SaaS革命は、マーク・ベニオフがSalesforce.comを設立した1999年に始まりました。Salesforceは2004年に年間売上高9,600万ドルを達成し、株式を公開しました。16年後、2020年度の売上高は171億ドルに達し、ダウ工業株30種平均に採用されました。SaaSはもはや革命的な概念ではなく、あらゆる規模、業界、地域の企業において、ITの基盤として受け入れられています。
SaaSのスプロール化は、SaaS革命の自然な帰結です。Oktaの2020年顧客データベースの分析によると、従業員数2,000人以上の企業は平均175個のSaaSアプリを保有しています。Blissfullyが2019年に実施した同様の調査では、従業員数1,000人以上の企業は平均288個のSaaSアプリを使用していることが示されました。そして最後に、Productivの2021年SaaS管理調査に含まれる企業の3分の2は、100個以上のSaaSアプリを導入していました。
どのような基準で見ても、SaaS アプリはあらゆる企業のデジタル環境において目立つ、普及したコンポーネントになっています。
上記の数字だけでは、SaaSの普及がもたらす真の広がりを捉えきれません。SaaSの定義は企業によって異なり、個人の生産性向上ツール、ビジネスアプリケーション、データサービス、コラボレーションツール、セキュリティサービス、AI/MLモデリングプラットフォームなどの組み合わせが含まれる場合があります。
各SaaSサービスには複数のユーザーアカウントが設定されます。ユーザーIDは正社員に限定されず、多様な臨時従業員、外部契約社員やサービスプロバイダー、さらにはロボットやデバイスまで、必然的に含まれることになります。ユーザーがアカウント内で特定のIT資産に対して実行できる操作を制御するために、承認ポリシーが制定されています。したがって、企業内で利用されているSaaSアプリの数は、ユーザーID、アカウント、資産固有のポリシーの増殖によって生み出された、より大きな管理上の氷山の一角に過ぎません。
本稿は、今年初めに実施されたSaaSスプロールの多面的な側面を示す調査結果を報告します。本調査で使用されたデータは、AI技術を用いて企業全体のユーザーID、IT資産、認可ポリシーの関係性をプロファイリングするセキュリティ企業、Authomize社から提供されました。本調査で使用されたデータはすべて匿名化されて提供および処理されました。
方法論
SaaSスプロールの影響は、当初12社以上の企業で評価されました。最終的に、SaaS導入の波及効果を示すために4社が選定されました。本稿で取り上げた企業の規模は、700人から3,000人の有給従業員(以下、PEと表記。PEには、企業の給与計算対象に含まれるフルタイムおよびパートタイムの従業員が含まれます)を抱える企業です。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
これらの企業は米国と欧州に拠点を置き、設立から5~25年が経過しています。SaaS革命を直に経験しています。純粋なクラウドネイティブ企業ではないものの、SaaSサービスは日々の業務運営を支える上で大きな役割を果たしています。これらの企業は、石油・ガス、EdTech、金融サービス、エンタープライズソフトウェアという、それぞれ異なる4つの業界で事業を展開しています。本稿では、これら4社を「調査対象企業」と呼称します。
SaaSのスプロール化による連鎖反応
SaaSスプロールとは、一般的に企業が導入しているクラウドベースのSaaSサービスの数を指すと考えられていますが、実際にははるかに広範な現象です。
サービスのスプロール化
調査対象企業内のアイデンティティプロバイダー(IdP)データベースからアクセスされるSaaSサービスの数は、310から994に及びました。これは、前述の調査で報告されたSaaSサービスの数よりも大幅に多く、厳密にはビジネスアプリケーションとして分類されないクラウドベースのサービスも含まれている可能性があります。本調査は、IaaSベンダーのみを除外し、SaaSサービスを可能な限り広義に定義しています。
独自のSaaSサービスと従業員の比率は、最小企業(PE700)で1:1、最大企業(PE3,000)で1:3の範囲でした。しかし、これらの比率は企業規模とは相関していませんでした。本調査の対象となったPE2,500企業では、サービスと従業員の比率は1:8でした。
アイデンティティの拡散
