シングルサインオン(SSO)は、近年のクラウドサービスの普及に伴い、必要不可欠なシステムとなりつつあります。シングルサインオン(SSO)の導入は、利便性の向上だけでなく、セキュリティ対策としても効果的です。
ただし、シングルサインオン(SSO)を検討する際は、きちんとメリット・デメリットを把握し、企業に合った実現方法を選ぶことが重要です。今回はシングルサインオン(SSO)の概要からメリット・デメリット、そして具体的な実現方法まで詳しく解説します。
シングルサインオン(SSO)の概要
シングルサインオン(SSO)の導入を検討するにあたっては、特徴を知ることはもちろん、メリットとデメリットの両方を把握しておくことが大切です。そこで、まずは概要やシングルサインオン(SSO)の必要性、導入メリットなどについて詳しく解説します。
シングルサインオン(SSO)とは
シングルサインオン(SSO)とは、複数のWebサービスやクラウドサービスを利用する際に、ひとつのIDとパスワードでログインできる仕組みのことを指します。通常ではメールサービスやグループウェアなど、使用するWebサービスやクラウドサービスごとにIDとパスワードが発行されるため、それぞれでパスワードを使い分ける必要があります。
しかし、シングルサインオン(SSO)を導入することで、ひとつのパスワードで複数のクラウドサービスを利用できるようになるため、複数のパスワードを使い分ける必要がありません。
増大するシングルサインオン(SSO)の必要性
シングルサインオン(SSO)の必要性が高まった背景には、クラウドサービスの急速な普及が関係しています。IT技術の発達に伴い、従来クライアント/サーバー型で利用されていた社内システムがWebサービス化されたり、最近ではメールやグループウェアを外部のクラウドサービスで利用する人口が増えており今や企業でもWebサービスやクラウドサービスを使うのが当たり前とされています。
ただ、クラウドサービス、特にSaaSなどの普及に伴い、新たな問題も発生しています。サービスごとにアカウントが発行されるため、個人が管理しなければならないパスワード情報が膨大化し、作業効率とセキュリティ面の双方に問題が生じるようになりました。
こういった問題を緩和するソリューションとして、シングルサインオン(SSO)が求められるようになってきたのが現状です。
シングルサインオン(SSO)のメリット
導入するにあたり最大のメリットといえば、利用者の利便性や作業効率の向上です。これまではクラウドサービスごとに、その都度別のアカウント情報でログインする必要がありましたが、シングルサインオン(SSO)の導入により、ひとつのアカウントのみで複数のクラウドサービスにスムーズにログインできるようになります。
また、パスワードの管理も課題です。増え続けるパスワードを忘れないようにユーザーがパスワードをメモや付箋に記入して置いたり、同じパスワードを使いまわすといった対策を取るケースも散見されますが、パスワードを記入したメモを落とす、覚えやすい簡単なパスワードを設定する、同じパスワードを使い回すなどの管理不足により、情報漏えいがおきてしまうようなケースもあります。しかし、シングルサインオン(SSO)によりひとつのパスワードを複数のクラウドサービスで利用できることで、パスワード管理がしやすくなり、セキュリティリスクを軽減することができます。
また利便性や作業効率の向上は、クラウドサービスの利用者に限りません。企業内でアカウントやパスワードを管理することで、組織が構成員のアカウント情報を一括で管理しやすくなるため、システム管理者の手間が省けます。
シングルサインオン(SSO)のデメリット
「ひとつのアカウントで複数のサービスにログインできる」というメリットは大きいですが、そのメリットがデメリット発生時にも大きな影響を及ぼしてしまいます。万が一パスワードが漏えいした場合、複数のクラウドサービスにログインできてしまうため、従来のログイン方法に比べ、甚大な被害を受けてしまいます。多くの機密情報を守るパスワードが漏えいしないよう、端末制限や2段階認証の導入を検討した方が良いでしょう。
また、シングルサインオン(SSO)のシステムがダウンすると、すべてのサービスにログインができなくなります。そのため、基幹システムのパスワードは別方法で管理するなど、対策を取っておくことが大切です。
また、クラウドサービスの中にはシングルサインオン(SSO)に対応していないものもあるため、自社で利用しているサービスが対応しているのかどうかを、事前に確認しておきましょう。
