メール、オンラインストレージ、会計ソフト、給与ソフト、労務管理、顧客管理、予約システム、ECサイト、チャットツール。
今では、中小企業でも多くの業務がSaaSやクラウドサービスで動いています。
クラウドサービスは便利です。
サーバを自社で持たなくてもよく、初期費用を抑えやすく、外出先や在宅勤務でも利用しやすいという利点があります。
一方で、次のような状態になっていないでしょうか。
「どのサービスを使っているか、社長も総務も正確に分からない」
「管理者アカウントを誰が持っているか分からない」
「退職者のアカウントが残っているかもしれない」
「顧客情報がどのクラウドに保存されているか分からない」
「障害や漏えいが起きたとき、どこに連絡すればよいか分からない」
このような状態を防ぐために作るのが、SaaS・クラウド台帳です。
この記事では、中小企業が最初に作るべきSaaS・クラウド台帳について、項目、作り方、運用方法を整理します。
SaaS・クラウド台帳とは
この記事でいう「SaaS・クラウド台帳」とは、会社で利用しているクラウドサービスを一覧化し、管理責任者、利用者、保存される情報、認証設定、バックアップ、契約、サポート窓口などを記録する管理表のことです。
これは、公的制度上の正式名称ではありません。
しかし、情報資産管理、委託先管理、クラウドサービスの安全利用、インシデント対応を進めるうえで、非常に重要な実務資料です。
IPAの「中小企業の情報セキュリティ対策ガイドライン第4.0版」では、付録として「資産管理台帳(サンプル)」や「中小企業のためのクラウドサービス安全利用の手引き」が用意されています。SaaS・クラウド台帳は、これらを自社の実務に合わせて使いやすくしたものと考えると分かりやすいです。
なぜ台帳が必要なのか
クラウドサービスのセキュリティは、サービス事業者だけに任せればよいものではありません。
IPAのクラウドサービス安全利用の手引きでは、クラウドサービスのセキュリティは、サービス事業者と利用者が役割と責任を分担し、それぞれ必要な対策を実施することで維持・向上すると説明されています。
つまり、クラウドサービスを使っている会社にも、やるべきことがあります。
例えば、次のような管理は利用者側の責任として残ります。
- 誰にアカウントを発行するか
- 誰に管理者権限を与えるか
- 多要素認証を有効にするか
- 退職者のアカウントを削除したか
- 外部共有リンクを放置していないか
- 重要データをバックアップできるか
- 障害や事故のときに連絡先を把握しているか
クラウドサービスは「契約したら終わり」ではありません。
安全に使い続けるためには、使っているサービスを見える化し、定期的に確認する必要があります。
まず洗い出すべきクラウドサービス
最初に行うべきことは、会社で使っているクラウドサービスの洗い出しです。
対象は、情報システム部門が管理しているものだけではありません。
中小企業では、営業部門、経理、総務、現場担当者が個別に契約しているサービスもあります。
洗い出しでは、次のようなサービスを確認します。
| 分類 | 例 |
|---|---|
| メール・グループウェア | メール、予定表、社内掲示板、チャット |
| オンラインストレージ | ファイル共有、資料保管、外部共有 |
| 会計・経理 | 会計ソフト、請求書発行、経費精算 |
| 人事・労務 | 給与、勤怠、年末調整、従業員情報管理 |
| 顧客管理 | CRM、営業管理、問い合わせ管理 |
| 販売・予約 | EC、予約システム、POS、在庫管理 |
| Web・SNS | ホームページ管理、SNS管理、アクセス解析 |
| 開発・保守 | ソースコード管理、サーバ管理、監視ツール |
| 生成AI・自動化 | 生成AI、議事録作成、チャットボット、RPA |
IPAの資料でも、身近なSaaSの例として、財務会計、税務申告、給与計算、労務管理、顧客管理、販売管理、名刺管理、ホームページ作成、ECサイト、グループウェア、電子メール、オンラインストレージなどが挙げられています。
特に注意が必要なのは、無料プランや個人契約で使い始めたサービスです。
会社の正式な契約ではなくても、顧客情報や社内情報を保存していれば、管理対象に含めるべきです。
台帳に入れるべき基本項目
