fbpx

シングルサインオン(SSO)とは?メリット・デメリットを解説!

  • このエントリーをはてなブックマークに追加

好きな所から読む

昨今その利便性から非常に注目を集めているシングルサイン。今回はSSOとも略されるそのシングルサインオンについて詳しく解説しました。メリット・デメリットは勿論、オススメの製品も3つ紹介していますので、是非ご覧ください。


より詳しくシングルサインオン(SSO)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

シングルサインオンとは

「シングルサインオン」とは、ひとつのユーザーIDとパスワードのみで、複数のSNSサービスやクラウドサービスに接続する仕組みのことを指しています。それらのサービスがシングルサインオンに対応していれば、一度のユーザ認証で利用できるようになります。

わかりやすく現実の鍵で例えてみますと、ひとつの鍵で家の全部屋、金庫、スマートフォン、車などを開ける状態のような仕組みです。

シングルサインオンで出来ること

いくら大切なものを盗まれないように、鍵をかけて守らなければいけないといっても、財布にいくつもの鍵をジャラジャラとぶら下げて管理していたら、どんどん鍵の数が増え続けたり、どの鍵でどのドアが開くか分からなかってきたりと、非常に管理が面倒になってしまいますよね。どんな扉に対しても有効なマスターキーひとつによる管理ができたら、どれほど楽で素晴らしいことかと思うでしょう。

インターネットの場合もそうですよね。Google、Facebook、Twitter、Instagram、Amazon、各種メールアドレスやECサイト、クレジットカード会社、銀行、仕事で使っているクラウドサービスなどなど、パッと思いつくだけでもこれだけのサービスがあり、そのひとつひとつに個別のユーザーIDとパスワードが必要とされます。

そんな両手には収まらない膨大な数のサービスのパスワード管理を、現実におけるマスターキーのように、ひとまとめにして管理しようというのがシングルサインオンのコンセプト、できることです。

シングルサインオンの仕組み

とても便利であると言えるシングルサインオンですが、それでははたして、どのようにしてその便利な仕組みを実現するのでしょうか?現状シングルサインオンにはいくつかの方式が用意されていて、代表的なところでは、

  • 代理認証方式
  • エージェント方式
  • リバースプロキシ方式
  • フェデレーション方式
  • 透過方式

これら5つの仕組みが挙げられます。それでは、それぞれの仕組みについて詳しく紹介していきますので見てみましょう。

より詳しくシングルサインオン(SSO)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

代理認証方式

ログインしたい各種SNSやクラウドサービスに対し、ユーザー本人では無く、専用のサーバーを使い代理サービスが代わりにユーザーIDとパスワードを入力する仕組みです。それにより全体的なセキュリティの向上にもつながります。サービス元の特別な変更が不要であるため導入が比較的容易であり、近年サービスとして大きく注目されてきているIDaaSのようなクラウド型のサービスとの親和性が高いことが、よく用いられる理由として挙げられます。

社内システムであればシステム変更をおこなうことでユーザー管理の単純化をおこなえますが、クラウドサービス 型のシステムにおいては変更不可能ですので、これまでは自分たちで個別に対処していくしかありませんでしたが、システムやソフトがシングルサインオンに対応していない場合でも代理認証方式を使うことによって、その管理の簡素化が実現できたというわけです。

エージェント方式

エージェント方式は、WEB上でおこなうシングルサインオンの方式になります。どういうことかといいますと、WEB上のサーバー、またはアプリケーションに「エージェント」のソフトを組み込み、利用者がサービスにログインしたい際、SSOサーバーからトークンが発行され、認証行為が本人のものによるかどうかを確認します。Webアプリケーションサーバーが新たに追加されてもエージェントの導入で対応可能ですが、エージェントがWebアプリケーションのOSに対応していない場合があります。また、エージェントのバージョンアップがある場合は、サーバーの量によりメンテナンスコストも膨らみます。

ログイン情報はエージェントがすべて管理することになりますので、利用者はなにも考えずにログインをおこなうだけで済みます。

エージェント方式の仕組み

リバースプロキシ方式

リバースプロキシ方式もまた、エージェント方式と同様WEB上でおこなうシングルサインオンであり、利用者の端末とWEB上のサーバー、アプリケーションの間にリバースプロキシサーバーを設置し、そこに専用のエージェントソフトを組み込むことによって実現されます。Webアプリケーションへのアクセスがリバースプロキシサーバを経由になるので、セキュリティが向上されます。

