか |
2. 検知方式 | シャドーITをどのように検知するか。ブラウザ拡張・メール解析・IdP連携・SSO連携など | 複数の検知手段を組み合わせられるか |
3. コスト構造 | ID課金か定額か。無料プランの有無。最低契約期間 | 月額200〜300円/ID が相場。50ID以下無料のツールもある |
料金相場
SaaS管理ツールの料金は、ID(従業員)単位の課金が一般的です。月額200〜300円/ID が国内主要ツールの価格帯です。100名規模の企業であれば月額2〜3万円、500名規模で月額10〜15万円が目安になります。
ただし、追加オプション(デバイス管理、AIヘルプデスク、アウトソーシング等)は別料金となるケースが多いため、基本料金だけでなく総保有コスト(TCO)で比較することが重要です。
主要SaaS管理ツールの特徴
国内で利用実績のある主要なSaaS管理ツール(SaaS管理システム)の特徴を紹介します。各製品の公式サイトで公開されている情報に基づいています。
製品名 | タイプ | 連携SaaS数 | 特徴 |
|---|---|---|---|
マネーフォワード Admina | SMP型 + デバイス管理 | 380以上 | 国内最大級のSaaS連携数。50ID以下永年無料。SOC2 Type2を3年連続取得。ITトレンド年間ランキング2025 SaaS管理部門1位 |
ジョーシス | コーポレートIT統合型 | 非公開 | SaaS+ITデバイスの統合管理。多言語対応。グローバル企業向け |
freee IT管理 | コーポレートIT統合型 | 非公開 | freeeプロダクト群との親和性。バックオフィス統合 |
ITboard | SMP型 | 非公開 | SaaS利用状況の可視化と分析。コスト最適化 |
GMOトラスト・ログイン | IDaaS / SSO起点型 | 非公開 | SSO・ID管理を起点としたSaaS管理。認証統合に強み |
上記は各社公式サイトの情報に基づく概要比較です。機能の詳細や最新の料金体系は、各社の公式サイトまたは資料請求で確認してください。
ツール選定の実務的なポイント
比較表だけでは見えない選定ポイントがあります。
連携開発のスピード:利用中のSaaSが連携対象外だった場合、連携追加のリクエストにどれくらいで対応してもらえるか
API非対応SaaSへの対処法:すべてのSaaSがAPIを公開しているわけではありません。API非対応SaaSをどう管理するか(Googleシート同期、手動登録等)の柔軟性も重要です
無料プランでの検証:導入前に実環境で動作を検証できるかどうか。無料プランや無料トライアルの有無と期間を確認しましょう
SaaS管理の導入5ステップ
ステップ1:現状の棚卸し
まず社内で利用されている全SaaSを洗い出します。以下の5つのデータソースを突合すると、漏れなく棚卸しが可能です。
コーポレートカード / 経費精算データ:支出が発生しているSaaSを網羅的に抽出する最も確実な方法
IdP / SSOログ:認証基盤経由で利用中のSaaSを自動的に把握
購買申請台帳:正規の購買プロセスで契約されたSaaSの一覧
ブラウザ / ネットワークログ:上記に現れないシャドーITを検知
各部門へのヒアリング:部門独自に契約しているSaaSの洗い出し
特にコーポレートカード明細とIdPログの突合が重要です。カード明細に支払いがあるのにIdPに登録がないSaaSは、シャドーITの可能性が高いと判断できます。
SaaS管理ツールを利用する場合は、ツールのシャドーIT検知機能やSSO/IdP連携で、IT部門が把握していないSaaSも自動的に検出できます。
関連記事:SaaS棚卸しの進め方と実践的ツール比較|費用削減の5ステップ
ステップ2:管理ルールの策定
棚卸しの結果を基に、以下のルールを策定します。
SaaS導入申請フロー:新しいSaaSを導入する際の承認プロセス(申請→セキュリティチェック→承認→導入)
入社・退職時のアカウント管理フロー:入社時に付与するSaaSの標準セット、退職時の削除チェックリスト
棚卸しの実施頻度:四半期に1回など、定期的な利用状況確認のスケジュール
コストレビューのタイミング:契約更新の2〜3ヶ月前にコスト見直しを実施
ステップ3:ツール選定と導入
前章の3つのチェックポイント(連携SaaS数・検知方式・コスト構造)に照らして候補を2〜3製品に絞り込み、無料トライアルで実環境検証を行います。検証時に確認すべき項目は以下です。
自社の主要SaaS(上位10〜20種類)との連携が動作するか
管理画面のUIが自社の運用担当者にとって直感的か
退職者アカウントの一括削除がスムーズに実行できるか
ステップ4:運用開始とクイックウィン
導入直後は、「未使用ライセンスの特定と解約」をクイックウィン(短期的な成果)として実行します。コスト削減効果を経営層や他部門に示すことで、SaaS管理の取り組みへの社内理解を得やすくなります。
ステップ5:継続的な改善
SaaS管理は一度導入して終わりではなく、継続的な運用改善が必要です。以下のサイクルを回します。
月次:コストダッシュボードの確認、新規SaaS検知のアラート対応
