本記事はAsiaQuest Advent Calendarの11日目です。
こんにちは、情報システム部の久保です。
アジアクエストの情報システム部では自社でサーバを持たず、SaaS中心の社内システムを構築しています。
弊社のようにSaaSを多く利用しており、増え続けるSaaSの管理に追われている情報システム担当者の方も多いかと思います。
そんな、SaaSやクラウドサービスを管理するSaaSがあることをご存じでしょうか?
今回は「SaaS管理SaaS」の1つである「Admina」を社内で使ってみましたので、利用までの大まかな流れや利用者目線で感じたことをシェアしようと思います。
SaaS管理といっても具体的に何ができるの?というのが最も気になるところかと思います。
Adminaでは実に多くのことができますが、代表的なものについて簡単に説明します。
不要なアカウントを削除することでSaaSの利用コスト削減ができるのは、Adminaの大きなメリットの1つです。
Admina管理画面上で退職者/休職者アカウントや長く利用されていないアカウントなどを可視化することができます。
サービスごとに不要アカウントの有無を可視化することができ、具体的なアカウント名なども確認できます。
↑サービスごとの不要アカウント通知画面のイメージ
また、退職者アカウントが検出された際にSlackの特定チャンネルにアラート通知する設定も可能です。
定期的にAdmina側に確認しに行くことなく、退職者アカウントの存在に気付くことが可能です。
従業員が利用しているが管理者が把握していない、いわゆるシャドーITとなっているSaaSを検出することが可能です。
↑画像のように、検出されたシャドーITのSaaSは利用者数とともに一覧で表示されます。
また、具体的にどのユーザーがそのSaaSを利用しているかも確認することができ、当該SaaSがどの部門で利用されているかなどを把握することができ、状況確認に役立てることができます。
Adminaの管理画面上から、連携SaaSのアカウントの追加・削除が可能です。
1つ1つのSaaSの管理画面へのログインを個別にすることなくアカウント管理ができるので、従業員の入退社処理に役立てることが可能です。
↑アカウント追加画面のイメージ。 「従業員アカウントを選択」で、従業員マスタのどのアカウントと紐づけるかを選択できる。
利用開始からSaaS管理のメリットが得られる状態になるまでに行ったことを簡単に記載していきます。
アカウント作成、初回ログインなどの基本的な部分や、SAML/SCIM連携、支払い設定などのSaaS管理機能に直接関係しない部分については今回は割愛します。
まずは、自社で利用しているIdPや人事労務系SaaSから従業員マスタとしてAdminaと連携するサービスを1つ選択します。
2023年11月時点では下記のサービスがAdminaの従業員マスタ連携に対応しています。SaaSをいくつか利用している企業であれば、1つも持っていないというケースはほぼなさそうという印象です。
従業員マスタを基準にして退職者アカウント等が検出されるため、全従業員にアカウントを発行しているサービスである必要があります。
複数候補がある場合はどれを選ぶか悩みどころですが、基本的には普段メールの送受信を行うサービスを指定するのが推奨ということでした。アジアクエストではGmailを利用しているため、従業員マスタとしてGoogle Workspaceを連携しました。
連携手順については、ヘルプに各サービスとの連携手順が記載されており、こちらを参照することですぐに連携ができました。
SaaSによる支出を可視化してコスト削減に活用したい場合は、コストマスタとの連携が必要になります。
2023年11月現在、下記のサービスとの連携に対応しているようです。
上記のサービスを利用していない場合、手動でCSVデータをインポートすることも可能です。
弊社では残念ながらAdminaとの連携に対応しているサービスを利用していなかったため、手動でのCSVインポートを試してみました。データを加工してCSVインポートする必要があるため一手間必要ですが、月別のSaaS利用額の推移やSaaS別の支出額をグラフで確認することはできました。
会社で利用しているSaaSと1つずつ連携していきます。
順調にいけば1つのSaaSにつき数分程度で連携ができるので、社内で多くのSaaSを利用していてもそれほど大変ではない印象でした。
SaaSによって連携方法が異なり、大きく分けて下記の3つの方式があります。
いずれの方法も特に難しいことはありませんでした。
またID/PASS連携については、SaaS側で二要素認証を設定している場合でもAdminaとの連携が可能でした。
Adminaではブラウザ拡張が用意されており、利用することでシャドーITや長期間利用されていないSaaSアカウントを検出することが可能です。
