シングルサインオンとは
シングルサインオン(SSO)とは、1組のID・パスワードによる認証を1度行うだけで、複数のサービスやシステムにログインできるようにする仕組みのことです。
シングルサインオンではない通常のIDとパスワードによる認証では、システムやサービスごとにIDとパスワードを設定して、必要に応じて個別に認証することが必要です。
しかしシングルサインオンであれば、1組のIDとパスワードの組み合わせで済み、ユーザーが記憶すべきIDとパスワードの数を削減でき、しかも一度で複数のサービスやシステムに認証できるため、負担を大きく減らすことができます。
従業員教育からISMS運用まで、セキュリオで企業のセキュリティ業務を一元管理しませんか?
シングルサインオンが必要とされる背景
企業の従業員が保有しているIDやパスワードの平均個数は27個以上と言われています。
従業員の記憶力にもよりますが、27以上のIDとパスワードを記憶して使い分けるのは困難でしょう。
覚えるべきパスワードの数が膨大で覚えきれず、メモしたり簡単なフレーズ設定にしたりする、または同じパスワードを使いまわしていることも十分にありえます。
このようなIDとパスワードの管理方法では、かえって不正アクセスのリスクを助長させかねません。
また通常のIDとパスワードによる認証では、サービスやアプリのログインの手間が都度発生して、業務効率が低下します。
さらに、業務用アプリやシステムを管理する社内のIT部門や情報システム部門の負担も増加して、従業員のパスワード忘れやアカウントロックへの対応にも追われると、スタッフの増員などの対応によりコストも増加してしまうでしょう。
このような背景があったことで、シングルサインオンは徐々に導入が進められていきました。
シングルサインオンのメリット
ここでシングルサインオンのメリットについて見ていきましょう。
具体的には以下の3つがメリットとしてあげられます。
利便性の向上
シングルサインオンを導入することで、利便性が向上します。
これは複数のサービスやシステムを認証するときでも、一つの組み合わせのIDとパスワードで事足りるからです。
ユーザーもサービスやシステムの管理者も、管理すべきIDとパスワードの組み合わせを減らせるため、負担も大きく減少させられます。また複数のサービスやシステムをまたがって利用するケースでも、一度の認証で済ませられます。
セキュリティリスク削減
シングルサインオンの導入により、セキュリティリスク削減のメリットもあります。
シングルサインオンでは一つのIDとパスワードについて把握しておけばよいため、ユーザーが適切な管理をしやすいという点です。
サービス・システムごとに複数のIDやパスワードを使い分けている場合、管理は煩雑ですよね。同じIDとパスワードを使いまわしたり、忘れないようにと付箋に書き込んで周囲に貼り付けたりする方もいらっしゃるでしょう。
こうした杜撰なID・パスワード管理は、漏えいや不正アクセスなどのセキュリティリスクへとつながります。そこで、シングルサインオンを利用することで、杜撰な手段をとらずとも簡単な管理が可能になります。
管理リソースやコストの削減
業務で管理しているシステムやサービスの多くは、複数の従業員が利用するものです。
シングルサインオンを導入すると、管理リソースやコストの削減になります。
これは管理者が管理すべきIDとパスワードの数を大幅に削減できることと、社員自身がしっかりと自分のIDとパスワードを管理できるようになるためです。
シングルサインオンのデメリット
シングルサインオンのメリットを紹介しましたが、実際にはこれから紹介するようなデメリットも無視できません。
一元管理によるリスクの増大
複数のサービスやシステムを一組のIDとパスワードで認証できることはもちろん大きなメリットですが、万が一、このシングルサインオン用のIDとパスワードが漏えいしてしまった場合、全てのサービスやシステムへの外部からの不正アクセスを許すことにもなりかねません。
システムの停止
シングルサインオンは認証のための特殊なシステムです。
このシステムが停止してしまった場合、シングルサインオンでの認証を利用していたサービスやシステムにログインできなくなってしまう、サービス提供者への問い合わせなど余計な業務が発生してしまう、といったことが考えられます。
認証ができず、サービスやシステムの利用ができなくなってしまうと、業務進捗への影響も当然懸念されます。
導入のためのコスト
当然ですが、シングルサインオンには導入にコストが必要です。
シングルサインオンの導入には、自社サーバーにソフトウェアをインストールするオンプレミス型と、クラウドで利用できるクラウドサービス型がありますが、いずれにしても一定のコストは必要です。
シングルサインオンのデメリットに対応するには
シングルサインオンのデメリットに対処する方法としては以下のような方法があります。シングルサインオンに他のアクセス制限方法・認証を組み合わせて緩和する方法です。