調査対象企業のIdPデータベース内の固有ID数は2,197~13,062で、各企業内のPE数を大幅に上回っています。IdPのIDには、PEだけでなく、外部の請負業者、ベンダー、マネージドサービスプロバイダー、市場開拓パートナーなどに加え、ソフトウェアボットやデバイスなどの非人間エージェントも含まれます。
ここでも、企業規模との相関関係は見られませんでした。IdP IDとPE従業員数の比率は、本調査対象企業の中で最小規模と最大規模の企業の両方で3:1でした。最も高い比率は、従業員数800人のPE企業で観測され、6:1をわずかに上回りました。
アカウントの拡散
アカウントは、ユーザーがSaaSサービスにアクセスし、特定のアクティビティを実行することを可能にします。ユーザーは、個々のサービスに対して複数のアカウントを保有する場合があります。各アカウントでは、一定範囲のアクティビティを実行できます。調査対象企業内で保有されている固有のアカウント数は、6,333~15,681件でした。
ユニークアカウント数は、ユニークID数よりも概ね10%~30%多かった。唯一の例外は、調査対象企業の中で最大の企業(PE数3,000社)で、ユニークアカウント数はアイデンティティ数よりも30%少なかった。
「サービスアカウント」という用語は、通常、SaaS管理者またはスーパーユーザーのみがアクセスできる特殊な権限を持つアカウントを指します。IT部門は、運用の複雑さを軽減し、セキュリティ上の脆弱性を制限するために、この種のアカウントを最小限に抑えるよう努めています。興味深いことに、調査対象となった最大規模の企業と最小規模の企業は、それぞれ約840個の特殊なサービスアカウントを保有していました。最大規模の企業では、これは既存アカウント全体の13%に相当し、最小規模の企業では38%と、危険なほど高い割合でした。
ポリシー割り当ての拡散
資産とは、ユーザーが閲覧、変更、コピー、共有などできるアプリケーションオブジェクト、データテーブル、ドキュメントファイルなどのITリソースです。ユーザーはアカウントを介して資産にアクセスします。ポリシーは、ユーザーが特定の資産にアクセスする権限と、アクセス後に実行できるアクションを制御します。調査対象企業における資産活用を管理するポリシーの割り当て数は、38,746件から1,676,774件に及びました。
ポリシーの割り当ては、個々の企業が管理する個別のポリシーを表すものではありません。特定のポリシー、ユーザーアカウント、IT資産間の固有の関連付けを表します。
最も多くのポリシー割り当てが行われたのは、PE企業数2,500社のエンタープライズソフトウェア企業でした。最も少なかったのは、PE企業数700社のエドテック企業でした。しかし、企業規模との明確な相関関係は見られませんでした。PE企業数800社の金融サービス企業は、744,849件のIDおよび資産固有のポリシー割り当てを維持しており、これはやや規模の小さいPE企業数700社のエドテック企業の約20倍に相当します。
図1は、SaaSのスプロール化に関する議論がいかに誤解を招きやすいかを示しています。エンドユーザーが目にし、多くの業界予測者が嘆くSaaSサービスの急増は、大規模なSaaS導入によって生じる管理上の問題の氷山の一角に過ぎません。大規模なSaaS導入は、管理上の悩み、エンドユーザーとの摩擦、予期せぬコスト、そして多くの企業を不意打ちするセキュリティ上の脆弱性をほぼ必然的に生み出します。
セキュリティマークがない
本調査で対象とした企業のサンプル数は少なすぎるため、SaaSサービスの大規模導入において従うべきベストプラクティスについて、包括的な結論を導き出すことはできません。しかしながら、上述のスプロール化指標の総合的な影響を考慮することで、管理の複雑さとセキュリティの脆弱性に関する一般的な考察をいくつか得ることができます。
図2は、サービス、ID、アカウント、ポリシー割り当てという4つのスプロール指標を、各調査対象企業内のPE数で正規化したものです。スプロールの特性と企業規模の間に一貫した相関関係は見られないことは一目瞭然です。しかし、スプロール抑制において、他の企業よりも効果的な企業があることも明らかです。
この表示ではC社が最も大きなフットプリントを有しており、有給従業員数に対するサービス、ID、アカウント、ポリシーの総管理数が最も多いことを示しています。対照的に、A社はC社の3倍以上の規模であるにもかかわらず、スプロール現象の抑制に劇的に成功しています。
