複数のクラウドサービスを利用することが増えた昨今、認証情報の管理や認証操作の手間を減らす方法として「シングルサインオン(SSO)」が注目を集めています。本記事では、シングルサインオンの概要やメリット・デメリットのほか、その欠点を補う方法や、シングルサインオンを導入できるサービスについて紹介します。
シングルサインオン(SSO)認証とは
「シングルサインオン(SSO)認証」とは、複数のWebサービスへのログインを、ひとつのID/パスワードで行う仕組みです。
昨今、業務に用いるWebサービスは少なくありません。これらそれぞれに異なるパスワードを設定し、ログインするのは手間がかかり面倒です。シングルサインオンを導入すると、複雑なパスワード管理から解放されるため、業務効率化やセキュリティ向上につながります。
シングルサインオンが注目される背景
シングルサインオンはもともと、「社内ネットワークへのログイン」を目的としていました。これは、業務に用いるシステムが基本的に、社内ネットワークで完結していたという時代背景によるものです。
ところが、徐々に社内ネットワークを越えて、「信頼できる組織同士であれば新たに認証を要求しない」という形式に移り変わります。例えば、親会社と子会社の関係であれば、シングルサインオンでシステムにログインできるようになりました。これが、「ADFS (Active Directory Federation Service)」に代表される「フェデレーションサービス」です。
しかし近年、クラウドサービスの普及により、社内ネットワークや信頼できる組織同士でのみ機能するシングルサインオンでは、対応が困難になりつつあります。そこで、クラウドにも対応した「IDaaS(Identity as a Service)」が登場したのです。これにより、シングルサインオンは再度注目されるようになりました。
シングルサインオン4つの認証方式とその仕組み
シングルサインオンには、4つの代表的な認証方式があります。ここでは、それぞれの仕組みを紹介します。
SAML認証
「SAML認証」は、異なるドメイン間でのユーザー認証を行うために定められました。Google WorkspaceやMicrosoft 365など、多くのクラウドサービスがSAMLに対応していることから、特に利用されることが多い認証方式です。後で紹介する「HENNGE One」というSaaS認証サービスも、このSAML認証を採用しています。
SAMLの基本的な仕組みは、IDプロバイダ(IdP)とサービスプロバイダ(SP)の2者間で認証データをやりとりすることです。ユーザーがWebサイトにアクセスしようとすると、SPは認証リクエスト(SAML)をIdPに送信します。IdPはこのリクエストを受けてユーザーに認証操作を要求し、その結果をまたSPに返して、ログインを許可してよいかどうか伝えます。すでにユーザーが認証操作に成功していた場合、IdPはそのときの情報をそのままSPに送信するので、ユーザーは何度も認証操作を繰り返す必要がありません。
SAMLの詳細については、以下の記事も参考にしてください。
[SMART_CONTENT]エージェント方式
Webサーバーやアプリケーションサーバーにエージェント(代理人)となるソフトウェアを導入する方式です。エージェントは外部のSSOサーバーと連携し、Cookieを使ってログイン情報を管理します。
初回ログイン時、ユーザーはSSOサーバーの要求に対して認証操作をしなければなりません。SSOサーバーはその認証結果をエージェントに送り、エージェントがさらにその情報をSSO対象のWebサーバーに送信します。二度目のログイン以降は、Webサーバーに保存されたCookieを使ってログインの許可をします。
エージェント方式はネットワーク構成に手を入れる必要がない代わりに、WebサーバーがSSOに対応していないと使えないのがネックです。
代行認証方式
代行認証方式とは、クライアント端末に導入されたエージェントが、ユーザーの代わりにログイン画面へID/パスワードを入力する方式です。代理認証方式と呼ばれることもあります。エージェントはユーザーがログイン画面を開いたのを感知すると、あらかじめ設定されているID/パスワードを自動で打ち込みます。