エージェント方式はサーバー上にエージェントソフトを組み込む必要がありましたが、リバースプロキシ方式は専用サーバーにエージェントがあらかじめ組み込まれていますので、プラットフォームに依存せず、サーバー上にエージェントソフトを組み込むことが難しいケースにおいても有効です。

ただしリバースプロキシ方式が対応できるように、ネットワーク設定を再構築せねばならないので敷居はやや高く、WEBサービス自体が対応していないこともあるのがデメリットとなります。

リバースプロキシの仕組み

フェデレーション方式

Microsoftの提供しているOffice 365やGoogle Appsのようなクラウドサービス 上でのみ使うことのできる方式であり、対応しているサービス自体は少数派なのですが、設定をいじるだけで簡単にシングルサインオンの管理が実現できます。すでに海外では多くのクラウドサービスで対応しており、今後日本でも対応するサービスの増加が望まれています。

クラウドサービス間で発行されるパスワードの代わりとなるチケットのみを使ってログインしますので、パスワード情報を残すことなくシングルサインオンがおこなえて、それによりセキュリティも向上するという点でも大きなメリットです。

認証プロトコル:SAML

SAML(サムル)とは、クラウドサービス のような、自社内とは異なる外部サービス、異なるインターネットドメイン間でも連携することができるプロトコルのことです。パスワードはやり取りせず、認証情報だけをやり取りするので、利用が進んでいます。SAMLの対応について、大手企業のクラウドサービスではほぼ完了しています。

認証プロトコル:OpenID Connect

あるサービスに新規登録する際、「GoogleのIDでログインする」「FacebookのIDでログインする」と、別サービスのIDでログイン可能なことがありますよね。そのような別サービスのIDでログインする方式のことを、「OpenID Connect」と呼びます。認証処理をOpenIDプロバイダに委任し、強力な認証機能が使用できます。

OpenIDConnectの仕組み

認証プロトコル:Oauth

Oauth(オーオース)は、あるサービスにすべての権限ではなく、一部権限を許可することを指します。アクセス権限の認可を行うプロトコルです。

透過型方式

透過モードを設定した上でユーザーがアプリケーションへアクセスする際にそのアクセス通信を監視する方式です。デバイスとwebシステムの間には監視するSSO製品を有し、ユーザが必要とするときにのみ認証情報をwebサーバーへ送信してシングルサインオンを実現します。この手法は上記のシングルサインオン方式の中でも比較的新しい手法となっています。クライアントのブラウザやネットワーク経路などに影響されないことや、上記の代理認証方式やエージェント方式をも選択が可能になっています。既存のネットワークを使って簡単に挿入できますので、他の方式のようにwebサーバにエージェントソフトをインストールしなければならないといった手間が入りませんが、この方式に対応したサーバーかエージェントが必要です。

シングルサインオンの”いま”

IDとパスワードの管理について、パスワードマネージャーとシングルサインオンの違いを見てみると、シングルサインオンの今がわかりやすくなります。

パスワードマネージャーとシングルサインオン

通常のIDとパスワードは、アプリケーションごとに個別に認証を行います。利用者がいくつものアプリケーションで同じIDとパスワードを使い回すと、どれか一つのアプリケーションでID・パスワードが漏洩した場合に、複数のアプリケーションにログインされる可能性があります。このようなリスクを避けるために、アプリケーションごとにIDとパスワードの組み合わせを変える必要があります。しかし、使用するアプリケーションが増えるに従い記憶するパスワードも増え、パスワードを忘れるリスクが増えます。覚えやすくするとセキュリティは弱くなり、複雑にすると管理しきれません。この煩雑なIDとパスワードの記憶・管理してくれるのが、パスワードマネージャーです。

それぞれのサービスにアクセスするための「複数のID・パスワードを管理する」というパスワードマネージャーに対し、シングルサインオンは「一つのID・パスワードの認証で複数のサービスにアクセスする」という機能なのです。

