
好きな所から読む
昨今その利便性から非常に注目を集めているシングルサインオン。今回はSSOとも略されるそのシングルサインオンについて詳しく解説しました。メリット・デメリットは勿論、オススメの製品も3つ紹介していますので、是非ご覧ください。
シングルサインオンとは
「シングルサインオン」とは、ひとつのユーザーIDとパスワードのみで、複数のSNSサービスやクラウドサービスに接続する仕組みのことを指しています。それらのサービスがシングルサインオンに対応していれば、一度のユーザ認証で利用できるようになります。
わかりやすく現実の鍵で例えてみますと、ひとつの鍵で家の全部屋、金庫、スマートフォン、車などを開ける状態のような仕組みです。
シングルサインオンで出来ること
いくら大切なものを盗まれないように、鍵をかけて守らなければいけないといっても、財布にいくつもの鍵をジャラジャラとぶら下げて管理していたら、どんどん鍵の数が増え続けたり、どの鍵でどのドアが開くか分からなかってきたりと、非常に管理が面倒になってしまいますよね。どんな扉に対しても有効なマスターキーひとつによる管理ができたら、どれほど楽で素晴らしいことかと思うでしょう。
インターネットの場合もそうですよね。Google、Facebook、Twitter、Instagram、Amazon、各種メールアドレスやECサイト、クレジットカード会社、銀行、仕事で使っているクラウドサービスなどなど、パッと思いつくだけでもこれだけのサービスがあり、そのひとつひとつに個別のユーザーIDとパスワードが必要とされます。
そんな両手には収まらない膨大な数のサービスのパスワード管理を、現実におけるマスターキーのように、ひとまとめにして管理しようというのがシングルサインオンのコンセプト、できることです。
⇒シングルサインオンで実現するゼロトラストセキュリティ。ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!
シングルサインオンの仕組み
とても便利であると言えるシングルサインオンですが、それでははたして、どのようにしてその便利な仕組みを実現するのでしょうか?現状シングルサインオンにはいくつかの方式が用意されていて、代表的なところでは、
- 代理認証方式
- エージェント方式
- リバースプロキシ方式
- フェデレーション方式
- 透過方式
これら5つの仕組みが挙げられます。それでは、それぞれの仕組みについて詳しく紹介していきますので見てみましょう。
代理認証方式
ログインしたい各種SNSやクラウドサービスに対し、ユーザー本人では無く、専用のサーバーを使い代理サービスが代わりにユーザーIDとパスワードを入力する仕組みです。それにより全体的なセキュリティの向上にもつながります。サービス元の特別な変更が不要であるため導入が比較的容易であり、近年サービスとして大きく注目されてきているIDaaSのようなクラウド型のサービスとの親和性が高いことが、よく用いられる理由として挙げられます。
社内システムであればシステム変更をおこなうことでユーザー管理の単純化をおこなえますが、クラウドサービス 型のシステムにおいては変更不可能ですので、これまでは自分たちで個別に対処していくしかありませんでしたが、システムやソフトがシングルサインオンに対応していない場合でも代理認証方式を使うことによって、その管理の簡素化が実現できたというわけです。
エージェント方式
エージェント方式は、WEB上でおこなうシングルサインオンの方式になります。どういうことかといいますと、WEB上のサーバー、またはアプリケーションに「エージェント」のソフトを組み込み、利用者がサービスにログインしたい際、SSOサーバーからトークンが発行され、認証行為が本人のものによるかどうかを確認します。Webアプリケーションサーバーが新たに追加されてもエージェントの導入で対応可能ですが、エージェントがWebアプリケーションのOSに対応していない場合があります。また、エージェントのバージョンアップがある場合は、サーバーの量によりメンテナンスコストも膨らみます。
ログイン情報はエージェントがすべて管理することになりますので、利用者はなにも考えずにログインをおこなうだけで済みます。
リバースプロキシ方式
リバースプロキシ方式もまた、エージェント方式と同様WEB上でおこなうシングルサインオンであり、利用者の端末とWEB上のサーバー、アプリケーションの間にリバースプロキシサーバーを設置し、そこに専用のエージェントソフトを組み込むことによって実現されます。Webアプリケーションへのアクセスがリバースプロキシサーバを経由になるので、セキュリティが向上されます。
エージェント方式はサーバー上にエージェントソフトを組み込む必要がありましたが、リバースプロキシ方式は専用サーバーにエージェントがあらかじめ組み込まれていますので、プラットフォームに依存せず、サーバー上にエージェントソフトを組み込むことが難しいケースにおいても有効です。
ただしリバースプロキシ方式が対応できるように、ネットワーク設定を再構築せねばならないので敷居はやや高く、WEBサービス自体が対応していないこともあるのがデメリットとなります。
フェデレーション方式
Microsoftの提供しているOffice 365やGoogle Appsのようなクラウドサービス 上でのみ使うことのできる方式であり、対応しているサービス自体は少数派なのですが、設定をいじるだけで簡単にシングルサインオンの管理が実現できます。すでに海外では多くのクラウドサービスで対応しており、今後日本でも対応するサービスの増加が望まれています。
クラウドサービス間で発行されるパスワードの代わりとなるチケットのみを使ってログインしますので、パスワード情報を残すことなくシングルサインオンがおこなえて、それによりセキュリティも向上するという点でも大きなメリットです。
認証プロトコル:SAML
