シングルサインオン(SSO)とは一組のID・パスワードによる認証を1度行うだけで、連携している複数のシステムやクラウドサービス、アプリケーションにログインできる仕組みです。テレワークの浸透とともにクラウドサービスを利用する企業が増えています。それに比例して増える、アカウント管理やログインの手間を削減するための手段として、このシングルサインオン(SSO)が注目を集めています。本記事では、シングルサインオン(SSO)の概要と、その意味やメリットについて解説します。
ページコンテンツ
シングルサインオン(SSO)とは
シングルサインオン(SSO)とは一組のID・パスワードによる認証を1度行うだけで、連携している複数のシステムやクラウドサービス、アプリケーションにログインできる仕組みです。
働き方改革や新型コロナウイルスの影響によって、クラウドサービスの利用が増加している企業が多く、例えばIDとパスワードを入力して認証(ログイン)を行い、サービスやシステムを利用する場合、利用者はサービス・システムにログインするために、多くのIDやパスワードを管理しなければなりません。
このような状況下では、ログイン時の手間が増加してしまい、業務効率の低下やIDやパスワードの使い回しによる情報漏えいリスクの増加が懸念されます。
総務省の調査によると、令和元年に検挙している不正アクセス行為の99.7%は「識別符号窃用型」の手口となっています。「識別符号窃用型」とは、アクセス制御されているサーバに、ネットワークを通じて、他人の識別符号を入力して不正に利用する行為です。
また、「識別符号窃用型」の検挙件数785件中310件と、およそ40%が利用権者のパスワードの設定・管理の甘さにつけこんだものとなっています。令和2年には576件中99件と減少していますが、大きな課題となっていることに変わりはありません。
また、管理しなければならないパスワードが増加していることで、パスワードを忘れてしまうことや複数回ログインを失敗してしまうことによってアカウントがロックされてしまうなどの問題も発生しています。
このような問題を解決するための手段として活用が進んでいるのがシングルサインオン(SSO)です。
次章では、シングルサインオン(SSO)を導入する具体的なメリットをご紹介します。
シングルサインオン(SSO)の3つのメリット
シングルサインオン(SSO)を導入することで得られるメリットは大きく分けて3つあります。
ここでは、それぞれのメリットについてご紹介します。
業務効率の向上
シングルサインオン(SSO)の1つ目のメリットは業務効率の向上です。
複数サービスへのログインが一組のID・パスワードで可能なため、都度情報を入力する必要がありません。また、多くのID・パスワードを覚える必要がなくなるため、アカウント情報を忘れてしまう恐れも低減でき、業務効率の向上が期待できます。
管理者の手間削減
従業員がパスワードを忘れてログインできないといった可能性が少なくなるため、情報システム部門など管理者側でパスワードの再発行やアカウントロック解除といった手間を削減することができます。
このような手間を削減することで、管理者側のリソースをコア業務に充てられるといった効果も期待できます。
セキュリティリスクの削減
シングルサインオン(SSO)では、サービスやアプリごとに強度の高い複雑なパスワードを設定したり、従業員側で多くのIDやパスワードを覚えたりする必要がありません。セキュリティリスクを削減しながらも、利便性を保ったまま運用することができます。
シングルサインオン(SSO)のデメリット
セキュリティリスクの削減や業務効率向上にもつながるシングルサインオン(SSO)ですが、利用にはデメリットも存在します。ここでは、シングルサインオン(SSO)の2つのデメリットをご紹介します。
ID情報漏えいで被害拡大の危険性
一組のID・パスワードで複数サービス・アプリケーションへのシングルサインオン(SSO)を行っていた場合、そのID情報が漏えいしてしまうだけで利用中のサービス・アプリケーション全てが不正利用されるリスクに晒されてしまう可能性があります。そのため、シングルサインオン(SSO)のID・パスワードの管理は厳重に行う必要があります。
この問題は、スマートフォンなどへのプッシュ通知によって認証するパスワードレスの仕組みや、電子証明がインストールされているデバイスのみ承認するクライアント認証、認証する度に変動し一回のみ使用可能なパスワードであるワンタイムパスワードなどの仕組みを活用することで解消できます。
システム停止で関連サービス・アプリにログインできなくなる
2つ目のデメリットは、システムが停止してしまった場合、関連サービス・アプリにログインできなくなることです。
シングルサインオン(SSO)では、特定のシステムによって認証情報が管理されているため、管理しているシステムがダウンしてしまった際には、シングルサインオン(SSO)と連携してログインできるように設定している全てのサービス・アプリケーションが使用できなくなる可能性があります。
