シングルサインオン(SSO)とは、1組のIDとパスワードによる認証を1度行うだけで、連携している複数のシステムやクラウドサービス、アプリケーションに自動でログインできる仕組みです。
昨今、企業の働き方改革とデジタル化の加速によりクラウドサービスを利用する企業が増えています。それに比例して増える、アカウント管理やログインの手間を削減するための手段として、このシングルサインオン(SSO)が注目を集めています。
本記事では、シングルサインオン(SSO)の概要と、その意味やメリットについて解説します。
ページコンテンツ
シングルサインオン(SSO)とは
シングルサインオン(SSO)とは、一度のユーザー認証で複数システムのログインが可能になる仕組みです。多くの企業では、業務効率化やコスト削減のためにクラウドサービスの導入が進んでいます。一方で、サービスごとに異なるIDとパスワードの管理が必要となり、従業員の業務効率低下やセキュリティリスクの増加が新たな課題です。
これからの時代に欠かせない、シングルサインオン(SSO)について詳しく解説します。
シングルサインオンの概要
IDとパスワードで認証(ログイン)を行うサービス・システムを利用することが増えると、ユーザーも多くのIDやパスワードを管理しなければなりません。
このような状況下では、ログイン時の手間が増加してしまい、業務効率の低下やIDやパスワードの使い回しによる情報漏えいリスクの増加が懸念されます。
総務省の調査によると、令和元年に検挙している不正アクセス行為の99.7%は「識別符号窃用型」の手口となっています。「識別符号窃用型」とは、アクセス制御されているサーバに、ネットワークを通じて、他人の識別符号を入力して不正に利用する行為です。
また、「識別符号窃用型」の検挙件数785件の内310件、およそ40%が利用権者のパスワードの設定・管理の甘さにつけこんだものとなっています。令和2年には576件中99件と減少していますが、大きな課題であることに変わりはありません。
さらに、管理しなければならないパスワードが増加していることで、パスワードを忘れてしまうことやログインを複数回失敗してしまうことによってアカウントがロックされてしまうなどの問題も発生しています。
このような問題を解決するための手段として活用が進んでいるのがシングルサインオン(SSO)です。
シングルサインオン(SSO)が普及した背景
シングルサインオン(SSO)は、当初は社内システムのアクセス認証用に開発された仕組みですが、近年の働き方の多様化とデジタル化により、重要性が大きく高まっています。
テレワークの普及や、クラウドサービスの活用拡大に伴い、従業員は社外からも複数のシステムやサービスにアクセスする必要が生じました。これにより、管理すべきIDとパスワードが増加し、従業員のパスワード忘れや使い回しによるセキュリティリスクが問題となりました。
シングルサインオン(SSO)を活用することで、企業側はパスワードを一元管理でき、パスワード再発行の手間を削減できます。シングルサインオン(SSO)の普及により、働き方改革やBYOD(個人所有デバイスの業務利用)の推進を後押ししました。
シングルサインオン(SSO)で解決できる企業の情報セキュリティ課題
企業の働き方改革とデジタル化の加速により、情報セキュリティ対策の重要性が高まっています。特に、クラウドサービスの利用拡大に伴うID・パスワード管理の煩雑化や、リモートワークなどによる接続環境の多様化は、企業のセキュリティ管理における大きな課題です。
これらの課題を解決する手段として、シングルサインオン(SSO)の導入が進んでいます。
社員IDやパスワード管理の煩雑化
企業における情報システムの多様化に伴い、社員が管理するIDとパスワードの数が増加しています。複数のパスワードを管理・定期変更する必要性から、メモを取る、同じパスワードを使い回すなどの危険な運用が発生しやすく、情報漏洩のリスクが高まります。
また、パスワードを忘れた際の対応により、従業員を多く抱える企業ではシステム管理者の負担も増えます。
社員の入退社に伴うアカウント管理も課題です。新入社員の各システムへのアカウント発行作業や退職者のアカウント削除作業は、各システムでユーザー情報が分散して管理されている場合、管理が煩雑になりがちです。
これらの課題に対し、シングルサインオン(SSO)の導入により、パスワード管理の一元化と自動化を実現し、セキュリティリスクの軽減と運用負荷の削減が可能です。