2023年11月現在ではGoogle ChromeとMicrosoft Edgeに対応しており、Google WorkspaceやWindowsグループポリシーでの配布がマストとなります。
※従業員に各自ブラウザ拡張をインストールしてもらうことはできない(正確にはインストール可能だが正常に動作しない)ので注意が必要です。
ブラウザ拡張は従業員からも見えるものなので、いきなり配布するとなると少しためらうかもしれません。ブラウザ拡張を配布せず、Google Workspaceの監査ログAPIを使用する方法でもある程度のシャドーITの検出が可能です。まずはブラウザ拡張なしで利用してみて、さらに活用してみたいとなったら配布を行うといった形でも良いかもしれません。
Adminaを使ってみて、良いなと思ったポイントを何点かご紹介します。
利用開始までに必要な作業がとても少なく、かつ簡単だったので、とても始めやすいサービスだという印象を受けました。ヘルプページも親切です。
スムーズにいけば利用開始したその日のうちに恩恵を受けられるのではないかというくらいすぐに効果が得られます。
また、2023年11月現在ではSaaS管理プランは50IDまでの企業は無料で利用可能、51ID以上の企業は月額1IDあたり300円など、価格面でも始めやすいサービスだと思います。
料金プランについて詳しくは公式の料金ページをご参照ください。
2023年11月時点で240以上のSaaSとの連携に対応しています。他の類似サービスと比較しても連携対応SaaSが多く、広範囲をカバーしています。
また、アップデートもよく行われており、連携可能SaaSは頻繁に増えているようです。
弊社の場合、自社で利用しているSaaSはほぼ全て連携に対応しており、「え、これも対応してるの!?」という驚きがありました。
また、連携に対応していないSaaSがあった場合も、カスタムアプリとして手動で登録することが可能です。
アカウント情報は手動でインポートする形とはなりますが、ユーザー・ライセンス情報の管理や退職者アカウントの検出など、一定の機能は利用可能です。
Adminaはアカウントやコスト管理に目が行きがちですが、下記のようなSaaSの細かい情報も管理しておくことが可能です。
個人的にはこれらの情報はたまに必要になり、そのたびに「どこに書いてあったっけ…」と探すことになってしまうので、Admina上に集約できるのは地味にありがたい機能だと思います。
Adminaは便利なツールではありますが、利用前に想像していた通りに行かない点もいくつかありました。
Adminaを使うにあたって私が実際に困ったポイントや困る人が多そうなポイントについて記載します。
SaaS側の仕様やAPI公開有無にもよるので、Adminaだけの問題ではないのですが…
連携可能SaaS一覧を見ると分かるのですが、SaaSによってできることや取得できるデータが異なります。
Admina上から会社で利用している全てのSaaSのアカウントの追加・削除ができると非常に便利なのですが、対応していないSaaSも多いので、実現できるケースは非常に稀なのではないかという印象です。
Admina上からのアカウントの追加・削除に対応しているサービスはAdminaで行い、対応していないサービスはSaaSにログインして行うというのが現実的な落としどころになりそうです。
Google Workspaceの監査ログAPIを使用したシャドーIT検知では、Googleログインを用いてログインしているSaaSしか検知することができません。
Adminaを使用してある程度しっかりとシャドーITを可視化したい場合は、ブラウザ拡張機能をインストールする方法が必須になってくるなというのが私の感覚です。
また、2023年11月時点で拡張機能を使用したシャドーIT検知に対応しているブラウザはGoogle ChromeとMicrosoft Edgeの2つです。 それ以外のブラウザを使用している場合は検知することができません。
手軽に導入してある程度シャドーITを可視化するのであればAdmina、より網羅的に可視化したいのであればCASB/SWG等の別ソリューションを利用する、というように分けて考えることが重要だと感じました。
SaaS管理SaaSはその性質上、企業で利用している各SaaSの重要な権限を渡すことになります。
また、SaaSによっては権限を絞ってAPIキーを発行することができず、全てのアクションが実行できる権限を持ったAPIキーを発行せざるを得ないものもあります。
SaaSの利用状況や自社のセキュリティポリシーによってはこの点について考慮が必要な企業もありそうだと感じました。
比較的手軽かつ特別な知識なしで利用を始められ、セキュリティ・コスト・業務効率など様々な面で効果が期待できるので、SaaS中心の業務環境の企業はトライアルなどで一度試してみる価値ありだと思いました。
またAdminaでは、SaaSだけでなくデバイスも管理できるDeviceプランもリリースされているようなので、そちらを使ってみる機会があればまた感想を書こうと思います。