実務チェックリスト
SaaS権限棚卸しチェックリスト
SaaSの権限棚卸しでは、ユーザー権限だけでなく外部アプリ、OAuth同意、共有設定、管理者ロール、退職者権限まで確認する。
- 難易度
- 中級
- 想定読者
- SaaS管理者・情シス・ゼロトラスト担当
- 所要時間
- 約11分
何を確認するか
Microsoft 365、Google Workspace、Slack、GitHubなどのSaaS権限、外部アプリ、管理者権限、OAuth同意を棚卸しするための実務チェックリスト。
なぜ重要か
SaaSは導入が容易な反面、部門単位の外部連携やゲスト招待が増え、管理者が把握しない権限が残りやすい。
見落とすと何が起きるか
高権限アプリや退職者アカウント、外部共有リンクを見落とすと、正規の認可経路を通じたデータ閲覧が続く。
棚卸し対象の確定
- IdP連携済みSaaS、SSO外SaaS、部門契約SaaSを一覧化する
- 管理者、共同管理者、請求管理者、監査閲覧者を抽出する
- ゲストユーザー、外部コラボレーター、共有リンクを確認する
- 退職者、異動者、長期未利用ユーザーを抽出する
OAuth・外部アプリ
- 高リスクスコープを持つ外部アプリを抽出する
- 発行者、所有部門、利用者数、最終利用日時を確認する
- メール、ファイル、管理API、オフラインアクセスを重点確認する
- 説明できないアプリは一時無効化または承認フローへ回す
共有とデータ出口
- 外部共有可能なフォルダ、チャンネル、ワークスペースを確認する
- リンクを知っている全員がアクセスできる共有を抽出する
- 機密ラベル、DLP、監査ログが有効か確認する
- 個人所有の自動化、Bot、Webhookが過剰権限を持っていないか見る
運用ルール
- 新規SaaS導入時の申請、審査、承認者を決める
- 管理者権限の付与期限とレビュー周期を決める
- 棚卸し結果をチケット化し、削除・維持・保留の判断を残す
- 四半期ごとに利用者数、権限、外部共有を再確認する