エージェントが行っているのは、入力画面にID/パスワードを打ち込むことだけなので、代行認証方式の仕組みは単純で、Webサービスに対して大幅に手を加える必要がありません。そのため、改修が難しい古いアプリケーションなども含めて対応できるサービスが多く、比較的容易に導入できる点が魅力です。
リバースプロキシ方式
Webサービスと認証サーバーの間にリバースプロキシと呼ばれる中継サーバーを設置し、そこへ導入したエージェントに認証を行わせて各サービスにログインする方式です。個々のWebサーバーではなく、中継サーバーにエージェントを置くことで、エージェントの導入が難しいサービスにも対応できる強みがあります。
ただし、この方式ではシングルサインオンに対応したサービスへアクセスしようとする全てのトラフィックが、リバースプロキシサーバーを経由します。そのため、負荷がかかってボトルネックになりやすい点に注意が必要です。また、トラフィックがリバースプロキシを経由するようにネットワーク設計を調整する必要もあります。
シングルサインオンのメリット
シングルサインオンを導入することで、企業は具体的にどのようなメリットを得られるのでしょうか。以下では、主なメリットを3つ紹介します。
利便性の向上
社内システムやWebサービスを利用する際、それぞれに認証を求められるのは大変な手間です。また、複数のログイン用パスワードを使用していると、管理も煩雑になります。
その点、シングルサインオンを活用すれば、1回のログインですべてのWebサービスにアクセスできます。ログインのたびに作業の手を止める必要がなくなる点は、大きなメリットです。ただし、利用しているWebサービスが必ずしもシングルサインオンに対応しているとは限らないため、その点は留意しておいてください。
セキュリティリスクの軽減
パスワードを管理するのが面倒で、複数のWebサービスで同一のパスワードを使いまわしたり、手元のメモや付箋にパスワードを記録したりしている方も多いのではないでしょうか。そうでなくとも、覚えやすいように単純なパスワードを設定しているかもしれません。
当然、これらの管理体制は、セキュリティ面で大きな問題を抱えています。パスワードを使いまわしていると、ひとつのWebサービスのログイン情報が流出しただけで、すべてのWebサービスが危険にさらされます。また、メモや付箋による管理も、物理的な紛失・盗難リスクがあり、安全とは到底言えません。単純なパスワードの構成に至っては、不正アクセスの対象となった際、簡単に推測・突破されてしまうでしょう。
こうした問題は、シングルサインオンを利用することで解決します。シングルサインオンでは、管理すべきID/パスワードは、すべてのWebサービスを合わせてひとつです。ひとつだけなら管理は難しくないでしょうし、記憶することもそこまで苦ではありません。
管理負担の軽減
複数のパスワードを従業員が管理していると、パスワード忘れやアカウントロックが起こることもあるでしょう。そうした場合、IT部門や情報システム部門に所属するシステム管理者が、通常の業務を中断してフォローにあたらなければなりません。
シングルサインオンの導入によりID/パスワードが1組になれば、従業員が自分で管理できるようになるので、管理者の負担が軽減されます。会社によっては、人員配置の見直しなどによって、コスト削減につながることもあるでしょう。
シングルサインオンのデメリット
シングルサインオンは、従業員・管理者の双方に大きなメリットをもたらす仕組みです。しかし、デメリットがないわけではありません。ここからは、シングルサインオンを導入した際に起こりうる3つのデメリットを確認しましょう。
パスワード流出によるリスク
シングルサインオンで使用しているID/パスワードが流出してしまうと、連携しているすべてのWebサービスへの不正アクセスを許すことになります。この点を懸念して、導入に踏み切れずにいる方も多いことでしょう。しかし、このリスクに関しては、後述の多要素認証などと組み合わせることで対策が可能です。
システム停止によるリスク
シングルサインオンそのもののシステムが停止してしまうと、すべてのWebサービスにログインができなくなってしまいます。緊急時に備えて、経営に関わる重要なシステム・Webサービスのログイン情報は別途管理するなど、対策を講じておきましょう。
導入コスト
シングルサインオンの導入方法は、自社サーバーにソフトウェアをインストールする「オンプレミス型」と、クラウドサービスを利用する「クラウド型」に分かれます。
