セキュリティチームのばーちゃんです!
SaaS管理をテーマとしたBTCONJP Insightに参加したので、自分なりの学びと、印象に残ったことを書いていきます。
3行まとめ
- 今回のテーマはSaaS管理SaaS(SMP:SaaS Management Platform)
- SMPを提供する会社とSMPに興味を持つ参加者が(おそらく)100人以上集まった
- パネルディスカッションやQ&Aセッションを通じて、SMPとその周辺分野について活発な意見交換が行われていた
はじめに
BTCONJP Insightは、特定のテーマについて深い知見を共有し、テクノロジーを活用したビジネスの進化を目指すカンファレンス、とのこと。今回のテーマは「SaaS管理SaaS(SMP:SaaS Management Platform)」でした。
イベント詳細はこちら!
(参考)SMP:SaaS Management Platform
企業が利用する複数のSaaSアプリケーションを一元管理するツール。使用中のアプリケーションの追跡、ライセンス管理、ユーザー管理、セキュリティ設定の一元化が可能になる。その他、SMPは非公式なアプリケーションの識別やデータ漏洩リスクの低減、コスト削減、管理タスクの効率化に役立つもの。私はBTCON自体に初参加だったので恐る恐る受け付けをして会場入りしましたが、お菓子やアイスが食べ放題だよ〜とDatadogの方に優しく教えていただき、いただいた「ねり梅」をパクッ。私は酸っぱいものが好きなので、かなり緊張がほぐれ、登壇者の話にじっくり耳を傾けることができました。場所を貸していただいたDatadogのみなさん、ありがとうございました!!
参加者
イベントにはSMPに興味を持つ参加者が(おそらく)100人以上集まり、パネルディスカッションやQ&Aセッションを通じて、SMPとその周辺分野について活発な意見交換をしていました。
一口にSMPと言っても、各企業の考え方、語り方は多種多様でした。時には異なる見解を示したかと思えば、全社が同じ意見でウンウンと頷いたり、課題から語る人、製品の特長から語る人、そもそも論を切り口とする人がいたりと、興味深いセッションが続きました。
特に印象に残ったこと
SaaS管理の現状
本イベントの参加者は事前アンケートに回答したのですが、その設問の中に「SaaS管理システムの利用状況について教えてください」という問いがありました。
SMP未導入の方は21.4%、スプレッドシートやExcelでの管理は37.8%ということで、約6割の方がSMPを導入していないとのこと。
21.4%の方々がどのように社内SaaSを管理されているのかめちゃくちゃ気になりました。
もしかしたら、利用中のSaaS数が少なくて、わざわざ管理システムを導入する必要がないのかもしれません。ただ、IT企業が利用しているSaaSって平気で数十超えますよね。いったいどうしているんだろう……。
CASBとSMPの関係性、各社提案の仕方
参加者から「CASBを導入した後にSMPなのか、SMPを導入した後にCASBなのか?」という質問がありました。
CASB(Cloud Access Security Broker)
クラウドサービスのセキュリティ管理を担う重要なツール。デバイスとクラウドサービス間の通信を制御し、セキュリティリスクを軽減するもの。この質問に対する回答は企業によって様々で、各社の考え方の違いが如実に現れていました。
覚えている範囲では、以下のような回答がありました。
- CASBを基盤として、その補完としてSMPを提案している企業
- エンタープライズ企業でのCASB導入は費用がかかるので、まずSMPを利用した資産管理から始めてみては、と提案する企業
- CASBとSMPは競合するものではないので「何がしたいのか?」と顧客にヒアリングをし、実現したいことに応じてCASBとSMPを柔軟に提案する企業
普段は製品の説明を個別に見聞きすることが多いのですが、同じジャンルの製品を扱う各社の話を一度に聞けたのは非常に新鮮でした。1社目の意見を受けて2社目が別の視点を示したり、「先ほど○○社が言及された点について……」と議論が深まったりと、短いながらも貴重な意見交換がてんこ盛りでした。
シャドーITって本当に悪なの?
これはパネルディスカッション終盤でのお題でした。かなり盛り上がっていて、聞いていて楽しいお題でした。覚えている範囲ではこんな意見がありました。もはやこのお題だけで2時間くらい話せそうですよね。
- そもそも、情シスが全てのSaaSを管理する必要があるんだっけ?
- なぜ従業員がシャドーITを使いたいのか? から入るべきではないか。「規制しよう」から入るのはアプローチとして違うのではないか
- そもそも運用する人とセキュリティを担保しないといけない人は違うので、セキュリティを担保する側としてSMPを使っていく。SMPの運用がより自動化されていけばハッピーだよね
- 大前提として部門管理と全社管理のSaaSがある。監視だけしておいて、何かあったら棚卸しが出来るようにしておくことが大事
- 会社が契約しているSaaSは可視化して棚卸ししていくべき。なぜなら何か問題があったときに会社が説明できなくなくなるから。それを実現する手段としてSMPがある
- 情シスにわざわざ聞かないとアカウント発行できない仕組みまではやりすぎではないか。ただ、可視化した情報をひとつにまとめておく必要はあると思う
- 各部門、各従業員が使っているSaaSを厳しく取り締まると組織の歩みが遅くなってしまう。ただ、いつでも見えるようにしておくべきだと思う
おわりに
なかなかに濃い時間でした。特にパネルディスカッションは各社の思い、考え、設計思想がほとばしっていて、中の人の想いって言うんでしょうか、それがビンビンに伝わってきました。
持ち時間3分での各社の製品紹介は、テンポよく各製品の独自性やウリを知ることができましたし、Slidoを使った参加者からの疑問・質問投稿も議論を深めるのに良い味を出していて、登壇者と参加者の一体感を醸成していたように感じます。また参加したいな、と思いました。
参加されたみなさん、お疲れ様でした。会場で会話できた方々も、ありがとうございました!