より詳しくシングルサインオン(SSO)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

国内におけるシングルサインオンの市場は年々拡大傾向にあります。IDC社が発表した調査結果では2017年度の市場規模は前年と比べて約20%増加し約96億円と明らかにしました。シングルサインオンへの期待が高まっており、中でも特に重要視されるのが複数のシステムへのログイン効率化でしょう。従来の様に複雑なパスワードを設定しても管理の負担にならないことや、セキュリティ強度への向上にも期待が寄せられています。クラウドサービスの利用拡大に伴い、パスワード管理が容易になることでの業務の効率化とセキュリティリスクとシステム管理者の負担の軽減できますので、付加を増やさずに安全な認証を行うことができるシングルサインオンの導入はますます広がり、検討する企業も増加すると考えています。クラウドサービスは国内だけではなく海外でもその導入実績を伸ばしています。国内だけではなく海外でも同様にシングルサインオン市場は拡大すると予測されています。

シングルサインオンが市場で求められる理由

先述した通りシングルサインオンは国内外問わず市場の広まりを見せています。なぜここまでシングルサインオンが市場を拡大してきているのか詳しく見て行きましょう。

・クラウド導入の増加

近年ではクラウドサービスを導入する企業が格段に急増しています。そのため複数のクラウドサービスを利用している場合も多く見られます。大企業に関わらず中小企業でもその利便性とコストの削減から導入が進んでいます。複数のクラウドサービスを利用する場合ではサービス分のIDとパスワードが必要となるのでパスワード管理が煩わしく手間がかかります。全て同じパスワードに設定するといったケースが多いなかで、その結果セキュリティレベルは下がり脅威が侵入しやすくなってしまいます。シングルサインオンを導入すれば今までのように難しいパスワードを1つ1つ覚える必要がなくなり1つを設定すれば良いので管理が格段にシンプルになり、システムへのログインが効率化します。そのため、クラウドサービスとの相性はかなり良いと言えます。複数のクラウドサービスを使用する中で、パスワードの管理、セキュリティの向上、さらにはパスワード忘れの対応などシステム管理の面でも容易になります。

・リモートワークの広まり

近年の働き方改革や新型コロナウィルスによって、在宅や第三の場所で業務をするといったテレワークを導入する企業が急増しています。しかし現実にはリモートワーク導入するまでに至れない企業や導入したはいいものの業務体制が整っていないなど課題は多く残されています。しかしテレワークは人事不足や雇用の定着化など企業にとっても多くメリットが見込めるものです。しかし、先ほど述べたようにリモートワークを導入するのに躊躇う1つの要因としてあげられるのはセキュリティ面での不安があるからが挙げられるでしょう。情報共有のために利用するクラウドサービスやアプリケーションなどが増えるのに伴い、同じ数だけのパスワード管理も必要になります。しかしシングルサインオンを活用することによってアクセス制御やパスワードの管理がシンプルかつ適切に行うことが可能となり、利用者や管理者の双方にとってメリットとなり業務効率にもつながります。

シングルサインオン(SSO)のメリット

利便性が向上

さまざまなサービスで使うユーザーIDとパスワードを一括管理することで、複数のパスワードをすべて憶える手間を大幅に省くことができ、普段使っていなかったサービスに急にログインする必要が生じた時、そもそもパスワードを失念してしまっていてログインがおこなえない、といった事態を防ぐこともできます。

新たにサービスに新規登録する際にも、従来使っていたものを使い回すだけで済むので非常に便利でもあります。

社員がそれぞれ複数のIDとパスワードを使っていると、IT管理部門ではパスワードを忘れた場合のフォローやアカウントロックの対処など、手間が増えてしまいます。シングルサインオンにより、社員自身がIDとパスワードの管理をきちんとできるようになって、管理側の余分な負担も少なくなるのです。

より詳しくシングルサインオン(SSO)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

多要素認証で情報漏えいリスクを削減

ユーザーIDとパスワードを一元管理、というとまず思い浮かぶのが、その一元管理されたユーザーIDとパスワードが他者に漏洩してしまった場合、利用しているすべてのサービスになりすましログイン、ハッキング行為をされてしまうリスクが出てくるということです。