また、D 社は B 社より 3 倍規模が大きいにもかかわらず、アカウント作成とポリシー配布が D 社では B 社よりも大幅に控えめであることも興味深い点です。これらの観察結果は、プロビジョニング手順が大企業ではより厳格である可能性があることを示唆しており、これはさらに調査する価値のある仮説です。
他の企業にとって、この表示はSaaSの急増による管理面およびセキュリティ面への影響を最小限に抑える効果を測定する上で有用な手段となるかもしれません。また、この種の概要表示は、将来的に連鎖的なスプロール化の影響を抑制するための目標比率を設定する際にも活用できる可能性があります。
図2に示されているスプロール指標は、企業規模を補正するためにPE従業員数で正規化されています。これは、大企業ほどサービス、ID、アカウント、ポリシーの数が多いという仮定に基づいています。しかし、これらのグローバル比率は非常に誤解を招く可能性があります。例えば、図2に示されているSaaSアカウント数とPEアカウント数の比率は2.1~8.4の範囲です。実際には、これらの企業の多くの従業員は、これらの数字から推測されるよりもはるかに多くのアカウントに割り当てられています。
特定の個人が、不均衡に多くの保険契約を保有していることも珍しくありません。C社が従業員に割り当てた保険契約の70%は、PEの25%によって保有されています。企業の従業員全体における口座数と保険契約数の分布は、引当手続きの性質と厳格さを直接反映しています。こうした分布は定期的に見直す必要があります。
前述の通り、本調査はSaaSサービスの利用にのみ焦点を当てています。上記の指標にIaaSサービス、アカウント、ポリシーが加わると、ここで浮き彫りになった問題はさらに深刻化するでしょう。
影響と機会
IT組織は、SaaSプロビジョニング手順の自動化、特定の手順をビジネスチームに委任すること、そして場合によってはエンドユーザーにセルフサービスプロビジョニング機能を提供することに多大な労力を費やしてきました。これらの取り組みはすべて、業務の中断とユーザーの不便を最小限に抑えるように設計されています。
残念ながら、これらはすべてスプロール化の一因となっています。本レポートで議論されている指標は、使用頻度が低い、あるいは完全に休止状態にあるアカウントやポリシーの停止または削除を自動化するために、同等の労力を費やす必要があることを示唆しています。
本研究では、個々の企業が採用しているSaaSサービスのポートフォリオ全体によって引き起こされるスプロール現象について調査しました。同様の研究をより限定的に、知的財産(IP)または個人識別情報(PII)を扱うサービス、アカウント、ポリシーに特化して実施することも可能です。多くの場合、個々の企業におけるアカウントやポリシーのグローバルな成長を抑制するよりも、独自の知識や機密情報の利用を伴うSaaSの連鎖的影響のスプロール現象を抑制することの方が重要となる可能性があります。
前述の通り、特定のユーザーは、サービス、アカウント、ポリシーを過度に所有している可能性があり、また、IPやPIIの取り扱いを伴うリソースを過度に所有している可能性があります。このようなユーザーのログイン手順は、セキュリティ保護をさらに強化するためにカスタマイズする必要があります。
ITリソースへの露出度が最も高いユーザーは、初回ログイン時に最も厳格な認証手順を適用し、さらに長時間の作業セッション中は、ステップアップ認証や継続的な認証要求への対応を義務付ける必要があります。また、セキュリティトレーニングプログラムは、最も広範な権限ポリシーの保有者に対し、認証情報の不正使用による脅威について教育できるよう、カスタマイズする必要があります。
SaaSアカウントとポリシーのユーザーIDへの割り当てを管理するツールを提供するベンダーは、顧客が経験しているスプロール現象について独自の洞察力を持っています。このスプロール現象には、意図的なものもあれば、避けられないものもあり、また全く知られていない、あるいは認識されていないものもあります。こうした洞察力を持つベンダーは、顧客がスプロール現象の経時的な変化を追跡するために使用できる指標を開発するべきです。そしておそらくさらに重要なのは、顧客が自社のスプロール現象のプロファイルを、同じ業界と地域で事業を展開する同規模の他社と比較できる機能を提供することです。
この研究で使用されたデータを提供していただいたAuthomizeに特に感謝します。
