シングルサインオン用のオススメサービスは？メリットと合わせて紹介

シングルサインオン(SSO)とは？

シングルサインオン（SSO）は、WebサイトやクラウドサービスにログインするためのID/パスワードを単一の組み合わせで利用できる仕組みのことです。ユーザーが利用したいサービスをワンクリックで利用できる状態にします。

情報漏洩への対策から、Webサイトやアプリごとに複数のID/パスワードを使い分けることが当たり前になりつつありました。ですが、複数のパスワードを管理・運用していくことは大変です。

働き方改革の下、社員は就業時間以内にできるだけ多くの仕事をこなさなければならなくなりました。企業としては社員を新たに雇うコストを掛けたくないため、既存社員は常に業務効率改善を求められており、能力が高い社員ほど上司から仕事を振られます。クラウドサービスごとにパスワードを確認していては、業務効率や集中力の低下を招きます。

業務上で発生するストレスを無くし、できるだけスムーズに複数のサービスを使うためにもシングルサインオンは非常に重要です。また、シングルサインオンは単体で利用されるのではなく、クラウド上でユーザー認証やIDを一元管理するIDaaS(Identity as a Service)の一つとして、組み込まれる形が多くなっています。

シングルサインオンのサービスに関する3つのメリットとは？

煩雑なパスワード管理からの解放による利便性の向上や管理者の業務負担軽減が、メリットとして挙げられます。

利便性の向上

利用したいクラウドサービスやアプリをワンクリックでログイン可能です。ログイン作業の手間や複数のパスワード管理をする必要が無くなるので、業務効率性の向上やストレス軽減につながります。

また、懸念されるセキュリティ面に関しては、顔認証や指紋認証などの生体認証、スマートフォンのSMSを利用したワンタイムパスワードなど、多要素認証をサービスのログイン時に組み合わせることで、犯罪者からの不正アクセスのリスクを軽減します。

煩雑なパスワード管理からの解放

シングルサインオンを活用することで、覚えておくべきID/パスワードは1つだけになるので、煩雑なパスワード管理をする必要が無くなります。大量の仕事を抱えながら犯罪者に解読されにくいパスワードを複数管理していくのは、大変です。犯罪者に解読されにくいパスワードは文字数が長く、記号やアルファベット、数字などがすべて入っているなど複雑で厳しい条件の下、設定する必要がありるからです。仕事に追われている状態で一つ一つのパスワードを利便性を保ちながら管理していくのは、非常に面倒な作業です。

また、業務で利用するWebサイトのパスワードをメモ帳に記録していた場合は、メモ帳を紛失してしまうとクラウドサービスやアプリを利用できなくなります。業務が停滞するだけでなく、情報漏洩の原因にもつながるので、デメリットしかありません。シングルサインオンを活用することで利便性を保ちつつ、煩雑なパスワード管理からの解放や情報漏洩のリスクを軽減できます。

管理者の業務負担軽減

業務で利用するクラウドサービスやアプリの数が増えるにつれ、ユーザーIDやパスワードの数は増大します。パスワード管理や運用が複雑になると、ユーザーがID/パスワードの紛失や忘れたことによるフォロー作業で、管理者の負担は増大します。社員のID/パスワード管理を効率的にすることで、管理者自身の業務負担も減らすことにつながるのです。

シングルサインオンのサービスに関する2つのデメリットとは？

ID/パスワードをハッキングされると、シングルサインオンでつながっている全てのサービスで情報漏洩や悪用のリスクが高まるので、注意が必要です。

パスワードをハッキングされると情報漏洩につながる

犯罪者にID/パスワードをハッキングされると、業務上利用している全てのWebサイトやクラウドサービスで情報漏洩や悪用されるリスクが高まります。
犯罪者はログイン作業せずに、自分が閲覧したいサービスやデータファイルに入れるからです。

犯罪者の不正アクセスを防ぐためにも、多要素認証を活用しましょう。多要素認証の中でも、ユーザーのアクセス地点やデバイス機器、ログイン時間から本人認証を行うリスクベース認証、業務で利用するデバイス機器に電子証明書を携帯させるクライアント認証などを行うことで、ログイン時におけるセキュリティレベルを上げます。

また、IDaaSの中には、ユーザーのアプリやクラウドサービスを可視化するログ機能や特定の場所や端末からしかログインできないアクセス管理を搭載しているサービスもあります。上記の機能を活用することで、犯罪者からの不正アクセスのリスクを軽減可能です。

アクシデントに弱い

シングルサインオンの機能を提供するシステムに不具合が生じると、シングルサインオンでログイン設定していた全てのサービスが利用できません。業務の停滞や復旧作業に管理者が追われる形になります。そのため、Webサイトやクラウドサービスごとにバックアップ用のID/パスワードを個別に作成し、管理しておく必要があります。

シングルサインオンを実現する4種類の認証

エージェント方式、リバースプロキシ方式、代理認証方式、フェデレーション方式の特徴をみていきます。

エージェント方式

対象のWebサイトやアプリのエージェントソフトを導入し、エージェントがユーザーからのアクセス要求があった際にログイン作業を行う認証方式です。エージェント方式に対応しているサービスであれば、他のWebサイトで行ったログイン情報が保持されているので、ログイン作業の手間が省けて便利です。ただし、エージェント方式に対応していないWebサイトやアプリは多く、業務で使用する全てのサービスにエージェント方式を導入して管理していくのは、コスト的にも運用面でも負担が大きいです。

