1. HOME
  2. セキュリティコラム
  3. お役立ち情報
  4. シングルサインオンとは?そのメリットとデメリット

シングルサインオンとは?そのメリットとデメリット

シングルサインオンとは?そのメリットとデメリット

シングルサインオンとは、一組のIDとパスワードで、複数のシステムやアプリケーション、Webサービスなどにログインできる仕組みのことです。英語表記の「Single Sign-On」の頭文字を取って「SSO」とも呼ばれます。

業務を行う際に、まず社内ネットワークにログインし、別のアカウントでグループウェアにログインしてから、さらに業務に必要なシステムやアプリケーションに別のアカウントでログインする…というように、一人の従業員が複数のアカウントを日常的に使用することは珍しくなくなりました。そこで問題になってくるのがアカウント情報、特にパスワードの管理です。

本コラムでは、シングルサインオンの仕組みと、メリット、デメリットをご紹介いたします。

シングルサインオンとは?

シングルサインオンとは、一つのアカウント(IDとパスワード)で、複数のシステムやアプリケーション、Webサービスなどにログインできる仕組みのことで、英語表記の「Single Sign-On」の頭文字を取って「SSO」とも呼ばれます。

一人の従業員が複数のシステムやクラウドサービスなどを利用しながら業務をこなすことが当たり前になった今、情報システム部門などがすべてのアカウント情報を管理するのが煩雑になってきました。
一方、従業員にとってもアカウントが増えると負担が大きくなります。その結果、「覚えやすい単純なパスワードを複数システムで使い回す」といったセキュリティ上問題のある行動を取る従業員も出てきてしまいます。特に、一定期間ごとにパスワードの再設定を求められるようなシステムが複数あるような場合は、要注意です。

こうした課題を解決してくれるのがシングルサインオンです。ユーザーである従業員にとっては、一組のアカウントさえ覚えておけば一度のログインで必要なすべてのシステムにアクセスできるようになり、管理者である情報システム部門などにとっては従業員へ一組のアカウントを不与するだけで済むので、異動や入退社時の対応も楽になります。

シングルサインオンの仕組み

シングルサインオンには主に、「エージェント方式」「リバースプロキシ方式」「代理認証方式」「フェデレーション方式」などの方式があります。

エージェント方式

Webサービスを対象とした仕組みで、Webアプリケーションサーバにエージェントソフトとよばれるソフトウェアを認証用にインストールする方法です。
ユーザーが一度、認証を通れば、ほかのWebサービスにアクセスしようとするとエージェントソフトがユーザーのログイン状況とアクセス権限をチェックして認証可否を返すという仕組みになっています。

サーバにインストールしたエージェントのアップデートを行う手間がありますが、ユーザーの利用記録が残るというメリットがあります。
ただし、エージェントに対応していないサーバではこの方法は使用できません。

リバースプロキシ方式

こちらもWebサービスを対象とした仕組みで、端末とWebアプリケーションサーバの間にリバースプロキシとよばれるサーバを設置し、このリバースプロキシサーバにエージェントソフトをインストールして認証を行います。

Webアプリケーションサーバがエージェントに対応していない場合でも利用でき、また、複数のWebアプリケーションサーバに対応できる方法です。
ただ、リバースプロキシサーバに負荷がかかりやすいため、ロードバランサなどを導入して分散させる必要があります。

代理認証方式

ユーザーの代わりにシステムがアカウント情報を入力する方法で、端末にエージェントソフトをインストールし、専用サーバを設置して上記のエージェント方式やリバースプロキシ方式、IDaaS(アイダース)とよばれるクラウドサービスと組み合わせて実現します。

古いアプリケーションやパッケージソフトウェア、レガシーシステムでもシングルサインオンが実現できる可能性のある方法です。端末へエージェントソフトをインストールする手間がかかる点がデメリットです。

フェデレーション方式

Webサービスやクラウドサービスを対象とした仕組みで、異なるサービス間でパスワードの変わりにチケットとよばれる情報を渡して認証するため、一つのWebサービスでログインすればほかのサービスにもアクセスできるようになります。