このようなリスクを減らすためには、システムの選定時にサービス稼働率や保証制度を確認しておくことが重要です。また、万が一システムが停止してしまった場合の対応策についても、事前にメーカーと確認・整理しておくことが安定した運用につながります。
次章では、シングルサインオン(SSO)の5つの仕組みと方式についてご説明します。
シングルサインオン(SSO)の5つの仕組み・方式
シングルサインオン(SSO)は複数サービスへのログインが一組のID・パスワードで可能となる仕組みを指します。この仕組み・方式は5種類に分けられます。ここではそれぞれの方式についてご紹介します。
SAML認証(フェデレーション)方式
SAML(Security Assertion Markup Language)認証と呼ばれる方式は、IdP(Identity Provider)とSP(Service Provider)と呼ばれる2つの構成要素で、シングルサインオン(SSO)を実現する方式です。
ユーザーが対象のWebサービス(SP)へアクセスを行い、SPがIdPに認証情報を要求します。その後IdPがSPに認証応答を送信し、SPがSAML認証応答を検証、ログインを許可するといった流れで認証されます。
クラウドサービス側がフェデレーション方式に対応している場合、設定を行うだけで、簡単にシングルサインオン(SSO)を実現できるというメリットがあります。
WebサービスによってはSMAL認証に対応していないものもあるため、導入する際には利用するサービスに導入可能か確認することが重要です。
代理認証(フォームベース)方式
代理認証(フォームベース)方式では、ユーザーの代わりにシステムがログイン情報を入力してくれる仕組みです。
この方式では、IDやパスワードの入力画面を検知して自動で入力してくれるため、ユーザーが毎回情報を入力しなくてもよいというメリットがあります。また、クラウドでID管理を行うサービスであるIDaaSと組み合わせることで簡単に実現できることもメリットの1つです。
製品によっては、認証用サーバを別途構築する必要があります。
リバースプロキシ方式
リバースプロキシ方式では、クライアントとWebアプリケーションサーバ(サービス)との間に通信を中継するリバースプロキシサーバを設置し、そのサーバを経由して認証を行う方式です。
エージェントをインストールする必要のある代理認証と違い、ネットワーク経路をリバースプロシキサーバに変更すればエージェントのインストールがいらずに導入できる点がメリットです。
しかし、全て認証がリバースプロキシサーバを経由するため、通信が集中してしまい、リバースプロキシサーバがボトルネックになってしまう可能性があります。
エージェント方式
エージェント方式は対象のWebアプリケーション(サービス)にエージェント型ソフトをインストールし、そのエージェントを介して認証させる方式です。エージェントはシングルサインオン(SSO)用の外部サーバと連携し、認証やアクセス権限のチェックを行うため、認証されればSSOサーバからユーザー情報が提供されます。
エージェントから求められる初回認証が済んだ後は、SSOサーバに格納されたユーザー情報を基に、連携されたサービスに自動でログインができるようになります。
エージェント型ソフトによってはアプリやサービスに対応していない場合もあるため、導入する際には注意が必要です。
透過型方式
透過型方式は、ユーザーがWebアプリにアクセスした際、必要に応じてログイン情報を送付する仕組みです。アクセス経路に依存しないため、どのような端末やブラウザ、社外からのアクセスも可能というメリットがあります。
オンプレミス環境にも対応しているため、複雑なシステム環境下においても柔軟に活用することができます。導入の際には透過型認証対応のSSO製品が必要です。
このように、シングルサインオン(SSO)にはさまざまな仕組み・方式が存在します。
これらの方式の特徴を把握したうえで、自社に合ったサービスを選定するようにしましょう。
シングルサインオン(SSO)で業務効率化とセキュリティ対策を同時に実現
シングルサインオン(SSO)を導入することで、多数のID・パスワード使用による管理工数の増加や、業務の非効率といった課題を解消することが可能です。
シングルサインオン(SSO)サービスとして、大興電子通信では様々な製品を取り扱っております。
以下リンクでは、トラスト・ログイン、HENNGE IdP Editionについてご紹介していますので、ご興味をもたれた方は是非ご覧ください。
利便性と安全性を両立するためにも、シングルサインオン(SSO)の導入を検討されてみてはいかがでしょうか。
大興電子通信のシングルサインオン(SSO)サービス
「トラスト・ログイン」と「HENNGE IdP Edition」の詳細は以下からご覧ください。