実際自分でユーザーIDとパスワードを管理している場合、全体の7割以上という非常に多くの人が複数のサービスにおいておなじユーザーIDとパスワードを使い回していて、セキュリティティ管理に対する認識の甘さが指摘されていますし、それが重要な機密情報を扱う企業ともなれば、そのリスク対策の徹底は非常に重要な課題になると言えるでしょう。

シングルサインオンでは一元管理による情報漏洩のリスクを防ぐために、多要素認証を導入してセキュリティ性の向上を高めています。パスワードだけでなく、所持情報のワンタイムパスワードのようなトークン、生体情報の顔認証や指紋認証、位置情報による認証など複数の認証方法を合わせることによって、例えパスワードが漏洩したとしても別の認証が要求されることにより認証は強化され、サービスにログインする人が本人であるかどうかの確実性を高めています。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

パスワードポリシーの徹底

パスワードを一元管理することは、情報漏洩という観点から見ればリスクばかりのようにも思えますが、サービス利用者が憶える必要のあるパスワードはただひとつでいい、つまりものすごく複雑なパスワード設定をおこなえるというメリットもあります。

大文字、小文字、英数字を巧みに混ぜ合わせた長いパスワード設定をおこなえば不正ログインの確立が大幅に減り、ハッカーだけでなく、パスワードを潜り抜けようと自動でパスワード入力を延々と行い続けるbotによる攻撃に対しても有効となります。

例えば、ローカルフォルダにあるパスワードが英数字6文字の場合、5日あれば解読されてしまいます。しかし、大文字小文字の区別も含めた英数字と記号で8文字とした場合は1000年、10文字にした場合解読は不可能に近くなります。シングルサインオンによって管理すれば、長くて複雑なパスワードでも、1つだけなら覚えられるでしょう。

また企業で一元管理をおこなう場合、システム管理者のみが管理し、従業者にはシングルサインオンのユーザーIDとパスワードのみを教えておくことで、従業員が退職した際にはひとつのパスワードを削除すれば、その手間だけで外部ログインを防ぐことができるというメリットもあります。

より詳しくシングルサインオン(SSO)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

シングルサインオン(SSO)のデメリット

管理システムに脆弱性あるとNG

シングルサインオンによるユーザーIDとパスワードの一元管理は、利用者がインターネット上でおこなえるほぼすべての権限を、管理システムに預けているという状態でもあるため、パスワードが漏れると全てのサービスに入られてしまい、利用者にとってはセキュリティ管理対策がほとんど命綱となっています。

個人で利用する場合でもクレジットカードや銀行などお金を扱うサービスや、たくさんの個人情報が集積されているSNSサービスのパスワードを知られることは莫大なリスクが伴います。それが企業の重要な情報を扱っているパスワードともなれば、まさに企業の存続に関わる重大なリスクとなります。

現在シングルサインオンのサービスは非常にたくさんの企業がおこなっていますが、システムがダウンすることにより、一切ログインができなくなり、業務に支障をきたす恐れもあり得ます。「安価だから」といったような安易な理由ではなく、管理システムのセキュリティ性の高さを考慮した上で、サービス先を選択していかなければなりません。

技術的なデメリットについてですが、シングルサインオン製品自体の認証が破られると、紐づく全てのシステムにアクセスし放題となってしまうという点です。この批判はかなり昔からなされていますが、「他の認証と併用することでシングルサインオンへのセキュリティを高める」ことでほぼ解決されていると言えます。具体的には、二要素認証・二段階認証の利用です。

例えば、「スマートフォンやICカードで認証確認を行う」「IPアドレスなどの利用制限をする」「ワンタイムパスワードを合わせて入力する」「生体認証で本人の証明をする」といったものです。一つのパスワードが破られた場合でも、併用する認証を同時に破らなければ不正アクセスできません。多要素認証については、マイクロソフトが2019年8月に発表した調査レポートによると、「自動化された攻撃に対し、多要素認証によって99.9%防ぐことができる」とされています。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

ただし、アクセスの保護というような特定の一つにセキュリティを強化しても、他の部分からの脅威の可能性もあります。セキュリティについては、総合的に見て検討する必要があります。

 

