勝手導入されたSaaSの検出から一元化まで、SaaS管理の勘所：IaaSとSaaSのコスト最適化【後編】

使われているSaaSの把握が第一歩だが、全て把握できる単一の検出方法は存在しない。使われているSaaSの検出方法から、ユーザー部門も納得の一元化方法まで、SaaS管理のコツを紹介する。

[Rich Gibbons，Computer Weekly]

　前編（Computer Weekly日本語版　4月17日号掲載）では、今すぐできる簡単なIaaSコスト節約術と、その後考慮すべきさらなる節約のヒントを紹介した。

　後編では、IaaSよりも厄介なSaaSのコスト節約方法を検討する。

クラウドを制御下に置く

　従来のソフトウェア資産管理（SAM）ツールのほとんどは、パブリッククラウド環境を完全に管理することはできない。IT資産管理者は恐らく他の製品導入も視野に入れる必要がある。

　クラウド管理ツールが扱う範囲は広く、コスト管理、自動化、セキュリティなどの分野をカバーする。他の優先事項とニーズに基づいて、同じくクラウドツールを探しているチームが社内に存在するかもしれない。DevOpsチームがある場合は、そのチームに接触してみると、既にツールを持っている可能性がある。そのツールがIT資産管理に必要な機能を備えていればもうけものだ。

　SaaSのコスト管理の中でも非常に困難なのが、使用中のSaaSを見つけ出すことだ。使用中のSaaSの数はIT部門の見積もりより15〜20倍も多いことがほとんどだ。これはコスト、コンプライアンス、セキュリティリスクにおける巨大なブラックホールになる。SaaSは従来のIT調達プロセスを必要とせず、誰もがソフトウェアの調達者になれるからだ。

　基本的にPCへのインストールが不要なことを考えると、新しい検出方法が必要になる。使われているSaaSを全て把握できる単一の検出方法は存在しないという調査結果がある。全体像を把握するには、複数の観点からこの課題にアプローチすることが重要になる。例えば、未払金や経費システムをベースに検知しようとすると、無償のSaaSが検出されない。ネットワークモニターでは、従業員が携帯電話やホームネットワークで使っているアプリケーションが検出されない。

　使われているSaaSの完璧な全体像を適切に把握したら、最適化に着手する。コスト最適化は、費用がかさんでいる項目の特定、更新日の決定、複数の契約の期限統一、購買力の活用など、永続ライセンス契約の管理と似ている。

　SaaSはベンダーの増殖という課題をもたらしている。IT担当者がこれまで相手にしていたのは少数の永続ソフトウェアのベンダーだったが、今では多数のベンダーを相手にしなくてはならなくなっている。

　SaaS管理ツールベンダーのZyloによると、顧客は1カ月平均60回の契約更新を処理するという。これに対処するには、更新日、契約期間、通知期間、価格を一覧できる更新カレンダーを作る必要がある。そうすることで整理すべき契約の判断に着手できる。

　これらの過程の中で、同一のベンダーと複数の契約を結んでいることに恐らく気付くだろう。例えば営業部門、マーケティング部門、IT部門がそれぞれ「Dropbox」のアカウントを個別に登録している場合がある。SaaS管理者が関係者と連携する上で非常に重要なのが、こうした契約者と対話することだ。そうすれば需要を細かく予測して、重複しているベンダー契約を1つにまとめることが可能になる。

　次に、使っているアプリケーションとその使用頻度を明らかにする。使っていない「Microsoft Visio」や「Microsoft Project」をユーザーのPCから削除するように、使っていないSaaSサブスクリプションを削除する。

　SaaS管理ツールのベンダーはこうした機能を提供することが多い。回収したサブスクリプションは、需要の予測や更新に関する交渉の材料に使える。ユーザー単位のSaaSライセンスは、未使用ライセンスの回収が容易であるというメリットがある。ユーザーのPCでアンインストールする必要はなく、ツール管理者が単にアクセスを削除するだけだ。

　コスト管理の面からSaaS費用の最適化を考えることは、SaaS管理プログラムの出発点として優れている。コスト削減という目に見えるメリットがあり、それによって勢いをつけることができるためだ。だがSaaSの使用をリスクとコンプライアンスの面で管理すれば、さらに大きなメリットが生まれる。企業に現在課せられている規制の枠組みでは、概してデータ処理とITセキュリティを細かく制御する必要がある。

　SaaSは個人情報が集まる危険区域だ。アプリケーションの使い方を秒単位で追跡して機密データの保存場所を統制するのは、恐らくほぼ不可能だ。こうした情報を追跡して報告することが非常に重要になる。特定ベンダーのコンプライアンス状況を確認するためのデータを提供するSaaS管理ツールベンダーもある。アプリケーションが管理者権限を持つ場所（メールの読み取りと削除など）や、別のアプリケーションと接続している場所（カレンダーに「Calendly」などの公開スケジューリングサービスへのアクセス権を付与するなど）を表示する詳細レポートを提供するベンダーもある。

　こうした補足データによってSaaSの使用に関するリスクプロファイルを作成でき、リスク、コンプライアンス、セキュリティの観点で最適化することが可能になる。例えばPCI DSS要件に準拠するため、クレジットカード名義人の環境でファイル共有アプリケーションを実行しないように義務付けることができる。このようなアプリケーションのブラックリストを作成するSaaS管理ツールもある。

　「IT部門は融通が利かない」と思われがちだが、SaaS管理は従業員のエクスペリエンスとエンゲージメントの強化にIT部門が寄与することも可能にする。あるカテゴリーで最も使われているアプリケーションをIT部門が知ることができる。これによりトップダウンで決定したツールを従業員に押し付けるのではなく、推奨アプリケーションのカタログを作ることも可能だ。

　同一のタスクに複数のアプリケーションが使われていても、このカタログによって人気のものに一元化され、SaaSの無秩序な広がりとミドルウェアの拡散が緩和される。ユーザーが「Box」や「OneDrive」よりもDropboxを好んでいると判断したら、新規ユーザーがDropboxを選ぶように仕向けることが可能になる。

　アプリケーションの提供方法をSaaSにすることは、IT資産管理者の脅威になるだけでなく、非常に大きなメリットも提供する。このためには新しいツールや手続き、そして恐らくチームメンバーも必要になり、従業員の生産性を向上させる上でそれぞれがさらに重要な役割を果たしていくだろう。

本稿はITAMの業界アナリストであるAJ・ウィット氏の協力を得て執筆した。

リッチ・ギボンズ氏は、ITAM Reviewでソフトウェアライセンスアナリストを務めている。