シングルサインオンとは、一組のIDとパスワードで、複数のシステムやアプリケーション、Webサービスなどにログインできる仕組みのことです。英語表記の「Single Sign-On」の頭文字を取って「SSO」とも呼ばれます。
業務を行う際に、まず社内ネットワークにログインし、別のアカウントでグループウェアにログインしてから、さらに業務に必要なシステムやアプリケーションに別のアカウントでログインする…というように、一人の従業員が複数のアカウントを日常的に使用することは珍しくなくなりました。そこで問題になってくるのがアカウント情報、特にパスワードの管理です。
本コラムでは、シングルサインオンの仕組みやメリット・デメリット、導入のポイント、事例などをご紹介いたします。
目次
シングルサインオン(SSO)とは?
シングルサインオンとは、一つのアカウント(IDとパスワード)で、複数のシステムやアプリケーション、Webサービスなどにログインできる仕組みのことで、英語表記の「Single Sign-On」の頭文字を取って「SSO」とも呼ばれます。
一人の従業員が複数のシステムやクラウドサービスなどを利用しながら業務をこなすことが当たり前になった今、情報システム部門などがすべてのアカウント情報を管理するのが煩雑になってきました。
一方、従業員にとってもアカウントが増えると負担が大きくなります。その結果、「覚えやすい単純なパスワードを複数システムで使い回す」といったセキュリティ上問題のある行動を取る従業員も出てきてしまいます。特に、一定期間ごとにパスワードの再設定を求められるようなシステムが複数あるような場合は、要注意です。
こうした課題を解決してくれるのがシングルサインオンです。ユーザーである従業員にとっては、一組のアカウントさえ覚えておけば一度のログインで必要なすべてのシステムにアクセスできるようになり、管理者である情報システム部門などにとっては従業員へ一組のアカウントを不与するだけで済むので、異動や入退社時の対応も楽になります。
シングルサインオン(SSO)の仕組み
シングルサインオンには主に、「エージェント方式」「リバースプロキシ方式」「代理認証方式」「フェデレーション方式」などの方式があります。
エージェント方式
Webサービスを対象とした仕組みで、Webアプリケーションサーバにエージェントソフトとよばれるソフトウェアを認証用にインストールする方法です。
ユーザーが一度、認証を通れば、ほかのWebサービスにアクセスしようとするとエージェントソフトがユーザーのログイン状況とアクセス権限をチェックして認証可否を返すという仕組みになっています。
サーバにインストールしたエージェントのアップデートを行う手間がありますが、ユーザーの利用記録が残るというメリットがあります。
ただし、エージェントに対応していないサーバではこの方法は使用できません。
リバースプロキシ方式
こちらもWebサービスを対象とした仕組みで、端末とWebアプリケーションサーバの間にリバースプロキシとよばれるサーバを設置し、このリバースプロキシサーバにエージェントソフトをインストールして認証を行います。
Webアプリケーションサーバがエージェントに対応していない場合でも利用でき、また、複数のWebアプリケーションサーバに対応できる方法です。
ただ、リバースプロキシサーバに負荷がかかりやすいため、ロードバランサなどを導入して分散させる必要があります。
代理認証方式
ユーザーの代わりにシステムがアカウント情報を入力する方法で、端末にエージェントソフトをインストールし、専用サーバを設置して上記のエージェント方式やリバースプロキシ方式、IDaaS(アイダース)とよばれるクラウドサービスと組み合わせて実現します。
古いアプリケーションやパッケージソフトウェア、レガシーシステムでもシングルサインオンが実現できる可能性のある方法です。端末へエージェントソフトをインストールする手間がかかる点がデメリットです。
フェデレーション方式
Webサービスやクラウドサービスを対象とした仕組みで、異なるサービス間でパスワードの変わりにチケットとよばれる情報を渡して認証するため、一つのWebサービスでログインすればほかのサービスにもアクセスできるようになります。
SAML、OpenID Connectといったシングルサインオン用の標準プロトコルに対応したWebサービスであれば使用可能です。
シングルサインオン(SSO)でできること
シングルサインオンを導入するとできるようになることとして、主に「従業員の利便性・業務効率を向上できる」「ID・パスワード管理を効率化できる」「情報セキュリティを向上できる」の3点が挙げられます。
まず、シングルサインオンを導入すると、従業員が業務のために複数のSaaSやシステムにログインする必要がなくなり、一度のログインで済むようになり、ログインにかかる手間が省けたり、複数のIDとパスワードの組を個人で管理する必要がなくなったりします。
また、システム管理者にとっては、従業員からのパスワード忘れに伴う問い合わせ対応に工数を取られなくて済むようになり、パスワード更新作業も管理者にとって都合の良いタイミングでの一括変更が可能になります。
さらに、従業員のパスワードの使い回しが起きにくくなるほか、シングルサインオンに搭載された二段階認証や多要素認証を活用できるようになり、情報セキュリティ強化が可能になります。
【関連記事】
シングルサインオン(SSO)製品を導入する際のポイント
【活用事例付き】シングルサインオン(SSO)でできることとは?
