シングルサインオン(SSO)とは何か?
導入メリットから実現方法まで
シングルサインオン(SSO)は、近年のクラウドサービスの普及に伴い、必要不可欠なシステムとなりつつあります。シングルサインオン(SSO)の導入は、利便性の向上だけでなく、セキュリティ対策としても効果的です。
ただし、シングルサインオン(SSO)を検討する際は、きちんとメリット・デメリットを把握し、企業に合った実現方法を選ぶことが重要です。今回はシングルサインオン(SSO)の概要からメリット・デメリット、そして具体的な実現方法まで詳しく解説します。
目次
シングルサインオン(SSO)の概要
シングルサインオン(SSO)の導入を検討するにあたっては、特徴を知ることはもちろん、メリットとデメリットの両方を把握しておくことが大切です。そこで、まずは概要やシングルサインオン(SSO)の必要性、導入メリットなどについて詳しく解説します。
シングルサインオン(SSO)とは
シングルサインオン(SSO)とは、複数のWebサービスやクラウドサービスを利用する際に、ひとつのIDとパスワードでログインできる仕組みのことを指します。通常ではメールサービスやグループウェアなど、使用するWebサービスやクラウドサービスごとにIDとパスワードが発行されるため、それぞれでパスワードを使い分ける必要があります。
しかし、シングルサインオン(SSO)を導入することで、ひとつのパスワードで複数のクラウドサービスを利用できるようになるため、複数のパスワードを使い分ける必要がありません。
増大するシングルサインオン(SSO)の必要性
シングルサインオン(SSO)の必要性が高まった背景には、クラウドサービスの急速な普及が関係しています。IT技術の発達に伴い、従来クライアント/サーバー型で利用されていた社内システムがWebサービス化されたり、最近ではメールやグループウェアを外部のクラウドサービスで利用する人口が増えており今や企業でもWebサービスやクラウドサービスを使うのが当たり前とされています。
ただ、クラウドサービス、特にSaaSなどの普及に伴い、新たな問題も発生しています。サービスごとにアカウントが発行されるため、個人が管理しなければならないパスワード情報が膨大化し、作業効率とセキュリティ面の双方に問題が生じるようになりました。
こういった問題を緩和するソリューションとして、シングルサインオン(SSO)が求められるようになってきたのが現状です。
シングルサインオン(SSO)のメリット
導入するにあたり最大のメリットといえば、利用者の利便性や作業効率の向上です。これまではクラウドサービスごとに、その都度別のアカウント情報でログインする必要がありましたが、シングルサインオン(SSO)の導入により、ひとつのアカウントのみで複数のクラウドサービスにスムーズにログインできるようになります。
また、パスワードの管理も課題です。増え続けるパスワードを忘れないようにユーザーがパスワードをメモや付箋に記入して置いたり、同じパスワードを使いまわすといった対策を取るケースも散見されますが、パスワードを記入したメモを落とす、覚えやすい簡単なパスワードを設定する、同じパスワードを使い回すなどの管理不足により、情報漏えいがおきてしまうようなケースもあります。しかし、シングルサインオン(SSO)によりひとつのパスワードを複数のクラウドサービスで利用できることで、パスワード管理がしやすくなり、セキュリティリスクを軽減することができます。
また利便性や作業効率の向上は、クラウドサービスの利用者に限りません。企業内でアカウントやパスワードを管理することで、組織が構成員のアカウント情報を一括で管理しやすくなるため、システム管理者の手間が省けます。
シングルサインオン(SSO)のデメリット
「ひとつのアカウントで複数のサービスにログインできる」というメリットは大きいですが、そのメリットがデメリット発生時にも大きな影響を及ぼしてしまいます。万が一パスワードが漏えいした場合、複数のクラウドサービスにログインできてしまうため、従来のログイン方法に比べ、甚大な被害を受けてしまいます。多くの機密情報を守るパスワードが漏えいしないよう、端末制限や2段階認証の導入を検討した方が良いでしょう。
また、シングルサインオン(SSO)のシステムがダウンすると、すべてのサービスにログインができなくなります。そのため、基幹システムのパスワードは別方法で管理するなど、対策を取っておくことが大切です。
また、クラウドサービスの中にはシングルサインオン(SSO)に対応していないものもあるため、自社で利用しているサービスが対応しているのかどうかを、事前に確認しておきましょう。
「ゼロトラストアーキテクチャ適用方針」から見る新たなセキュリティ対策
シングルサインオン(SSO)の仕組みと実現方法
シングルサインオン(SSO)は実際にどのような仕組みで実現されているのでしょうか?ここでは仕組みや実現方法についてそれぞれ詳しく解説します。