SaaS・クラウド台帳は、最初から複雑にしすぎる必要はありません。
ただし、取引先への説明や事故時の初動対応を考えると、最低限、次の項目は入れておくことをおすすめします。
| 項目 | 記録する内容 |
|---|---|
| サービス名 | 利用しているクラウドサービス名 |
| 利用目的 | 何の業務に使っているか |
| 利用部署 | 営業、経理、総務、全社など |
| 管理責任者 | 業務上の責任者 |
| 技術管理者 | 設定、アカウント、障害対応を行う人 |
| 契約者 | 法人契約か、個人契約か |
| 契約プラン | 無料、有料、上位プランなど |
| 保存される情報 | 顧客情報、従業員情報、契約書、請求書など |
| 重要度 | 高・中・低 |
| 利用者数 | アカウント数、利用部門 |
| 管理者アカウント | 管理者が誰か、複数名いるか |
| 認証設定 | パスワード、MFA、多要素認証の有無 |
| 外部共有 | 共有リンク、社外ユーザー、ゲスト利用の有無 |
| 連携先 | API連携、外部アプリ連携、データ連携先 |
| ログ | ログの有無、確認方法、保存期間 |
| バックアップ | エクスポート可否、バックアップ方法 |
| 障害時連絡先 | サポート窓口、問い合わせ方法 |
| 解約時の扱い | データ取得、削除、移行方法 |
| 最終確認日 | 最後に棚卸した日 |
| 次回確認日 | 次に見直す予定日 |
ポイントは、サービス名だけで終わらせないことです。
「誰が管理しているか」「どの情報が入っているか」「やめるときにデータを取り出せるか」まで記録することで、実務で使える台帳になります。
管理責任者と技術管理者を分けて考える
クラウド台帳で特に重要なのが、責任者の記録です。
ここでいう責任者は、1人だけとは限りません。
少なくとも、次の2つを分けて考えると管理しやすくなります。
1つ目は、管理責任者です。
これは、そのサービスを業務上なぜ使うのか、どの情報を入れてよいのか、誰に使わせるのかを判断する人です。
2つ目は、技術管理者です。
これは、アカウント発行、権限設定、MFA設定、ログ確認、障害時の問い合わせなどを行う人です。
例えば、顧客管理システムであれば、営業部長が管理責任者、システム担当者が技術管理者になることがあります。
IPAのクラウドサービス安全利用の手引きでも、運用時の確認ポイントとして、クラウドサービスの特性を理解した管理担当者を社内に確保しているかが示されています。
中小企業では、社長や総務担当者がすべてを兼ねている場合もあります。
その場合でも、台帳上は「誰が判断するのか」「誰が設定するのか」を明確にしておくことが大切です。
保存される情報を分類する
次に重要なのが、そのクラウドサービスにどのような情報が保存されているかです。
すべてのクラウドサービスを同じ重要度で扱う必要はありません。
しかし、重要情報が入っているサービスは、厳しく管理する必要があります。
最初は、次のように分類するとよいでしょう。
| 重要度 | 情報の例 | 管理の考え方 |
|---|---|---|
| 高 | 顧客情報、従業員情報、個人情報、契約書、請求情報、営業秘密 | MFA、管理者制限、ログ確認、バックアップ、契約確認を優先 |
| 中 | 社内資料、業務マニュアル、見積資料、社内連絡 | 利用者管理、共有設定、定期棚卸を実施 |
| 低 | 一般公開情報、公開済みカタログ、公開用画像 | 管理者と公開範囲を確認 |
IPAの手引きでは、クラウドサービスで取り扱う情報が漏えい、改ざん、消失したり、サービスが停止した場合の影響を確認することが示されています。
重要度を付ける目的は、完璧な分類表を作ることではありません。
優先順位を決めることです。
まずは、顧客情報、個人情報、従業員情報、請求・会計情報が入っているサービスから台帳を整備しましょう。
アカウントと権限を記録する
SaaS・クラウドサービスの事故で多いのが、アカウント管理の不備です。
例えば、次のような状態は危険です。
- 退職者のアカウントが残っている
- 管理者権限を持つ人が多すぎる
- 共有IDを複数人で使っている
- 個人メールアドレスで管理者登録している
- 多要素認証が有効になっていない
- 外部協力者のアカウントを削除していない
