シングルサインオン(SSO)とは、1組のIDとパスワードによる認証を1度行うだけで、連携している複数のシステムやクラウドサービス、アプリケーションに自動でログインできる仕組みです。テレワークの浸透とともにクラウドサービスを利用する企業が増えています。
それに比例して増える、アカウント管理やログインの手間を削減するための手段として、このシングルサインオン(SSO)が注目を集めています。
本記事では、シングルサインオン(SSO)の概要と、その意味やメリットについて解説します。
ページコンテンツ
シングルサインオン(SSO)とは
シングルサインオン(SSO)とは1組のID・パスワードによる認証を1度行うだけで、連携している複数のシステムやクラウドサービス、アプリケーションに自動でログインできるようになる仕組みのことです。
近年は働き方改革や新型コロナウイルスの影響で、クラウドサービスの利用が増えている企業が多くなっています。そうした企業で、例えばIDとパスワードで認証(ログイン)を行うサービス・システムを利用することが増えると、ユーザーも多くのIDやパスワードを管理しなければなりません。
このような状況下では、ログイン時の手間が増加してしまい、業務効率の低下やIDやパスワードの使い回しによる情報漏えいリスクの増加が懸念されます。
総務省の調査によると、令和元年に検挙している不正アクセス行為の99.7%は「識別符号窃用型」の手口となっています。「識別符号窃用型」とは、アクセス制御されているサーバに、ネットワークを通じて、他人の識別符号を入力して不正に利用する行為です。
また、「識別符号窃用型」の検挙件数785件の内310件、およそ40%が利用権者のパスワードの設定・管理の甘さにつけこんだものとなっています。令和2年には576件中99件と減少していますが、大きな課題であることに変わりはありません。
さらに、管理しなければならないパスワードが増加していることで、パスワードを忘れてしまうことやログインを複数回失敗してしまうことによってアカウントがロックされてしまうなどの問題も発生しています。
このような問題を解決するための手段として活用が進んでいるのがシングルサインオン(SSO)です。
次章では、シングルサインオン(SSO)を導入する具体的なメリットをご紹介します。
シングルサインオン(SSO)の3つのメリット
シングルサインオン(SSO)を導入することで得られるメリットは大きく分けて3つあります。
ここでは、それぞれのメリットについてご紹介します。
業務効率の向上
シングルサインオン(SSO)の1つ目のメリットは業務効率の向上です。
複数サービスへのログインが1組のID・パスワードで可能なため、都度情報を入力する必要がありません。また、多くのID・パスワードを覚える必要がなくなるため、アカウント情報を忘れてしまう恐れも低減でき、業務効率の向上が期待できます。
管理者の手間やコスト削減
従業員がパスワードを忘れてログインできないといった可能性が少なくなるため、情報システム部門など管理者側でパスワードの再発行やアカウントロック解除といった手間を削減することができます。
このような手間を削減することで、管理者側のリソースをコア業務に充てられるといった効果も期待できます。
セキュリティリスクの削減
シングルサインオン(SSO)ではIDやパスワードの自動生成と保存が行われるため、従業員が推測されやすいID・パスワードを複数のサービスで使い回してしまう可能性が低くなります。これにより、ID・パスワードの漏えいによって同じ文字列を使い回しているアカウントに不正アクセスされるリスクを減らすことができます。
また、シングルサインオン(SSO)は、ワンタームパスワードをはじめとする多要素認証と組み合わせることでよりセキュリティ強度を高めることができます。これらの対策を講じることで、サービスの利便性の高さを保ちながら、同時にセキュリティリスクも低減する効果が期待できます。
シングルサインオン(SSO)のデメリットと解決策
セキュリティリスクの削減や業務効率向上にもつながるシングルサインオン(SSO)ですが、利用にはデメリットも存在します。ここでは、シングルサインオン(SSO)の3つのデメリットとその解決策をご紹介します。
ID情報漏えいで不正利用のリスクがある
1組のID・パスワードで複数サービス・アプリケーションへのシングルサインオン(SSO)を行っていた場合、そのID情報が漏えいしてしまうだけで利用中のサービス・アプリケーションすべてが不正利用されるリスクに晒されてしまいます。そのため、シングルサインオン(SSO)のID・パスワードの管理は厳重に行う必要があります。