接続環境・デバイスの多様化によるセキュリティリスクの増加
デジタル化と働き方改革の進展により、従業員はさまざまなデバイスから社内システムやクラウドサービスにアクセスするようになっています。これにより、会社に許可されていない端末からのアクセスや、セキュリティが十分でないネットワークからの接続など、新たなセキュリティリスクが発生しています。
それにより従来のIDとパスワードによる認証だけでは不十分となり、複数ユーザーでのID流用なども懸念材料です。多要素認証の導入は有効な対策ですが、認証ステップの増加による業務効率の低下や、導入・運用コストの増大が課題です。
シングルサインオン(SSO)を活用すると、デバイスや接続環境に関係なく、セキュアかつ効率的な認証基盤を構築できます。また、場所や時間を問わない柔軟な働き方を安全にサポートすることが可能です。
シングルサインオン(SSO)の3つのメリット
シングルサインオン(SSO)を導入することで得られるメリットは大きく分けて3つあります。
ここでは、それぞれのメリットについてご紹介します。
業務効率の向上
シングルサインオン(SSO)の1つ目のメリットは業務効率の向上です。
複数サービスへのログインが1組のID・パスワードで可能なため、都度情報を入力する必要がありません。また、多くのID・パスワードを覚える必要がなくなるため、アカウント情報を忘れてしまう恐れも低減でき、業務効率の向上が期待できます。
管理者の手間やコスト削減
従業員がパスワードを忘れてログインできないといった可能性が少なくなるため、情報システム部門など管理者側でパスワードの再発行やアカウントロック解除といった手間を削減することができます。
このような手間を削減することで、管理者側のリソースをコア業務に充てられるといった効果も期待できます。
セキュリティリスクの削減
シングルサインオン(SSO)ではIDやパスワードの自動生成と保存が行われるため、従業員が推測されやすいID・パスワードを複数のサービスで使い回してしまう可能性が低くなります。これにより、ID・パスワードの漏えいによって同じ文字列を使い回しているアカウントに不正アクセスされるリスクを減らすことができます。
また、シングルサインオン(SSO)は、ワンタームパスワードをはじめとする多要素認証と組み合わせることでよりセキュリティ強度を高めることができます。これらの対策を講じることで、サービスの利便性の高さを保ちながら、同時にセキュリティリスクも低減する効果が期待できます。
シングルサインオン(SSO)のデメリットと解決策
セキュリティリスクの削減や業務効率向上にもつながるシングルサインオン(SSO)ですが、利用にはデメリットも存在します。ここでは、シングルサインオン(SSO)の3つのデメリットとその解決策をご紹介します。
ID情報漏えいで不正利用のリスクがある
1組のID・パスワードで複数サービス・アプリケーションへのシングルサインオン(SSO)を行っていた場合、そのID情報が漏えいしてしまうだけで利用中のサービス・アプリケーションすべてが不正利用されるリスクに晒されてしまいます。そのため、シングルサインオン(SSO)のID・パスワードの管理は厳重に行う必要があります。
この問題は、スマートフォンなどへのプッシュ通知によって認証するパスワードレスの仕組みや、電子証明がインストールされているデバイスのみ承認するクライアント認証、認証する度に変動し1回のみ使用可能なパスワードであるワンタイムパスワード、また2段階認証などの仕組みを活用することで解消できます。
サービス停止で関連サービス・アプリにログインできなくなる
2つ目のデメリットは、サービスが停止してしまった場合、利用しているシステム・アプリにログインできなくなることです。
シングルサインオン(SSO)では、特定のサービスによって認証情報が管理されているため、管理しているサービスがダウンしてしまった際には、シングルサインオン(SSO)と連携してログインできるように設定しているすべてのシステム・アプリケーションが使用できなくなる可能性があります。
このようなリスクを減らすためには、サービスの選定時にサービス稼働率や保証制度を確認しておくことが重要です。また、万が一サービスが停止してしまった場合の対応策についても、事前にメーカーと確認・整理しておくことが安定した運用につながります。