IPAの手引きでも、適切な利用者だけがクラウドサービスを利用できるよう管理できているか、パスワードなどの認証機能を適切に設定・管理できているかが確認項目として示されています。
台帳には、少なくとも次の内容を記録します。
| 項目 | 記録例 |
|---|---|
| 管理者 | 代表、総務責任者、システム担当者 |
| 一般利用者 | 営業部5名、経理2名など |
| 外部ユーザー | 税理士、社労士、制作会社など |
| 共有ID | なし/あり |
| MFA | 有効/未設定 |
| 退職時処理 | 総務が当日削除、月次棚卸で確認 |
| 棚卸頻度 | 毎月、四半期ごとなど |
管理者アカウントは、1人だけに依存しないことも重要です。
担当者が退職したり、急病で対応できなくなったりした場合に、会社として管理画面に入れなくなることがあります。
ただし、管理者を増やしすぎるのも危険です。
必要最小限にし、誰が管理者なのかを台帳で把握しておきましょう。
ログを確認できるかを記録する
クラウドサービスを選ぶときは、ログの確認可否も重要です。
ログとは、誰が、いつ、どの端末やIPアドレスからログインしたか、どのファイルを操作したか、どの設定を変更したかなどの記録です。
すべてのサービスで詳細なログが取れるとは限りません。
無料プランではログ機能がない場合もあります。
有料プランでも、保存期間や確認できる範囲が限られていることがあります。
台帳には、次のように記録します。
| 項目 | 記録例 |
|---|---|
| ログイン履歴 | 確認可能/不可 |
| 管理者操作ログ | 確認可能/不可 |
| ファイル操作ログ | 確認可能/一部のみ/不可 |
| ログ保存期間 | 30日、90日、1年など |
| 確認方法 | 管理画面、CSV出力、サポート依頼 |
| 確認担当者 | システム担当、管理責任者 |
ログは、平時にはあまり意識されません。
しかし、情報漏えいや不正アクセスが疑われたときには、事実確認に必要になります。
「ログが残っていると思っていたが、実際には無料プランでは確認できなかった」ということがないよう、事前に台帳へ記録しておきましょう。
バックアップとデータエクスポートを確認する
クラウドサービスを利用していても、バックアップの責任がすべて事業者に移るわけではありません。
IPAの手引きでは、サービス停止やデータの消失・改ざんなどに備えて、重要情報を手元に確保し、必要なときに使えるようにしているかが確認項目として示されています。
台帳では、次の点を確認します。
| 項目 | 確認内容 |
|---|---|
| エクスポート可否 | CSV、Excel、PDF、バックアップファイルで出力できるか |
| 自動バックアップ | サービス側にバックアップ機能があるか |
| 手動バックアップ | 自社で定期的に出力しているか |
| 保存先 | 社内ストレージ、別クラウド、外付け媒体など |
| 復元方法 | 管理画面で復元できるか、サポート依頼が必要か |
| 復元テスト | 実際に戻せるか確認した日 |
| 解約時のデータ取得 | 解約前にデータを取り出せるか |
特に、会計、給与、顧客管理、予約、ECのように、業務停止の影響が大きいサービスでは、データを取り出せるかどうかを必ず確認しておきましょう。
「クラウドにあるから安心」ではなく、必要なときに自社で使える形に戻せるかが重要です。
解約時・乗り換え時の扱いを記録する
クラウドサービスは、使い始めるときだけでなく、やめるときの確認も大切です。
次のようなことが、後から問題になります。
- 解約するとデータがすぐ削除される
- データの出力形式が使いにくい
- 別サービスへ移行できない
- 削除証明が出ない
- 外部共有リンクが残る
- 連携アプリやAPIトークンが残る
IPAの手引きでも、サービス利用終了時のデータの取扱い条件、データの返却、互換性、移植性、残留データの消去などが確認項目として示されています。
台帳には、少なくとも次の内容を残しておくと安心です。
| 項目 | 記録例 |
|---|---|
| 解約前のデータ取得方法 | CSV出力、全データダウンロード |
| 解約後の保存期間 | 30日、90日、即時削除など |