四半期:利用状況の棚卸し、未使用ライセンスの整理
年次:契約更新の交渉準備、SaaS管理ツール自体の効果検証
法令対応・監査でのSaaS管理の活用
SaaS管理は単なる業務効率化ではなく、企業のコンプライアンス体制を支える基盤でもあります。特にISMS(ISO 27001)やPマーク(JIS Q 15001)を取得している企業にとって、SaaS管理ツールは監査対応の工数を大幅に削減できます。
ISMSにおけるSaaS管理
ISO/IEC 27001:2022の附属書Aでは、管理策が「組織的・人的・物理的・技術的」の4テーマに再編されました。SaaS管理ツールが提供するアカウント一覧・利用状況ログ・退職者アカウント削除履歴は、これらの管理策の実施エビデンスとしてそのまま活用できます。
A.5 組織的管理策:利用中のSaaS一覧(情報資産台帳の一部)とアクセス制御ポリシーの運用記録
A.8 技術的管理策:アクセス権限の付与・変更・削除の履歴と、不正なSaaS利用(シャドーIT)の検知・対応記録
SCS評価制度への対応
経済産業省が主導しIPAが運営する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」は、サプライチェーン全体のサイバーセキュリティ対策状況を評価する制度です(2026年度末運用開始予定)。委託元が委託先に適切なセキュリティ対策段階を提示し実施状況を確認する仕組みのため、委託先としてSaaS利用状況を可視化・管理しておくことが対応の第一歩になります。
関連記事:SCS評価制度SaaS対応にIT資産可視化が不可欠な理由
監査対応の実務
ISMS外部審査やPマーク更新審査では、以下のようなエビデンスの提出を求められることがあります。SaaS管理ツールがあれば、これらをワンクリックで出力できます。
利用中のSaaS(クラウドサービス)の一覧と管理責任者
退職者アカウントの削除完了記録
MFA(多要素認証)の適用状況
外部共有されているファイル・データの一覧
よくある質問(FAQ)
Q. SaaS管理とIT資産管理の違いは?
IT資産管理はPC・サーバー・ネットワーク機器などハードウェアの管理が主な対象です。SaaS管理はクラウドサービスのアカウント・ライセンス・コストに特化しています。近年はSaaSとデバイスの両方を一元管理できる統合型ツールも登場しています。
関連記事:SaaS・デバイス統合管理とは?情シスの工数削減とガバナンスを実現する最新手法
Q. SaaS管理ツールの導入にはどのくらいの期間がかかる?
ツールの初期設定自体は、主要SaaSとの連携設定を含めて1〜2週間が目安です。ただし、社内ルールの策定や全部門への展開まで含めると、1〜3ヶ月を見込むのが現実的です。まずは情報システム部門だけで小規模に開始し、段階的に全社展開する方法が効果的です。
Q. 従業員50名以下の中小企業でもSaaS管理ツールは必要?
SaaSの利用数が20種類を超えている場合や、ISMS等のセキュリティ認証を取得している場合は、企業規模に関わらず導入のメリットがあります。50ID以下であれば無料で利用できるツールもあるため、コスト面のハードルは低いです。
Q. SaaS管理ツールとCASB(Cloud Access Security Broker)の違いは?
CASBはクラウドサービスへのアクセスを監視・制御するセキュリティソリューションで、通信の可視化や制御に強みがあります。SaaS管理ツールはアカウント管理・コスト管理・コンプライアンス管理を含む、より広範な管理領域をカバーします。両者は補完関係にあり、併用する企業もあります。
Q. API連携に対応していないSaaSはどう管理する?
SaaS管理ツールによって対応方法は異なりますが、Googleスプレッドシート連携による手動登録、CSV一括インポート、ブラウザ拡張機能による利用検知などの代替手段が用意されている場合があります。ツール選定時に、自社利用中のAPI非対応SaaSの管理方法を確認しておくことが重要です。
まとめ
SaaS管理は、企業のSaaS利用が拡大するなかで避けて通れない取り組みです。本記事のポイントを整理します。
SaaS管理の4つの対象:アカウント・コスト・セキュリティ・コンプライアンスを横断的に統制する
SaaS数20種類以上が導入の目安:スプレッドシート管理では更新漏れ・属人化が避けられない
ツールは3タイプ:コーポレートIT統合型・SMP型・IDaaS起点型から、自社の課題に合ったものを選ぶ
導入は5ステップ:棚卸し→ルール策定→ツール選定→運用開始→継続改善
法令対応にも活用:ISMS・Pマーク・監査のエビデンス出力に直結する
マネーフォワード Adminaは、380以上のSaaS連携と50ID以下永年無料のプランで、中小企業から大企業まで幅広く対応するSaaS管理プラットフォームです。SaaS管理の第一歩として、まずは無料トライアルで自社のSaaS利用状況を可視化してみてください。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
