SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐ。Entra ID・Okta・ジョーシスを活用した自動化アーキテクチャ
目次 クリックで開く
SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐ。Entra ID・Okta・ジョーシスを活用した自動化アーキテクチャ
最終更新日:2026年4月6日 ※本記事は、SaaSの増加による情報システム部門の工数逼迫とセキュリティリスクに対し、各ツールの公式仕様に基づいた「ID統合とプロビジョニングの自動化アーキテクチャ」を解説しています。
こんにちは。Aurant Technologiesです。
Google Workspace、Slack、Salesforce、Notion、AWS、各種会計・ワークフローなど、企業で利用されるSaaS(クラウドサービス)の数は年々増加しています。1人の従業員が10〜20個のSaaSを利用する「SaaS増えすぎ」の状況下において、情報システム部門(情シス)の管理工数は限界に達しています。
特に深刻なのが、**「退職者のアカウント削除漏れ」による情報漏洩リスク**と、**「使っていないアカウント(幽霊アカウント)」による無駄なライセンスコスト**です。
本記事では、手作業によるExcelの管理台帳が破綻する理由と、OktaやMicrosoft Entra IDといったIdP(認証基盤)、そしてジョーシスなどのSaaS管理プラットフォームが「具体的にどう動いてアカウントを制御するのか」を、公式の導入事例や仕様を交えながら、プロのアーキテクチャ設計目線で解説します。
1. SaaS乱立(増えすぎ)が情シスにもたらす3つの危機
SaaSのアカウント管理を手作業で行っている場合、企業は以下の3つの重大なリスクを抱えることになります。① 退職者の「アカウント削除漏れ」による情報漏洩リスク
情シスが手作業で10個のSaaSの管理画面を開いてアカウントを削除(サスペンド)していると、必ず「消し忘れ」が発生します。退職後もSalesforceやGoogle Driveのアカウントが有効なまま残っていた場合、退職者は自宅のPCから社内の機密情報や顧客データにアクセスし、持ち出すことができてしまいます。これは重大なセキュリティインシデント(コンプライアンス違反)に直結します。
② 使っていない「幽霊アカウント」による無駄なライセンスコスト
「すでに退職した社員」や「部署異動でそのツールを使わなくなった社員」のアカウントが放置されていると、企業は毎月数千円〜数万円のライセンス費用を無駄に支払い続けることになります。100名規模の企業でも、年間数百万円の不要なコストが発生しているケースが珍しくありません。
③ 現場が勝手に導入する「シャドーIT」の横行
各事業部が独自の予算で勝手に無料プランや安価なSaaSを契約し、業務データをアップロードしてしまう「シャドーIT」。情シスがその存在を把握できていないため、万が一そのSaaSから情報漏洩が起きても、会社として対応が後手に回ってしまいます。
2. なぜ「Excelの管理台帳」ではSaaS管理が破綻するのか?
これらの課題に対し、「誰がどのSaaSを使っているかをExcelの台帳で厳密に管理する」というルールを敷く企業がありますが、この運用は数週間で破綻します。Excelの台帳は「人間が手作業で更新する」ことを前提としています。急な部署異動や、現場のマネージャーが情シスを通さずにSaaSのアカウントを追加発行した場合、台帳への記載漏れが必ず発生します。ISMSやPマークの監査において「台帳の記録」と「実際のシステムの登録状況」を突合された際、この乖離(ズレ)が重大な指摘事項となります。手作業による管理には限界があるのです。
3. 【公式仕様・事例】各SaaS管理ツール・IdPの具体的な動き
この課題を根本的に解決するには、人間の手作業を廃し、システム間でデータを連携させる「自動化アーキテクチャ」が必要です。ここでは、主要なツールが具体的にどのような動きをしてアカウントを制御するのかを、公式情報をもとに解説します。① Okta:人事マスタを起点としたアカウント自動発行(LCM)
**IdP(Identity Provider:認証基盤)**の代表格であるOktaは、単なるシングルサインオン(SSO)だけでなく、アカウントの自動作成・削除を行うプロビジョニング機能に強みを持っています。
【技術仕様と事例:Okta Lifecycle Management】
OktaのLifecycle Management(LCM)機能を活用すると、SCIM(System for Cross-domain Identity Management)という規格を用いて各SaaSと連携します。
たとえば、人事システム(WorkdayやSmartHR等)を「マスターデータ」として連携させた事例では、人事システムに「新入社員(営業部)」が登録されると、Oktaがそれを検知。自動的にGoogle Workspaceのアカウントを作成し、さらにSalesforceのアカウントを発行して「営業プロファイル」の権限を付与し、Slackの「営業部チャンネル」に自動参加させる、という一連の処理が数分で完結します。これにより、情シスのアカウント発行工数がゼロになり、従業員のDay1(入社初日)からの生産性が劇的に向上します。
(出典:Okta公式「Lifecycle Management」)
② Microsoft Entra ID:退職時の「1クリック全SaaS遮断」
