【メモ】SSPM市場
外部SaaS活用の普及度(日本と米国)
近年、ソフトウェアを自社開発する代わりに外部のSaaS(Software as a Service)を組み込んで活用する動きが世界的に一般化しています。特に米国企業では多数のSaaSを業務や開発プロセスに取り入れることが一般的で、平均で約89アプリ(直近は93アプリ)を利用し、従業員2,000人以上の企業では平均231アプリに達するとの報告があります。1例えば米国ではSaaS利用が長期的に増加してきたことが、複数の業界レポートで指摘されています。2この背景には、業務効率化やサービス向上のためにSaaSを積極導入してきたデジタル化の潮流があります。
一方、日本企業のクラウド/SaaS活用は米国に比べ遅れが指摘されています。2022年時点でIT支出に占めるクラウドサービスの割合は日本4.4%にとどまり、米国は14%とする推計が示されています(Gartner予測として紹介)。3新規SaaS導入数の伸び率でも日本は米国より数年遅れており、平均導入数も米国より大幅に少ない状況です。具体的に、米国企業の平均SaaS利用数が2020年時点で約80種だったのに対し、日本企業はその水準に達していません。この遅れの要因として、日本では長年のオンプレミス志向やレガシーシステムとの兼ね合い、クラウド人材の不足などが挙げられます。もっとも、コロナ禍以降に「11個以上のSaaSを導入している企業」が日本でも増加しており、徐々に普及が進んでいます。特に政府の「クラウド・バイ・デフォルト」原則推進やDX加速の流れもあり、このギャップを埋める動きが加速しています。
米国企業における平均SaaS導入数の推移(2015年~2022年)。わずか数年で利用するSaaSの数が急増し、平均130種に達した。この傾向を受け、近年は導入済みSaaSの統合・整理フェーズに入る企業も現れている。
なお、金融業界など規制の厳しい分野ではクラウド利用への慎重姿勢からSaaS導入が遅れがちでしたが、最近では状況が変わりつつあります。例えば日本のセブン銀行は比較的早い段階から業務効率化のためSaaSを戦略的に採用してきたケースであり、米国でも顧客管理やコラボレーションにSaaSを活用する金融機関が増えています(後述のSalesforceやSlack等)。ただし、金融ではデータ管理やコンプライアンスの要件が厳しいため、そうした業界ほどオンプレミスからSaaSへの移行に慎重だった経緯があります。そのため日本の金融ITでは依然オンプレミス中心の企業も多いものの、DX推進の中で安全な形で外部SaaSを取り入れる動きが広がっています。
主要SaaSサービスの採用状況と市場シェア
企業のシステム開発や運用に組み込まれる代表的な外部SaaSとして、CRM分野のSalesforce、コラボレーションツールのSlack、ソフトウェア開発プラットフォームのGitHub、ITサービス管理のServiceNowなどが挙げられます。以下、それぞれのサービスの市場シェアや導入実績を概観します。
Salesforce(CRM分野)
主要CRMソフトウェアの世界市場シェア(2023年)。Salesforceが約21.7%と突出した首位で、2位以下(Microsoft約5.9%、Oracle 4.4%等)に大差をつけている。
Salesforceはクラウド型CRM(顧客管理)の草分けであり、2023年に世界CRM市場シェア21.7%で首位(11年連続)とされています。4その市場占有率は2位の3倍以上に達し、事実上CRM業界をリードしています。さらにアジア太平洋(日本を含む)でもSalesforceがシェア1位であり、日本国内においても営業支援(SFA)分野で過半のシェアを持つと報じられています。大手企業から中堅企業まで幅広く導入されており、金融業界でも顧客情報管理や営業支援にSalesforceを活用する事例が多く見られます。例えば米国では大手金融機関がSalesforce上で顧客データや営業プロセスを管理し、日本の銀行でもCRM/SFA用途でSalesforceを採用する例があります。Salesforceは豊富な機能とエコシステムを持ち、自社システムとのAPI連携も容易なため、システム開発プロジェクトにおいて外部サービスとして組み込みやすい点も普及を後押ししています。
Slack(チームコラボレーション)
Slackはエンジニアやプロジェクトチームのコミュニケーションを変革したコラボレーションSaaSで、チャットベースで情報共有や通知連携ができるツールです。Slackは2025年時点で日間アクティブユーザー約4,720万人、月間利用者約7,900万人に達し、導入企業も75万社以上にのぼります。Fortune 100企業の77%がSlackを採用しているとの統計もあり、IT業界のみならず多様な業種で利用されています。日本でもIT企業やスタートアップを中心にSlack導入が一般化しており、開発チーム内のやり取りやCI/CDパイプラインからの通知に組み込むケースが多く見られます。
