シングルサインオン・SSOとは?メリット・課題を解説、製品も比較

  • このエントリーをはてなブックマークに追加

昨今その利便性から非常に注目を集めているシングルサイン。今回はSSOとも略されるそのシングルサインオンについて詳しく解説しました。メリット・デメリットは勿論、オススメの製品も紹介しているので、是非ご覧ください。

シングルサインオンとは

「シングルサインオン」とは、ひとつのユーザーIDとパスワードのみで、複数のSNSサービスやクラウドサービスに接続する仕組みのことを指しています。

わかりやすく現実の鍵で例えてみると、ひとつの鍵でひとつの家のすべての部屋、金庫、スマートフォン、車などを開くことができる状態のような仕組みです。

シングルサインオンで出来ること

いくら大切なものを盗まれないように、鍵をかけて守らなければいけないといっても、財布にいくつもの鍵をジャラジャラとぶら下げて管理していたら、どんどん鍵の数が増え続けたり、どの鍵でどのドアが開くか分からなかってきたりと、非常に管理が面倒になってしまいますよね。どんな扉に対しても有効なマスターキーひとつによる管理ができたら、どれほど楽で素晴らしいことかと思うでしょう。

インターネットの場合もそうですよね。Google、Facebook、Twitter、Instagram、Amazon、各種メールアドレス、クレジットカード会社、銀行、仕事で使っているクラウドサービスなどなど、パッと思いつくだけでもこれだけのサービスがあり、そのひとつひとつに個別のユーザーIDとパスワードが必要とされます。

そんな両手には収まらない膨大な数のサービスのパスワード管理を、現実におけるマスターキーのように、ひとまとめにして管理しようというのがシングルサインオンのコンセプト、できることです。

シングルサインオンの仕組み

とても便利であると言えるシングルサインオンですが、それでははたして、どのようにしてその便利な仕組みを実現するのでしょうか?現状シングルサインオンにはいくつかの方式が用意されていて、代表的なところでは、

  • 代理認証方式
  • エージェント方式
  • リバースプロキシ方式
  • フェデレーション方式

これら四つの仕組みを挙げることができます。それでは、それぞれの仕組みについて詳しく紹介していきますので見てみましょう。

代理認証方式

ログインしたい各種SNSやクラウドサービスに対し、ユーザー本人では無く、専用のサーバーを使い代理サービスが代わりにユーザーIDとパスワードを入力する仕組みです。サービス元の変更が不要であるため導入が容易であり、近年サービスとして大きく注目されてきているIDaaSのようなクラウド型のサービスとの親和性が高いことが、よく用いられる理由として挙げられます。

社内システムであればシステム変更をおこなうことでユーザー管理の単純化をおこなうことが可能ですが、クラウドサービス 型のシステムにおいては変更不可能なので、これまでは自分たちで個別に対処していくしかありませんでしたが、代理認証方式を使うことによって、その管理の簡素化が実現できたというわけです。

エージェント方式

エージェント方式は、WEB上でおこなうシングルサインオンの方式になります。どういうことかというと、WEB上のサーバー、またはアプリケーションに「エージェント」のソフトを組み込み、利用者がサービスにログインしたい際、SSOサーバーからトークンが発行され、認証行為が本人のものによるかどうかを確認します。

ログイン情報はエージェントがすべて管理することになるので、利用者なにも考えずにログインをおこなうだけで済みます。

エージェント方式の仕組み

リバースプロキシ方式

リバースプロキシ方式もまた、エージェント方式と同様WEB上でおこなうシングルサインオンであり、利用者の端末とWEB上のサーバー、アプリケーションの間にリバースプロキシサーバーを設置し、そこに専用のエージェントソフトを組み込むことによって実現されます。

エージェント方式はサーバー上にエージェントソフトを組み込む必要がありましたが、リバースプロキシ方式は専用サーバーにエージェントがあらかじめ組み込まれているので、プラットフォームに依存せず、サーバー上にエージェントソフトを組み込むことが難しいケースにおいても有効です。