SAML(サムル)とは、クラウドサービス のような、自社内とは異なる外部サービス、異なるインターネットドメイン間でも連携することができるプロトコルのことです。パスワードはやり取りせず、認証情報だけをやり取りするので、利用が進んでいます。SAMLの対応について、大手企業のクラウドサービスではほぼ完了しています。
認証プロトコル:OpenID Connect
あるサービスに新規登録する際、「GoogleのIDでログインする」「FacebookのIDでログインする」と、別サービスのIDでログイン可能なことがありますよね。そのような別サービスのIDでログインする方式のことを、「OpenID Connect」と呼びます。認証処理をOpenIDプロバイダに委任し、強力な認証機能が使用できます。
認証プロトコル:Oauth
Oauth(オーオース)は、あるサービスにすべての権限ではなく、一部権限を許可することを指します。アクセス権限の認可を行うプロトコルです。
透過型方式
透過モードを設定した上でユーザーがアプリケーションへアクセスする際にそのアクセス通信を監視する方式です。デバイスとwebシステムの間には監視するSSO製品を有し、ユーザが必要とするときにのみ認証情報をwebサーバーへ送信してシングルサインオンを実現します。この手法は上記のシングルサインオン方式の中でも比較的新しい手法となっています。クライアントのブラウザやネットワーク経路などに影響されないことや、上記の代理認証方式やエージェント方式をも選択が可能になっています。既存のネットワークを使って簡単に挿入できますので、他の方式のようにwebサーバにエージェントソフトをインストールしなければならないといった手間が入りませんが、この方式に対応したサーバーかエージェントが必要です。
シングルサインオンの”いま”
IDとパスワードの管理について、パスワードマネージャーとシングルサインオンの違いを見てみると、シングルサインオンの今がわかりやすくなります。
パスワードマネージャーとシングルサインオン
通常のIDとパスワードは、アプリケーションごとに個別に認証を行います。利用者がいくつものアプリケーションで同じIDとパスワードを使い回すと、どれか一つのアプリケーションでID・パスワードが漏洩した場合に、複数のアプリケーションにログインされる可能性があります。このようなリスクを避けるために、アプリケーションごとにIDとパスワードの組み合わせを変える必要があります。しかし、使用するアプリケーションが増えるに従い記憶するパスワードも増え、パスワードを忘れるリスクが増えます。覚えやすくするとセキュリティは弱くなり、複雑にすると管理しきれません。この煩雑なIDとパスワードの記憶・管理してくれるのが、パスワードマネージャーです。
それぞれのサービスにアクセスするための「複数のID・パスワードを管理する」というパスワードマネージャーに対し、シングルサインオンは「一つのID・パスワードの認証で複数のサービスにアクセスする」という機能なのです。
国内におけるシングルサインオンの市場は年々拡大傾向にあります。IDC社が発表した調査結果では2017年度の市場規模は前年と比べて約20%増加し約96億円と明らかにしました。シングルサインオンへの期待が高まっており、中でも特に重要視されるのが複数のシステムへのログイン効率化でしょう。従来の様に複雑なパスワードを設定しても管理の負担にならないことや、セキュリティ強度への向上にも期待が寄せられています。クラウドサービスの利用拡大に伴い、パスワード管理が容易になることでの業務の効率化とセキュリティリスクとシステム管理者の負担の軽減できますので、付加を増やさずに安全な認証を行うことができるシングルサインオンの導入はますます広がり、検討する企業も増加すると考えています。クラウドサービスは国内だけではなく海外でもその導入実績を伸ばしています。国内だけではなく海外でも同様にシングルサインオン市場は拡大すると予測されています。
シングルサインオンが市場で求められる理由
先述した通りシングルサインオンは国内外問わず市場の広まりを見せています。なぜここまでシングルサインオンが市場を拡大してきているのか詳しく見て行きましょう。
・クラウド導入の増加
近年ではクラウドサービスを導入する企業が格段に急増しています。そのため複数のクラウドサービスを利用している場合も多く見られます。大企業に関わらず中小企業でもその利便性とコストの削減から導入が進んでいます。複数のクラウドサービスを利用する場合ではサービス分のIDとパスワードが必要となるのでパスワード管理が煩わしく手間がかかります。全て同じパスワードに設定するといったケースが多いなかで、その結果セキュリティレベルは下がり脅威が侵入しやすくなってしまいます。シングルサインオンを導入すれば今までのように難しいパスワードを1つ1つ覚える必要がなくなり1つを設定すれば良いので管理が格段にシンプルになり、システムへのログインが効率化します。そのため、クラウドサービスとの相性はかなり良いと言えます。複数のクラウドサービスを使用する中で、パスワードの管理、セキュリティの向上、さらにはパスワード忘れの対応などシステム管理の面でも容易になります。
・雇用形態の変化
従来の日本企業における働き方は新卒一括採用による終身雇用が一般的でしたが、バブル崩壊やリーマンショックによる不況を経て終身雇用制度は崩壊し、非正規の派遣・契約社員、フリーランスとしての働き方や、転職を前提とした働き方が一般的となりました。さらに近年では、外国人スタッフの積極採用や副業の容認、社員の個人事業主化など、働き方はますます多様化されております。このように働き方が多様化された現代においては、従業員の入退社の増加や個人の業務委託契約といった一時的な社外スタッフ管理のために、IDの発番や削除などの管理業務が増加することにつながっています。こうした時代の変化に伴い複雑化・煩雑化されるID管理業務の効率化は必須となり、IDaaS対応含めたシングルサインオン(SSO)のニーズは一層高まっております。
・リモートワークの広まり