イントラネット
シングルサインオン(SSO)をひとつのイントラネット内で実現するための手段として、3つの方法が挙げられます。
まず挙げられるのは「ケルベロス認証」という方式です。ケルベロス認証では、認証後に有効期限つきのキーが発行され、それを所有している間はサーバーに入ることができるというものです。主にファイルサーバーで使用されており、代表的なものではActive Directoryのユーザー認証で使用されています。
2つ目は「リバースプロキシ」と呼ばれる手法です。Webアプリケーションへのアクセス元となるクライアント端末(Webブラウザ)と、Webアプリケーションのサーバーの間に設置することで、仲介させてシングルサインオン(SSO)を実現するというものです。
3つ目が「エージェント」です。対象となるWebアプリケーションのサーバー内に「エージェント」と呼ばれるソフトを導入し、ユーザーのログイン情報を認証することで実現できるようになります。リバースプロキシやエージェントは、主にWebサーバーで使用されます。
クラウドサービス
クラウドサービスへのシングルサインオン(SSO)ではフェデレーションとよばれる仕組みが利用されます。
フェデレーションは単一の組織にとどまらず、協力関係にあるWebサーバーとの間でシングルサインオン(SSO)を実現するための手段で、パスワードの代わりにチケットと呼ばれる情報をやり取りすることによって、シングルサインオン(SSO)を可能にします。上記のリバースプロキシやエージェント方式では、単独組織でしか使うことができませんでしたが、SAMLが登場したことにより、複数企業での共有が可能になりました。
フェデレーション方式で使えるプロトコルには、SAMLのほかOpenID Connectが挙げられますが、国産のクラウドサービスではこのプロトコルに対応していない場合が多いです。SAMLは、ログイン時のユーザー情報をチェックし、OpenID Connectはユーザー情報を登録します。クラウドサービスなどではSAMLが、SNSなどではOpenID Connectが主に用いられます。
フェデレーションは主にOffice365やG Suite、Salesforce.comなどのクラウドサービスで利用されており、企業に多くの社員が在籍する場合や、一度に多くの社員がログインする場合は、フェデレーションを採用するのが良いとされています。
IDaaS(Identity as a Service)
近年のクラウドサービス(SaaS)の発展に伴い、社内のネットワークにもなく、信頼関係も結んでいないという協力関係にないサービス間であっても、シングルサインオン(SSO)を行うことも可能になりました。インターネット上にあるサーバーからサービスを利用するため、社内で独自システムを開発する手間なく、素早く安価で実現できることから、最近では需要が高まりつつあります。
これはクラウドサービスに対してシングルサインオン(SSO)を行うIDaaSにより、実現が可能です。IDaaSには複数のクラウド(SaaS)のログイン情報を管理し、それぞれのフェデレーションへのログインを仲介する役割があります。
IDaaSの多くはWindowsサーバーの機能のひとつであるAD(Active Directory)と連携が可能で、併用することでクラウド上と社内の双方で実現することもできます。
シングルサインオン(SSO)のよくある質問
クラウドサービスが増え、認証管理が複雑化しています。どのような対策が必要ですか?
クラウドサービス利用が増えると、サービスごとにID・パスワード管理が分散し、ID・認証管理の複雑化や、不正ログインリスク、運用負荷増加につながる場合があります。
そのため近年では、SSO(シングルサインオン)による認証統合に加え、多要素認証(MFA)やアクセス制御を組み合わせた認証基盤を導入する企業が増えています。
特にゼロトラスト環境では、「誰が・どこから・何にアクセスするか」を継続的に検証することが重要とされており、認証管理の一元化が求められています。
HENNGE Oneでは、SSO・MFAやアクセス制御(IP制限・デバイス制御など)を統合的に提供し、安全なクラウド利用環境の構築を支援しています。
シングルサインオン(SSO)や多要素認証(MFA)を導入すると、どのような効果がありますか?
SSOや多要素認証を導入することで、複数クラウドサービスの認証管理を効率化しながら、不正ログインリスク低減やパスワード運用負荷軽減につながる場合があります。
また、情報システム部門によるID管理の一元化や、利用状況の可視化を進めやすくなる点もメリットの一つです。
HENNGE Oneでは、SSO・MFAによる認証強化と、複数クラウドサービスのID・認証管理の一元化を支援しています。
Microsoft 365のシングルサインオン(SSO)や多要素認証(MFA)は、標準機能だけで十分ですか?