ただしリバースプロキシ方式が対応できるように、ネットワーク設定を再構築せねばならないので敷居はやや高く、WEBサービス自体が対応していないこともあるのがデメリットとなります。

リバースプロキシの仕組み

フェデレーション方式

Microsoftの提供しているOffice365やGoogle Appsのようなクラウドサービス 上でのみ使うことのできる方式であり、対応しているサービス自体は現状少ないですが、設定をいじるだけで簡単にシングルサインオンの管理が実現できるので、今後対応するサービスの増加が望まれています。

発行されるチケットのみを使ってログインするので、パスワード情報を残すことなくシングルサインオンがおこなえるのも大きなメリットです。

認証プロトコル:SAML

クラウドサービス のような、自社内とは異なる外部サービスとも連携することができるプロトコルのことです。

認証プロトコル:OpenID Connect

あるサービスに新規登録する際、「GoogleのIDでログインする」「FacebookのIDでログインする」と、別サービスのIDでログイン可能なことがありますよね。そのような別サービスのIDでログインする方式のことを、「OpenID Connect」と呼びます。

OpenIDConnectの仕組み

認証プロトコル:Oauth

あるサービスに、GoogleやFacebookなどのサービスのすべての権限ではなく、一部権限の使用許可を渡すことを指します。

シングルサインオン(SSO)のメリット

利便性が向上

さまざまなサービスで使うユーザーIDとパスワードを一括管理することで、パスワードを憶える手間を大幅に省くことができ、普段使っていなかったサービスに急にログインする必要が生じた時、そもそもパスワードを失念してしまっていてログインがおこなえない、なんていう事態を防ぐこともできます。

新たにサービスに新規登録する際にも、従来使っていたものを使い回すだけで済むので非常に便利でもあります。

多要素認証で情報漏えいリスクを削減

ユーザーIDとパスワードを一元管理、というとまず思い浮かぶのが、その一元管理されたユーザーIDとパスワードが他者に漏洩してしまった場合、利用しているすべてのサービスになりすましログイン、ハッキング行為をされてしまうリスクが出てくるということです。

実際自分でユーザーIDとパスワードを管理している場合、全体の7割以上という非常に多くの人が複数のサービスにおいておなじユーザーIDとパスワードを使い回していて、セキュリティティ管理に対する認識の甘さが指摘されていますし、それが重要な機密情報を扱う企業ともなれば、そのリスク対策の徹底は非常に重要な課題になると言えるでしょう。

シングルサインオンでは一元管理による情報漏洩のリスクを防ぐために、多要素認証を導入してセキュリティ性の向上を高めています。パスワードだけでなく、ワンタイムパスワードのようなトークン、顔認証や指紋認証、位置情報による認証など複数の認証方法を合わせることによって、サービスにログインする人が本人であるかどうかの確実性を高めています。

パスワードポリシーの徹底

パスワードを一元管理することは、情報漏洩という観点から見ればリスクばかりのようにも思えますが、サービス利用者が憶える必要のあるパスワードはたたひとつでいい、つまりものすごく複雑なパスワード設定をおこなうことができるというメリットもあります。

大文字、小文字、英数字を巧みに混ぜ合わせた長いパスワード設定をおこなえば、ハッカーだけでなく、パスワードを潜り抜けようと自動でパスワード入力を延々行い続けるbotによる絨毯爆撃行為に対しても有効となります。

また企業で一元管理をおこなう場合、システム管理者のみが管理し、従業者にはシングルサインオンのユーザーIDとパスワードのみを教えておくことで、従業員が退職した際にはひとつのパスワードを削除すれば、その手間だけで外部ログインを防ぐことができるというメリットもあります。

シングルサインオン(SSO)のデメリット

管理システムに脆弱性あるとNG

シングルサインオンによるユーザーIDとパスワードの一元管理は、利用者がインターネット上でおこなえるほぼすべての権限を、管理システムに預けているという状態でもあるため、利用者にとってはセキュリティ管理対策がほとんど命綱となっています。