近年の働き方改革や新型コロナウィルスによって、在宅や第三の場所で業務をするといったテレワークを導入する企業が急増しています。しかし現実にはリモートワーク導入するまでに至れない企業や導入したはいいものの業務体制が整っていないなど課題は多く残されています。しかしテレワークは人事不足や雇用の定着化など企業にとっても多くメリットが見込めるものです。しかし、先ほど述べたようにリモートワークを導入するのに躊躇う1つの要因としてあげられるのはセキュリティ面での不安があるからが挙げられるでしょう。情報共有のために利用するクラウドサービスやアプリケーションなどが増えるのに伴い、同じ数だけのパスワード管理も必要になります。しかしシングルサインオンを活用することによってアクセス制御やパスワードの管理がシンプルかつ適切に行うことが可能となり、利用者や管理者の双方にとってメリットとなり業務効率にもつながります。
シングルサインオン(SSO)の歴史
ここまでは現代におけるシングルサインオン(SSO)について説明してきましたが、本章では、シングルサインオン(SSO)がどのように変遷していったかについての歴史を辿っていきます。
社内ネットワーク内での認証
シングルサインオン(SSO)は従来、企業の社内ネットワークに存在するシステムに対してユーザがアクセスすることを目的に誕生しました。当時はクラウドサービスがほとんど存在せず一般的でなかったため、企業が業務において使用するシステムは、基本的には社内ネットワーク内に存在するものでほぼ全て完結していました。そのため、当時のシングルサインオン(SSO)に求められた要件としては、ユーザがクライアントPCへログインすることで自動的に社内ネットワーク内の複数業務システムへの一括ユーザ認証ができるといった内容で足りておりました。代表的なものとしてはActive Directory(AD)が挙げられ、これをオンプレミスで社内ネットワークに構築し、各種社内システムとユーザ認証連携を行うことで、あくまで社内ネットワークに限った範囲でのシングルサインオン(SSO)を実現しておりました。
グループ会社間での認証
シングルサインオン(SSO)は、当初、社内ネットワーク、すなわち単一ドメインに限られた範囲での認証で使用されることから始まりましたが、フェデレーション方式の登場により、グループ会社間での認証といった社内ネットワークを超えた認証を行うことができるようになりました。これは、親会社とドメインが異なる子会社のユーザが、親会社のシステムにアクセスする場合(もしくはその逆もしかり)、会社間で異なるドメイン情報を信用し合って交換することで社内ネットワークを超えたシングルサインオン(SSO)認証を行うようになりました。ただしこの時点では、まだ外部ネットワークに存在するWebシステムは認証対象外で、あくまでグループ会社のような信頼関係のある組織間に限った認証に留まっておりました。
グループ・ネットワークを超えた認証
クラウドサービス製品の普及により、各企業が業務システムにおいてクラウドサービスを積極的に採用するようになり、オンプレミスシステムからクラウドサービスへの切替が進んでいく中で、社内ネットワークやグループ・ネットワークに限定したシングルサインオン(SSO)のみならず、社外ネットワークに存在するシステムについても広くシングルサインオン(SSO)による認証に対応できることが求められるようになりました。このような時代背景で登場したのが、社内およびグループネットワークに存在するオンプレミスシステムも、外部ネットワークに存在するクラウドサービスも纏めて一括でシングルサインオン(SSO)による認証を可能とする、IDaaSでした。IDaaSの登場により、外部ネットワークに存在するクラウドサービスとの間でユーザ認証情報をセキュアに連携することができるようになったため、各企業では社内およびグループ・ネットワーク内のオンプレミスシステムと外部ネットワークに存在するクラウドサービスを含めたシングルサインオン(SSO)が導入されるようになりました。また、IDaaSの中にはActive Directoryのような、既存の社内ネットワーク内に存在する認証基盤をそのまま残して連携できるようなサービスも登場したことから、より導入が加速化されました。
シングルサインオン(SSO)のメリット
利便性が向上
さまざまなサービスで使うユーザーIDとパスワードを一括管理することで、複数のパスワードをすべて憶える手間を大幅に省くことができ、普段使っていなかったサービスに急にログインする必要が生じた時、そもそもパスワードを失念してしまっていてログインがおこなえない、といった事態を防ぐこともできます。
新たにサービスに新規登録する際にも、従来使っていたものを使い回すだけで済むので非常に便利でもあります。
社員がそれぞれ複数のIDとパスワードを使っていると、IT管理部門ではパスワードを忘れた場合のフォローやアカウントロックの対処など、手間が増えてしまいます。シングルサインオンにより、社員自身がIDとパスワードの管理をきちんとできるようになって、管理側の余分な負担も少なくなるのです。
多要素認証で情報漏えいリスクを削減
ユーザーIDとパスワードを一元管理、というとまず思い浮かぶのが、その一元管理されたユーザーIDとパスワードが他者に漏洩してしまった場合、利用しているすべてのサービスになりすましログイン、ハッキング行為をされてしまうリスクが出てくるということです。
実際自分でユーザーIDとパスワードを管理している場合、全体の7割以上という非常に多くの人が複数のサービスにおいておなじユーザーIDとパスワードを使い回していて、セキュリティティ管理に対する認識の甘さが指摘されていますし、それが重要な機密情報を扱う企業ともなれば、そのリスク対策の徹底は非常に重要な課題になると言えるでしょう。
