SECURE · BROWSER-ONLY
パスワード生成.jp
Secure Password Generator
🛡 ブラウザ完結 🔐 Web Crypto API 📡 通信ゼロ

SaaSアカウント管理のセキュリティベストプラクティス——シャドーITと退職者対応も解説

企業のSaaSアカウント管理における認証セキュリティを解説。SSO導入・退職者アカウント無効化・シャドーIT対策のチェックリストを紹介。

SaaSの急増がもたらすアカウント管理の課題

中規模企業でも利用するSaaSの平均数は100〜200件に達するとも言われる。各サービスにアカウントが存在し、退職者・部署異動・権限変更が発生するたびに管理が複雑になるよ。

SaaSアカウント管理の4大リスク

  1. 退職者アカウントの放置:元従業員が引き続きアクセスできる
  2. シャドーIT:IT部門が把握していないSaaSに業務データが存在する
  3. 過剰な権限:業務に不要な管理者権限を持つアカウントが多数ある
  4. パスワード使い回し:個人が同じパスワードをSaaS間で使い回している

対策1:シングルサインオン(SSO)の導入

主要IdPの比較

製品 特徴 向いている規模
Okta 最多SaaS統合数、使いやすいUI 中〜大規模
Microsoft Azure AD Microsoft 365と一体化 Microsoft環境の企業
Google Workspace Google系サービスと統合 Google環境の企業
JumpCloud コストパフォーマンス良好 中小規模

SSOを導入すると退職時にIdPのアカウントを1つ無効化するだけで全SaaSへのアクセスを遮断できるよ。

対策2:退職者対応の自動化

退職当日(または前日)に以下が自動実行される仕組みを作ろう。

  1. IdP(Azure ADやOkta)のアカウント無効化
  2. MFAデバイスの登録削除
  3. アクティブセッションの強制終了
  4. 業務メールの自動転送設定解除

SSOで管理されていないSaaS(シャドーITや古いシステム)は別途チェックリストで対応する。

対策3:最小権限の原則

各ユーザーには業務遂行に必要な最小限の権限だけを付与しよう。

  • 管理者権限は専用アカウントで使用し、日常業務では一般権限アカウントを使う
  • 権限は申請→承認→付与のフローで管理する
  • 四半期ごとに権限の棚卸し(アクセスレビュー)を実施する

対策4:SaaSのパスワード管理

SSOが使えないSaaSへのパスワードは個人任せにせず、組織のパスワードマネージャーで一元管理しよう。1Password BusinessやKeeper Businessなら管理コンソールからポリシー適用・パスワード健全性の監視ができるよ。

チェックリスト

  • [ ] 全SaaSの棚卸しリストを作成・更新している
  • [ ] SSO未対応のSaaSを別途管理している
  • [ ] 退職時のアカウント無効化が自動化されている
  • [ ] 四半期ごとに権限レビューを実施している
  • [ ] MFAを全SaaSで有効化している

SaaSアカウント管理は一度整えると大幅に運用コストが下がるよ。退職者対応の自動化だけでも着手する価値が十分ある。

● よくある質問
Q.SSOを使えばパスワード管理は不要になる?
SSOはメインのIdP(Okta・Azure ADなど)で認証を集中管理できるけど、SSOに対応していないSaaSは別途パスワード管理が必要だよ。パスワードマネージャーとの併用が実際には必要になるね。
Q.退職者のアカウントを無効化し忘れるリスクは?
実際に問題になるケースは多いよ。退職後も外部SaaSへのアクセスが残っていて情報を持ち出された事例が国内外で報告されている。退職手続きにアカウント無効化チェックリストを組み込むことが必須だね。
Q.社員が勝手に導入したSaaS(シャドーIT)はどう管理する?
まずCASB(Cloud Access Security Broker)ツールでシャドーITを可視化しよう。次にアクセス申請・承認プロセスを整備して、公認外のSaaSへの業務データ保存を禁止するポリシーを策定するのが順番だよ。
● 関連ガイド
2要素認証(2FA)の設定方法——SMS・認証アプリ・ハードウェアキーの違いも解説
2段階認証の設定手順をGoogle・Apple・Amazonを例に解説。SMS・TOTP・ハードウェアキーの安全性の違いも比較。
企業のパスワードポリシー策定ガイド——NIST・IPA推奨に基づく現代的な設計
企業向けパスワードポリシーの設計指針をNIST SP 800-63BとIPAガイドラインに基づいて解説。最低文字数・定期変更・ロックアウト設定の具体的な数値を紹介。
パスワードの定期変更は必要か——NISTが「定期変更不要」とした理由を解説
パスワードの定期変更が効果的でない理由をNIST SP 800-63Bの根拠とともに解説。本当に変更すべきタイミングと適切な変更頻度を紹介。
パスワードの文字種(文字クラス)とは——英字・数字・記号の組み合わせ効果を解説
パスワードに使う文字種(英大小文字・数字・記号)がセキュリティに与える影響をエントロピー計算で解説。実用的な文字種の選び方も紹介。
● 推奨パスワードマネージャー / Recommended [PR]

作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。 編集部がふだん使っているサービスをご紹介します。

1Password
★ 4.8

洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。

月額 約360円〜
→ 詳しくみる ※PR
Bitwarden
★ 4.7

オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。

無料 / 月額 約130円〜
→ 詳しくみる ※PR
Keeper
★ 4.6

SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。

月額 約500円〜
→ 詳しくみる ※PR
NordPass
★ 4.5

NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。

月額 約290円〜
→ 詳しくみる ※PR
Proton Pass
★ 4.4

スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。

月額 約260円〜
→ 詳しくみる ※PR
● 用語集 / Glossary すべて見る →
TERM
2要素認証(2FA)
パスワード+α で安全に
TERM
エントロピー
パスワードの強さの単位
TERM
暗号学的乱数
予測されない乱数のしくみ
TERM
パスワードマネージャー
保管・管理の道具
TERM
パスキー
パスワードに替わる方式
TERM
フィッシング
偽サイトで盗む手口