| 削除証明 | 取得可能/不可 |
| 移行先への互換性 | CSVで移行可能、一部手作業など |
| 連携解除 | API、外部アプリ、Webhookを解除 |
| 最終確認者 | 管理責任者、技術管理者 |
サービスを導入するときに、解約時のことまで確認する会社は多くありません。
しかし、重要情報を扱うサービスほど、出口を確認してから使い始める必要があります。
個人情報を扱う場合の注意点
クラウドサービスに個人情報を保存する場合は、個人情報保護法との関係も確認が必要です。
個人情報保護委員会のFAQでは、クラウドサービスの利用が本人の同意が必要な第三者提供や委託に該当するかどうかは、保存している電子データに個人データが含まれているかどうかだけではなく、クラウドサービス提供事業者において個人データを取り扱うこととなっているのかどうかが判断基準になるとされています。
また、クラウドサービス事業者が個人データを取り扱わないこととなっている場合でも、利用者である事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります。
したがって、台帳では次のような項目を記録しておくとよいでしょう。
| 項目 | 確認内容 |
|---|---|
| 個人情報の有無 | 顧客、従業員、取引先担当者など |
| 個人データの取扱い | サービス事業者が内容にアクセスする条件 |
| 契約条項 | 個人情報、秘密保持、再委託、削除に関する条項 |
| アクセス制御 | 事業者側・利用者側のアクセス制限 |
| 保存国・地域 | 日本、海外、複数地域など |
| 事故時連絡 | 漏えい等が疑われる場合の連絡方法 |
ここは法律上の判断が関わるため、個別のサービスや契約内容に不安がある場合は、専門家に確認することをおすすめします。
台帳の作り方:最初の3ステップ
SaaS・クラウド台帳は、次の3ステップで作ると進めやすくなります。
ステップ1:契約・支払情報から洗い出す
最初は、会社のお金の流れから確認します。
- クレジットカード明細
- 銀行口座の引落
- 請求書
- 経費精算
- 会計ソフトの支払先
- 領収書メール
- サブスクリプション管理画面
ここで、有料契約しているクラウドサービスを洗い出します。
注意すべきなのは、社長や担当者の個人カードで支払っているサービスです。
会社の業務で使っている場合は、個人契約であっても台帳に入れる必要があります。
ステップ2:部署ごとに利用サービスを確認する
次に、部署ごとにヒアリングします。
聞く内容は、難しくする必要はありません。
「顧客情報をどこに保存していますか」
「見積書や請求書はどのサービスで作っていますか」
「社外の人とファイル共有するとき、何を使っていますか」
「予約や問い合わせはどのシステムで受けていますか」
「退職者が出たとき、どのアカウントを削除していますか」
この確認で、いわゆるシャドーITが見つかることがあります。
シャドーITとは、会社が正式に把握していないITサービスを、部門や個人が業務で使っている状態を指します。
責めるために聞くのではなく、安全に使うために把握する、という姿勢で進めることが大切です。
ステップ3:重要度の高いサービスから詳細を埋める
すべてのサービスについて、最初から詳細を完璧に埋める必要はありません。
まずは、次のサービスを優先します。
- 顧客情報が入っているサービス
- 従業員情報が入っているサービス
- 請求・会計情報が入っているサービス
- 契約書や機密情報が入っているサービス
- 全社のメールやファイル共有を担うサービス
- 事業停止時の影響が大きいサービス
重要度が高いサービスから、管理者、MFA、ログ、バックアップ、契約、サポート窓口を確認します。
台帳サンプル
最初の台帳は、次のような形式で十分です。
| サービス名 | 利用目的 | 保存情報 | 重要度 | 管理責任者 | 技術管理者 | 利用者 | MFA | ログ | バックアップ | 最終確認日 |
|---|---|---|---|---|---|---|---|---|---|---|
| グループウェア | メール・予定表 | 顧客連絡、社内連絡 | 高 | 代表 | 総務 | 全社員 | 有効 | 90日 | 別途確認 | 5/3 |
