ブログ

     

「シングルサインオン(SSO)とは何か?」今さら訊けないSSOの解説

「シングルサインオン(SSO)とは何か?」今さら訊けないSSOの解説

シングルサインオンって何のこと?という方は意外と多いのではないでしょうか。実はセキュリティの観点において今やなくてはならないといっても過言ではありません。今後社内システムの運用をしていくのであれば、セキュリティや業務効率向上のためシングルサインオンは導入したい事項のひとつといえるでしょう。今回は、そんな重要度が高いシングルサインオンの基礎について解説していきます。

かもめのSSO製品について詳しくはこちら「KAMOME SSO

IDaaS製品についてはこちら「トラスト・ログイン

目次

  1. シングルサインオンとは
  2. シングルサインオンのメリット
  3. シングルサインオンの導入でよくある疑問
  4. シングルサインオンの認証方式
  5. シングルサインオンを導入する際に見ておきたいポイント
  6. シングルサインオンの導入は慎重に行うのが吉

1.    シングルサインオンとは?

シングルサインオンとは、一言でいえば「1つのパスワードで複数のサービスやツールを使用できる仕組み」のことです。日常生活でも、複数のECサイトの利用やフリーメールサービスの利用などで多くのパスワードを設定しなければなりません。しかも、セキュリティの観点からそれぞれが違うパスワードであることが望ましいといえます。シングルサインオンは1つのパスワードで複数のサービスやツールを利用できるので利便性が高いことが特徴です。

1つのパスワードだとセキュリティは高くないと思う方もいるかもしれません。しかし、複数のパスワードの管理は同じパスワードの使い回しをされるリスクがあります。1つの使い回しのパスワードが流出すると、他のサービスも乗っ取られる可能性が出てきます。つまり、パスワードは強固な1つにしておく方がセキュリティ強度は高いのです。

従来、企業のシステムにおけるシングルサインオンの主な役割は、企業内で利用する複数のシステムへのログイン簡便化とセキュリティ強化でした。しかし、最近ではBtoB(取引先向けのシステムなど)やBtoC(ECサイト、会員サイトなど)のシステムにおいてもシングルサインオンの導入が推進されています。BtoBやBtoCのシステムでシングルサインオンを実現することで、取引先や顧客の利便性を高めるとともに、システムの利用頻度向上による事業収益拡大も期待できます。 

2.    シングルサインオンのメリット

シングルサインオンのメリットをそれぞれ解説します。

パスワード管理が容易になる

これまではサービスごとに必要だったパスワードが1つだけ設定できればいいので、管理が容易になります。従業員が忘れる可能性も低くなるので、業務が滞る心配もなくなるでしょう。また、パスワード自体も複雑に設定することができます。パスワードは原則として長く、複雑であるほど破られる可能性は低くなります。パスワード管理が容易になりながら、セキュリティ効果が高まるのです。

業務効率につながる

複数のパスワードで作業をする場合、どのパスワードでログインするのか迷うこともあるでしょう。シングルサインオンでは、パスワードを調べるために調査をする、あるいは忘れてしまったから管理者に問い合わせをするなどの無駄な作業が発生しにくくなります。他に、システム管理が容易になる点も見逃せません。それぞれのアカウントに権限をつけられるようになり、異動や退職が起こっても一括で移動や削除が可能です。

セキュリティリスクが減る

複数のパスワードをITリテラシーのない従業員が管理すると、以下のようなことがよく起こります。

  • PCのモニターの横にパスワードが書かれた付箋が貼られている
  • パスワード自体が英文字だけ、あるいは数字だけで短い
  • パスワードがプライベートで使っているのと同じ

上記のような場面はよく見られます。注意をしても、なぜ危険なのかを理解してくれないこともあるでしょう。自社の情報漏えいリスクに直結するため、システム管理者としてはこうした事態はぜひとも避けたいところです。そこで、パスワードを管理者側で指定することで問題を解決できます。ある程度複雑であっても、パスワードが1つだけならば暗記してくれる社員も増えることでしょう。

システム管理者の負担が減る

パスワードの再設定や調査などをシステム管理者に頼むことはできます。しかし、こうした問い合わせは担当者の業務負荷になっているといえるでしょう。システム管理者への問い合わせを減らすためにも、シングルサインオンの仕組みは必須といえるのです。

3.    シングルサインオンの導入でよくある疑問

メリットばかりのように思えるシングルサインオンですが、導入にあたっては気になる点も出てきます。よくある疑問について、考えてみましょう。

いったんセキュリティが破られるとすべてのシステムを乗っ取られる?

パスワードを1つにまとめているため、仮にパスワードが破られた場合にすべてのシステムが乗っ取られる可能性が出てきます。システムが乗っ取られた場合、自社の情報だけでなく顧客の情報も流出することもありえます。被害の大きさによっては賠償金を支払わなければならず、セキュリティ対策は慎重にしたいところです。なお、こうしたリスクは、2段階認証や端末制限によって格段に減らすことができます。

シングルサインオンのシステムがダウンするとすべてのシステムが使えなくなる?

