シングルサインオン(SSO)とは何? 仕組みや導入のメリット・デメリットをわかりやすく解説
現代の多くの企業は、クラウドサービスなどさまざまなシステムやサービスを活用して日々業務を行っています。しかし、それらの利用が増加するに伴い、「都度ログインしなければならないことによる生産性の低下」や「パスワード管理の煩雑さによるセキュリティリスクの増加」などが問題となっています。 このような問題を解決するために注目されているのが「シングルサインオン」です。今回はシングルサインオンの概要や、導入することで得られるメリットなどについて詳しくご紹介します。
シングルサインオン(SSO:Single Sign On)とは何?
シングルサインオン(SSO:Single Sign On)とは、一度のユーザー認証で複数のシステムやサービスを、ログイン操作を行わずに利用できる仕組みのことです。IDやパスワードを入力・管理する手間を削減できたり、パスワードの使いまわしを防止できたりと、利便性の向上とセキュリティの強化が同時に実現できます。組織が抱えているIDやパスワードに関する課題を解決する手段として注目されています。
組織が抱えるID・パスワードの課題
一般的に複数のシステムを利用するには、システムごとに異なるIDやパスワードを入力する必要があります。しかし、それに伴う「業務効率の低下」や「情報漏洩のリスク」などは、組織として看過できない課題といえます。詳しく見ていきましょう。
従業員の業務効率が低下する
近年ではリモートワークの普及などにより、複数のクラウドサービスを利用する組織が増えてきています。従業員はそれらクラウドサービスへのログインのほか、社内で利用している業務システムや各種ソフトウェアへのログインなど、日々の業務のなかで何度もIDやパスワードの入力を行っています。
一つひとつの手間はそこまで大きくないものの、毎日の積み重ねやログインするたびに業務が中断することを考慮すると、ID・パスワードの入力によって従業員の業務効率が低下していることは確かだといえます。
情報漏洩のリスクが高まる
システムやサービスごとにIDとパスワードを設定する場合、従業員は「複数のログイン情報を管理する煩雑さ」や「パスワードを忘れるリスク」と向き合わなければなりません。その結果、「簡易なパスワードを使いまわす」「ログイン情報を紙にメモする」などの対応をとることも珍しくはありません。
しかし、そのような状況はパスワードが推測されてしまったり、ログイン情報が記載されたメモを物理的に紛失してしまったりする恐れがあり、情報漏洩リスクがあるといえます。
管理工数・コストが増える
パスワードを忘れた場合、従業員は社内のIT部門や情報システム部門などの管理者に問い合わせて、パスワードの確認やリセットの手続きをとってもらう必要があります。ほかにもアカウントロックへの対応など、社内におけるID・パスワードの管理の負担は意外にも多いです。
加えて、状況によっては上記のような管理者の部門を増員しなければならないなど、管理工数とは別のコストが発生する可能性もあります。
シングルサインオンを導入するメリット
利便性が向上する
各システムやサービスの利便性が向上することは、シングルサインオンを導入する最大のメリットです。従業員が複数のIDやパスワードを覚える必要がなくなり、認証も一度で済むため、総合的な作業スピードや業務効率も向上します。
また、利用頻度が少ないシステムのIDやパスワードを忘れてしまい、利用したいときに利用できないといった状況もなくなります。-
セキュリティレベルが向上する
シングルサインオンを導入することで、ログイン情報のメモ書きやパスワードの使いまわしを防止できます。また、ワンタイムパスワードや生体認証などの多要素認証と組み合わせることで、より強固なセキュリティ環境を構築することも可能です。
加えて、シングルサインオンの管理機能によって「誰が、いつ、何のシステムを利用したか」などのアクセス情報も追跡できるため、企業内部のセキュリティも向上します。
管理コストの削減につながる
シングルサインオンは、従業員がパスワードを忘れるリスクを軽減し、結果として管理コストの削減に貢献します。
従来の管理方法でたびたび発生していた、パスワードのリセットやアカウントロックの対応を削減でき、管理者であるIT部門や情報システム部門のリソースを本来のコア業務に充てることが可能です。
シングルサインオンを導入するデメリット
不正アクセスの影響が複数のシステムにおよぶ可能性がある
シングルサインオンの導入により利便性が向上する反面、その認証情報が漏れてしまった場合、利用中のすべてのシステムやサービスに不正アクセスされる危険性があります。
そのため、シングルサインオンのIDとパスワードはより厳重に管理する必要があり、多要素認証や二段階認証などを活用したセキュリティ対策を講じることが求められます。
SSOシステムが停止するとログインできなくなる