もっとも、ビジネスチャット市場全体を見るとMicrosoft Teamsの存在感も大きく、同市場シェアはTeamsが約38%でトップ、Slackは約18%とされます。TeamsはMicrosoft 365に統合された包括的なコラボレーション基盤であり、特に大企業や金融機関ではOffice製品との親和性やセキュリティ機能を評価してTeamsを採用する例が増えています。一方でSlackは操作性や外部サービス連携の豊富さからテック系企業や開発現場で根強い支持があり、社内チャット標準として定着しています。実際、Slackは2019年の約870万人DAUから2024年には3,880万人、2025年推定4,720万人へと利用者が急拡大しており、リモートワーク普及も追い風に着実にユーザー数を伸ばしています。現在ではプロジェクト管理ツールやアラートシステムと組み合わせ、Slack上で開発・運用チームの情報共有とコラボレーションを完結させるワークフローも一般的になっています。
GitHub(開発プラットフォーム)
GitHubはソースコード管理と開発者協働のためのプラットフォームで、システム開発分野で事実上の標準インフラとなっています。2023年初頭にGitHub利用開発者数は1億人を突破しており、公開/非公開合わせて4億以上のリポジトリがホスティングされています。Microsoft傘下となった現在も、オープンソースから企業プロジェクトまで幅広いコードがGitHub上で管理・共有され、Pull Requestを通じたコードレビューやIssue管理など開発コラボレーションの中核を担っています。
企業においても、GitHub Enterprise CloudやGitHub Enterprise Server(オンプレミス版)を用いてソースコードを一元管理する例が増えており、金融機関など機密性の高い業界でもプライベートリポジトリでGitHubを活用するケースがあります。競合サービスとしてはGitLabやBitbucketなどもありますが、市場シェアやコミュニティ規模ではGitHubが圧倒的です。例えばGitHubの収益規模はGitLabの約4倍にのぼり、ユーザーコミュニティの大きさやエコシステムの充実度で依然優位に立っています。システム開発プロジェクトでは、外部SaaSとしてGitHubをCI/CDパイプラインやプロジェクト管理ツールと統合し、ソースコードの管理・レビュー・デプロイまで一貫してクラウドサービス上で行う形が一般的になっています。
ServiceNow(ITサービス管理)
ServiceNowはITサービス管理(ITSM)分野で大きな市場シェアを持つリーディングSaaSプラットフォームとされ、ある推計では2024年に約44.4%とされています。5サービスデスクのチケット管理、インシデント対応、変更管理、資産管理など、IT運用プロセスを一元化できるツールとして多くの大企業に導入されています。特に金融機関や公共機関でもServiceNowを採用するケースが多く、従来は社内開発していた問い合わせ管理システム等をServiceNowのクラウドサービスに置き換える動きが進みました。市場ではAtlassian(Jira Service Management)やBMCといった競合もありますが、ServiceNowは機能の充実度やクラウド基盤の信頼性からシェアトップを維持しています。ServiceNowは他システムとの連携性も高く、たとえば社内ディレクトリや監視システムと接続してインシデントを自動登録したり、ワークフローエンジンで承認フローを自動化するなど、DevOps/IT運用における中心ハブとして機能しています。そのためシステム開発において、運用管理の部分はServiceNowなど外部SaaSに任せ、自社はビジネスロジック開発に注力する形態が一般化しています。実際、ServiceNowは「IT運用ワークフロー」カテゴリでも市場シェア1位と評価されており、今や企業IT基盤に欠かせない存在となっています。
SaaS設定ミスが招くセキュリティリスクとSSPMの台頭
SaaS設定ミスによるリスクと課題
外部SaaSを大量に活用するようになる一方で、各サービスの設定不備(ミスコンフィギュレーション)によるセキュリティリスクが大きな課題として浮上しています。実際、Cloud Security Alliance(CSA)の調査では、少なくとも43%の組織がSaaSの設定ミスに起因するセキュリティインシデントを経験したと報告されています。6具体例としては、アクセス権限の誤設定による機密データの流出や、コラボレーションツール上の公開範囲ミスによる情報漏えいなどが挙げられます。ある分析ではSaaS環境で発生するセキュリティ事故の約29%は設定ミス、41%は過剰な権限設定に起因していたとも指摘されており、適切な設定管理が重要課題となっています。
しかし多くの企業では、各SaaSのセキュリティ設定を把握・管理しきれていないのが実情です。過半数の企業が「自社で利用中のSaaSアプリの半数以上を十分に保護できていない」と回答しており、設定チェックも人手に頼って「月次またはそれ以下の頻度」でしか行えていないケースが少なくありません。特に部門ごとにSaaS導入が進みIT部門の統制が行き届かない「シャドーIT」的な状況では、設定ミスが見過ごされるリスクが高まります。金融業界でも、クラウド利用を進めるにつれ「部署横断で多数のSaaSを使うことでアイデンティティ管理が煩雑化した」との声があり、人事異動時のアカウント権限見直しに膨大な工数がかかるといった課題が報告されています。このようにSaaS活用拡大に伴う設定管理・権限管理の問題が顕在化しており、放置すればコンプライアンス違反や重大インシデントに繋がりかねません。