リバースプロキシ方式

リバースプロキシに認証を行わせる方式です。リバースプロキシは、Webサーバーとクラウドサービスの間に位置して、サーバーの代わりに通信の仲介や不正なアクセスをブロックする役割を担います。全てのユーザーのアクセスはリバースプロキシ経由となるため、安全で高速なシングルサインオンが実現可能です。

代理認証方式

ユーザーの代わりにシステムやエージェントが代理でログイン作業を行う方式です。例えば、クラウド上にユーザー認証サービスを提供するIDaaSであれば、簡単にシングルサインオンを実現できます。既存で利用しているWebサイトやアプリで追加対応を行う必要はないため、大きな負担もなくスムーズにシングルサインオンを実現可能です。

フェデレーション方式

認証情報を提供するIdP(Identify Provide)と使用したいクラウドサービスSP(Service Provider)の間で、チケットと呼ばれる情報を交換する方式です。
一つのクラウドサービスにログインできれば、そのユーザーの情報を別のクラウドサービスでも適用できるようにした仕組みです。

ユーザー情報だけではなく、ユーザー属性の追加や属性に基づいたアクセス制限を行うSAML(Security Assertion Markup Language)認証、GoogleやFacebookなどサードパーティーのアカウント情報を利用するOpenID Connectが、フェデレーション方式方式にあたります。

安全性や利便性などの面からSAML方式での認証が主に使われており、業務上利用頻度の高いサービスであるOffice365やG Suite、SalesForceはSAMLに対応しています。また、IDaaSのシングルサインオンでもSAML認証を利用した形が増えています。

シングルサインオンを搭載するIDaaSとは？

IDaaSはクラウド上でユーザー認証やID管理を行う認証サービスです。シングルサインオンだけでなく、多要素認証やリスクベース認証、ユーザーの属性に基づいたアクセス制限も搭載した利便性と安全性を兼備したセキュリティソリューションです。IDaaSの中には、オンプレミスでユーザー情報やコンピューターリソースの一元管理を行っていたActiveDirectoryと連携しているサービスも多く、これからクラウドサービスの利用を本格的に始める企業にとっても、スムーズに導入を行なえます。

また、IDaaSはインターネットに接続できる環境であれば、ユーザーがどの場所にいてもクラウドサービスを利用できるので、ActiveDirectoryよりも多くの面でメリットがあります。

おすすめのシングルサインオンサービスを4つ紹介

AccessMatrix USO、CloudGate UNO、Gluegent Gate、TrustLoginの紹介をします。

AccessMatrix USO

2017年にITトレンド年間ランキング1位にも輝いた評価の高いシングルサインオンサービスです。AccessMatrix USOは認証機能に代理認証をバージョンアップさせたユニバーサル型を採用しています。つまり、ユーザーからのアクセス要求があった時に、常住しているクライアントが代行で入力を行う仕組みです。

そのため、ネットワーク構成や対象システムの変更作業を行わずにシステムを導入できるため、業務や管理者への影響を最小限に抑えられます。また、既に導入しているアプリだけでなく、これから新規で導入しようとするアプリや自社のオリジナルアプリにも、モジュールの追加やプログラミング変更を行う必要がありません。

対応するアプリのカバー範囲が広いだけでなく、ワンタイムパスワードや生体認証などの認証強化製品やActiveDirectoryとの連携など、多数の機能を有している点も魅力の１つです。

CloudGate UNO

GoogleドキュメントやGmailなどG Suiteに特化したシングルサインオン機能を用意しているのが特徴です。CloudGate UNO専用アプリを活用し、端末IDで認証確認を行うことで犯罪者からの不正アクセスのリスクを軽減します。状況によっては、添付ファイルの禁止や指紋認証を要求する設定を行い、情報漏洩への対策をより厳重にすることも可能です。

また、G Suite以外に適用するシングルサインオン機能も非常に便利です。CloudGate UNOでの管理画面で、ユーザーが利用できるサービスが一覧表示されているので、すぐにサービスを利用できる状態になっています。また、SAML認証に対応していないアプリやサービスもフォームベース認証で対応することで、シングルサインオンの連携を実現します。

そして、シングルサインオン以外でも認証機能が豊富で、USBデバイスやトークン、カードキーによるパスワードレスによるアクセスを実現するのもCloudGate UNOの特徴の1つです。

Gluegent Gate

低コストで様々な認証機能を搭載しているのが特徴です。G SuiteやOffice365など各種クラウドサービスやアプリとのシングルサインオンを実現します。また、セキュリティレベルを高めるために必要な多要素認証も、ワンタイムパスワードや電子証明書を用いたクライアント認証、特定の場所からのアクセスしか認めないIPアドレス制限など、多数の認証機能が1ユーザー100円から利用可能です。

Active Directoryとの連携やログ管理機能も付いており、多彩な機能を低コストで利用できます。

TrustLogin

TrustLoginは企業規模を問わず導入可能なシングルサインオンサービスです。キャノン電子テクノロジー、デジタルリフト、高田製薬など様々な業界の企業で導入されています。対応サービスの幅が広く、SAML認証、フォームベース認証、ベーシック認証などシングルサインオンを実現する認証機能を全てに対応しており、5,000以上のクラウドサービスに対応可能です。

また、従業員が30人以下の企業の場合は無料プランが用意されており、オプションとして用意されている機能を自由に加えていく形になります。G SuiteやActive Directoryとの連携、ワンタイムパスワードやクライアント認証などの認証機能の追加も1ユーザー100円/月から利用可能です。自社にとって本当に必要な機能を選択できるので、コストの無駄を極力回避できます。