導入コスト

シングルサインオン自体はサービス元が個々の利用者のユーザーIDやパスワードなどの個人情報をシステムによって管理するだけですので、1つのIDあたり数百円と言った非常に低コストからの導入が可能なのですが、サービスの生命線となるセキュリティ対策が高レベルになればなるほど、当然導入する際のコストは相応のものとなってきます。社内セキュリティポリシーや規模により選択肢が変わってくるでしょう。

またサービス提供元によってはシステムのインテグレーションに多額のコストがかかる場合もありますので、それも踏まえた上でどのサービスを選ぶか決めましょう。尚、弊社サービスである「LOCKED」では、インテグレーションに開発が不要ですので、安心してすぐに導入、利用することが可能となっています。

シングルサインオン製品の課金形態の多くは、「社員1人あたりの月額」という従量制のため、社員数が多いほど正比例でコストがかかります。このような年間費用を抑えるために、各企業に見合った「必要なプラン」「必要なオプション」を選択して、「必要な機能を比較して選択する」ということが必要です。

連携できないサービスもある

シングルサインオンという仕組み自体に多数の方式が用意されていることからも分かるように、シングルサインオン自体決して万能なサービスな訳ではなく、サービスによってはシングルサインオンによる連携がまったく不可能なものもあり無駄が出たり、手を加える必要が出てさらに費用が掛かったり、取りこぼしが出てくることで完全な一元管理ができずわずらわしさがでてしまうといった問題もあります。

テレワークの普及により社内で使用するアプリケーションだけでなく数種類のクラウドサービスに対応するものを選ぶ必要が出てきます。特に日本発のサービスにおいては世界標準ではなく、日本独自の仕組みで認証をおこなっているケースも多く、そのデメリットは想定よりも大きくなりがちですので、利用しているサービスが連携可能かどうかをあらかじめ調べてから導入すると良いでしょう。

また、リバースプロキシ型ではアクセスが集中した場合の認証速度が弱点ですが、他の方式では認証速度の問題はほぼありません。

シングルサインオンで得られる効果

シングルサインオンを導入した場合私たちにどういった効果が受けられるのでしょうか?

ユーザーの利便性が向上

1つはやはりメリットの面でも述べたユーザーの利便性が向上することだと言えます。1つのユーザーIDとパスワードで複数のサービスで活用できるため、煩わしい管理をする必要がありません。現在は1人につき多様なインターネットサービスを利用し、並行して多くの会員登録をしている人も少なくないでしょう。新規会員登録をするたびにIDとパスワードを作成し管理、また記憶しなければなりません。しばらく使用しないサービスに至っては登録したIDやパスワードが分からなくなってしまい、再度IDやパスワードの発行をしなければならずかなりの手間や時間がかかります。そこでシングルサインオンを導入すれば、ユーザーIDとパスワードを一元的に管理・活用できます。

マーケティングの効率化

先述したのはユーザー側の効果でしたが、提供する事業者にもその効果は期待できます。ユーザーのアクセス行動をスマートにより高度に分析が可能になり、事業の効率的なマーケティングに期待ができます。例えば、ユーザーが登録している複数のサービスやウェブサイトにアクセスした場合、ユーザーの行動分析はシングルサインオンを行っていない状態だと同じユーザーなのか正確に判断することは難く、一連のアクセス行動履歴を紐付けすることはほぼ不可能です。しかし、シングルサインオンを導入することによって、またユーザーの同意が得られる場合にそれが可能となります。よってアクセス行動履歴情報の分析の精度が高まり、より詳細に分析することが可能になります。