サービスによってはシングルサインオン(SSO)を使用できない
シングルサインオン(SSO)を導入しても、サービスやシステムによってはこの仕組みに対応していないものも存在するため注意が必要です。次章で詳しく解説しますが、シングルサインオン(SSO)の仕組みは大きく分けて5つの方式に分類できます。
しかし、すべてのサービスが5つの方式に対応している訳ではありません。そのため、自社が採用した方式を適用できないケースや、連携するために追加費用が発生するケース、また、そもそもシングルサインオン(SSO)の連携に対応していないケースに直面することもあり得ます。
このような場合、特定のサービスを利用する時にだけ個別で認証作業を行う手間が発生します。
シングルサインオン(SSO)が使用できない状況を未然に防ぐには、既に自社で利用しているシステムとより多く連携できる方式を調べることや、また新たなシステムを導入する際はそのシステムのシングルサインオン(SSO)対応環境を調べることが必要です。
次章では、シングルサインオン(SSO)の5つの仕組みと方式についてご説明します。
シングルサインオン(SSO)の5つの方式・仕組み
シングルサインオン(SSO)は複数サービスへのログインが1組のID・パスワードで可能となる仕組みを指します。この仕組み・方式は5種類に分けられます。ここではそれぞれの方式についてご紹介します。
SAML認証(フェデレーション)方式
SAML(Security Assertion Markup Language)認証と呼ばれる方式は、IdP(Identity Provider)とSP(Service Provider)と呼ばれる2つの構成要素で、シングルサインオン(SSO)を実現する方式です。
ユーザーが対象のWebサービス(SP)へアクセスを行い、SPがIdPに認証情報を要求します。その後IdPがSPに認証応答を送信し、SPがSAML認証応答を検証、ログインを許可するといった流れで認証されます。
クラウドサービス側がフェデレーション方式に対応している場合、設定を行うだけで、簡単にシングルサインオン(SSO)を実現できるというメリットがあります。
WebサービスによってはSMAL認証に対応していないものもあるため、導入する際には利用するサービスに導入可能か確認することが重要です。
代理認証(フォームベース)方式
代理認証(フォームベース)方式では、ユーザーの代わりにシステムがログイン情報を入力してくれる仕組みです。
この方式では、IDやパスワードの入力画面を検知して自動で入力してくれるため、ユーザーが毎回情報を入力しなくてもよいというメリットがあります。また、クラウドでID管理を行うサービスであるIDaaSと組み合わせることで簡単に実現できることもメリットの1つです。
製品によっては、認証用サーバを別途構築する必要があります。
リバースプロキシ方式
リバースプロキシ方式では、クライアントとWebアプリケーションサーバ(サービス)との間に通信を中継するリバースプロキシサーバを設置し、そのサーバを経由して認証を行う方式です。
エージェントをインストールする必要のある代理認証と違い、ネットワーク経路をリバースプロシキサーバに変更すればエージェントのインストールがいらずに導入できる点がメリットです。
しかし、すべて認証がリバースプロキシサーバを経由するため、通信が集中してしまい、リバースプロキシサーバがボトルネックになってしまう可能性があります。
エージェント方式
エージェント方式は、対象となるWebアプリケーション(サービス)にエージェント型ソフトをインストールし、そのエージェントを介して認証させる方式です。エージェント方式ではシングルサインオン(SSO)用の外部サーバと連携し、認証やアクセス権限のチェックを行うため、認証されればSSOサーバからユーザー情報が提供されます。
エージェントから求められる初回認証が済んだ後は、SSOサーバに格納されたユーザー情報を基に、連携されたサービスに自動でログインができるようになります。
エージェント型ソフトによってはアプリやサービスに対応していない場合もあるため、導入する際には注意が必要です。
透過型方式
透過型方式は、ユーザーがWebアプリへのアクセスを試みた際に、必要に応じてログイン情報を送付する仕組みです。アクセス経路に依存することがないため、どのような端末やブラウザでもりようでき、また社外からもアクセスできるメリットがあります。