シングルサインオンを採用すると、すべてのシステムをまとめる形になります。つまり、何らかの原因でシステムダウンすると、全システムにログインできなくなります。ただし、基幹部分にあたるシステムや重要なシステムは別パスワードにすることで対策は可能です。

4.    シングルサインオンの認証方式

シングルサインオンを実現するには主に4つの認証方式があります。ここではそれぞれの認証方式の概要とメリット、課題について説明します。

代理認証方式

代理認証とは、クライアントにエージェントを導入し、システムがログイン要求した際にエージェントが認証情報を代理で自動入力してくれる認証方式です。 

メリット

・レガシーシステムにも対応できる

・システム側での改修が不要

課題

・エージェントの導入が手間になってしまう

代理認証方式について詳しくはこちら

【シングルサインオン解説】シングルサインオン実装「代理認証編」

エージェント方式

エージェント方式は代理認証方式とは逆に、WEBサーバやアプリケーションサーバなどのシステム側にエージェントモジュールを組み込んで認証サーバと連携させ、認証サーバで認証管理を行います。

メリット

・拡張性が高い

デメリット

・SSOの対象としたいシステムすべてにエージェントモジュールをインストールする必要がある

・エージェントモジュールが対象システムに対応していない場合、システムの改修が必要になる。

エージェント方式について詳しくはこちら

【シングルサインオン解説】シングルサインオン実装「エージェント方式」編

リバースプロキシ方式

リバースプロキシ方式とは認証をする際にリバースプロキシを中継してからシステムにアクセスさせることでSSOを実現させる方式です。リバースプロキシがシステムへの中継をする際に認証サーバに認証情報やアクセス権限などを確認したのちにシステムにアクセスすることになります。

メリット

・エージェントの導入が不要

・プラットフォームに依存しない

デメリット

・負荷が集中する

リバースプロキシ方式について詳しくはこちら

【シングルサインオン解説】シングルサインオン実装「リバースプロキシ編」

フェデレーション方式

フェデレーション方式はクラウドサービスの普及などにより、異なったドメイン間でのSSOニーズが発生したことで開発された認証方式です。認証情報や権限情報を持っているIdentity Provider(IdP)とサービスを提供する側のシステムであるService Provider(SP)であらかじめ信頼関係を結んでおくことで、Idpにログインしたあとは連携されているすべてのSPでIDやパスワードを要求されずにログインできるようにな設定がされています。

メリット

・セキュリティの向上

・簡単にSSOが実現できる

デメリット

・プロトコル(SAML,OpenID connectなど)に対応していない場合システムの改修が必要

認証プロトコルSAMLについて詳しくは以下記事をご参照ください。

SSOの実現に必要な「SAML」とは?

フェデレーション対応ツールKeygatewayについて詳しくはこちら「Keygateway

5.    シングルサインオンを導入する際に見ておきたいポイント

自社にシングルサインオンを導入するにあたって、どのような製品でも問題ないというわけではありません。シングルサインオンを選定するためのポイントが4つあるのでご紹介します。

設定が容易であるかどうか

シングルサインオンを自社に導入する際に容易に行えることは重要です。もし、シングルサインオンを導入するために1ヶ月以上もかかるとしたらどうでしょうか。システム管理者の業務負荷が重くなり、他の必要業務も手付かずになってしまうかもしれません。導入自体が簡単なものか、もしくは導入を代行してくれるサービスを利用するのがよいでしょう。

拡張性があるかどうか

シングルサインオンを導入するといっても、今まで自社が使っているツールやサービスは使いたいものです。「シングルサインオンに変更したら使えなくなった」では意味がありません。そこで拡張性があるかどうかが重要になります。拡張性があればシングルサインオンのシステムを導入して、今まで使っていたツールやサービスを付け加えることができます。今までの業務を行いつつ、セキュリティ性の高いシステムへと変わるでしょう。

障害調査や問い合わせ対応などの支援があるかどうか

シングルサインオンを導入したとしても、運用している時に問題が起こる可能性もあります。代表的なのが障害です。一時的にシステムが使えなくなってしまった、バグが発生したなどの事象が起きた際に障害調査してくれるかどうかは重要です。その他にも、疑問に思ったことをすぐに問い合わせることができる支援もあると、安心して利用することができます。

現業務を停止させずに導入が可能であるかどうか

シングルサインオンの製品によっては、現在の業務を停止させずに導入が可能なものもあります。現在使っているシステムとシングルサインオン導入を並行してできれば、安心して導入判断ができるでしょう。

また、導入してからの運用の面でもこのポイントは重要です。例えば、すでにシングルサインオンを導入しているが新しいデータベースや機能を追加するたびに全体システムが停止しては非効率といえます。システムを停止させることなく追加や修正ができることは、業務を滞らせないために必要です。

6.    シングルサインオンの導入は慎重に行うのが吉

セキュリティ対策や業務効率などを考えると、シングルサインオンは導入すべき仕組みといえます。しかし、社内システムの根幹に関わるものでもあるため、慎重な対応が必要です。事前に、自社の業務と照らし合わせながら、実際にシングルサインオンを導入した際のメリットや注意点を把握することが大切です。シングルサインオンの製品を提供している会社は多くありますが、自社にとってメリットの大きいものを選びましょう。

かもめエンジニアリングは、オープンソースをベースにしたシングルサインオン&ID管理ソリューションを提供しております。ログインIDやパスワードをよりセキュアに管理したいという方は以下からお問い合わせください。

参考:

 

事業・商品・サービスに関するお問い合わせ

製品に関するお問い合わせはこちら
※フリーメールでのお問い合わせは受け付けておりません。
必須
必須
必須
必須
必須
必須
必須

関連記事

ご相談・お問い合わせはこちらから

ご相談、資料のご請求など、お気軽にお問い合わせください。