リスクの軽減

複数のIDとパスワードを管理しなくて良いので高いセキュリティレベルの認証方法を実現でき、セキュリティレベルの向上が期待できます。複数のサービスやウェブサイトを利用する際によくある事例として同じパスワードやIDを複数のサービスで利用することや、覚えやすい簡単なパスワードを設定するなどといった管理の面倒が故にこういったセキュリティが不十分な設定をしてしまうことが多く見られるようになりました。近年のサーバー攻撃も情報社会の技術向上とともに手法や強力も増して、推測が簡単なパスワード設定では「ブルートフォースアタック」と呼ばれるある記号を全ての羅列で試す方法によって簡単にパスワードを解読され解除されてしまいます。そこでシングルサインオンを導入すれば高いセキュリティ基準の認証に統一することができます。そうすれば難解で複雑なパスワードでも1つさえ記憶しておけばいいのでユーザーの利便性の向上も期待できます。プラスのセキュリティとしてワンタイムパスワードや指紋や顔認証など多要素認証をプラスアルファとして実装すればより強固なセキュリティを保つことができ効果的です。なぜこの多要素認証を推奨するかと言いますと、仮にシングルサインオンに利用しているIDとパスワードが漏洩してしまいますと、それを使っている全てのシステムやウェブサービスに不正にアクセス利用される可能性もあるからです。こういった懸念も念頭に置きつつ、ユーザーとサービス両方がセキュリティリスクの軽減を実現することが可能です。

より詳しくシングルサインオン(SSO)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

シングルサインオンを導入する際に気をつけること

シングルサインオン(SSO)の最大のメリットは、ID・パスワードの一括管理による利便性ですが、導入におけるIDaaSにも様々なサービスがあります。ではいざシングルサインオンを導入しようとした場合、どういった基準で方式を選べばいいのか、どの方式が自分の企業に合っているのか、初めての場合は悩むかもしれません。自社の課題をはっきりさせて、導入による効果を理解することで、どのような内容を重視したら良いのかも見えてきます。システムを導入する際には、利用の拡大も考慮した運用設計や、管理業務の安定を実現する運用体制の構築も重要です。また、スケジュールや導入のための追加業務を考慮する必要もあります。ここではシングルサインオンを実現するための考慮すべき点と注意点をまとめましたので参考にして見てください。

導入する際のポイント

・運用設計

シングルサインオンを導入する場合は運用設計をしっかり行うことが重要です。運用とは「通常運用」「アプリ追加時の対応」「障害時の対応」の3つと言われています。デバイスを起動する場合やユーザーの追加や削除、バックアップなどといった基本体制を整えることがシングルサインオンを導入する際に必要なポイントです。シングルサインオン機能はシステムのログインをも管理していますので、仮にシステム障害が起きた場合に業務が停止するといった可能性が出てきます。または導入後に新たな機能などを追加するたびにシステムを停止しなければならないようでは非効率となります。そういった場合にも備えるためにも導入後の円滑な稼働のためにも運用体制を十分に整えるようにしておきましょう。

・環境にあった製品の選択

シングルサインオンには上記でも紹介した通り複数の方式が存在する上それぞれ特徴が異なってきます。社内システムの根幹に関わるものでもあるので、自分の組織の一番あった製品を組織の規模や業務、使用状況などを考慮しながら、実際に導入した際のメリットとデメリットを把握し、選択する必要があります。下記で詳しく例を紹介しますが、例えば同時に行われるであろうログイン数といった使用状況は、社内での同時ログイン数が多い場合はエージェント方式の導入が必要になります。webシステムの数も考慮しなければならない項目の1つです。webシステムが多くエージェントを個々で設けるのが難しい時はリバースプロキシ方式を導入するのが最良です。逆に社内webシステムが少ない上クラウド利用が多い場合はフェデレーション方式と代理方式の導入が良いでしょう。他にもクラウド型なのかオンプレミス型なのかでも変わってきます。クラウド型は一般的に高価であり、規模が大きい企業で導入する際はアカウントごとでの費用となりますのでかなりコストがかかっています。

・システムの連携

企業が利用するクラウドサービスと連携が可能なのかを確認する必要があります。クラウドサービスによってシングルサインオンに対応していないものもあります。すでに利用しているシステムと連携するために、大きな改修が必要になると、それだけコストもかかってしまいます。また、連携のためにはActiveDirectoryなどのディレクトリの扱いもポイントになります。企業内の複数のシステムごとに指定のディレクトリでID情報を管理していた場合、情報の一元化は導入において大きな負担になります。複数のディレクトリに対応できるものもありますので、スムーズに連携できる製品を選びましょう。そして、既存のシステムだけでなく、将来的に導入予定のシステムについても、連携が可能かどうかの確認が必要です。また、企業の成長などによる拡張を前提とすると、拡張時の改修が少なく柔軟性のある製品を選びましょう。