シングルサインオンでは一元管理による情報漏洩のリスクを防ぐために、多要素認証を導入してセキュリティ性の向上を高めています。パスワードだけでなく、所持情報のワンタイムパスワードのようなトークン、生体情報の顔認証や指紋認証、位置情報による認証など複数の認証方法を合わせることによって、例えパスワードが漏洩したとしても別の認証が要求されることにより認証は強化され、サービスにログインする人が本人であるかどうかの確実性を高めています。
パスワードポリシーの徹底
パスワードを一元管理することは、情報漏洩という観点から見ればリスクばかりのようにも思えますが、サービス利用者が憶える必要のあるパスワードはただひとつでいい、つまりものすごく複雑なパスワード設定をおこなえるというメリットもあります。
大文字、小文字、英数字を巧みに混ぜ合わせた長いパスワード設定をおこなえば不正ログインの確立が大幅に減り、ハッカーだけでなく、パスワードを潜り抜けようと自動でパスワード入力を延々と行い続けるbotによる攻撃に対しても有効となります。
例えば、ローカルフォルダにあるパスワードが英数字6文字の場合、5日あれば解読されてしまいます。しかし、大文字小文字の区別も含めた英数字と記号で8文字とした場合は1000年、10文字にした場合解読は不可能に近くなります。シングルサインオンによって管理すれば、長くて複雑なパスワードでも、1つだけなら覚えられるでしょう。
また企業で一元管理をおこなう場合、システム管理者のみが管理し、従業者にはシングルサインオンのユーザーIDとパスワードのみを教えておくことで、従業員が退職した際にはひとつのパスワードを削除すれば、その手間だけで外部ログインを防ぐことができるというメリットもあります。
シングルサインオン(SSO)のデメリット
管理システムに脆弱性あるとNG
シングルサインオンによるIDとパスワードの一元管理は、利用者がインターネット上でおこなえるほぼすべての権限を、管理システムに預けているという状態でもあるため、パスワードが漏れると全てのサービスに入られてしまい、利用者にとってはセキュリティ管理対策がほとんど命綱となっています。
個人で利用する場合でもクレジットカードや銀行などお金を扱うサービスや、たくさんの個人情報が集積されているSNSサービスのパスワードを知られることは莫大なリスクが伴います。それが企業の重要な情報を扱っているパスワードともなれば、まさに企業の存続に関わる重大なリスクとなります。
現在シングルサインオンのサービスは非常にたくさんの企業がおこなっていますが、システムがダウンすることにより、一切ログインができなくなり、業務に支障をきたす恐れもあり得ます。「安価だから」といったような安易な理由ではなく、管理システムのセキュリティ性の高さを考慮した上で、サービス先を選択していかなければなりません。
技術的なデメリットについてですが、シングルサインオン製品自体の認証が破られると、紐づく全てのシステムにアクセスし放題となってしまうという点です。この批判はかなり昔からなされていますが、「他の認証と併用することでシングルサインオンへのセキュリティを高める」ことでほぼ解決されていると言えます。具体的には、二要素認証・二段階認証の利用です。
例えば、「スマートフォンやICカードで認証確認を行う」「IPアドレスなどの利用制限をする」「ワンタイムパスワードを合わせて入力する」「生体認証で本人の証明をする」といったものです。一つのパスワードが破られた場合でも、併用する認証を同時に破らなければ不正アクセスできません。多要素認証については、マイクロソフトが2019年8月に発表した調査レポートによると、「自動化された攻撃に対し、多要素認証によって99.9%防ぐことができる」とされています。
ただし、アクセスの保護というような特定の一つにセキュリティを強化しても、他の部分からの脅威の可能性もあります。セキュリティについては、総合的に見て検討する必要があります。
導入コスト
シングルサインオン自体はサービス元が個々の利用者のユーザーIDやパスワードなどの個人情報をシステムによって管理するだけですので、1つのIDあたり数百円と言った非常に低コストからの導入が可能なのですが、サービスの生命線となるセキュリティ対策が高レベルになればなるほど、当然導入する際のコストは相応のものとなってきます。社内セキュリティポリシーや規模により選択肢が変わってくるでしょう。
またサービス提供元によってはシステムのインテグレーションに多額のコストがかかる場合もありますので、それも踏まえた上でどのサービスを選ぶか決めましょう。尚、弊社サービスである「LOCKED」では、インテグレーションに開発が不要ですので、安心してすぐに導入、利用することが可能となっています。
シングルサインオン製品の課金形態の多くは、「社員1人あたりの月額」という従量制のため、社員数が多いほど正比例でコストがかかります。このような年間費用を抑えるために、各企業に見合った「必要なプラン」「必要なオプション」を選択して、「必要な機能を比較して選択する」ということが必要です。
連携できないサービスもある
シングルサインオンという仕組み自体に多数の方式が用意されていることからも分かるように、シングルサインオン自体決して万能なサービスな訳ではなく、サービスによってはシングルサインオンによる連携がまったく不可能なものもあり無駄が出たり、手を加える必要が出てさらに費用が掛かったり、取りこぼしが出てくることで完全な一元管理ができずわずらわしさがでてしまうといった問題もあります。
テレワークの普及により社内で使用するアプリケーションだけでなく数種類のクラウドサービスに対応するものを選ぶ必要が出てきます。特に日本発のサービスにおいては世界標準ではなく、日本独自の仕組みで認証をおこなっているケースも多く、そのデメリットは想定よりも大きくなりがちですので、利用しているサービスが連携可能かどうかをあらかじめ調べてから導入すると良いでしょう。
また、リバースプロキシ型ではアクセスが集中した場合の認証速度が弱点ですが、他の方式では認証速度の問題はほぼありません。
シングルサインオンで得られる効果
シングルサインオンを導入した場合私たちにどういった効果が受けられるのでしょうか?