シングルサインオンでは、特定のシステムによって認証情報が一元管理されているため、万が一そのシステムが停止した場合、シングルサインオンと連携しているすべてのシステムやサービスへのログインができなくなります。
すべてをシングルサインオンで管理するのではなく、企業の経営に関わるようなシステムのパスワードは別で管理するなどの対策が必要です。
シングルサインオンが利用できないシステムがある
シングルサインオンには複数の認証方式があるため、システムによってはシングルサインオンを利用できない場合があります。すでに複数のシステムを利用している場合は、より多くのシステムと連携できるシングルサインオンの認証方式を調べることが大切です。
また、すべての認証を一つにまとめることにこだわらず、認証の回数を少しでも減らしていくという考えを持つことにより、シングルサインオンシステムの選択肢も広がります。
導入のデメリットを回避するための対策
IPアドレスの制限
IPアドレスを制限することで、「特定のIPアドレスでは接続できないようにすること」や「特定のIPアドレスでのみ接続できるようにすること」が可能です。
重要な情報が格納されているシステムやフォルダなどにIPアドレスの制限をかけておくことで、仮にシングルサインオンの認証情報が流出したとしても、不正アクセスされるリスクを軽減できます。
ワンタイムパスワードの活用
ワンタイムパスワードとは、30秒や60秒といった短い間隔で生成される「1回しか使用できない使い捨てのパスワード」です。優れたセキュリティ対策として知られ、金融機関のサービスなどでも一般的に活用されています。
このワンタイムパスワードとシングルサインオンを組み合わせることで、万が一認証情報が漏洩したとしても、不正アクセスを防ぎやすくなります。
シングルサインオンシステムを選ぶ際のポイント
利用したいシステムやサービスとの互換性
シングルサインオンシステムは、すべてのシステムやサービスと互換性があるわけではありません。そのため、すでに導入しているシステムや将来利用を予定しているサービスとの連携が可能かどうかを確認することが欠かせません。
すべてとの連携が難しい場合は、連携させる優先順位を決め、できる限り多くのシステムやサービスと連携可能なシングルサインオンシステムを選ぶと良いでしょう。
オンプレミスかクラウド、どちらを選ぶか
シングルサインオンシステムには、オンプレミス型とクラウド型があります。どちらの形式を選ぶか、または両方を組み合わせるのかなどを、利用したいシステムやサービスの互換性、組織ごとのセキュリティポリシーなどに合わせて検討する必要があります。
また、PC以外のデバイスからもシステムやサービスを利用する場合は、スマートフォンやタブレット端末でもログインできるかを確認しておくことで、導入後も業務の質を落とさずに済みます。
セキュリティ機能が用意されているか
シングルサインオンでは、不正アクセスのリスクを軽減するために、ワンタイムパスワードのような多要素認証や二段階認証などと組み合わせることが重要です。これらの機能が用意されているかどうかも重要なポイントです。
シングルサインオンシステム自体のセキュリティ
シングルサインオンシステム自体のセキュリティも大切な選定基準です。具体的には、ISO(国際標準化機構)とIEC(国際電気標準会議)が認証する、「ISO/IEC 27001(情報セキュリティ)」や「ISO/IEC 27017(クラウドサービスセキュリティ)」など、信頼できる外部監査をクリアしているか確認することをお勧めします。
導入や運用にかかるコスト
シングルサインオンシステムの導入では、初期費用やランニングコストなどの単純なコスト面での比較だけでなく、従業員の工数削減や生産性の向上なども視野に入れ、総合的な費用対効果を確認する必要があります。
また、導入後のサポート体制が充実しているシステムを選ぶことで、トラブルが発生した際のコストを抑えることも可能です。
シングルサインオンの5つの認証方式
エージェント方式
エージェント方式は、利用する各システムのサーバーに、あらかじめエージェントソフトウェアを組み込む方式です。ユーザーが入力した認証情報を、エージェントを介してシングルサインオン用の外部サーバー(以下、SSOサーバー)が確認し、問題なければユーザーの端末へ認証済みCookieを発行。その後、ユーザーがほかのシステムへアクセスした際に、エージェントを介してSSOサーバーがそのCookieを確認し、ログイン済み状態のレスポンスが返すという仕組みです。
エージェント方式のメリットは、既存のネットワーク構成を変更せずに導入できるところです。一方で、すべてのシステムにエージェントソフトウェアを組み込む必要がある点と、対応していないシステムがある点には注意が必要です。
リバースプロキシ方式
リバースプロキシ方式は、アクセスする端末と各システムとの間に、リバースプロキシサーバーを設置する方式です。
