100億円を投じる製品強化の一貫として“SaaSアクセス管理”に注力

面倒な“SaaSアカウントの棚卸し”　ジョーシスが新プランで支援

　ジョーシスは、2024年10月、140億円のベンチャーローン調達と合わせて、SaaS管理プラットフォームの開発に“2年間で100億”を投じることを発表した。その方針に基づき、2025年は継続的なサービスのアップデートを図っていく。

　1月から2月にも多数の新機能を投入する中で、大きなアップデートとなるのが、「アクセスマネジメントプラン」の追加だ。通常プランの機能に、従業員がSaaS利用などを申請できるリクエストポータルやSaaSアカウントの棚卸し機能などを加えた、アクセス管理を強化した新プランになる。

　ジョーシスの代表取締役社長CEOである松本恭攝氏は、「正しくSaaSのアクセス管理をすることで、セキュリティリスクを低減して、無駄な支払いをなくすことができる。（SaaS利用の課題を解決する）すべての出発点は、SaaSアクセスの管理にある」と強調する。

ジョーシス 代表取締役社長CEO 松本恭攝氏

ジョーシスの強みである“SaaSのアクセス管理”に注力

　ジョーシスが2022年に有償のSaaS管理ツールを始めた背景は、コロナ禍をきかっけとした“SaaS利用の分散化”にある。これにより、SaaSのガバナンスやセキュリティ、コストの課題が新たに露呈した。

　この課題を解決するのが、SaaSのアクセス管理であり、これはジョーシスのSaaS管理ツールが強みとする領域でもある。その強みなどが評価され、国内外の600社を超える企業に導入され、米Gartnerが2024年に公開したSaaS管理プラットフォームの「マジック・クアドラント」では、日本ベンダーで唯一選出されている。

国内外で採用が進むジョーシス

　ジョーシスが今後の製品強化で注力するのも、SaaSのアクセス管理の領域であり、今回のアクセスマネジメントプランの追加もその一貫となる。

重要だけど面倒な“SaaSアカウントの棚卸し”を支援

　アクセスマネジメントプランで追加されたのは、主に「従業員ポータル」、「アクセスレビュー（SaaS IDの棚卸し）」、「SaaS Health Check Report」の3つの機能になる。

　ひとつ目の「従業員ポータル」では、従業員専用のポータルサイトを提供する。ポータルでは、利用可能なSaaSを確認できるだけではなく、SaaSの利用や権限変更をリクエストできる。承認側は、利用理由などを確認でき、そのやり取りは監査用にアーカイブされる。シャドーITが生まれる要因でもある、SaaSの利用申請の手間を軽減する機能になる。

従業員ポータルからSaaS利用のリクエストをしている様子

管理者はリクエストに対して利用用途などを確認できる

　2つ目は、「アクセスレビュー（SaaS IDの棚卸し）」機能だ。SaaSの管理画面から、ライセンス保有者にそのSaaSを削除してよいか、特権管理者にその権限が必要かなど、アンケートを送付して、SaaSアカウントの棚卸しができる。

　例えば、特権アカウントを奪われると、情報漏えいだけではなく、設定変更も可能になってしまうため、必要な権限のみを付与するのが鉄則になる。使用していないアカウントは、余分なコストだけではなく、デジタル赤字を発生させる。

　このように重要ではあるが、従業員ひとりひとりにヒヤリングする必要があるアカウントの棚卸しを、効率化できるのが本機能になる。なお、ジョーシスに継続した棚卸しを代行してもらうことも可能だ。

特権管理者に対して、管理者である必要性やそもそも管理者と認識しているかなどをアンケート

対象の従業員は、メールやSlack（間もなく対応）経由でアンケートを受け取る

　3つ目は、ジョーシスのカスタマーサクセスチームが、ユーザー企業のSaaS利用をスコア化する「SaaS Health Check Report」だ。セキュリティリスクや余剰コスト、権限の付与状況、シャドーITが存在するかなどを診断して、ジョーシスのDBをもとにスコア化する。同サービスは、アクセスマネジメントプランだけではなく、有償プランのすべてのユーザーに対して、3か月に1度提供される。

SaaS Health Check Reportのイメージ

　実際にアクセスレビューとSaaS Health Check Reportを用いた実例として、予約管理システムを運用する300名規模の企業では、48%の特権管理アカウントが不要なことが分かり、セキュリティリスクを低減。マーケティング事業を手掛ける200名規模のTHECOO社では、全体のアカウントうち54%が利用されていないのが分かり、大幅なコスト削減を実現している。

APIとRPAによるハイブリット連携、SSO/MFAのモニタリングにも対応

　その他にも、1月から2月には、多数のアップデートを展開している。

　まず、連携するSaaSとしてOpenAIやKandji、UPSIDERなどを追加して、連携SaaS数を321個まで拡大している。また、これまで、API連携だけだったのを、RPAをベースとしたセキュアなスクレイピングにも対応して、連携可能なSaaSを広げている。

APIとRPAによるハイブリット連携

　「Slackでの通知機能」も提供開始した。まずは、IT管理者だけの対応になるが、前述のアクセスレビューのような従業員に対する通知においても、間もなく対応予定だ。

　「SSO/MFAのモニタリング」にも対応した。OktaやGoogle Workspace、Salesforce、Microsoft Azureなどにおいて、どれだけのアカウントがSSO/MFAに対応しているかを単一画面で把握できる。今後対応SaaSを拡大予定だ。Okta自身の連携も強化しており、Oktaをデータソースとして、SaaS利用の検知やSSO/MFAのモニタリングが可能になっている。

SSO/MFAのモニタリング

　その他にも、各種アラート通知の頻度を調整できる「アラート管理」機能やひとつのSaaSにおいて複数プランを管理できる「複数プラン管理」機能も追加しており、3月にはApple製品の管理ツール「Jamf」との連携も開始予定だ。

複数プラン管理（Salesforceの場合）