ITお役立ち情報
2019/09/19

出社時のログインラッシュから解放される!シングルサインオン(SSO)とは?

出社時のログインラッシュから解放される!シングルサインオン(SSO)とは?

システムやデジタルツールが充実し、業務の効率化や生産性向上につながるさまざまなITサービスを活用できる環境は、ビジネスにおいても大きなメリットをもたらしています。

ただ、使うたびに一つひとつのシステムやアプリケーションにログインする必要があり、数多くのIDとパスワードを管理しなければならない点は、社員にとって煩わしい手間や負担となっているのが現状です。
さらに、パスワードは一定期間が過ぎたら変更するよう設定されていることも多く、いざログインしてみてもパスワードの再設定から始めなければいけない、といったことも日常茶飯事ではないでしょうか。

こうした背景を受け、注目を集めているのが「シングルサインオン(SSO)」です。

1.シングルサインオン(SSO)とは?

シングルサインオン(Single Sign-On)とは、一つのIDとパスワードで複数のシステムやアプリケーションにログインできる仕組みのことで、SSOと略されます。

通常は、ユーザーがパソコンにログインした後、業務に利用するシステムやアプリケーションごとにログインしなければなりません。
ユーザーにとって一つひとつのログイン作業やパスワード管理は負担であり、システム管理者側にとってはIDとパスワードの管理が煩雑になります。特に、新入社員や退職者などが多い時期の負荷はかなり大きなものとなります。

シングルサインオンを導入すると、ユーザーはシングルサインオンのシステムに一度ログインするだけで済むようになります。
各システムやアプリケーションのIDとパスワードはシステム管理者側のみで管理し、ユーザーへはシングルサインオンのIDとパスワードのみが付与され。ユーザーによってシステムの利用制限を行ったりアクセスログを取ったりという運用が可能になります。
また、社員の異動時は一つのアカウントを停止・削除するだけで利用停止にすることが可能です。

2.シングルサインオン(SSO)の仕組み

シングルサインオン(SSO)の認証方式には、以下のようなものがあります。

◆証明書認証方式

通信端末に設定されたクライアント証明書を使ってシングルサインオンを実現する方法で、証明書で設定されているパスワードを入力すると認証される仕組みです。

◆エージェント方式

シングルサインオンの対象となるWebサーバに認証用のエージェント(ソフトウェア)を組み込み、ログイン状態やアクセス権限をチェックして認証可否を返す仕組みです。

◆リバースプロキシ方式

エージェントと似た方法で、シングルサインオンの対象となるサービスやアプリケーションに、リバースプロキシとよばれるサーバを通してアクセスし、リバースプロキシがログイン状態やアクセス権限をチェックして認証可否を返す仕組みです。

◆代理認証方式

プロキシサーバがシングルサインオンの対象となるサービスやアプリケーションの代理でIDとパスワードを送り、認証される仕組みです。

◆フェデレーション方式

SAML、OpenID Connectといったシングルサインオン用のプロトコルを使い、パスワードの代わりにチケットとよばれる情報を受け渡して認証する仕組みです。

2-1.シングルサインオン(SSO)で実現できること

上記のように、シングルサインオン(SSO)にはさまざまな方式がありますが、いずれも実現できるのは「一度の認証で複数のシステムやアプリケーションが利用できるようになる」ことです。
これを、ユーザー側とシステム管理者側それぞれから見ると、以下の内容を実現できるようになります。

■ユーザー側が実現できること
      • 一度のログインで業務に必要なすべてのシステムやアプリケーションにアクセスできるようになる
      • IDとパスワードを1つだけ管理すればよく、負担が減る
■システム管理者側が実現できること
      • 各アカウントにシステムごとに権限を付与できる
      • すべてのシステムへのアクセス管理が一元化できる
      • 社員の異動や退職、入社時のIDとパスワード対応の負担が減る

3.シングルサインオン(SSO)の導入メリット

上記と重複する部分もありますが、シングルサインオン(SSO)の導入メリットは以下の通りです。

3-1.ユーザーの利便性が向上する

いくつものIDとパスワードの組み合わせを管理する必要がなくなり、システム利用時も一度のログインで済むため、手間と時間を省略でき、利便性が向上します。

3-2.よりセキュアな長く複雑なパスワードをかけられる

ユーザー側は一組のIDとパスワードを管理するだけでよくなるため、システム管理者側はシングルサインオン(SSO)用に複雑で長いパスワードの設定を促進できるようになります。

3-3.システムへのアクセスの一元管理ができる

ユーザー別にアクセス権限を分けて管理できるようになるほか、アクセスログを管理することで、いつ誰がどのシステムを使っていたかといったことを把握できるようになります。

4.シングルサインオン(SSO)の導入デメリット

いいことずくめのようにも思えるシングルサインオン(SSO)ですが、利便性があだとなるデメリットも存在します。

4-1.シングルサインオン(SSO)がダウンするとすべてのサービスが利用できなくなる

シングルサインオン(SSO)のシステムに障害が起きサービスが停止してしまうと、すべてのシステムやアプリケーションにアクセスできなくなってしまいます。

これを回避するためには、基幹システムなど重要なシステムのパスワードは別に管理するなどの対策が必要となります。

4-2.パスワードが漏えいするとすべてのサービスにアクセスを許してしまう

一度の認証ですべてのシステムやアプリケーションにアクセスできる利便性の裏返しで、攻撃者にパスワードが渡ってしまえば、すべてのシステムにアクセスされる恐れがあります。

これを回避するために、端末制限や二段階認証といったセキュリティ対策を用意しておく必要が出てきます。

4-3.シングルサインオン(SSO)が連携できないサービスもある

利用するシングルサインオン(SSO)システムが対象としていないサービスもあるため、自社の利用しているシステムやアプリケーションがすべて対象となっているサービスを選ばなければ、シングルサインオンは実現できません。

たとえば、利用しているクラウドサービスはすべて対象でも、オンプレミスの独自システムは対象外という場合は、それぞれで認証する必要があるなどです。
こうした場合も、認証の回数を減らす効果はあり「Reduced sign-on」とよばれます。

5.まとめ

最近では、シングルサインオン(SSO)もクラウド化され、「IDaaS(アイダース)」とよばれて注目を集めています。

ユーザー側にとっては、多くのIDやパスワードを管理する負担がなくなることで利便性が向上し、一つのIDとパスワードだけを管理すればよいことからセキュリティリスクを減らすことにもつながります。また、システム管理者側にとっては、管理に係る労力が少なくなり、生産性の向上や業務の拡大などが期待できます。

メリットの大きいシングルサインオンですが、運用にあたってはセキュリティの強化も検討する必要があります。

まずは自社の利用システム、サービスをカバーできるシングルサインオンシステムをピックアップするところからスタートしてはいかがでしょうか。

アイネスでは、シングルサインオン、多要素認証、IDライフサイクル管理、ユニバーサルディレクトリ機能をクラウドで提供するサービス「Okta」を提供しています。
詳しくは、下記ページをご覧ください。

クラウド型ID管理・統合認証サービス/IDaaS Okta

セキュリティーでお悩みのご担当者様へ

弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談下さい。

アイネス