SaaS 存取蔓延：你 20 人新創公司隱藏的資安問題

SaaS 存取蔓延，是指團隊的應用程式存取權成長速度超過你撤銷的速度時所發生的情況。每一個 OAuth 連線、每一個外包人員帳號、每一個從未清理的「暫時性」管理員授權——都不斷累積。在一家 20 人的新創公司，平均管理超過 60 個活躍的 SaaS 連線，儘管創辦人以為只用了 12 個工具。你以為存在的存取地圖，與實際存在的之間的差距，就是你的資安問題。

為什麼新創公司比企業更嚴重

企業有 IT 團隊。他們在防火牆層級強制執行 SSO。他們有專門負責存取審查的人員。你沒有。

在 10 到 30 人的規模，每個人都對某些工具擁有管理員權限。你的設計師用個人信箱註冊了 Figma，並在 Slack 分享了專案連結。你的工程師在自己的 GitHub 帳號下建立了 Vercel 專案。你的營運負責人建立了公司 Notion 工作區，並邀請了六個人，包括六個月前離職的外包人員。

沒有人標記這些情況。不需要這樣做。你們移動得很快。現在，你面對的是幾十個早於現有人員編制的存取授權——根據 Reco AI 2026 年的資料，40% 的離職員工在離開後仍對至少一個商業應用程式保有活躍存取權。這不是假設。這就是你最近三個離職的人。

SaaS 存取蔓延實際上是如何發生的

有四個不同的來源，而且大多數新創公司同時面臨這四個問題。

影子 IT 註冊。 工程師需要一個 CI 工具。他們試用了在 Product Hunt 上找到的免費版本。六個月後，你的程式碼庫連接到了一個沒有人記得批准過的服務。Nudge Security 的 2026 年研究發現，普通公司中 90% 的 SaaS 應用程式完全不受管理——不是因為創辦人不謹慎，而是工具的使用速度超過了制度的建立速度。

OAuth 授權。 每一個「用 Google 連線」或「透過 GitHub 授權」都是一個 OAuth 授權。這個授權會無限期持續，除非明確撤銷。當員工離職，你停用了他們的 Google 帳號，但他們的帳號先前向第三方應用程式發出的 OAuth 授權通常仍然有效——特別是對於快取了 token 或使用長效更新 token 的應用程式。

外包人員和自由工作者帳號。 外包人員獲得存取權以完成工作。工作結束了。存取權沒有結束。參見：當自由工作者離職，誰還能存取你的 Figma、Notion 和 GitHub？

繼承的管理員權限。 你的第一位營運人員同時也是你的事實 IT 管理員。他們建立了所有東西。他們擁有 Vercel、AWS IAM、Notion、1Password 和其他四個工具的管理員權限。他們離職了。下一位獲得了不同的管理員權限，因為沒有人記錄舊的那些。現在同一家公司存在兩份組織架構的存取權。

三項真實風險（超越「這是資安問題」的泛泛說法）

1. 離職後的智慧財產洩露

這是最痛的一個。離職的設計師仍擁有你 Figma 檔案的編輯存取權。前任工程師仍擁有你 GitHub 儲存庫的寫入存取權。停用他們的電子郵件帳號——大多數創辦人在離職當天都會這樣做——並不會撤銷未與你的電子郵件供應商整合的工具中的應用程式層級存取權。Figma、GitHub、Vercel、Linear 和 Notion 都在獨立於 Google Workspace 或 Microsoft 365 的使用者帳號上運作。

2. 每月複利的成本浪費

企業每年在未使用或未充分利用的 SaaS 席位上超支 25 至 30%。在 8 個工具每席每月 50 美元的情況下，那是真實的金錢流向了六個月沒有開啟過應用程式的人的授權費。幽靈席位不只是浪費——它們是你已停止追蹤的存取權的證據。

3. 合規曝險

如果你正在追求 SOC 2、ISO 27001 或任何投資人盡職調查流程，存取蔓延問題將會出現。審計人員會問：誰可以存取什麼，你怎麼知道？「我們在人員離職時嘗試移除存取權」不是一個能通過審查的答案。要求是有文件記錄的、可審查的、系統性的存取管理——這很難用試算表偽造。

如何在 30 分鐘內稽核你的 SaaS 存取蔓延

首次稽核不需要工具。你需要一份清單和兩小時令人不舒服的點擊。

步驟一：建立現有人員清單。 列出所有現任員工和外包人員。包括兼職人員和任何按月收費的顧問。這是你的「應該擁有存取權」清單。

步驟二：從每個工具提取成員清單。 進入 Slack、Notion、Figma、GitHub、Linear、Vercel、1Password、Google Workspace 以及你的團隊使用的其他工具的管理員設定。匯出或截圖成員清單。對每個工具都這樣做，不只是明顯的那些。