システムごとにエージェントソフトウェアを導入する必要がないため、導入コストが低いことがメリットです。一方で、アクセスをすべてリバースプロキシサーバー経由で行うため、負荷の集中には注意しなければいけません。
代理認証方式
代理認証方式は、各端末にエージェントソフトウェアをインストールする方式です。端末上で、各システムやサービスのログイン画面を開くとエージェントがそれを検知。ユーザーの代わりにシングルサインオンシステムが、各システムのIDやパスワードを自動で入力します。
システム自体にエージェントソフトウェアを組み込む必要がないため、レガシーシステムにも対応するというメリットがあります。
フェデレーション方式(SAML認証)
フェデレーション方式(SAML認証)は、クラウドサービスの認証情報を提供するシステムである「IdP(Identify Provider)」との間で、「チケット」と呼ばれる情報をやりとりすることで、シングルサインオンを実現します。
使用するクラウドサービスが、フェデレーション方式の認証プロトコルに対応していれば、クラウドサービス側の設定だけで簡単にシングルサインオンを実現できます。
透過型方式
透過型方式とは、アクセスする端末とシステムとの間に、ユーザーがシステムにアクセスする際の通信を監視するシングルサインオンシステムを設置し、必要に応じて認証情報を送信する方式です。
エージェントソフトウェアを組み込む必要がなく、ネットワーク構成の変更も不要なため、導入のハードルが低い方式といえます。また、ほかの方式と比べても比較的新しい方式です。
シングルサインオンに関するQ&A
シングルサインオンの利用料はどのくらい?
利用するサービスや企業の規模によって利用料は変わります。特に大きなコストとしては、「要件定義費用」「サーバー構築費用」「ランニングコスト」が挙げられます。
相場として、1,000名程度の企業であれば、要件定義費用は100万円ほど、サーバー構築費用は2,000万円ほどです。また、ランニングコストとしては、1つのIDあたり100~500円が相場であり、1アカウント単位で利用料が発生するものから、パッケージ化されているものまでさまざまです。
ソーシャルログインとの違いは?
ソーシャルログインとシングルサインオンは、両方とも認証方法として活用されていますが、それぞれの目的や仕組みは異なります。
ソーシャルログインとは、ユーザー自身のSNSアカウント情報を利用して、ほかのアプリケーションやWebサイトにログインする方法です。アプリケーションやWebサイトごとにアカウントを作成する手間が削減できます。
一方、シングルサインオンは1回の認証で異なるシステムやサービスにログインできる仕組みのことで、ソーシャルログインとは活用する目的が異なります。
シングルサインオンと多要素認証の違いとは?
シングルサインオンは1つのパスワードしか設定していないため、ログイン情報が漏れた場合のリスクが大きいといえます。
そのリスクをカバーする手段の一つが多要素認証です。多要素認証とは、「知識要素(パスワードや秘密の質問など)」「所持要素(スマートフォンやセキュリティトークンなど)」「生体要素(指紋や顔など)」の中から、異なる2つ以上の要素を組み合わせて認証を行う仕組みです。
シングルサインオンは、知識要素であるパスワードを使用するため、それ以外の要素と組み合わせることでより強固なセキュリティ対策が実現できます。
Sky株式会社の不正ログイン・不正利用監視サービス
シングルサインオンは、業務で利用するさまざまなシステム・サービスのログイン操作を簡略化し、利便性を向上させます。また、多数のパスワードを管理することから生じるセキュリティリスクにも対応できる効果的なシステムといえます。しかし、不正アクセスなどのサイバー攻撃は日に日に巧妙化してきており、リスクをゼロにするのは現状不可能ともいえます。組織においては、不正アクセスに遭ったときに備えて、被害を最小化するための対策を日頃から講じておくことが必要です。
Sky株式会社では、その対策をサポートするセキュリティソリューションの一つとして、不正ログイン・不正利用監視サービスをご提供しています。通常では行われない端末操作や、ルールを越えた端末挙動がないかを24時間365日体制で監視するほか、不正利用を検知した際にログ分析を行い、分析結果をお客様にエスカレーションします。オンラインサービスへの不正ログイン・不正利用へのセキュリティ対策を検討されている場合は、ぜひSky株式会社までお問い合わせください。
まとめ
今回はシングルサインオンについてご紹介しました。シングルサインオンは、一度の認証で複数のシステムやサービスにログインできる仕組みであり、利便性の向上とセキュリティの強化を同時に実現できます。
クラウドサービスなどの利用が増加している昨今において、組織ではパスワード管理に関するリスクへの対策が求められています。従業員の生産性向上や業務効率化、セキュリティ対策の強化のためにも、シングルサインオンの導入は効果的な手段の一つといえます。