シングルサインオン(SSO)の仕組みと実現方法
シングルサインオン(SSO)は実際にどのような仕組みで実現されているのでしょうか?ここでは仕組みや実現方法についてそれぞれ詳しく解説します。
イントラネット
シングルサインオン(SSO)をひとつのイントラネット内で実現するための手段として、3つの方法が挙げられます。
まず挙げられるのは「ケルベロス認証」という方式です。ケルベロス認証では、認証後に有効期限つきのキーが発行され、それを所有している間はサーバーに入ることができるというものです。主にファイルサーバーで使用されており、代表的なものではActive Directoryのユーザー認証で使用されています。
2つ目は「リバースプロキシ」と呼ばれる手法です。Webアプリケーションへのアクセス元となるクライアント端末(Webブラウザ)と、Webアプリケーションのサーバーの間に設置することで、仲介させてシングルサインオン(SSO)を実現するというものです。
3つ目が「エージェント」です。対象となるWebアプリケーションのサーバー内に「エージェント」と呼ばれるソフトを導入し、ユーザーのログイン情報を認証することで実現できるようになります。リバースプロキシやエージェントは、主にWebサーバーで使用されます。
クラウドサービス
クラウドサービスへのシングルサインオン(SSO)ではフェデレーションとよばれる仕組みが利用されます。
フェデレーションは単一の組織にとどまらず、協力関係にあるWebサーバーとの間でシングルサインオン(SSO)を実現するための手段で、パスワードの代わりにチケットと呼ばれる情報をやり取りすることによって、シングルサインオン(SSO)を可能にします。上記のリバースプロキシやエージェント方式では、単独組織でしか使うことができませんでしたが、SAMLが登場したことにより、複数企業での共有が可能になりました。
フェデレーション方式で使えるプロトコルには、SAMLのほかOpenID Connectが挙げられますが、国産のクラウドサービスではこのプロトコルに対応していない場合が多いです。SAMLは、ログイン時のユーザー情報をチェックし、OpenID Connectはユーザー情報を登録します。クラウドサービスなどではSAMLが、SNSなどではOpenID Connectが主に用いられます。
フェデレーションは主にOffice365やG Suite、Salesforce.comなどのクラウドサービスで利用されており、企業に多くの社員が在籍する場合や、一度に多くの社員がログインする場合は、フェデレーションを採用するのが良いとされています。
IDaaS(Identity as a Service)
近年のクラウドサービス(SaaS)の発展に伴い、社内のネットワークにもなく、信頼関係も結んでいないという協力関係にないサービス間であっても、シングルサインオン(SSO)を行うことも可能になりました。インターネット上にあるサーバーからサービスを利用するため、社内で独自システムを開発する手間なく、素早く安価で実現できることから、最近では需要が高まりつつあります。
これはクラウドサービスに対してシングルサインオン(SSO)を行うIDaaSにより、実現が可能です。IDaaSには複数のクラウド(SaaS)のログイン情報を管理し、それぞれのフェデレーションへのログインを仲介する役割があります。
IDaaSの多くはWindowsサーバーの機能のひとつであるAD(Active Directory)と連携が可能で、併用することでクラウド上と社内の双方で実現することもできます。
まとめ
シングルサインオン(SSO)は、クラウドサービスが急速に普及するビジネスワークをサポートする重要なシステムです。さまざまな実現方法があり、企業ごとの特質に合わせて導入するのが理想ですが、セキュリティ面とコスト面のバランスが取れた実現方法としてはIDaaSが優れているといえるでしょう。
HENNGEでは、クラウドサービスに対してセキュアなシングルサインオン(SSO)を実現する「HENNGE One」を提供しています。IP制限をはじめとした豊富な認証機能を兼ね備え、利便性と安全性のバランスが取れたIDaaSとして、多くの企業に選ばれ続けているサービスです。バランスの取れたIDaaSを求める方は、ぜひ一度HENNGEのサービスを検討してみてはいかがでしょうか?