この問題は、スマートフォンなどへのプッシュ通知によって認証するパスワードレスの仕組みや、電子証明がインストールされているデバイスのみ承認するクライアント認証、認証する度に変動し1回のみ使用可能なパスワードであるワンタイムパスワード、また2段階認証などの仕組みを活用することで解消できます。
サービス停止で関連サービス・アプリにログインできなくなる
2つ目のデメリットは、サービスが停止してしまった場合、利用しているシステム・アプリにログインできなくなることです。
シングルサインオン(SSO)では、特定のサービスによって認証情報が管理されているため、管理しているサービスがダウンしてしまった際には、シングルサインオン(SSO)と連携してログインできるように設定しているすべてのシステム・アプリケーションが使用できなくなる可能性があります。
このようなリスクを減らすためには、サービスの選定時にサービス稼働率や保証制度を確認しておくことが重要です。また、万が一サービスが停止してしまった場合の対応策についても、事前にメーカーと確認・整理しておくことが安定した運用につながります。
サービスによってはシングルサインオン(SSO)を使用できない
シングルサインオン(SSO)を導入しても、サービスやシステムによってはこの仕組みに対応していないものも存在するため注意が必要です。次章で詳しく解説しますが、シングルサインオン(SSO)の仕組みは大きく分けて5つの方式に分類できます。
しかし、すべてのサービスが5つの方式に対応している訳ではありません。そのため、自社が採用した方式を適用できないケースや、連携するために追加費用が発生するケース、また、そもそもシングルサインオン(SSO)の連携に対応していないケースに直面することもあり得ます。
このような場合、特定のサービスを利用する時にだけ個別で認証作業を行う手間が発生します。
シングルサインオン(SSO)が使用できない状況を未然に防ぐには、既に自社で利用しているシステムとより多く連携できる方式を調べることや、また新たなシステムを導入する際はそのシステムのシングルサインオン(SSO)対応環境を調べることが必要です。
次章では、シングルサインオン(SSO)の5つの仕組みと方式についてご説明します。
シングルサインオン(SSO)の5つの方式・仕組み
シングルサインオン(SSO)は複数サービスへのログインが1組のID・パスワードで可能となる仕組みを指します。この仕組み・方式は5種類に分けられます。ここではそれぞれの方式についてご紹介します。
SAML認証(フェデレーション)方式
SAML(Security Assertion Markup Language)認証と呼ばれる方式は、IdP(Identity Provider)とSP(Service Provider)と呼ばれる2つの構成要素で、シングルサインオン(SSO)を実現する方式です。
ユーザーが対象のWebサービス(SP)へアクセスを行い、SPがIdPに認証情報を要求します。その後IdPがSPに認証応答を送信し、SPがSAML認証応答を検証、ログインを許可するといった流れで認証されます。
クラウドサービス側がフェデレーション方式に対応している場合、設定を行うだけで、簡単にシングルサインオン(SSO)を実現できるというメリットがあります。
WebサービスによってはSMAL認証に対応していないものもあるため、導入する際には利用するサービスに導入可能か確認することが重要です。
代理認証(フォームベース)方式
代理認証(フォームベース)方式では、ユーザーの代わりにシステムがログイン情報を入力してくれる仕組みです。
この方式では、IDやパスワードの入力画面を検知して自動で入力してくれるため、ユーザーが毎回情報を入力しなくてもよいというメリットがあります。また、クラウドでID管理を行うサービスであるIDaaSと組み合わせることで簡単に実現できることもメリットの1つです。
製品によっては、認証用サーバを別途構築する必要があります。
リバースプロキシ方式
リバースプロキシ方式では、クライアントとWebアプリケーションサーバ(サービス)との間に通信を中継するリバースプロキシサーバを設置し、そのサーバを経由して認証を行う方式です。
エージェントをインストールする必要のある代理認証と違い、ネットワーク経路をリバースプロシキサーバに変更すればエージェントのインストールがいらずに導入できる点がメリットです。
しかし、すべて認証がリバースプロキシサーバを経由するため、通信が集中してしまい、リバースプロキシサーバがボトルネックになってしまう可能性があります。