ユーザーの利便性が向上
1つはやはりメリットの面でも述べたユーザーの利便性が向上することだと言えます。1つのユーザーIDとパスワードで複数のサービスで活用できるため、煩わしい管理をする必要がありません。現在は1人につき多様なインターネットサービスを利用し、並行して多くの会員登録をしている人も少なくないでしょう。新規会員登録をするたびにIDとパスワードを作成し管理、また記憶しなければなりません。しばらく使用しないサービスに至っては登録したIDやパスワードが分からなくなってしまい、再度IDやパスワードの発行をしなければならずかなりの手間や時間がかかります。そこでシングルサインオンを導入すれば、ユーザーIDとパスワードを一元的に管理・活用できます。
マーケティングの効率化
先述したのはユーザー側の効果でしたが、提供する事業者にもその効果は期待できます。ユーザーのアクセス行動をスマートにより高度に分析が可能になり、事業の効率的なマーケティングに期待ができます。例えば、ユーザーが登録している複数のサービスやウェブサイトにアクセスした場合、ユーザーの行動分析はシングルサインオンを行っていない状態だと同じユーザーなのか正確に判断することは難く、一連のアクセス行動履歴を紐付けすることはほぼ不可能です。しかし、シングルサインオンを導入することによって、またユーザーの同意が得られる場合にそれが可能となります。よってアクセス行動履歴情報の分析の精度が高まり、より詳細に分析することが可能になります。
リスクの軽減
複数のIDとパスワードを管理しなくて良いので高いセキュリティレベルの認証方法を実現でき、セキュリティレベルの向上が期待できます。複数のサービスやウェブサイトを利用する際によくある事例として同じパスワードやIDを複数のサービスで利用することや、覚えやすい簡単なパスワードを設定するなどといった管理の面倒が故にこういったセキュリティが不十分な設定をしてしまうことが多く見られるようになりました。近年のサーバー攻撃も情報社会の技術向上とともに手法や強力も増して、推測が簡単なパスワード設定では「ブルートフォースアタック」と呼ばれるある記号を全ての羅列で試す方法によって簡単にパスワードを解読され解除されてしまいます。そこでシングルサインオンを導入すれば高いセキュリティ基準の認証に統一することができます。そうすれば難解で複雑なパスワードでも1つさえ記憶しておけばいいのでユーザーの利便性の向上も期待できます。プラスのセキュリティとしてワンタイムパスワードや指紋や顔認証など多要素認証をプラスアルファとして実装すればより強固なセキュリティを保つことができ効果的です。なぜこの多要素認証を推奨するかと言いますと、仮にシングルサインオンに利用しているIDとパスワードが漏洩してしまいますと、それを使っている全てのシステムやウェブサービスに不正にアクセス利用される可能性もあるからです。こういった懸念も念頭に置きつつ、ユーザーとサービス両方がセキュリティリスクの軽減を実現することが可能です。
ポストM&Aにおける業務立ち上げの早期化
経営層目線での効果としては、シングルサインオン(SSO)のうちIDaaSを採用することで、M&A後の業務立ち上げの早期化につながることが挙げられます。従来のシングルサインオン(SSO)認証基盤では、各社の社内ネットワークに設置されたActive Directory(AD)などの認証サーバを使用してユーザ認証を行うことが一般的でした。この場合、M&Aで新会社を買収した際に、買収した会社の既存ユーザ認証基盤上のユーザ情報を、親会社のユーザ認証基盤へ移行することが必須であり、この作業には膨大な工期および工数を要しておりました。IDaaSによるシングルサインオンを導入している場合には、買収した会社の既存ユーザ認証基盤と親会社のユーザ認証基盤をクラウド上で連携させることが可能であるため、大掛かりなデータ移行やサーバ統合を行う必要がなく、ユーザ情報の統合をスムーズに行うことができます。このように、IDaaSによるシングルサインオン(SSO)を導入することで、ユーザ認証基盤のシステム統合をスピーディかつ低コストで行うことができ、このことがポストM&Aにおける組織統合に伴う新業務立ち上げの早期化を図ることにつながると言えます。
シングルサインオンを導入する際に気をつけること
シングルサインオン(SSO)の最大のメリットは、ID・パスワードの一括管理による利便性ですが、導入におけるIDaaSにも様々なサービスがあります。ではいざシングルサインオンを導入しようとした場合、どういった基準で方式を選べばいいのか、どの方式が自分の企業に合っているのか、初めての場合は悩むかもしれません。自社の課題をはっきりさせて、導入による効果を理解することで、どのような内容を重視したら良いのかも見えてきます。システムを導入する際には、利用の拡大も考慮した運用設計や、管理業務の安定を実現する運用体制の構築も重要です。また、スケジュールや導入のための追加業務を考慮する必要もあります。ここではシングルサインオンを実現するための考慮すべき点と注意点をまとめましたので参考にして見てください。
導入する際のポイント
・運用設計
シングルサインオンを導入する場合は運用設計をしっかり行うことが重要です。運用とは「通常運用」「アプリ追加時の対応」「障害時の対応」の3つと言われています。デバイスを起動する場合やユーザーの追加や削除、バックアップなどといった基本体制を整えることがシングルサインオンを導入する際に必要なポイントです。シングルサインオン機能はシステムのログインをも管理していますので、仮にシステム障害が起きた場合に業務が停止するといった可能性が出てきます。または導入後に新たな機能などを追加するたびにシステムを停止しなければならないようでは非効率となります。そういった場合にも備えるためにも導入後の円滑な稼働のためにも運用体制を十分に整えるようにしておきましょう。
・環境にあった製品の選択