SAML、OpenID Connectといったシングルサインオン用の標準プロトコルに対応したWebサービスであれば使用可能です。

シングルサインオンのメリット

ここまでにも少し触れましたが、シングルサインオンのメリットを3つに整理してご紹介します。

利便性の向上

シングルサインオンを導入すると、ユーザー(従業員)にとっても、管理者(情報システム部門など)にとって利便性が向上します。

まず、ユーザーにとっては、ログインやパスワードを再設定する手間がなくなり、管理するアカウント情報が一組で済むようになります。

一方、管理者にとっては、ユーザーへ付与するアカウント情報が一組のみとなり、異動や退職に伴うアカウント管理が楽になります。
また、各システムへのアクセス管理も一元化できるようになり、それぞれのアカウントごとにシステム別の権限を付与することができるようになります。

複雑なパスワードによる安全性の確保

ユーザーが複数のアカウントを管理したり、システムからたびたびパスワードの更新を求められたりすると、つい、覚えやすく短いパスワードを設定してしまいがちです。しかし、短いパスワードほど解読されやすく、ブルートフォースアタック(総当たり攻撃)や辞書攻撃で認証をやぶられやすくなってしまいます。

認証に使うパスワードが1つで済めば、ユーザーが、英字と数字、記号を組み合わせて複雑で長いパスワードを作ったり使ったりする心理的なハードルは格段に下がります。このことから、安全性の高いパスワードでの運用が可能になります。

管理コストの低減

シングルサインオンの導入で、主にユーザーのIDを管理する情報システム部門などの人件費を低減することができます。

個々にIDを管理する場合、新入社員や退職者、異動があると、その都度、一人の従業員につき複数のアカウントを発行したり停止したり、権限設定を変更したりしなければなりません。
また、「パスワードを忘れた」「ログインできない」といった問い合わせもアカウントの数だけ生じる可能性があり、その対応に手間暇が取られます。

シングルサインオンを導入すれば、ユーザーへ配布するアカウントは一組で済み、情報システム部門側でサービスごとのアカウントやアクセス権限を管理すれば済むようになるため、ID管理にかかる工数を削減できます。

シングルサインオンのデメリット

メリットの多いシングルサインオンですが、デメリットもあります。

パスワード漏えい時のリスク増

ユーザーへ付与した一組のアカウントが、サイバー攻撃などによって外部へ漏れてしまえば、攻撃者はそのアカウントだけで複数のサービスを利用できるため、シングルサインオンを利用していなかった場合に比べて被害リスクは増加してしまいます。

これを防ぐためには、端末制限や多要素認証などの対策を講じる必要があります。

管理システムへの依存

「シングルサインオンの仕組み」でご紹介したうちのどの方式を採用しているかによっても度合いが異なりますが、シングルサインオンは各方式で認証を担っている管理システムに依存しているため、該当のシステムがダウンしてしまった場合は、すべてのサービスを利用できなくなり、業務に支障が出る恐れがあります。

全てと連携できるわけではない

「シングルサインオンの仕組み」でも少し触れましたが、適用したいサービスや自社のシステム、ハードウェアの仕様によって採用できる方式が限られます。

仮に、適用できるものだけに適用した場合、結局は複数回のログインが必要になり「シングルサインオン」ではなくなります。基本的には、自社の業務務に係るすべてのシステム、サービスが適応される方式を探さなくてはなりません。
ただ、認証を1回までとはいかないまでも、減らすことに重点を置いた「Reduced sign-on」をまずは実現するというのも一つの方法です。

まとめ

シングルサインオンは、従業員のアカウントを一括管理できる仕組みです。
特に、従業員数が多く、入退社が多い企業や、情報システム部門のリソースが少ない企業などにとっては、メリットが多いでしょう。

ただ、デメリットがないわけではありません。現状の課題と照らし合わせてメリットが大きい場合は、前向きに導入を検討してみてはいかがでしょうか。

  • LINEで送る
  • このエントリーをはてなブックマークに追加

記事カテゴリ

導入をご検討中の方へ

製品に関するお問い合わせも随時受け付けています。各フォームに必要事項を入力のうえ、お気軽にお問い合わせください。

CTC CLOUD SECURITY SERVICE LINEUP

Netskope(ネットスコープ)
Okta (オクタ)
Docusign(どきゅサイン)
Moblie Iron(モバイルアイアン)
Lookout(ルックアウト)
Box(ボックス)