シングルサインオン(SSO)のメリット
ここまでにも少し触れましたが、シングルサインオンのメリットを3つに整理してご紹介します。
利便性の向上
シングルサインオンを導入すると、ユーザー(従業員)にとっても、管理者(情報システム部門など)にとって利便性が向上します。
まず、ユーザーにとっては、ログインやパスワードを再設定する手間がなくなり、管理するアカウント情報が一組で済むようになります。
一方、管理者にとっては、ユーザーへ付与するアカウント情報が一組のみとなり、異動や退職に伴うアカウント管理が楽になります。
また、各システムへのアクセス管理も一元化できるようになり、それぞれのアカウントごとにシステム別の権限を付与することができるようになります。
複雑なパスワードによる安全性の確保
ユーザーが複数のアカウントを管理したり、システムからたびたびパスワードの更新を求められたりすると、つい、覚えやすく短いパスワードを設定してしまいがちです。しかし、短いパスワードほど解読されやすく、ブルートフォースアタック(総当たり攻撃)や辞書攻撃で認証をやぶられやすくなってしまいます。
認証に使うパスワードが1つで済めば、ユーザーが、英字と数字、記号を組み合わせて複雑で長いパスワードを作ったり使ったりする心理的なハードルは格段に下がります。このことから、安全性の高いパスワードでの運用が可能になります。
管理コストの低減
シングルサインオンの導入で、主にユーザーのIDを管理する情報システム部門などの人件費を低減することができます。
個々にIDを管理する場合、新入社員や退職者、異動があると、その都度、一人の従業員につき複数のアカウントを発行したり停止したり、権限設定を変更したりしなければなりません。
また、「パスワードを忘れた」「ログインできない」といった問い合わせもアカウントの数だけ生じる可能性があり、その対応に手間暇が取られます。
シングルサインオンを導入すれば、ユーザーへ配布するアカウントは一組で済み、情報システム部門側でサービスごとのアカウントやアクセス権限を管理すれば済むようになるため、ID管理にかかる工数を削減できます。
シングルサインオン(SSO)のデメリット
メリットの多いシングルサインオンですが、デメリットもあります。
パスワード漏えい時のリスク増
ユーザーへ付与した一組のアカウントが、サイバー攻撃などによって外部へ漏れてしまえば、攻撃者はそのアカウントだけで複数のサービスを利用できるため、シングルサインオンを利用していなかった場合に比べて被害リスクは増加してしまいます。
これを防ぐためには、端末制限や多要素認証などの対策を講じる必要があります。
管理システムへの依存
「シングルサインオンの仕組み」でご紹介したうちのどの方式を採用しているかによっても度合いが異なりますが、シングルサインオンは各方式で認証を担っている管理システムに依存しているため、該当のシステムがダウンしてしまった場合は、すべてのサービスを利用できなくなり、業務に支障が出る恐れがあります。
全てと連携できるわけではない
「シングルサインオンの仕組み」でも少し触れましたが、適用したいサービスや自社のシステム、ハードウェアの仕様によって採用できる方式が限られます。
仮に、適用できるものだけに適用した場合、結局は複数回のログインが必要になり「シングルサインオン」ではなくなります。基本的には、自社の業務務に係るすべてのシステム、サービスが適応される方式を探さなくてはなりません。
ただ、認証を1回までとはいかないまでも、減らすことに重点を置いた「Reduced sign-on」をまずは実現するというのも一つの方法です。
シングルサインオン(SSO)の活用事例
実際にシングルサインオンを活用して課題解決した事例をご紹介いたします。
パスワードの漏えいを防止しつつ、従業員の利便性も向上
建設業を営む企業で、3,000人を超える従業員が業務に複数の業務アプリケーションを使用していました。
ログインに関する調査を行ったところ、年間で延べ420万回以上ものパスワード入力を行い、かかる時間は1万2,000時間以上にものぼるというデータが得られたそうです。
また、従業員の負担を軽減するために、管理者側が基幹システムと業務アプリケーションのパスワードを同一のもので運用しており、情報セキュリティ上のリスクも抱えていたといいます。
そこで、シングルサインオンを導入し、基幹システムと業務アプリケーションのパスワードを分離した上で二要素認証を実施。セキュリティ強化も実現しました。
アクセス制御を行い、厳格なコンプライアンスに対応
金融業を営む企業では、求められるコンプライアンスが厳しく、個人情報保護法の成立に伴い、従業員の誰がいつどのデータにアクセスしたかが把握できるような体制づくりが急務となっていました。それまでは、部署ごとに割り当てられた共通のアカウント情報を利用しており、個人までのアクセスログ特定ができない状態だったそうです。
そこで、シングルサインオンを導入。1,000名を超える従業員一人ひとりにIDとパスワードを一組ずつ付与し、100点以上のシステムへのアクセス権限を設定しました。
シングルサインオン(SSO)を導入する際のポイント
最後に、シングルサインオン製品を導入する際のポイントをご紹介いたします。
まずは、自社の課題を解決してくれる機能が搭載されている製品を選ぶことが前提となります。
また、自社ですでに利用しているシステムやアプリケーション、SaaSなどの多くと連携できなければ意味がないので、既存システムと連携できるかどうかもチェックしましょう。
さらに、モバイル対応の有無、自社のセキュリティポリシーを満たすセキュリティレベルに達しているかどうか、サポート体制は充実しているかどうかなどを確認すると良いでしょう。
【関連記事】
シングルサインオン(SSO)製品を導入する際のポイント
【活用事例付き】シングルサインオン(SSO)でできることとは?
まとめ
シングルサインオンは、従業員のアカウントを一括管理できる仕組みです。
特に、従業員数が多く、入退社が多い企業や、情報システム部門のリソースが少ない企業などにとっては、メリットが多いでしょう。
ただ、デメリットがないわけではありません。現状の課題と照らし合わせてメリットが大きい場合は、前向きに導入を検討してみてはいかがでしょうか。
伊藤忠テクノソリューションズでは、ID管理とアクセス管理の分野で世界最大手である米Okta(オクタ)社の「Okta」を提供しております。7,400もの連携先(※2023年3月時点)があり、シングルサインオン製品の中ではNo.1の連携数を誇っております。
また、多要素認証の機能も搭載されており、ワンタイムパスワードや生体認証など複数の認証と組み合わせて認証を厳格化できます。
シングルサインオンについてのご相談は、お気軽にお問い合わせください。