シングルサインオンには上記でも紹介した通り複数の方式が存在する上それぞれ特徴が異なってきます。社内システムの根幹に関わるものでもあるので、自分の組織の一番あった製品を組織の規模や業務、使用状況などを考慮しながら、実際に導入した際のメリットとデメリットを把握し、選択する必要があります。下記で詳しく例を紹介しますが、例えば同時に行われるであろうログイン数といった使用状況は、社内での同時ログイン数が多い場合はエージェント方式の導入が必要になります。webシステムの数も考慮しなければならない項目の1つです。webシステムが多くエージェントを個々で設けるのが難しい時はリバースプロキシ方式を導入するのが最良です。逆に社内webシステムが少ない上クラウド利用が多い場合はフェデレーション方式と代理方式の導入が良いでしょう。他にもクラウド型なのかオンプレミス型なのかでも変わってきます。クラウド型は一般的に高価であり、規模が大きい企業で導入する際はアカウントごとでの費用となりますのでかなりコストがかかっています。
・システムの連携
企業が利用するクラウドサービスと連携が可能なのかを確認する必要があります。クラウドサービスによってシングルサインオンに対応していないものもあります。すでに利用しているシステムと連携するために、大きな改修が必要になると、それだけコストもかかってしまいます。また、連携のためにはActiveDirectoryなどのディレクトリの扱いもポイントになります。企業内の複数のシステムごとに指定のディレクトリでID情報を管理していた場合、情報の一元化は導入において大きな負担になります。複数のディレクトリに対応できるものもありますので、スムーズに連携できる製品を選びましょう。そして、既存のシステムだけでなく、将来的に導入予定のシステムについても、連携が可能かどうかの確認が必要です。また、企業の成長などによる拡張を前提とすると、拡張時の改修が少なく柔軟性のある製品を選びましょう。
・運用のしやすさ
新しいシステムを導入する際は、できるだけスムーズに定着するように、運用のしやすさが大切です。特にシングルサインオンの運用では、管理者の設置や権限を適切に分担することが、効率的な運用を実現させます。また、導入費用が抑えられたとしても運用に手間が取られるようであれば時間や人員コストもかかるため、トータルコストで考えると大きな損失に繋がる可能性もあります。様々なサービスにおいて、自社の業務に合ったタイプを選びましょう。
・導入・ランニングコスト
初期導入費用のみならず、製品の利用およびサポートを受けるために必要となる製品標準のライセンスコストや、運用保守をSIerに委託する場合に必要となるコストといったラニングコスト含めたトータルコストを踏まえて製品や仕様を検討する必要があります。初期導入費用は低価格で抑えられたものの毎年のライセンス利用料が想定以上に高額となったり、障害の頻発や運用の手間で運用保守のための人員コストが嵩んだ結果数年単位で見たときに企業にとって大きなマイナスとなる可能性があります。一方で、費用を安く抑えることで、本来実現したかった要件を実装できず、シングルサインオン(SSO)導入においてもともと得られるはずであった効果が得られないといった事態も考えられます。シングルサインオン(SSO)導入にあたっては、導入目的を満たすために必要な機能を実装するための予算は十分に確保しつつ、導入コスト・ランニングコストとのバランスを加味して製品や導入ベンダを検討する必要があります。
・導入スケジュール
オンプレミス型かクラウドサービス型かといった、製品の提供形態や要件の複雑さ、システムの作り込み度合いによって必要な導入スケジュールは変動します。費用や労力の観点から短期間で導入できることが望ましいですが、構築するシングルサインオン(SSO)システムの内容に応じて適切なスケジュールを確保しておく必要があります。しかしながら、事業計画や予算の関係で導入スケジュールに制約がある場合、その制約に応じた製品選定や要件での構築を行う必要がありますが、これらの制約により実現すべき要件をそぎ落とすことによって、もともとの導入目的を実現できなるといった懸念も考えられます。従いまして、スケジュールに制約がある場合は早期に初期導入作業を開始できるよう、早い段階からの情報収集や企画が必要となります。
・モバイル・スマートフォン対応
近年、クラウドサービスの普及や働き方改革およびリモートワークの推進に伴い、スマートフォンやタブレットといったモバイル端末の利用が一般個人の利用シーンだけでなく企業内のビジネスワークにおいても一般化しつつあります。そのようなビジネス環境下において、シングルサインオンをクライアントのみならずモバイルデバイスからも利用できる環境が求められます。シングルサインオン製品の中には、このようにクライアントPC・スマートフォン・タブレットの組み合わせといったマルチデバイス対応の製品もあり、ユーザがどのデバイスを利用するにしても、シングルサインオンによるアクセス制御が可能となります。特にスマートフォンのような画面が小さくID・パスワード入力の際の操作性が劣る製品の場合、「指紋認証」も含めたシングルサインオンの導入なしに様々なアプリケーションを使いこなすのは困難となります。一方で、紛失やサイバー攻撃による情報漏洩の可能性もあり、ビジネス利用においては一般個人利用以上にこのようなセキュリティリスクへの対策が高水準で求められます。現段階ではモバイル端末の業務利用を行っていない企業においても、今後を加味した場合に、製品選定ポイントとしてモバイル・スマートフォンの対応要否を考慮に入れておく必要があります。
実装の際のポイント
・パスワードを複雑なものに設定
シングルサインオンを導入したら複雑なパスワードの設定を心がけましょう。従来までの複数の複雑なパスワード管理が煩わしかったことにも、シングルサインオンは1つのパスワード管理でOKになりますので心配ありません。推測が不可能な難解なパスワードを設定することで不正ログインなどといった脅威に直面する機会が格段に低くなります。また、パスワードの定期的な変更などもセキュリティ強化になります。
・ユーザーごとにアクセス権限を設定する
