シングルサインオン(SSO)とは?概要と導入前の確認事項を分かりやすく解説
オンラインサービスの急速な普及に伴い、一人のユーザーが複数のアカウントを持つことが一般的となり、認証プロセスが煩雑になっています。
これらの課題に対処するために検討されるのが、シングルサインオン(SSO)の導入です。
本記事では、シングルサインオン(SSO)の概要から、SSOを用いて利便性とセキュリティをどのように向上させるかを解説します。
本記事を読むと、SSOの概念や利点・欠点を理解し、導入前に考慮すべき事項を把握できます。SSOの導入を検討している情シス担当者の方は、是非参考にしてみてください。
シングルサインオン(SSO)の概要
シングルサインオン(SSO)とは、ユーザーが一度の認証(※1)で、複数のシステムやサービスにアクセスできる仕組みのことです。
つまり、ユーザーはシステムやサービスごとにログインIDとパスワードを管理する必要がなく、ひとつのID/パスワードだけで、まとめてログインすることが可能になります。
管理者側としても、アカウント管理の工数を削減できるため、リモートワークの浸透とともにオンラインサービスを利用する企業が増えてきたことで、注目が高まってきています。
具体的な仕組みとしては、ユーザーがID/パスワードを入力して認証すると、認証サーバー上でトークン(※2)が発行され、このトークンを用いて、各種システムやサービスにアクセスします。
※1 ID/パスワードを入力し、アクセスが許可された状態
※2 アクセスが許可されたことを証明するチケット
シングルサインオン(SSO)導入のメリット、デメリット
メリット
シングルサインオン(SSO)を導入するメリットとして、以下があります。
利便性の向上
ユーザーは何度もID/パスワードを入力する手間が省けるため、利便性が向上します。
また、利用するサービスごとに別々のパスワードを覚えておく必要がないため、管理者への問い合わせも減ります。
管理コストの低減
ユーザー情報は認証サーバーで一元管理となるため、複数のシステムやサービスのユーザーアカウントを修正する必要がなくなり、管理コストが低減します。
セキュリティの向上
ユーザーはサービスごとに別々のパスワードを覚える必要がなく、パスワードの入力回数も絞れるため、セキュリティの向上につながります。
デメリット
シングルサインオン(SSO)を導入する際、デメリットもあります。
以下が、そのデメリットです。
不正アクセスの被害
認証が一度で済むということは、悪意のある第三者が認証できてしまうと、シングルサインオン(SSO)しているすべてのシステムやサービスにアクセスできてしまいます。
認証サーバーのダウン
認証サーバーが不具合やバグによって止まってしまうと、一度の認証ができなくなり、シングルサインオン(SSO)しているすべてのシステムやサービスにアクセスできなくなります。
ユーザーのパスワード忘れ
複数のシステムやサービスごとにパスワードを覚える必要がなくなった代わりに、シングルサインオン(SSO)のパスワードを忘れてしまった場合は、関連するすべてのシステムやサービスにアクセスできなくなります。
また、シングルサインオン(SSO)は一度の認証で済むため、結果としてパスワードを入力する機会が減り、ユーザーがパスワードを忘れやすくなる可能性があります。
そして、シングルサインオンといえども、ユーザーが大元のパスワードを忘れてしまった場合は、管理者でパスワードリセットを行うなどの工数が発生します。
シングルサインオン(SSO)導入前の確認事項
シングルサインオン(SSO)のメリット・デメリットをご理解いただいたうえで、いざシングルサインオン(SSO)を導入する際には、いくつか確認すべき点があります。
シングルサインオン(SSO)を導入する前に確認することとしては、以下の通りです。
シングルサインオン(SSO)対象サービスの棚卸し
シングルサインオン(SSO)予定のサービスを棚卸して、以下チェックポイントを確認していきます。
対応している認証方式
シングルサインオン(SSO)には、以下5つの認証方式があります。
- エージェント方式
- リバースプロキシ方式
- 代理認証方式
- フェデレーション方式
- 透過型方式
シングルサインオン(SSO)を行おうとしているシステムやサービスが、どの認証方式に対応しているか、あらかじめ確認しておきましょう。
一般的には、フェデレーション方式(SAML2.0)に対応していることが多いです。
なお、システムやサービスがシングルサインオン(SSO)に対応していない場合は、設定することができません。
設定時の手順
シングルサインオン(SSO)を導入する際、シングルサインオンの大元となるサービスと、シングルサインオン(SSO)でログインしたい対象サービスの両方で設定する必要があります。
シングルサインオン(SSO)側のサービスの設定は導入時にベンダーがいる際は、対応してくれることも多いですが、対象サービス側の設定は自身で対応する必要があることもあるため、事前に手順を確認しておきましょう。
SSO専用サービスを導入しなければならない?
シングルサインオン(SSO)を実現するために、あらためて専用のサービスを契約しなければならないのではないか、と思われるかもしれません。
しかし、すでに利用しているサービスのなかで、シングルサインオン(SSO)の設定が実現できる場合があります。
たとえば、Microsoft 365を利用中の場合、Azure ADというサービスも併せて利用している場合が多いと思います。
このAzure ADを活用することで、利用環境によってはシングルサインオン(SSO)を導入できる可能性があるため、その場合は、別途専用のサービスを契約しなくても済みます。
一度、既存のサービスでシングルサインオン(SSO)が実現できないか確認してみましょう。
必要なセキュリティ要件の明確化
シングルサインオン(SSO)導入のデメリットでも挙げましたが、不正アクセス時の被害は大きくなるため、防止する必要があります。
ユーザーの認証時にID/パスワードだけでなく、別の条件を付け加えるのが良いでしょう。
一般的に、以下のような条件を設定することが多いです。
- 許可されたIPアドレス範囲からのアクセスを許可する
- 証明書がインストールされている端末からのアクセスを許可する
- SMSにて6桁のコードが送信され、入力することでアクセスを許可する
詳細はシングルサインオン(SSO)サービスの導入時に決めることではありますが、ID/パスワードの認証のみでは不十分であることを頭の片隅にいれておいてください。
まとめ
シングルサインオン(SSO)は、オンライン認証の煩雑さに対抗する強力な手段です。ユーザーの利便性向上や管理コスト削減などのメリットがある反面、不正アクセス時の被害が拡大する等のリスクもあります。
シングルサインオン(SSO)の導入を検討している方は、導入前にセキュリティ要件を明確にし、各サービスの認証方式や設定手順、既存サービスの活用なども検討しつつ、より安全で効果的なデジタルアクセス管理を実現するための取り組みを推進しましょう。
安全で効果的なSSOの実現のためには、専門家やベンダーに相談することもおすすめです。
\Microsoft 365の導入・運用にお悩みの企業様へ/
お客さまへ効果的かつ安全な「働き方改革」をサポートするために、Microsoft 365とセキュリティ製品の組み合わせを提供しています。
Enterprise Mobility + Security(EMS)をはじめ、HENNGE One、Gluegent Gate/Flow、Trend Micro Cloud App Securityなど、セキュリティに関するMicrosoft 365関連ソリューションの導入実績も豊富です。
マルチベンダー対応でお客さまのニーズにあったセキュリティ対策を提案し、より安全なクラウド環境の構築が可能です。詳しくはこちら