・運用のしやすさ

新しいシステムを導入する際は、できるだけスムーズに定着するように、運用のしやすさが大切です。特にシングルサインオンの運用では、管理者の設置や権限を適切に分担することが、効率的な運用を実現させます。様々なサービスにおいて、自社の業務に合ったタイプを選びましょう。

実装の際のポイント

・パスワードを複雑なものに設定

シングルサインオンを導入したら複雑なパスワードの設定を心がけましょう。従来までの複数の複雑なパスワード管理が煩わしかったことにも、シングルサインオンは1つのパスワード管理でOKになりますので心配ありません。推測が不可能な難解なパスワードを設定することで不正ログインなどといった脅威に直面する機会が格段に低くなります。また、パスワードの定期的な変更などもセキュリティ強化になります。

・ユーザーごとにアクセス権限を設定する

シングルサインオン導入による利便性と、情報資産管理の強化を両立する必要があります。ユーザーごとにアクセス可能な機能を制限することで、外部からの脅威だけでなく、内部から情報を不正持ち出しする状況なども回避できます。ユーザーごとの業務内容に応じて、適切なアクセス権限を設定しましょう。

・シングルサインオンで安心せず多要素認証を

シングルサインオンがあるからと油断せず、多要素認証を併用してよりセキュリティ強化しておくことをお勧めします。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

シングルサインオンの導入例

シングルサインオンのサービスに、クラウドサービス型とオンプレミス型があります。社内のアプリケーション数やパブリッククラウド数、そして組織の規模などによって、選択肢は変わりますが、中小企業においてもシングルサインオンは導入可能です。導入費用が安いのは、オンプレミス型よりクラウドサービス型といわれます。自社のニーズに調和したサービスを導入しましょう。

組織の従業員数が多い場合

→エージェント方式

従業員が特に一斉にログインする時間帯、例えば就業開始時刻など、Webサーバーに認証を代行するエージェントモールを組み込んでシングルサインオンを実現するエージェント方式を利用したオンプレミスのシングルサインオン方式が有効的です。仮にリバースプロキシ方式を導入した場合、認証サーバーへアクセスの集中が起こりトラフィックを回避するためのロードバランスが必須となり管理に多少の手間がかかることがあります。

従業員がそこまで大きくない中堅企業の場合

→リバースプロキシ方式

中堅企業ではwebシステムにその都度エージェントを設定するのが難しい場合もあります。その際にはリバースプロキシサーバーを設置することでシングルサインオンを実現するリバースプロキシ方式を採用して見てください。シングルサインオンの中でも最も需要が高まっている方式の1つです。

小規模企業の場合

社内webシステムがほぼなくクラウドを積極的に活用していることが前提となりますが、異なるドメインのサービス間で認証情報の受け渡しを可能にしてシングルサインオンを実現するフェデレーション方式とユーザーの代理で認証情報を送信してシングルサインオンを実現する代理認証方式がおすすめです。

導入コストの例

特に中小企業にとっての最大の問題は導入コストです。2,000名規模でSIer(システムインテグレーター)に委託した場合、以下のような導入コストが必要になります。

・ソフトウェアライセンス

人数分を購入するケースが多く、毎年ライセンスサポートの費用がかかります。

・要件定義

シングルサインオン導入のための基本要件となる、クラウド、Webシステム、クライアントPCなどから、設計構築の仕様書を作ります。

・設計、構築、結合

構築に必要な人員や工程、経験などに応じて、費用がかかります。

・その他の費用

サーバやネットワーク機器、マニュアル作成などの費用を想定する必要があります。サーバについて、数千名規模の企業では自社内に置くケースが多いようですが、クラウドに置くケースも増えてきています。

シングルサインオンの将来

パスワードを使った多要素認証

インターネット上におけるSNS、クラウドサービス の増加、多様化やセキュリティに関する規制強化とともにシングルサインオンも現状ほぼ必須と言えるレベルで需要の高いサービスとなっていて、シングルサインオン市場は世界全体で様々な企業が参入している一大市場として目覚ましい成長を遂げています。

