コラム
シングルサインオン(SSO)とは?
仕組み・メリット・システムを
選ぶ際のポイントを解説
最終更新日:
シングルサインオン(SSO)とは、1度のログインで複数のシステムやサービスにアクセスできる仕組みです。再ログインの手間がなく、パスワードの使い回し防止にもつながるため、利便性と安全性を両立できます。クラウドサービスが業務効率改善につながる一方で、認証アカウントは利用するサービスごとに異なり、煩雑な認証システムやセキュリティの危険性が問題となっています。本記事では、シングルサインオンの基本から導入するメリットと課題、選ぶ際のポイントを解説します。
シングルサインオン(SSO)とは?
シングルサインオンとは、アカウントにログインすることで、そのアカウント情報に連携された複数のアプリケーションやWebサイトを認証なしで利用できるシステムです。このシステムにより、追加認証やサービスごとのログインを行う必要がなくなるため、複数のサービスを利用する際の認証にかかる手間を簡略化できます。また、ID・パスワードといった認証に必要となる情報を一つのアカウントで管理するため、利便性とセキュリティ面に優れた仕組みといえるでしょう。
シングルサインオン(SSO)が注目を集める背景
シングルサインオンは、もともと社内ネットワークにおける認証システムとして開発されました。企業などが利用するネットワークシステムは社内のみの運用が主であり、外部サービスに接続することがあまりなかったためです。しかし、リモートワークの増加やDXの促進により、クラウドサービスが急激に普及したため、複数の認証にかかる情報を管理しなければならなくなりました。
また、複数の認証情報を管理するために、社内に管理者を設ける必要が生じます。新たな管理者の配置は、人件費の負担増加につながります。そのため、利便性とセキュリティの安全性を併せ持ち、管理者の負担やコスト増加に比べて導入コストを低く抑えられるシングルサインオンが注目されるようになりました。
シングルサインオン(SSO)の認証方式
シングルサインオンの代表的な認証方式を紹介します。
- エージェント方式
対象のWebサーバーやアプリケーションサーバーにエージェントとよばれるソフトウェアを導入してシングルサインオンを行う方法です。既存アプリケーションに最小限の変更で導入できるのが特徴です。 - リバースプロキシ方式
ブラウザとアプリの間にプロキシサーバーを設け、アクセスごとにプロキシサーバーが認証と検証を行う方法です。既存のアプリケーションを改修せずにシングルサインオンを適用できるため、導入コストが比較的低いのが特徴です。 - 代理認証方式
事前に登録されたID・パスワードを、シングルサインオンシステムがバックグラウンドで入力してログインを代行する方式です。ユーザーにはシームレスな操作体験を提供しつつ、元アプリケーション側での変更を不要にします。 - SAML認証(フェデレーション)方式
IdP(Identity Provider:認証サーバー)とSP(Service Provider:サービス提供側)が認証情報を安全に連携することで、シングルサインオンを実現する仕組みです。SAMLに対応したクラウドサービスであれば、IdPとの設定だけでシングルサインオンを導入可能です。 - ケルベロス方式
ネットワーク上でクライアントとサーバーの身元確認(相互認証)を行うためのプロトコルで、通信の暗号化と認証情報の保全を同時に実現する仕組みです。ユーザーが一度ログインすると「チケット」と呼ばれる認証情報が発行され、以後はID・パスワードを再入力することなく、複数のサービスへシームレスにアクセスできます。特に、WindowsのActive Directory環境では標準的に採用されています。
従来のID・パスワードが抱える課題
従来の認証情報管理方法は、常にいくつかの課題やリスクを抱えているのか、詳しくみていきましょう。
業務効率の低下
リモートワーク普及に伴い、複数のクラウドサービスを業務に利用している企業が増加しました。利用するクラウドサービスによって認証を行う必要があるため、その都度ログイン手続きを行っていると、手間と時間を要します。この一連の手続きを毎回行っていては、作業の遅れにつながり、業務効率の低下をもたらす恐れがあります。業務効率の低下は、企業の成長や利益に悪影響を及ぼすため、見過ごすことはできません。
情報漏えいや不正アクセスのリスク
IDやパスワードなどの認証情報は、特定されにくい複雑な文字列にする必要がありますが、人間がそれらを複数覚えるのは困難です。そのため、パスワードの使い回しや紙へのメモといった対処になりがちですが、これは情報漏えいや不正アクセスのリスクを高めます。こうした管理ミスは、企業の信頼を損なう深刻な問題にもつながるため、認証情報を人の手で管理すること自体に大きなリスクがあると言えます。
管理コストの増加
複数のクラウドサービスを利用する場合、専任の管理者が必要となり、人員や管理コストが増加します。手作業による運用はセキュリティリスクを高める要因にもなります。さらに従業員が認証情報を忘れると外部サービスへの問い合わせが発生し、サポートコストも膨らみます。こうした負担は、企業のリソースや運営コストに直接的な影響を与えかねません。
シングルサインオン(SSO)を導入する3つのメリット
ここでは、利便性・セキュリティ面・コストパフォーマンスの3つの観点から、シングルサインオンを導入するメリットを紹介します。
利便性が高まり業務効率が向上する
シングルサインオンシステムの導入により、複数のサービスを利用する際の認証情報を1つに集約できます。1回のアカウント認証で、利用するサービスごとに毎回ログインする必要がなくなります。複数のサービスを効率よく運用できるため、利便性が高まるだけでなく、業務全般の効率向上にも寄与するでしょう。