Microsoft 365(Microsoft Entra ID)の標準機能でも基本的なシングルサインオン(SSO)や多要素認証(MFA)は利用可能です。
しかし、他社SaaS(Salesforce、Box、kintoneなど)も含めた高度なアクセス制御(特定のIPアドレスのみ許可、会社が認めたデバイス証明書端末のみ許可など)をMicrosoft 365の機能だけで実現しようとすると、高額な上位ライセンスへのアップグレードが必要になり、設定・運用コストも肥大化するという課題があります。
HENNGE Oneを組み合わせることで、追加のライセンスコストを抑えながら、日本の組織特有の「きめ細やかなアクセス制御」を直感的な管理画面で一元管理できるようになります。
シングルサインオン(SSO)だけでクラウドセキュリティ対策として十分ですか?
SSO単体ではクラウドセキュリティとして不十分です。SSOは複数サービスの認証を1つに集約する仕組みのため、万一その認証情報が窃取された場合、連携する全サービスへの不正アクセスにつながるリスクがあります(単一障害点の問題)。
そのため現在では、SSOに加えて多要素認証(MFA)を組み合わせ、さらにアクセス制御(IP制限・デバイス認証など)で「正規の認証情報を持つ攻撃者」からのアクセスも防ぐ構成が一般的になっています。
HENNGE Oneでは、SSO・MFA・アクセス制御を統合的に提供し、SSO単体では防げないリスクをカバーします。
クラウド利用が増えると、なぜ認証強化が必要になるのですか?
クラウドサービス利用が増えると、ID・パスワードの管理対象が増加し、不正ログインやアカウント管理漏れなどのリスクが高まる場合があります。
また、リモートワークやモバイル利用が一般化したことで、社外からクラウドへアクセスするケースも増えています。
そのため、シングルサインオン(SSO)による認証統合や、多要素認証(MFA)による本人確認強化、アクセス制御による利用制限などを組み合わせたセキュリティ対策が重要視されています。
HENNGE Oneでは、こうしたクラウド時代の認証課題に対応するための機能を提供しています。
シングルサインオン(SSO)や多要素認証(MFA)で重要視される「ゼロトラスト」とは何ですか?
ゼロトラストとは、「社内ネットワークだから安全」とは考えず、すべてのアクセスを「常に検証」するというセキュリティの考え方です。
クラウドサービス利用やリモートワークの普及により、従来の「社内=安全」という前提でのセキュリティ対策が難しくなったことから、近年ではゼロトラストの考え方が重要視されています。
そのため、シングルサインオン(SSO)による認証統合や、多要素認証(MFA)による本人確認強化、アクセス制御などを組み合わせた認証・ID管理基盤の整備が求められています。
HENNGE Oneでは、SSO・MFA・デバイス証明書によるアクセス制御を組み合わせた認証・ID管理基盤として、ゼロトラスト実現の第一歩を担います。加えて、エンドポイントセキュリティやVPNに依存しないネットワークアクセス制御、メールセキュリティなど、ゼロトラストの各レイヤーをカバーする製品群とあわせて活用することで、クラウド時代に求められるトータルなゼロトラスト環境の構築を支援します。
まとめ
シングルサインオン(SSO)は、クラウドサービスが急速に普及するビジネスワークをサポートする重要なシステムです。さまざまな実現方法があり、企業ごとの特質に合わせて導入するのが理想ですが、セキュリティ面とコスト面のバランスが取れた実現方法としてはIDaaSが優れているといえるでしょう。
HENNGEでは、クラウドサービスに対してセキュアなシングルサインオン(SSO)を実現する「HENNGE One」を提供しています。IP制限をはじめとした豊富な認証機能を兼ね備え、利便性と安全性のバランスが取れたIDaaSとして、多くの企業に選ばれ続けているサービスです。バランスの取れたIDaaSを求める方は、ぜひ一度HENNGE Oneを検討いただけないでしょうか?
HENNGE Oneにはシングルサインオンだけでなく、メール誤送信、クラウドファイルの情報漏えい、不正アクセス、ランサムウェア、PPAP対策などでお困りでしたらご相談ください。利便性を損なわずセキュリティを向上させるサービスをご提供できると思います。