シングルサインオン(SSO)とは
シングルサインオンは、1組のIDやパスワードでの認証を1度行うと、複数のWebサービスやクラウドサービスにログインできる仕組みです。
以前はこれらのサービスを利用するときには、サービスやアプリケーションごとに認証していました。現在はパソコンやスマートフォン、インターネットが普及して、1人が複数のWebサービスやクラウドサービスを利用することも珍しくありません。
そうした状況でも、シングルサインオンにに対応しておくと認証が1回で終わります。
シングルサインオンのさまざまなメリット
ここでは、シングルサインオンのメリットを幾つか解説します。
セキュリティリスク削減
シングルサインオンは一つのIDとパスワードを把握するだけでいいので、サービスを使うユーザーが適切な管理をしやすいことがメリットです。
同じIDとパスワードの使い回しや付箋に書き込んでPC周りに貼り付けたりする方もいると思います。このような杜撰なID・パスワード管理だと、個人情報漏えいや不正アクセスなどのセキュリティ事故の発生リスクがあります。
管理リソースやコスト削減
業務管理している多くのシステムやサービスは、複数の従業員が利用しています。
シングルサインオンは管理リソースやコスト削減に繋がります。管理者が管理するID・パスワードの数を大幅に削減できるだけではなく、社員がしっかりと自分のIDとパスワードを管理できるようになります。
利便性が向上
利便性の向上もシングルサインオンのメリットと言えます。
複数のサービスやシステムを認証するときに、一つの組み合わせのIDとパスワードで十分だからです。ユーザーもシステムやサービスの管理者も管理するIDとパスワードの組み合わせを減らせます。こうしたことで管理負担が大きく減少させられるのです。
シングルサインオンのデメリット
ここでは、シングルサインオンのデメリットについて解説します。
導入コストが必要
シングルサインオンの実現は、自社のサーバーに専用ソフトウェアをインストールする「オンプレミス型タイプ」と、「専用クラウドサービスタイプ」があります。
オンプレミス型は初期導入時のコストが高くなるかもしれませんが、クラウド型は導入時のコストは少なくて済みますが毎月の費用がかかります。そのため、利用期間が長くなるだけそれだけコストがかさみます。
パスワード漏えいで重大なセキュリティリスクにつながる
IDやパスワードが漏洩すると、IDとパスワードを利用する全てのサービスやアプリケーションが不正利用されるリスクにさらされることになります。
万が一使用されると不正に預金が引き出されたり、知らぬ間にインターネットショッピングで高額な商品を購入されるかもしれません。
システムが停止すると関連サービスにログインできなくなる
システムが停止してしまうと、シングルサインオンで認証していたいたサービスやシステムにログインできなくなります。
それだけではなく、サービス提供者への問い合わせなど余分な業務が発生してしまう可能性があります。さらには、認証できずにサービスやシステムが使えなくなってしまうと、業務進捗への影響も懸念されるのです。
デメリットへの対応方法
シングルサインオンのデメリットへの対処方法も解説します。
電子証明書がインストールしているデバイスからだけアクセス許可
電子証明書をインストールされているデバイスのみアクセス許可する方式もあります。
静的IPアドレスは偽装される可能性もありますが、暗号化技術で電子証明書を利用するとシングルサインオンのデメリットに対応できます。
IPアドレス制限でアクセス制限
IPアドレス制限でアクセス制限をかける方法もあります。
会社が認めるIPアドレスからのアクセスだけ認めるので、外部からのアクセスはシャットアウトできます。「機密性が高い情報にはIPアドレス制限をかける」などのルールを決めておくと、不正アクセス時の被害が最小限になります。
ワンタイムパスワード認証を組み合わせ
ワンタイムパスワード設定を行うと、万が一シングルサインオンに使うパスワードが流出しても不正アクセスが防げます。
ワンタイムパスワードとは、メインパスワードとは別に一時的に発行されるパスワードです。短時間で変更されるパスワードや、一時的に発行されるパスワードなど、その時だけユーザーが知るパスワードです。ワンタイムパスワード認証なら、メインパスワードが流出しても不正アクセスがかなり高い確率で抑えられます。
シングルサインオンの認証方式
ここでは、シングルサインオンの認証方式を解説します。
フォームベース認証(代理認証方式)
フォームベース認証は、ユーザーに代わってシステムが代理認証する方式です。
アカウント情報データベ―スにユーザー情報を格納してシステム認証します。この後解説する「SAML認証」に対応していないクラウドサービスだけではなく、ブラウザ上でログインフォームを使っている社内システムなどでも使えます。
SAML認証(フェデレーション方式)
SAML認証とは、ID管理と認証を行うIDプロバイダで管理するユーザー認証情報を使って、連携済みのさまざまなサービスやシステムへのシングルサインオンを可能にする方式です。
「IdP(Identity Provider)」「SP(Service Provider)」は、サインオン情報を送信することで違うドメインのシステムやサービスでも認証情報は連携できます。
対応するサービスはGoogle AppsやSalesforceなどに限られます。ちなみに、SAML認証方式だけ違うドメインで運営されるサービス同士でシングルサインオンできます。
Basic認証(代理認証方式)
BasicとはIDとは、パスワードの情報をHTTPヘッダに追加しサーバーに送信して認証する仕組みです。
専用エージェントが不要なので実装は簡単ですが、さほどセキュリティは強固ではありません。社内LANで稼働しているサービスやシステムなどは、ある程度アクセス限定されている環境で使われることが多いです。
シングルサインオンサービスを導入するときに抑えたいポイント
ここでは、シングルサインオンを導入するときに抑えたいポイントを解説します。
システム連携できるか確認
サービスによってシングルサインオンに対応していない場合もあります。
現在利用しているまたは今後使う可能性があるサービスが、シングルサインオンと連携できるかどうかも前もって確認しておきましょう。
連携できても使うときには、システム改修が必要な場合は作業費用が発生します。できるだけシステム連携がスムーズに行えて、拡張性が高い製品を選ぶと安心です。
導入する必要性を検討
シングルサインオンを導入する前提としては、ユーザーやシステム部門がどんな課題を抱えているのかを洗い出した上でシングルサインオンの導入が必要かどうかを判断しましょう。
「シングルサインオンシステムを導入したら課題が解決できる」「コストに見合う効果が得られる」と判断した場合は、導入する価値があります。
まとめ
今回はシングルサインオンの仕組みやメリットデメリット、認証方式を解説しました。
シングルサインオンは1回の入力でログインが簡単になるだけではなく、セキュリティリスク軽減や管理に価格コスト削減などさまざまなメリットがあります。
さまざまなデメリットや認証方式もありますので、ご自身の使っているPCや組織形態にマッチしたシングルサインオンを導入することをおすすめします。