オンプレミス環境にも対応しているため、複雑なシステム環境下においても柔軟に活用することができますが、導入する際には透過型認証対応のSSO製品が必要となります。
以上のように、シングルサインオン(SSO)にはさまざまな方式・仕組みが存在します。
これらの特徴を把握したうえで、自社に合ったサービスを選定することが大切です。
シングルサインオン(SSO)導入の流れ
シングルサインオン(SSO)の導入は、計画的なステップを踏んで進めることが重要です。導入にあたっては、連携するサービスの洗い出し、セキュリティ要件の確認、サービス選定、運用開始まで、各段階で適切な判断と準備が必要です。
以下では、シングルサインオン導入の主要なステップについて詳しく解説します。
シングルサインオン連携したいサービスの洗い出し
シングルサインオン導入の第一歩として、連携対象となるサービスを明確にする必要があります。
現在利用中のサービスだけでなく、今後導入予定のものも含めて漏れなくリストアップします。シングルサインオン(SSO)サービスの選定に必要な情報となるだけでなく、契約ライセンス数の決定にも関わるものです。特に、SAMLやOpenID Connectなどの連携方式や、各サービスの契約プランによってシングルサインオン(SSO)の対応可否が異なる場合があるため、詳細な確認が必要です。
すべての利用サービスを把握すると、より効率的なシングルサインオン環境を構築できます。
セキュリティポリシーの確認
組織の情報セキュリティ方針に基づき、アクセス制御の要件を整理します。例えば、オフィスと社外でのアクセス制限の違いや、会社貸与端末の制限などの確認です。また、生体認証の利用可否も検討します。
認証ルールでは、誰の操作によるログインかを確認し、アクセス権限では該当のサービスにアクセスする権利があるかの確認も必要です。アクセス場所によって認証方式を変更するなど、きめ細かな設定もしなければなりません。
以上の要件をシングルサインオン(SSO)サービスの設定に反映させると、セキュリティポリシーに準拠した運用が可能です。
どのサービスを導入するか検討
連携対象サービスとセキュリティ要件を踏まえて、最適なシングルサインオン(SSO)サービスを選定します。複数のサービスを比較検討し、要件を満たすものを選ぶことが必要です。クラウド型とオンプレミス型の特徴を理解し、組織に適した形態を決定します。
特に、実装が困難な要件がある場合は、オンプレミスのソフトウェア製品も選択肢に入れます。選定したサービスは検証環境で実際に設定を行い、要件との適合性を確認してください。導入コストや運用負荷、ベンダーのサポート体制なども考慮に入れて総合的に判断します。
導入・運用を開始
選定したシングルサインオン(SSO)サービスの導入を開始します。クラウド型の場合は、事前に決定したセキュリティルールやシングルサインオン(SSO)連携の設定を行い、すぐに利用可能です。
一方、オンプレミス型の場合は、必要なシステム構築を行います。また、シングルサインオン(SSO)サービスが利用できない場合の代替手段や、ユーザーがログインできない場合の対処方法を事前に検討し、マニュアル化しておくのも重要です。
運用開始後は、セキュリティポリシーの遵守状況やユーザーからのフィードバックを確認し、必要に応じて設定を見直します。
シングルサインオンのシステムを選定する際のポイント
本章では、実際にシングルサインオン(SSO)を導入する際に見るべき4つの選定ポイントをご紹介します。
既存システム・導入予定のシステムと連携可能か
シングルサインオン(SSO)を導入する際は、より幅広いサービス・システムと連携できる仕組みを選ぶことでそのメリットを最大限に活かすことができます。
そのため、まずは、導入する製品が既に利用しているシステムと連携可能な方式を採用しているかを確認しましょう。近年登場している多くのITサービス・システムは、代理認証(フォームベース)方式やSAML認証(フェデレーション)方式と連携可能です。
また、シングルサインオン(SSO)製品が今後利用予定のシステムとも連携できるかも確認しておくことで、導入後により多くのメリットが得られます。
さまざまなデバイスに対応可能か
PCだけでなく、スマートフォンやタブレットからのログインに対応しているかも、導入前に確認しておくべき事項の1つです。