Microsoft 365を利用している企業で標準となるEntra ID(旧Azure AD)も、強力なユーザープロビジョニング機能を備えています。
【技術仕様と事例:Entra ID ユーザープロビジョニング】
オンプレミスのActive Directory(AD)からEntra IDへユーザー情報を同期し、そこから外部のSaaS(ServiceNow、Zoom、Dropboxなど)へアカウント情報を自動連携します。
最大のメリットは退職時の処理です。事例として、情シスがオンプレAD(またはEntra ID)上で対象ユーザーのアカウントを「無効化」した瞬間に、Entra IDから各SaaSに対してAPI経由で「アカウント削除(または無効化)リクエスト」が一斉に送信されます。これにより、消し忘れによる情報漏洩リスクをシステム的に完全に排除できます。
(出典:Microsoft Learn「Microsoft Entra ID でのアプリ プロビジョニングとは」)
③ ジョーシス:30日未ログインの検知と、無駄なコストの削減
IdPだけではカバーしきれない「SaaSの利用状況の可視化」に特化しているのが、ジョーシスなどのSaaS管理プラットフォームです。
【技術仕様と事例:ジョーシスによるコスト削減】
ジョーシスはGoogle WorkspaceやEntra ID、さらに100以上のSaaSとAPI連携し、各従業員のSaaSへの「最終ログイン日時」を自動で取得します。
導入企業の事例では、ダッシュボード上に「30日以上ログインしていないSalesforceアカウント」や「退職済みなのに有効になっているZoomアカウント」が一覧でアラート表示されました。情シスはジョーシスの画面上からワンクリックでそれらのアカウントをサスペンド(停止)し、数百名規模の企業において年間数百万円の無駄なSaaSライセンス費用の削減を実現しています。
(出典:ジョーシス公式サイト)
④ マネーフォワード IT管理クラウド:シャドーITのあぶり出し
現場が勝手に導入したSaaS(シャドーIT)を情シスが検知するための強力なツールです。
【技術仕様と事例:マネーフォワードIT管理クラウドのシャドーIT検知】
API連携だけでなく、従業員のブラウザ拡張機能や、SSO(シングルサインオン)のログイン履歴、さらには会計ソフト(マネーフォワードクラウド会計等)の経費精算データ(SaaSの領収書)を横断的に分析します。
これにより、「情シスが許可していないSaaSに、会社のメールアドレスで勝手にサインアップしている従業員」を自動で検知し、一覧化します。導入事例では、想定の3倍以上のシャドーITが発見され、早期にセキュリティ統制の網をかけることに成功しています。
(出典:マネーフォワード IT管理クラウド 公式サイト)
⑤ SmartHR:すべての起点となる「従業員マスタ」の構築
これらの自動化を正しく機能させるための「大本(SSOT:Single Source of Truth)」となるのが人事システムです。
【技術仕様と事例:SmartHRのSaaS連携】
入社手続きで収集した正確な従業員情報(氏名、社用メールアドレス、部署情報、役職など)を、SmartHRからAPI経由でIdP(Entra ID等)に自動で同期します。SmartHRを「従業員マスタ」として位置づけ、そこから下流のすべてのシステムへ情報を流すアーキテクチャを構築することで、人事部門と情シス部門間の「入退社連絡のタイムラグ」や「名前のスペルミス」を根絶します。
(出典:SmartHR 公式サイト)
4. ゼロトラストを実現する「SaaS管理の全体アーキテクチャ設計」
SaaSのアカウント管理を完全に自動化し、ゼロトラスト(何も信頼せず、常に検証する)セキュリティを実現するための最適なアーキテクチャは、以下のようなデータフローになります。 1. 人事マスタ(SmartHRなど): 入社・退職・異動のデータが入力される「起点」。 2. IdP(Okta / Entra ID): 人事データを受け取り、全社的な認証アカウントを作成・更新・停止する「ハブ」。 3. 各SaaS(Google, Slack, Salesforceなど): IdPからの命令(SCIM連携)を受け、各システム側のアカウント作成・権限変更・削除を全自動で実行。 4. SaaS管理ツール(ジョーシス等): 全体のログイン状況を監視し、遊休アカウントやシャドーITを検知する「監視塔」。5. まとめ:SaaS管理は「ツール導入」ではなく「インフラ設計」
「SaaSが増えて管理が大変だから、とりあえずジョーシスを入れてみよう」 多くの企業がそう考えますが、ただ管理ツールを入れただけでは、「Excel台帳がクラウドツールに変わっただけ」で、アカウント発行や削除の手作業自体は無くなりません。 本当の解決策は、人事システムを起点とし、IdP(Entra ID / Okta)をハブとしてすべてのSaaSをAPIで結びつけ、「人間の手作業を介在させずに、権限の付与と剥奪を完全に自動化するアーキテクチャ」を設計・構築することです。- 「Entra IDやOktaを導入しているが、各SaaSとの自動プロビジョニング設定まで手が回っていない」
- 「退職者のアカウント削除漏れを無くし、監査(ISMS等)に耐えうる体制を作りたい」
- 「現在利用しているSaaSの無駄なライセンス費用を可視化・削減したい」
【無料相談】貴社のアカウント管理フロー、自動化できるかプロが診断します。
現状のシャドーITの把握から、OktaやEntra IDを用いたプロビジョニング設計まで。「CX to Backoffice 構造診断」を無料で実施しております。お問い合わせはこちら