SaaS Security Posture Management(SSPM)の導入と認知
上記の課題に対処するソリューションとして注目されているのが、SaaS Security Posture Management (SSPM) と呼ばれる新しいセキュリティ管理手法です。SSPMとは直訳すれば「SaaSのセキュリティ態勢管理」であり、クラウド上の多数のSaaSアプリについて設定状況や権限を継続的に監視・評価し、リスクを自動検出・修正するためのサービスです。具体的な機能として、(1)各SaaSのセキュリティ設定項目を常時監視し不適切な設定をアラート、(2)業界標準や規制に照らしたコンプライアンス評価、(3)検出した問題のリスク分析と自動修復アクション、(4)複数SaaSを横断した可視化ダッシュボード提供――といったものが挙げられます。SSPMを導入することで、社内で利用中の多数のSaaSについて潜在リスクを一本の仕組みで把握・管理でき、設定不備の是正を自動化して運用負荷を大幅に軽減することが可能になります。実際、SSPM導入企業ではSaaS設定のチェック頻度が飛躍的に向上し、78%が週次以上で監視できているのに対し、未導入企業では45%にとどまるというデータもあります。
このSSPMはここ数年で急速に普及しつつあります。CSAの調査紹介では、SSPM利用は2022年の17%から2023年に44%へ増加したとされています。7さらに「過去1年以内にSSPMを導入した」と回答した企業が43%おり、今後18か月以内に導入を計画する企業も36%にのぼっています。つまり、今や約半数の組織が何らかのSSPMソリューションを導入済みであり、今後さらに主流になっていく見通しです。この流れを受け、市場には多数のSSPMサービス提供ベンダーが登場しています。2023年末に発行されたForrester Wave(SSPM)では、評価対象として「15 providers that matter most」が示されています。8代表的なSSPM専業ベンダーにはAdaptive ShieldやAppOmni、Valenceなどがあり、Adaptive ShieldはCSA調査のスポンサーも務めたリーディング企業として知られます。またValence Securityは米国の金融機関にも導入実績があるなど、高度なセキュリティが要求される業界での活用も進んでいます。大手セキュリティ企業もこの分野に参入しており、たとえばPalo Alto Networksは自社クラウドセキュリティ製品群でSaaS設定監視機能を強化するなど、包括的ソリューションに組み込む動きも見られます。
日本におけるSSPMの認知度も徐々に高まっています。クラウドセキュリティに関するカンファレンスや専門メディアでSSPMが取り上げられ始めており、国内ベンダーによるサービス提供も開始されています。たとえばIIJ(インターネットイニシアティブ)は、Microsoft 365やSalesforce等のSaaSに対して脆弱な設定検出(SSPM)や監査を行う「IIJ SaaSセキュリティ監査ソリューション」を発表しています。9もっとも現時点では、米国に比べ日本企業でのSSPM導入例はまだ限られる状況です。これは、日本ではSaaS活用自体が限定的な企業も多く、またセキュリティ投資の優先度付けにおいて認知が追いついていないためと考えられます。しかしSaaSの設定ミスがセキュリティインシデントの主要因となりうることはグローバルなデータが示す通りであり、日本企業でもクラウド活用が進むほどSSPMの重要性が認識されていくでしょう。特に金融業界では規制当局からクラウド利用時のリスク管理を求められていることもあり、SSPMによる設定監査・ガバナンス強化は今後不可欠となるとみられます。実際、米国の銀行・保険会社では既にSSPM導入が進みつつあり、例えばある保険企業(Goosehead Insurance社)は機密データの露出低減を目的にValence Securityを導入しています。開発・運用現場においても、セキュリティ部門と連携してSaaS設定のベストプラクティスをチェックリスト化したり、CIパイプラインにSSPMツールを組み込んでコード変更時に設定ポリシー違反を検出する、といった取り組みが行われ始めています。
総じて、外部SaaSをシステム開発に組み込むケースは米国を中心に非常に一般的であり、日本でも追随して増加傾向にあります。主要なSaaSプロダクト(Salesforce, Slack, GitHub, ServiceNow等)は各分野で高いシェアと導入実績を持ち、多くの企業で当たり前のように活用されています。その一方で、マルチSaaS時代の新たな課題として設定ミスによるセキュリティリスクが顕在化しつつあり、SSPMのような専用ソリューションによる対応が重要となっています。特に機密情報を扱う金融業界では、適切な設定管理やアクセス制御の徹底がビジネス上の信用にも直結するため、今後はSaaS活用の促進と並行してSSPMによるガバナンス強化が一層求められていくでしょう。