近年は、社内外のインターネット環境で、PC以外のデバイスからクラウドサービスなどを利用するシーンが増えています。そのため、さまざまなデバイスからのログイン認証に対応した、マルチデバイス対応のシングルサインオン(SSO)製品を導入することがおすすめです。
セキュリティへの対策は万全か
シングルサインオン(SSO)では、ログインID・パスワード管理の効率化とセキュリティリスクの削減効果が期待できます。しかし、そのIDやパスワードが第三者に知られてしまった場合、シングルサインオン(SSO)と連携したすべてのサービス・システムに情報を知った第三者がログインできるようになります。
こうした事態を防ぐために、パスワード認証のほか、クライアント証明書などパスワードを利用しない脱パスワード認証といったセキュリティ対策機能が実装されている製品を選ぶことがおすすめです。
設定から障害時の対応まで可能などサポート体制は充実しているか
サービスの機能だけでなく、導入後のサポート体制も非常に重要です。
例えば、社内にセキュリティ領域に詳しい人材がいない場合は、初期設定などの基本的な部分からサポートを行っている事業者を選ぶことで、スムーズに導入を進めやすくなります。
また、サービス利用開始後は突然の不具合が生じることもあります。そのような場合に備え、トラブルへのフォロー体制が充実しているか、安心して利用できるかといった視点で選ぶことも重要です。
国内で展開されていシングルサインオン(SSO)システムの特徴と選び方
シングルサインオン(SSO)システムは、企業の規模や要件に応じて最適な選択肢が異なります。大きく分けて、オンプレミス型、SSOツール型、IDaaS型の3つのタイプがあり、それぞれに特徴的な強みと制約があります。企業のニーズや運用体制に合わせて、適切なタイプの選択が重要です。
以下では、各タイプの特徴と選択のポイントについて解説します。
オンプレミス型
自社のサーバー上で稼働するエンタープライズ向けシングルサインオン(SSO)システムです。カスタマイズ性が高く、組織固有の要件に合わせた詳細な設定や機能の実装が可能です。
一方で、要件定義や構築などの導入工数が大きく、初期コストも比較的高額になります。UIは従来型で古い印象を受ける場合が多いものの、スクラッチ開発による高い自由度があり、セキュリティ要件の厳しい業界や大規模組織での採用に適しています。
SSOツール型
Microsoft 365やGoogle Workspaceなどの主要クラウドサービスの機能として提供されるシングルサインオン(SSO)システムです。既存のクラウドサービスと親和性が高く、導入がスムーズな反面、連携可能なアプリケーション数や連携方式に制限があります。
コストは連携するアプリケーション数や機能によって加算される場合が多く、ユーザーインターフェースや管理画面のカスタマイズ性は限定的です。中小規模組織での利用に適しています。
IDaaS型
クラウドサービスとして提供されるシングルサインオン(SSO)システムです。幅広いウェブサービスとの連携が可能です。
最大の特徴は、システム構築作業が不要な点です。社内システムから独立したサービスとして提供されるため、多くの場合、システム会社への導入委託が不要で、情報システム部門での設定のみで利用開始できます。これにより、導入・運用コストを大幅に削減可能です。
管理者が簡単に設定でき、月額制の料金体系が一般的です。アプリケーション数に制限がなく、柔軟なスケーリングが可能なため、クラウドサービスを多用する組織や、将来的な拡張性を重視する企業に適しています。
シングルサインオン(SSO)で業務効率化とセキュリティ対策を同時に実現
シングルサインオン(SSO)を利用することで、従業員や管理者にとってのID・パスワード管理の煩雑化を解消することができます。
DAIKO XTECHでは、シングルサインオン(SSO)サービスとしてさまざまな製品を取り扱っております。以下リンクでは、シングルサインオン(SSO)サービス「トラスト・ログイン」、「HENNGE IdP Edition」についてご紹介しています。ご興味をもたれた方は是非ご覧ください。
DAIKO XTECHのシングルサインオン(SSO)サービス
「トラスト・ログイン」と「HENNGE IdP Edition」の詳細は以下からご覧ください。