個人で利用する場合でもクレジットカードや銀行などお金を扱うサービスや、たくさんの個人情報が集積されているSNSサービスのパスワードを知られることは莫大なリスクが伴うのに、それが企業の重要な情報を扱っているパスワードともなれば、まさに企業の存続に関わる重大なリスクとなります。

現在シングルサインオンのサービスは非常にたくさんの企業がおこなっていますが、「安価だから」といったような安易な理由ではなく、管理システムのセキュリティ性の高さを考慮した上で、サービス先を選択していかなければなりません。

導入コスト

シングルサインオン自体はサービス元が個々の利用者のユーザーIDやパスワードなどの個人情報をシステムによって管理するだけなので、1IDあたり数百円と言った非常に低コストからの導入が可能なのですが、サービスの生命線となるセキュリティ対策が高レベルになればなるほど、当然導入する際のコストは相応のものとなってきます。

またサービス提供元によってはシステムのインテグレーションに多額のコストがかかる場合もあるので、それも踏まえた上でどのサービスを選ぶかを決めましょう。尚、弊社サービスである「LOCKED」では、インテグレーションに開発が不要なので、安心してすぐに導入、利用することが可能となっています。

連携できないサービスも

シングルサインオンという仕組み自体に多数の方式が用意されていることからも分かるように、シングルサインオン自体決して万能なサービスな訳ではなく、サービスによってはシングルサインオンによる連携がまったく不可能なものもあり、取りこぼしが出てくることで完全な一元管理ができず、わずらわしさがでてしまうといった問題もあります。

特に日本発のサービスにおいては世界標準ではなく、日本独自の仕組みで認証をおこなっているケースも多いので、そのデメリットは想定よりも大きくなりがちですので、利用しているサービスが連携可能かどうかをあらかじめ調べてから導入すると良いでしょう。

シングルサインオンの将来

パスワードを使った多要素認証

インターネット上におけるSNS、クラウドサービス の増加、多様化とともにシングルサインオンも現状ほぼ必須と言えるレベルで需要の高いサービスとなっていて、シングルサインオン市場は世界全体で様々な企業が参入している一大市場として目覚ましい成長を遂げています。

パスワードを使った多要素認証の将来ですが、現状パスワードは仕組みがシンプルで利用する際の敷居が低く、なおかつパスワードを他者に知られない限りは突破することは非常に難しいという高いセキュリティ性を持っているため、今後も当分の間は安定して用いられることになると思います。

しかし、セキュリティ性能の進化とハッキング技術の進化はイタチごっこの関係にあり、将来的に複雑なパスワードを施したとしても、それのみでは盤石なセキュリティ性を確保することは難しく、パスワード以外の多要素認証の重要性は今後ますます増していくと考えられています。

パスワードレスな多要素認証

現在主流なのはパスワードを併用した多要素認証ですが、いずれ将来的にパスワードなしの多要素認証はほぼ確実に増えていくと考えられています。現在では顔認証、指紋認証などのユーザーの手間がほとんどかからず、本人以外ほぼ突破することのできない認証要素も日々進化していますし、リモートワーク環境での仕事の普及もあいまって、パスワードに囚われない形でのログインの需要、重要性はますます増していくと言えるでしょう。

「手間がかからず」「本人しかログインできない高いセキュリティ」、認証行為においてもっとも重要となるこのふたつの要素を満たすにあたって、今後パスワードは必ずしも必要なものでは無くなってくるのかもしれません。

オススメのシングルサインオン(SSO)一覧

料金 特徴
ROBOT ID 1,000円〜/月
  • ID、パスワードをひとつに集約
  • 非常に柔軟にアクセス権限、セキュリティが設定できる
  • CSVファイルを用いてのデータのインポート、エクスポート
Okta 100ユーザー 300,000円〜/年
  • ユーザーのニーズに合わせたサポート対応
  • 様々なSaaSと連携可能
AccessMatrix USO 5000,000円〜
  • シングルサインオンのパッケージソフトとして非常に高いシェア率
  • あらゆるアプリに対応可能

 

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。