パスワードを使った多要素認証の将来ですが、現状パスワードは仕組みがシンプルで利用する際の敷居が低く、なおかつパスワードを他者に知られない限りは突破することは非常に難しいという高いセキュリティ性を持っているため、今後も当分の間は安定して用いられることになると思います。

しかし、セキュリティ性能の進化とハッキング技術の進化はイタチごっこの関係にあり、将来的に複雑なパスワードを施したとしても、それのみでは盤石なセキュリティ性を確保することは難しく、パスワード以外の多要素認証の重要性は今後ますます増していくと考えられています。

パスワードレスな多要素認証

現在主流なのは知識情報であるパスワードを併用した多要素認証ですが、いずれ将来的にパスワードなしの多要素認証はほぼ確実に増えていくと考えられています。現在では生体情報である顔認証、指紋認証などはユーザーの手間がほとんどかからず、本人以外ほぼ突破することのできない認証要素も日々進化していますし、リモートワーク環境の普及もあいまって、パスワードに囚われない形でのログインの需要、重要性はますます増していくと言えるでしょう。

「手間がかからず」「本人しかログインできない高いセキュリティ」、認証行為においてもっとも重要となるこのふたつの要素を満たすにあたって、今後パスワードは必ずしも必要なものでは無くなってくるのかもしれません。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

パスワードを必要としない認証として、アメリカのWiActs社が開発しているNoPasswordがあります。NoPasswordでは、スマートフォンに登録してある指紋などの生体情報から、あらかじめ暗号鍵を生成します。各サービスにアクセスする際の認証には、パスワードの代わりにこれを利用します。そして、生体情報とデバイスからの情報により、独自の多要素認証を提供しています。

通常使用されるIDaaS(Identity as a Service)は、クラウド上でログイン情報を管理できるようにしたサービスです。IDaaSを提供する事業者は、顧客の各種ログインID・パスアードなどの認証情報をサーバ上に保管します。顧客はIDaaSを呼び出してパスワードで認証・ログインしてしまえば、シングルサインオンで認証できます。 また、ActiveDirectoryと連携できるものも多いので、クラウドサービスに限らず社内システムに対してもシングルサインオンを提供できるようになっています。

NoPasswordが行うことも、IDaaSとほぼ同じです。ただし、IDaaS用のパスワードの代わりに、生体認証を用いるのです。生体情報はスマートフォン上で登録・保存され、NoPasswordには保有しません。認証はスマートフォンのNoPasswordアプリで行います。

オススメのシングルサインオン(SSO)一覧

料金 特徴
ROBOT ID 1,000円〜/月
  • ID、パスワードをひとつに集約
  • 非常に柔軟にアクセス権限、セキュリティが設定できる
  • CSVファイルを用いてのデータのインポート、エクスポート
Okta 100ユーザー 300,000円〜/年
  • ユーザーのニーズに合わせたサポート対応
  • 様々なSaaSと連携可能
AccessMatrix USO 5000,000円〜
  • シングルサインオンのパッケージソフトとして非常に高いシェア率
  • あらゆるアプリに対応可能
より詳しくシングルサインオン(SSO)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

ROBOT ID

「FIDO2」に対応しています。別途対応機器は必要ですが、指紋や顔認証などの生体認証を使えばパスワードなしでシングルサインオンできます。また、通常のIDとパスワードに、TOTP(Time-based One-Time Password algorithm)準拠のワンタイムパスワードを併用する2要素認証に対応しています。事前設定も簡単です。

Okta

大企業においては、自社アプリケーションをオンプレミスで継続運用する場合もあります。既存システムとクラウドシステムの両方で、シングルサインオン (SSO) と多要素認証 (MFA)を統合することができます。Oktaを活用すると既存システムに影響を与えずにニーズに合わせて自由に連携し、統合における開発コストを削減することができます。

AccessMatrix USO

対象システムやネットワーク構成の変更が不要で、少しづつ計画的に対象システムを増やすスモールスタートが可能です。あらゆるアプリケーションに対応しているので、アプリケーション側の改修が不要で工数も減り、短期導入ができます。様々な認証強化製品との連携が可能で、金融機関をはじめとしたセキュリティ要件が厳しい事業でも多数の導入実績があります。

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。