エージェント方式
エージェント方式は、対象となるWebアプリケーション(サービス)にエージェント型ソフトをインストールし、そのエージェントを介して認証させる方式です。エージェント方式ではシングルサインオン(SSO)用の外部サーバと連携し、認証やアクセス権限のチェックを行うため、認証されればSSOサーバからユーザー情報が提供されます。
エージェントから求められる初回認証が済んだ後は、SSOサーバに格納されたユーザー情報を基に、連携されたサービスに自動でログインができるようになります。
エージェント型ソフトによってはアプリやサービスに対応していない場合もあるため、導入する際には注意が必要です。
透過型方式
透過型方式は、ユーザーがWebアプリへのアクセスを試みた際に、必要に応じてログイン情報を送付する仕組みです。アクセス経路に依存することがないため、どのような端末やブラウザでもりようでき、また社外からもアクセスできるメリットがあります。
オンプレミス環境にも対応しているため、複雑なシステム環境下においても柔軟に活用することができますが、導入する際には透過型認証対応のSSO製品が必要となります。
以上のように、シングルサインオン(SSO)にはさまざまな方式・仕組みが存在します。
これらの特徴を把握したうえで、自社に合ったサービスを選定することが大切です。
シングルサインオンのシステムを選定する際のポイント
本章では、実際にシングルサインオン(SSO)を導入する際に見るべき4つの選定ポイントをご紹介します。
既存システム・導入予定のシステムと連携可能か
シングルサインオン(SSO)を導入する際は、より幅広いサービス・システムと連携できる仕組みを選ぶことでそのメリットを最大限に活かすことができます。
そのため、まずは、導入する製品が既に利用しているシステムと連携可能な方式を採用しているかを確認しましょう。近年登場している多くのITサービス・システムは、代理認証(フォームベース)方式やSAML認証(フェデレーション)方式と連携可能です。
また、シングルサインオン(SSO)製品が今後利用予定のシステムとも連携できるかも確認しておくことで、導入後により多くのメリットが得られます。
さまざまなデバイスに対応可能か
PCだけでなく、スマートフォンやタブレットからのログインに対応しているかも、導入前に確認しておくべき事項の1つです。
近年は、社内外のインターネット環境で、PC以外のデバイスからクラウドサービスなどを利用するシーンが増えています。そのため、さまざまなデバイスからのログイン認証に対応した、マルチデバイス対応のシングルサインオン(SSO)製品を導入することがおすすめです。
セキュリティへの対策は万全か
シングルサインオン(SSO)では、ログインID・パスワード管理の効率化とセキュリティリスクの削減効果が期待できます。しかし、そのIDやパスワードが第三者に知られてしまった場合、シングルサインオン(SSO)と連携したすべてのサービス・システムに情報を知った第三者がログインできるようになります。
こうした事態を防ぐために、パスワード認証のほか、クライアント証明書などパスワードを利用しない脱パスワード認証といったセキュリティ対策機能が実装されている製品を選ぶことがおすすめです。
設定から障害時の対応まで可能などサポート体制は充実しているか
サービスの機能だけでなく、導入後のサポート体制も非常に重要です。
例えば、社内にセキュリティ領域に詳しい人材がいない場合は、初期設定などの基本的な部分からサポートを行っている事業者を選ぶことで、スムーズに導入を進めやすくなります。
また、サービス利用開始後は突然の不具合が生じることもあります。そのような場合に備え、トラブルへのフォロー体制が充実しているか、安心して利用できるかといった視点で選ぶことも重要です。
シングルサインオン(SSO)で業務効率化とセキュリティ対策を同時に実現
シングルサインオン(SSO)を利用することで、従業員や管理者にとってのID・パスワード管理の煩雑化を解消することができます。
大興電子通信では、シングルサインオン(SSO)サービスとしてさまざまな製品を取り扱っております。以下リンクでは、シングルサインオン(SSO)サービス「トラスト・ログイン」、「HENNGE IdP Edition」についてご紹介しています。ご興味をもたれた方は是非ご覧ください。
大興電子通信のシングルサインオン(SSO)サービス
「トラスト・ログイン」と「HENNGE IdP Edition」の詳細は以下からご覧ください。