特にオンプレミス型は買い切りのため、初期費用が高額な傾向にあります。また、クラウド型についても、「ユーザーあたり月額○○円」という形式をとっていることがほとんどです。そのため、従業員数が多かったり、利用期間が長くなったりすると、費用はかさみます。
シングルサインオンを補完するセキュリティ対策とは
シングルサインオンは単独で完璧な認証セキュリティを約束するものではありません。しかし、以下のようなセキュリティ対策と組み合わせることで、シングルサインオンの欠点を補い、安全性をさらに高められます。SSOのサービスを選ぶ際は、以下の対策も追加できるか確認するとよいでしょう。
多要素認証
多要素認証は、シングルサインオンと同時に活用したいセキュリティの代表例です。これは、ID/パスワード以外にも、生体情報や所持情報などの要素も認証時に要求する仕組みを指します。
生体情報の例としては指紋や顔、所持情報の例としてはスマホや磁気カードなどが挙げられます。たとえば、認証時にスマホへSMSなどで送信されるワンタイムパスワードの入力も必要とすることで、万が一ID/パスワードが漏えいした際にも不正アクセスを避けられます。
多要素認証は、認証時に追加の手間がかかってしまうことが欠点です。しかし、一回の認証操作で複数サービスのログインを実現できるシングルサインオンと組み合わせることで、そのデメリットを最小限に抑えられます。このように、多要素認証とシングルサインオンは互いの欠点を補える好相性の関係です。
IPアドレス制限
IPアドレス制限も、認証セキュリティを高めるための効果的な手法として挙げられます。IPアドレスとは、どこからどの端末がネットワークにアクセスしているのかを示すインターネット上の住所のようなものです。
IPアドレス制限をすることで、自社のオフィスや支給端末からアクセスしているユーザーだけに認証許可を出すことが可能になります。もしも悪意ある第三者がID/パスワードを入手したとしても、IPアドレスが異なれば認証されなくなるので、安全性を高めることが可能です。
コンテキストアウェアセキュリティ
IPアドレス制限にも関係しますが、コンテキストアウェアセキュリティの導入も有効な手法です。これは、IPアドレスやデバイス、アクセスしようとしている場所や時間など、複合的な文脈に照らしてアクセス制御をする方法を指します。
たとえば、就業時間外にいつもと違う場所からアクセスしようとしているユーザーがいたとしたら、システムがそれを不審だと検知してアクセス制限をかけます。あるいは、カフェや駅の公衆無線LANなど、セキュリティ的に問題のある方法でアクセスしようとしているユーザーに制限をかけるなども、組織のセキュリティポリシーを守るために有効な方法のひとつです。
「HENNGE One」のシングルサインオンで利便性を向上
「HENNGE One(ヘンゲワン)」は、シングルサインオンを搭載したSaaS認証基盤サービスです。Microsoft 365やLINE WORKSなど、複数のクラウドサービスへのセキュアなアクセスが行えます。
HENNGE Oneの特長のひとつが、セキュリティをパスワードだけに頼らない、多要素認証を提供している点です。シングルサインオンのデメリットでも挙げたように、各種Webサービス利用時のセキュリティリスクは考慮すべき課題です。その点、HENNGE Oneでは、デバイス情報や生体情報を組み合わせた認証方法によって、よりセキュアなログイン環境を実現しています。
シングルサインオン設定は、「HENNGE Access Control」機能から行います。HENNGE Access Controlがユーザーの認証を代行することで、各クラウドサービスにひとつのアカウントでログイン可能です。
まとめ
煩雑なパスワード管理や、ログイン時の手間を大幅に軽減する「シングルサインオン認証」は、クラウドサービスを多用する企業にとって、大幅な業務効率化が見込めるソリューションです。一方、シングルサインオンは単一のID/パスワードによりアカウントを管理することによるセキュリティリスクがあるため、多要素認証と組み合わせるなどの対策が重要になります。
「HENNGE One」では、デバイス情報や所持情報を組み合わせたセキュリティサービスを提供しています。シングルサインオンを導入したいとお考えの方は、ぜひHENNGE Oneをご検討ください。
