好きな所から読む
SAMLとは?
SAML(Security Assertion Markup Language)は、情報社会での標準規格の開発や合意形成などを行う非営利団体OASISが発行した通信プロトコルです。異なるインターネットドメインの通信を実現するためにSAMLは開発され、現在ではクラウドサービスやアプリへのシングルサインオンを実現するための認証機能として使用される機会が増えてきました。そして、自社で運用・管理を行うオンプレミスでユーザー情報を一元管理するActiveDirectoryやSaaS等のクラウドサービスとの連携をSAMLは実現しているため、クラウドサービスの利用時においてもシングルサインオンを実現できます。
また、ユーザー認証だけでなく、ユーザーが所属する部署やチームなど属性情報も追加することが可能です。クラウドサービスの利用時にユーザー属性も考慮したアクセス許可を実現することで、ユーザーが閲覧できるデータの範囲を制限します。例えば、あなたが営業部に所属していたとしましょう。
クラウドサービスやアプリのログイン時に営業部の属性が考慮されると、売上実績や顧客情報、見積書など営業マンとして働くためのデータしか閲覧できません。経理が使用する入出金データや人事が使用する従業員データは閲覧できない状態になるのです。閲覧範囲が広すぎると、内部不正や機密情報の持ち出しなど情報漏洩のきっかけにつながるので、閲覧範囲を限定することで情報漏洩の抑止力となります。
⇒シングルサインオンで実現するゼロトラストセキュリティ。ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!
SAMLによるシングルサインオン導入の3つのメリット
SAML認証を通じたシングルサインオンによって、業務効率性の向上、セキュリティレベル向上、IDaaSの活用によるコストカットや効率的な運用などを実現するといったメリットが挙げられます。
業務上のストレス軽減
自分で使用したいクラウドサービスをワンクリックで使用可能になります。複数のパスワード管理を行う必要が無くなるので業務上のストレスが軽減され、業務効率性やユーザビリティが向上します。働き方改革に伴い残業時間が規制されることで、従来以上に勤務時間内で多くの仕事をこなさなければならなくなりました。業務の効率性の向上や残業を回避するためには、少しでも利便性を上げる必要があります。
シングルサインオンを実現することで、メモの活用やスマートフォン、PCに保存していたパスワードを確認して入力する必要も無くなります。また、パスワードを書いたメモ用紙を紛失してログインできないといったことも避けられるので、運用の手間も省けます。
多要素認証との組み合わせでセキュリティレベル向上
多要素認証は犯罪者による不正アクセスのリスクを軽減させるため、クラウドサービスやアプリのログイン時にユーザーID/パスワードの入力だけでなく、生体認証やワンタイムパスワード、ベンダー独自のアプリの活用など、複数の認証を組み合わせることです。
ユーザーID/パスワードの入力だけの認証に留めてしまうと、犯罪者のアカウント情報のハッキングやパスワードリスト型攻撃などのサイバー攻撃による不正利用で、簡単に社内ネットワークへのアクセスを許してしまいます。犯罪者によるなりすましを防ぐためにも、本人特有の情報である顔認証や指紋認証、支給したスマートフォンが無ければログインできないSMS機能を活用したワンタイムパスワードは、不正アクセスのリスクを大幅に軽減することが可能です。
また、ID認証やシングルサインオンなどの認証機能をクラウド上で提供するIDaaS(Identity as a Service)の中には、ユーザーのアクセス地点やログイン時間、デバイス機器によって本人確認を行うリスクベース認証の機能を搭載している種類もあります。認証機能の選択肢が複数あることで、自社にとって最適なセキュリティ対策を見つけられます。
IDaaSの活用で多様なメリットを受けられる
現在、テレワークの導入で在宅勤務やリモートワークなどの導入が進み、自宅やサテライトオフィス、カフェなどオフィス以外で働く機会も増えました。場所を問わない働き方を選択する社員が増えたことで、自社でネットインフラやデータファイルを運用・管理をしていたオンプレミスからクラウドサービスに移行する企業が増えています。クラウドサービスの利用に伴い、ユーザー認証機能はActiveDirectoryからIDaaSに委ねられることになりました。
IDaaSはユーザー認証やシングルサインオンだけでなく、アクセス制限やリスクベース認証、サイバー攻撃の備えなど様々な機能が期待できます。また、オンプレミスと比べて自社で設備を用意するのではないので、低コストで効率的な運用が可能です。
IDaaSを導入することで得られるメリット
| 機能 | オンプレミスと比べたメリット | 企業への影響 | |
| 内容 |
|
|
SAML認証の仕組み
SP(Service Provider)と呼ばれるユーザーがログインしたいクラウドサービスとIdP(Identify Provide)と呼ばれる認証システムとの間で行われる、ログイン要求からアクセス許可が出るまでの流れを書きます。
- ユーザーはログインしたいクラウドサービス(SP)にアクセス要求
- SPがSAML認証を作成
- SPがIdPに送信
- IdPがSAML認証の中身を解析
- 問題なければ応答を作成
- ユーザーが応答をSPに送信
- SPが応答の解析
- 中身に問題なければログインを許可
SAMLとOAuthの違いとは?