シングルサインオン導入による利便性と、IT資産管理の強化を両立する必要があります。ユーザーごとにアクセス可能な機能を制限することで、外部からの脅威だけでなく、内部から情報を不正持ち出しする状況なども回避できます。ユーザーごとの業務内容に応じて、適切なアクセス権限を設定しましょう。
・シングルサインオンで安心せず多要素認証を
シングルサインオンがあるからと油断せず、多要素認証を併用してよりセキュリティ強化しておくことをお勧めします。
シングルサインオンの導入例
シングルサインオンのサービスに、クラウドサービス型とオンプレミス型があります。社内のアプリケーション数やパブリッククラウド数、そして組織の規模などによって、選択肢は変わりますが、中小企業においてもシングルサインオンは導入可能です。導入費用が安いのは、オンプレミス型よりクラウドサービス型といわれます。自社のニーズに調和したサービスを導入しましょう。
組織の従業員数が多い場合
→エージェント方式
従業員が特に一斉にログインする時間帯、例えば就業開始時刻など、Webサーバーに認証を代行するエージェントモールを組み込んでシングルサインオンを実現するエージェント方式を利用したオンプレミスのシングルサインオン方式が有効的です。仮にリバースプロキシ方式を導入した場合、認証サーバーへアクセスの集中が起こりトラフィックを回避するためのロードバランスが必須となり管理に多少の手間がかかることがあります。
従業員がそこまで大きくない中堅企業の場合
→リバースプロキシ方式
中堅企業ではwebシステムにその都度エージェントを設定するのが難しい場合もあります。その際にはリバースプロキシサーバーを設置することでシングルサインオンを実現するリバースプロキシ方式を採用して見てください。シングルサインオンの中でも最も需要が高まっている方式の1つです。
小規模企業の場合
社内webシステムがほぼなくクラウドを積極的に活用していることが前提となりますが、異なるドメインのサービス間で認証情報の受け渡しを可能にしてシングルサインオンを実現するフェデレーション方式とユーザーの代理で認証情報を送信してシングルサインオンを実現する代理認証方式がおすすめです。
導入コストの例
特に中小企業にとっての最大の問題は導入コストです。2,000名規模でSIer(システムインテグレーター)に委託した場合、以下のような導入コストが必要になります。
・ソフトウェアライセンス
通常は、利用ユーザ数に対して従量課金となるケースが多いです。シングルサインオン(SSO)の場合、基本的には全従業員が利用対象ユーザとなりますので、従業員数分のライセンス契約を行う必要があります。また、シングルサインオン(SSO)製品の課金体型は、買い切り型ではなく、サブスクリプション型であるケースがほとんであるため、システムを利用し続ける限り毎継続的に年サポート費用として必要となります。外部ネットワークからのセキュリティ攻撃は日々新しいものが編み出されていることから、システムへの認証というセキュリティ要件が問われるシステムについては、常に最新のセキュリティ対策が施される必要があることからも、システムを利用する間は製品標準のサポートを受ける必要があります。
・初期導入
シングルサインオン(SSO)の初期導入に必要となるSE作業をSIerへ業務委託するための費用が必要となります。通常シングルサインオン(SSO)システムの導入においては、セキュリティ要件や基盤要件への対応などサーバ、ネットワーク、セキュリティに関する専門知識が必要となり、これらの技術に精通したSIerへ初期導入を委託するケースがほとんどとなります。ただし、製品によっては製品提供元のソフトウェアベンダの技術者が初期導入を行うケースもありますので、どのように契約締結するかはケースバイケースとなります。初期導入で必要となるSE作業費用は、工数・工期・要員担当者の能力(経験値・スキル・役割等)によって決まり、これらは構築対象のシングルサインオン(SSO)システムに必要となる要件のボリュームや難易度に応じて変動します。初期導入に必要な作業工程の詳細については後述いたします。
・運用保守
シングルサインオン導入後、SIerに運用保守作業を委託する場合、そのための費用が必要となります。具体的には障害発生時の原因調査や復旧作業、簡単な仕様変更対応等です。費用はユーザ企業と保守委託先ベンダとの間で取り交わされるSLA(Service Level Agreement)によって決められ、毎月の稼働工数、運用窓口の稼働日・稼働時刻(例:土日祝日を除く平日の9:00-17:00、24時間365日など)、委託する作業の内容、問い合わせの回答に要する期間、障害復旧時間といったサービスの内容や質によって変動します。
・ハードウェア
クラウドサービスのシングルサインオンサービスを利用する場合は不要ですが、オンプレミスで構築する場合はサーバやネットワーク機器の調達費用を想定する必要があります。数千名規模の企業では自社内に設置するケースが多いようですが、近年ではAmazon AWSのようなプライベートクラウド上に設置するケースも増えてきています。
導入工程
シングルサインオン(SSO)構築に必要となる工程は、他のシステムを構築する場合と同様に、要件定義・設計・構築・テスト・移行切替・初期稼働支援となります。本節では、「導入コストの例」同様、2,000名規模でSIer(システムインテグレーター)に委託した場合を例にシングルサイン(SSO)の導入で必要となる工程について説明します。
・要件定義
シングルサインオンの導入にあたり、必要となる要件を明確化していきます。連携対象となるクラウドサービス・Webサービス・その他社内システムの数・種類・バージョン、ユーザが認証で使用するクライアントPCのハードウェア・OS・ウェブブラウザの種類・バージョン、1回の認証にかかる時間など、シングルサインオンでユーザが実現したいことを1つ1つ明確化し、要件定義書に纏める工程となります。システム要件の他にも移行要件や運用保守要件についても明確化していきます。
・設計・構築・テスト