セキュリティレベルが向上する
シングルサインオンシステムでは認証にかかる情報は1つで済み、情報管理も簡略化することで情報漏洩のリスクを軽減できます。
ID・パスワードの管理コスト削減につながる
従業員が利用するアプリケーションやクラウドサービスが増えれば増えるほど、認証情報の管理は複雑になります。シングルサインオンシステムの導入により、管理者の業務負担を軽減することにつながり、人員コストも削減できるでしょう。
シングルサインオン(SSO)が抱える課題と解決策
シングルサインオンシステムの導入に当たっては、メリットだけではなくデメリットも理解したうえで検討しましょう。
不正アクセスを受けた際のリスクが大きい
認証情報が漏洩すると、連携先のサービス全体に不正アクセスが波及するリスクがあります。これを防ぐには、ID・パスワードに加えて複数の認証方式を組み合わせた強固な仕組みが必要です。以下の追加認証を導入することで、セキュリティを一層強化できます。
- クライアント認証
クライアント証明書を所持している利用者以外のアクセスを制限する認証システムです。なりすまし防止に有効な方法であり、導入することで不正なアクセスを軽減します。 - ワンタイムパスワード
1回のみ有効なパスワードを認証ごとに発行するシステムです。一定時間が経過するとパスワードは無効になるため、たとえ第三者に知られたとしても不正利用の可能性は低くなります。 - 二段階認証
ログイン時にID・パスワードに加え、別の認証方法を追加することで不正アクセスを防止するシステムです。 - 生体認証
人間固有の情報を認証方法として用いたシステムです。主に指紋・顔・声などが認証に用いられています。 - IPアドレス認証
許可された特定IPアドレス以外のアクセスを制限することで、認証情報が漏洩した場合でもアクセス自体を防ぐことができます。
システムが停止すると複数のサービスにログインできなくなる
シングルサインオンのシステム自体が機能を停止している場合、連携しているサービスへのアクセスが不可能になる恐れがあります。企業において、利用するサービス全てをシングルサインオンに連携しているとシングルサインオンが停止している間、業務が遅延してしまいます。不測の事態に備え、特に重要なサービスやシステムのログイン情報は、別途管理するような業務環境の構築が望ましいでしょう。
対応していないサービスもある
シングルサインオンの認証方法は複数存在していますが、サービスのシステムによっては連携できない場合があります。導入する際は、現在利用しているサービスや今後利用予定のサービスが、シングルサインオンに対応可能か事前に確認しておきましょう。
シングルサインオン(SSO)システムを選ぶ際のポイント
自社が利用するサービス環境との合致性やセキュリティレベルなどが判断材料になります。また、ランニングコストなどの費用対効果も重要な判断要素です。ここでは、シングルサインオンを選ぶ際に抑えておきたい4つのポイントを紹介します。
利用したいサービスやシステムとの互換性を確認する
全てのアプリケーションやシステムとの互換性が必ずしもあるとは限りません。そのため、シングルサインオンの認証方式に利用したいサービスが対応しているかどうかが重要です。そのため、すでに利用しているサービスと今後利用するサービスの連携ができるか確認が必要になります。全てのサービスを連携させることが難しい場合は、多くのアプリケーションやシステムに対応したシングルサインオンシステムを選択すると良いでしょう。
セキュリティ機能の有無を確認する
リスク軽減のため、複数のセキュリティ機能が搭載されているか確認しましょう。また、自社のセキュリティポリシーや、求めるセキュリティレベルを満たしているかも確認する必要があります。
オンプレミスとクラウドのどちらを選ぶか慎重に検討する
シングルサインオンシステムの形式には「オンプレミス型」と「クラウド型」があり、片方もしくは両方を併用するか選択する必要があります。利用するサービスの互換性や企業の情報セキュリティーポリシーにのっとり検討し、判断することでしょう。また、パソコン以外のデバイスに対応しているか確認しておくことで、タブレットなどで業務を行う場合にも活用できます。
導入や運用のコストを考慮し総合的な費用対効果を確認する
シングルサインオンの導入には、初期費用からサーバー構築費、ランニングコストなどがかかります。ただし、単純な出費だけで計算するのではなく、導入することで得られる業務効率化や生産性の向上といったプラスの要素も総合的に鑑みて費用対効果を分析することが大切です。
総合セキュリティ対策なら
パロアルトネットワークス
複数のクラウドサービスやアプリケーションを快適に利用する新たな認証管理システムとしてシングルサインオンが注目されています。しかし、導入するに当たり、互換性やセキュリティ対策が欠かせません。パロアルトネットワークスはシングルサインオンシステムに留まらず、多様なセキュリティ製品を提供している実績豊富なサイバーセキュリティ企業です。セキュリティレベルの高いシングルサインオンシステムの導入を検討しているご担当者様は、ぜひパロアルトネットワークスへお問い合わせください。
まとめ
シングルサインオンシステムの導入は、認証システムにかかる利便性や安全性の向上をもたらし、業務効率の改善や情報漏洩リスクを減少することができます。自社が利用するサービスとの互換性、セキュリティレベル、費用対効果を確認し、慎重に検討したうえで選択することが大切です。
この記事の執筆者