SAMLがアクセス要求をしてきたユーザーが犯罪者のなりすましでないか確認を行うのに対し、OAuthはアクセスの許可をするだけに留まります。つまり、OAuthの場合は認証機能が付属していないので、アカウント情報をハッキングされると悪用される危険性が高まるのです。セキュリティ保護がされていないWebサイトや犯罪者が用意した悪意のあるWebサイトや偽サイトでOAuthを許可してしまうと、SNSや他のWebサイトで利用しているあなたのアカウント情報が盗まれる可能性が高まるので、注意してください。
もし、あなたが使用しているFacebookやTwitter、Instagramなどで身に覚えのない投稿があった場合は、アカウント情報を悪用されています。迅速にアカウント停止やパスワード変更の処置を取ってください。OAuthはアプリケーションを連動させるAPI(Application Program Interface)を活用することで、複数のWebサイトをシングルサインオンで利用できる環境を作り上げています。
例えば、Instagramやマッチングアプリをあなたが利用しているとしましょう。
Webサイトやアプリのホーム画面で、Facebookのアカウント情報の活用でログインや登録可能といった項目があります。わざわざ新しくサイトやアプリごとに一からアカウントを作成しなくても、Facebookのアカウント情報を信用してログインの手間を省ける仕組みです。この機能がOAuthであり、ログイン作業が省けることでユーザービリティが向上します。
ただし、上記で述べたようにOAuthは認証機能が付属していないので、セキュリティ面を考えるとSAMLの方が安全です。
シングルサインオンと認証機能を同時に兼ね備えたソリューションとは?
クラウド上でのID管理を行うIDaaS(Identity as a Service)を利用します。IDaaSはシングルサインオンはもちろん、複数の認証機能を組み合わせた多要素認証やユーザーのアクセス地点やデバイス機器などからリスクを読み取るリスクベース認証、ユーザーに対してのアクセス制限の設定など、利便性とセキュリティ機能を両立させた認証サービスです。
また、これから本格的にクラウドサービスの利用を始める企業でも、ActiveDirectoryとの連携が可能な商品が多く、クラウド上でスムーズにユーザー情報を管理していくことが可能です。IDaaSを利用することで、オンプレミスでの管理よりもコスト面や運用面など様々な点でメリットが望めます。
IDaaSの機能と導入効果
| 機能 | 導入効果 | 企業への波及効果 | |
| 内容 |
|
|
|
おすすめのIDaaSを3つ紹介
TrustLogin、Auth0、Hennge ONEの特徴を紹介します。
TrustLogin(トラスト・ログイン)
GMOグループが提供するIDaaSで、高田製薬やgumi、GMO NIKKO社などが採用しています。TrustLoginの特徴は、低コストでの運用が可能であることと必要な機能をその都度選択できることです。
TrustLoginは無料プランが用意されており、企業規模が30人以下であれば無料プランでも十分にセキュリティレベルを向上できます。シングルサインオンは標準搭載で、スマートフォンのSMS機能を利用したワンタイムパスワードや電子証明書を利用したクライアント認証、業務上利用頻度の高いOffice365やGSuiteを1ユーザー月額100円から利用可能です。自社にとって本当に必要な機能だけを選ぶことができるので、コストの無駄を極力無くせます。
また、利用ユーザーが30人以上の条件を必須とする有料プランも1ユーザー月額300円から利用可能で、多要素認証やActiveDirectoryとの連携も標準搭載で利用でき、アプリやクラウドサービスの利用制限もありません。
Auth0(オースゼロ)
2020年に5月にNTTデータと業務提携を結んだAuth0社が提供するIDaaSで、日本企業ではNTTドコモ、パーソルキャリア、ライザップなどがAuth0の導入をしています。Auth0の特徴はカスタマイズ性が高い点にあります。
ルール機能を活用することで、ログイン後のユーザー処理や属性追加を行うことができ、JavaScriptかC#を使用することで自社が使用しやすい形にデータベースの連携やカスタムルールの作成を行うことが可能です。また、テンプレートが複数用意されているので、テンプレートを使用しながら修正箇所を把握できるので、自社にとって使いやすい形を実現できます。
他にも、セキュリティ保護が不十分なIPアドレスからのアクセス要求や盗難・流出で使用禁止にしたパスワードからのアクセスをブロック可能です。ワンクリックで操作ができるので、効率よく情報漏洩への対策を実行できます。
Hennge ONE(ヘンゲ・ワン)
HENNGE社が提供するIDaaSで、ユニ・チャームやファミリーマート、ニチレイ社などが導入しています。Hennge ONEの特徴は、大容量ファイル処理の効率化とメール誤送信の機能が付属している点です。
前者は容量の大きいファイルを取引先や上司などに送る際に、送りたいファイルをドラッグ&ドロップすれば、簡単にアップロードできる仕組みです。URLのコピーをメールに貼っておけば、簡単に情報共有が可能です。その都度データファイルを圧縮する必要もないので、業務効率性の向上と情報共有がスムーズにできます。
一方で後者は、HENNGE Email DLPと呼ばれる機能が情報漏洩に関する機能を豊富に搭載しています。企業の機密情報がメールの本文や添付ファイルに含まれていないか判断してから、メールの送信が行われます。企業の技術データや従業員の個人情報などの機密情報が含まれていた場合は、送信キャンセルや削除が実行されます。
業務上利用頻度の高いメールによる機密情報の漏洩は企業にとって脅威であるため、誤送信の削減と内容を精査することで情報漏洩のリスクを軽減可能です。また、添付ファイルを含んでメールを送信する際は自動的にパスワード保護されたzipファイルに変換されるため、他者による情報の盗み見を防ぐことができます。
⇒シングルサインオンで実現するゼロトラストセキュリティ。ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!