設計フェーズでは、要件定義で決めた内容をもとに、詳細なシステムの内容を設計します。構築フェーズでは設計書をもとに実際にシングルサインオン(SSO)のために必要となるシステムを構築します。システム構築後は、要件定義書や設計書通りにシステムが動作するかについて、テストを行います。構築作業を委託したSIer側でもテストを行いますが、ユーザ企業側でも要求通りにシングルサインオンが動作するか受入テストを行う必要があります。ユーザ企業側の受入テストの観点としては、連携対象のシステムにシングルサインオン(SSO)できるかについての機能要件や、シングルサインオン(SSO)による認証に想定以上に時間を要さないかといったパフォーマンス要件といった、ユーザ視点でのテストが主な内容となります。
・移行切替
本番切替のスケジュールや切替手順などを移行計画書や手順書にまとめ、本番切替を行う工程となります。またシステム以外にも、運用手順の作成やユーザ教育など本番切替に必要となる準備もこの工程で行います。
・初期稼働支援
本番切替直後は、ユーザ問い合わせや障害が頻発し、対応のために通常の運用保守よりも多くの工数が必要となるケースが多いため、初期稼働支援として初期導入契約に含めるのが一般的です。それ以降安定稼働を迎えたら通常保守契約に移していくことになります。
シングルサインオンの将来
パスワードを使った多要素認証
インターネット上におけるSNS、クラウドサービス の増加、多様化やセキュリティに関する規制強化とともにシングルサインオンも現状ほぼ必須と言えるレベルで需要の高いサービスとなっていて、シングルサインオン市場は世界全体で様々な企業が参入している一大市場として目覚ましい成長を遂げています。
パスワードを使った多要素認証の将来ですが、現状パスワードは仕組みがシンプルで利用する際の敷居が低く、なおかつパスワードを他者に知られない限りは突破することは非常に難しいという高いセキュリティ性を持っているため、今後も当分の間は安定して用いられることになると思います。
しかし、セキュリティ性能の進化とハッキング技術の進化はイタチごっこの関係にあり、将来的に複雑なパスワードを施したとしても、それのみでは盤石なセキュリティ性を確保することは難しく、パスワード以外の多要素認証の重要性は今後ますます増していくと考えられています。
パスワードレスな多要素認証
現在主流なのは知識情報であるパスワードを併用した多要素認証ですが、いずれ将来的にパスワードなしの多要素認証はほぼ確実に増えていくと考えられています。現在では生体情報である顔認証、指紋認証などはユーザーの手間がほとんどかからず、本人以外ほぼ突破することのできない認証要素も日々進化していますし、リモートワーク環境の普及もあいまって、パスワードに囚われない形でのログインの需要、重要性はますます増していくと言えるでしょう。
「手間がかからず」「本人しかログインできない高いセキュリティ」、認証行為においてもっとも重要となるこのふたつの要素を満たすにあたって、今後パスワードは必ずしも必要なものでは無くなってくるのかもしれません。
パスワードを必要としない認証として、アメリカのWiActs社が開発しているNoPasswordがあります。NoPasswordでは、スマートフォンに登録してある指紋などの生体情報から、あらかじめ暗号鍵を生成します。各サービスにアクセスする際の認証には、パスワードの代わりにこれを利用します。そして、生体情報とデバイスからの情報により、独自の多要素認証を提供しています。
通常使用されるIDaaS(Identity as a Service)は、クラウド上でログイン情報を管理できるようにしたサービスです。IDaaSを提供する事業者は、顧客の各種ログインID・パスアードなどの認証情報をサーバ上に保管します。顧客はIDaaSを呼び出してパスワードで認証・ログインしてしまえば、シングルサインオンで認証できます。 また、ActiveDirectoryと連携できるものも多いので、クラウドサービスに限らず社内システムに対してもシングルサインオンを提供できるようになっています。
NoPasswordが行うことも、IDaaSとほぼ同じです。ただし、IDaaS用のパスワードの代わりに、生体認証を用いるのです。生体情報はスマートフォン上で登録・保存され、NoPasswordには保有しません。認証はスマートフォンのNoPasswordアプリで行います。
オススメのシングルサインオン(SSO)一覧
料金 | 特徴 | |
---|---|---|
ROBOT ID | 1,000円〜/月 |
|
Okta | 100ユーザー 300,000円〜/年 |
|
AccessMatrix USO | 1ID 330円/月 |
|
ROBOT ID
「FIDO2」に対応しています。別途対応機器は必要ですが、指紋や顔認証などの生体認証を使えばパスワードなしでシングルサインオンできます。また、通常のIDとパスワードに、TOTP(Time-based One-Time Password algorithm)準拠のワンタイムパスワードを併用する2要素認証に対応しています。事前設定も簡単です。
Okta
大企業においては、自社アプリケーションをオンプレミスで継続運用する場合もあります。既存システムとクラウドシステムの両方で、シングルサインオン (SSO) と多要素認証 (MFA)を統合することができます。Oktaを活用すると既存システムに影響を与えずにニーズに合わせて自由に連携し、統合における開発コストを削減することができます。
AccessMatrix USO
対象システムやネットワーク構成の変更が不要で、少しづつ計画的に対象システムを増やすスモールスタートが可能です。あらゆるアプリケーションに対応しているので、アプリケーション側の改修が不要で工数も減り、短期導入ができます。様々な認証強化製品との連携が可能で、金融機関をはじめとしたセキュリティ要件が厳しい事業でも多数の導入実績があります。
⇒シングルサインオンで実現するゼロトラストセキュリティ。ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!