步驟三：交叉對照。 工具成員清單中不在現有人員清單上的任何人，就是一個孤立帳號。標記他們。那就是你的撤銷佇列。

這個流程通常會在 20 人的新創公司中發現 3 至 8 個孤立帳號。有些會是 18 個月前的外包人員。有些會是之前的營運人員。偶爾會有為試用而設置但從未移除的廠商帳號。

在如何在你的新創公司進行「誰有存取權」稽核中可找到系統性執行此流程的完整指南。

如何在沒有 IT 團隊的情況下修復它

一次性稽核是第一步。真正的修復是防止蔓延重新建立。

建立標準工具堆疊。 記錄你的公司官方使用的 8 至 12 個工具，以及每個人按職位應有的存取權。設計師獲得：Figma（編輯者）、Notion（成員）、Slack（成員）、Linear（成員）。開發者獲得：GitHub（寫入）、Vercel（成員）、Linear（成員）、Slack（成員）。新人加入時，他們獲得職位對應的工具堆疊。沒有臨時邀請。

讓離職成為入職的鏡像。 標準工具堆疊中的每個工具都應出現在你的離職清單上。有人離職時，照著清單走。不要依賴記憶。這是大多數新創公司失敗的地方——離職清單上有「從薪資中移除」和「收回電腦」，但沒有「從 Figma 移除」。請參閱離職缺口：為何 HR 軟體無法撤銷存取權中的完整分析。

將共用密碼移出便利貼。 如果你的團隊對任何工具使用共用憑證（社群媒體帳號、廠商入口、客戶登入），每次有知悉存取權的人離職時，這些憑證都需要更換。這不是可選的——這是「我們已讓他們離職」和「我們實際上撤銷了他們的存取權」之間的差異。

自動化定期檢查。 一次性稽核會衰減。新工具被加入，新外包人員加入，OAuth 授權又開始堆積。可持續的版本是季度或月度存取審查——無論是手動執行還是在人員變動時自動觸發。

手動 vs 自動化：差異看起來是什麼樣子

企業 IAM 工具——AccessOwl、Torii、Zluri、Lumos——為擁有專職 IT 團隊和每年 50,000 美元以上預算的公司解決這個問題。它們的定價不適合創辦人。Optserv 是為 5 至 50 人的新創公司打造的，希望在沒有 IT 團隊負擔的情況下實現生命週期與存取自動化。

常見問題

什麼是 SaaS 存取蔓延？ SaaS 存取蔓延是指組織中活躍應用程式存取權的累積，其成長速度超過你撤銷的速度。當員工、外包人員和廠商註冊工具、連接 OAuth 整合或獲得權限，而這些授權在人員或關係結束後仍然持續時，就會發生這種情況。結果是你認為存在的存取與實際存在的之間出現差距。

停用某人的 Google 帳號是否會撤銷他們對所有應用程式的存取？ 不會。停用 Google Workspace 帳號會移除他們透過 Google SSO 登入使用該功能的工具的能力。但擁有獨立登入的工具、停用前快取的 OAuth 授權，以及該人知道的共用憑證並未被撤銷。這是關於離職最常見的誤解之一。

典型的 20 人新創公司有多少個孤立帳號？ 根據業界資料，通常有 3 至 8 個。數量隨著外包人員使用、工具數量，以及公司在沒有系統性離職流程的情況下運作的時間而擴大。

SaaS 蔓延和影子 IT 有什麼區別？ 影子 IT 特指員工在沒有 IT 或管理層批准的情況下使用的工具。SaaS 存取蔓延更廣泛——它包括從未清理存取權的批准工具。影子 IT 是蔓延問題的一個子集，而非整體。

在下次離職前阻止蔓延

SaaS 存取蔓延是一個複利問題——每次招募、每個外包人員、每個新工具都會增加它。稽核是第一步。真正的修復是連接你的離職流程，使存取撤銷在有人狀態變更時自動發生，而不是希望對的人記得這件事。

Optserv 將你的 HR 生命週期（招募、入職、離職）連接到你的 SaaS 工具堆疊，使存取跟著人走——而不是反過來。有人離職時，他們在 Slack、Figma、Notion、GitHub 和你工具堆疊其他部分的存取，在一個流程中被撤銷，而不是十四個獨立的管理員面板。在 app.optserv.ai 免費開始。

資料來源

• Reco AI（2026）：40% 的離職員工在離開後仍對至少一個商業應用程式保有存取權
• Nudge Security（2026）：普通公司中 90% 的 SaaS 應用程式完全不受管理
• Block64 / Zylo SaaS 統計資料（2026）：普通公司管理 305 個 SaaS 應用程式；每年在未使用席位上超支 25 至 30%
• Torii（2026）：SaaS 中的孤立存取——定義和常見模式
• Corma（2026）：什麼是 SaaS 蔓延、原因和風險