| 会計クラウド | 会計・請求 | 請求書、売上、取引先 | 高 | 経理責任者 | 総務 | 経理2名 | 有効 | 確認可 | 月次CSV | 5/3 |
| オンラインストレージ | 資料共有 | 見積書、提案書 | 高 | 営業部長 | システム担当 | 営業部 | 一部未設定 | 確認可 | 週次 | 5/3 |
| 予約システム | 顧客予約 | 氏名、電話、予約履歴 | 高 | 店舗責任者 | 代表 | 店舗担当 | 未設定 | 不明 | 未確認 | 5/3 |
| SNS管理 | 広報 | 公開情報 | 中 | 広報担当 | 代表 | 広報 | 有効 | 確認可 | 不要 | 5/3 |
この表で「不明」「未設定」が見つかることは問題ではありません。
むしろ、見つけることが台帳作成の目的です。
問題は、不明なまま放置することです。
不明な項目は、担当者と期限を決めて確認します。
月1回の見直しで確認すること
台帳は、作って終わりではありません。
最低でも月1回、または四半期に1回は見直すことをおすすめします。
月次確認では、次の項目を見ます。
- 新しく使い始めたサービスはないか
- 使わなくなったサービスはないか
- 退職者・異動者のアカウントが残っていないか
- 管理者権限が増えすぎていないか
- MFAが未設定の重要サービスはないか
- 外部共有リンクが放置されていないか
- ログが確認できるか
- バックアップやエクスポートができるか
- サポート窓口や契約情報が変わっていないか
- 個人情報を入れているサービスに変更はないか
特に、退職者対応と外部共有リンクの確認は、定期的に行うべきです。
「退職時に確認したはず」ではなく、月次棚卸でもう一度確認することで、漏れを減らせます。
よくある失敗
SaaS・クラウド台帳を作るときによくある失敗は、次のようなものです。
サービス名だけの一覧で終わる
「何を使っているか」だけでは不十分です。
誰が管理しているか、何の情報が入っているか、どの権限があるかまで記録しないと、事故時に使えません。
無料サービスを台帳に入れない
無料か有料かは、リスクの大きさと一致しません。
無料サービスでも、顧客情報や社内情報を保存していれば管理対象です。
管理者アカウントを個人に依存する
個人メールアドレスで契約し、担当者だけが管理画面に入れる状態は危険です。
会社として管理できる契約・アカウントに整理しましょう。
ログやバックアップを確認していない
事故が起きてからログやバックアップを確認しても、間に合わないことがあります。
平時に確認し、台帳に記録しておく必要があります。
解約時のデータ取得を考えていない
クラウドサービスを乗り換えるとき、データを取り出せない、形式が合わない、削除条件が分からないという問題が起きることがあります。
導入時点で、出口も確認しておきましょう。
まとめ
SaaSやクラウドサービスは、中小企業にとって非常に便利な道具です。
しかし、便利であるほど、知らないうちに利用範囲が広がりやすくなります。
安全に使うためには、まず台帳を作ることが重要です。
SaaS・クラウド台帳では、次の項目を整理しましょう。
- どのサービスを使っているか
- 何の業務に使っているか
- どの情報が保存されているか
- 誰が管理責任者か
- 誰が技術管理者か
- 誰が利用しているか
- 管理者権限は誰にあるか
- MFAは有効か
- ログは確認できるか
- バックアップやエクスポートはできるか
- 障害時の連絡先はどこか
- 解約時にデータを取り出せるか
クラウドサービスは、導入するだけで安全になるものではありません。
どのサービスを、誰が、どの情報のために、どの権限で使っているかを把握して初めて、安全に管理できます。
まずは、重要な情報が入っているサービスから台帳に記録しましょう。
そして、月1回の棚卸で、退職者アカウント、管理者権限、MFA、外部共有、バックアップを確認することから始めましょう。
ライトハウスコンサルタントでは、情報セキュリティに関するコンサルティング、SECURITY ACTIONに関する支援、CIOアウトソースサービスなどを行っています。クラウドサービスの棚卸、SaaS台帳の作成、社内ルール整備に不安がある場合は、早めに専門家へ相談することをおすすめします。