- IPアドレス制限によるアクセス制限をかける
IPアドレスのレベルでアクセス制限をかけると、シングルサインオンに用いられるパスワードが漏えいした場合でも、不正なアクセスをブロックできます。
会社が認めるIPアドレスからのアクセスしか認めないことになるので、外部からのアクセスはシャットアウトできるのです。
例えば、特に機密性が高い情報にはIPアドレス制限をかける、といったルールを決めておくと、不正アクセス発生時の被害を最小限にすることが可能です。
- 電子証明書がインストールされているデバイスからのみアクセスを許可する
デバイスに電子証明書をインストールし、インストール済みのものからのアクセスのみを認める方式をとることもできます。
静的IPアドレスは、偽装されてしまう可能性もありますが、暗号化技術を用いた電子証明書を利用すると、さらにシングルサインオンのデメリットに確実に対応することができます。
- ワンタイムパスワードによる認証を組み合わせる
シングルサインオンにワンタイムパスワードを設定すると、シングルサインオンに使われるパスワードが流出したとしても、不正アクセスを防ぐことが出来ます。
ワンタイムパスワードとは、メインのパスワードとは別に、一時的に発行されるパスワードのことです。数秒など極めて細かいスパンで変更されるものや、一時的に発行されるものなど、その場そのときユーザーのみが知りえるパスワードとなります。
この方法であれば、メインパスワードが流出しても、不正アクセスにつながる可能性がかなり抑えられます。なお、このように2つ以上の認証を組み合わせることを「多要素認証」と言います。
シングルサインオンの認証方式
シングルサインオンの認証方式は以下の3つの仕組みがあります。
SAML認証(フェデレーション方式)
SAML認証(フェデレーション方式)とは、IDの管理と認証を行うIDプロバイダで管理されているユーザーの認証情報を使用して、連携しているさまざまなサービスやシステムへのシングルサインオンが可能となる方式です。
IdP(Identity Provider)とSP(Service Provider)という、2つのシステム(Webサービス)を利用し、IdPから、SPへと、サインオン情報を送信します。
クラウドサービスなどのサービスを複数使っている場合に理論上はメリットがあります。異なるドメインのサービスやシステムでも認証情報を連携できるからです。しかし、実際に対応しているサービスはGoogle AppsやSalesforceなどに限られています。
フォームベース認証(代理認証方式)
フォームベース認証とは、ユーザーの代わりにシステムが代理で認証する方式です。アカウント情報データベ―スにユーザー情報を格納し、システムで認証します。
SAML認証に対応していないクラウドサービスや、Webブラウザ上でログインフォームを利用する社内システムなどで利用できます。
代行認証方式を実行するには、PCに専用エージェントを導入することと、アカウント情報データベースに接続できる環境構築が必要です。
Basic認証(代理認証方式)
Basic(代理認証方式)とは、IDとパスワードの情報をHTTPヘッダに追加してサーバーに送信することで認証する仕組みのことです。
専用エージェントが不要であることから、実装は容易ですが、それほどセキュリティが強固ではありません。そこで、社内LANで稼働しているサービスやシステムなど、ある程度アクセスが限定されている環境で使用されることが多いです。
LRMが提供するシングルサインオンサービス
LRMでは、クラウドやオンプレミスシステムなどで動作しているアプリケーションの利用で必要なID管理や認証機能を、アプリケーションとは分離して利用できるGluegentGateというIDaaSを提供しています。
これはシングルサインオン・アクセス制御・多要素認証・統合アカウント管理をパッケージにしたもので、サービスやシステムにアクセスできる人や場所、端末の管理を可能とします。導入後は製品の最新情報を適宜公開しているので、常に最新の状態で利用できるためセキュリティ対策も万全です。
シンプルで分かりやすいUIで、パソコンだけでなくスマートフォンやタブレットの画面にも最適化しているので、どのような環境でも操作性も抜群。まずはお気軽にお問い合わせください。
まとめ
シングルサインオンは、多数のパスワードを管理することから生じるセキュリティリスクに対応できるものです。業務負担の軽減や、コストカットの効果もあります。
ただし、シングルサインオンは1つのパスワードで多くのシステムへのアクセスを認めるものです。
一元管理からくる、不正アクセスのリスクに対応できないといったデメリットはカバーする必要があります。
さらに認証方式を組み合わせて多要素認証とすること・IPアドレスや電子証明書などによるアクセス制限を利用するなどして、不正アクセスのリスクに備える必要があります。