【2024年 秋】郵便料金値上げによるコストの増加を回避するには?
シングルサインオン(SSO)とは、一度のログインで複数のWebサービスやアプリケーションに対しログインできる仕組みです。
複数のWebサービスやアプリケーションにログイン済みとなるので、それらを利用するたびにIDやパスワードを入力する必要がなくなります。シングルサインオンはよく「SSO(エスエスオー)」という略称で呼ばれることもあります。
この記事では、クラウドのID・パスワードの使い回しの問題点や、ID・パスワードを一元的かつセキュアに管理できる「シングルサインオン(SSO)」のメリット・デメリットとその方法について、わかりやすく解説していきます。
【関連記事】クラウド時代のID・パスワード管理とは?
まずは、シングルサインオン(SSO)を導入することでどんなメリットがあるのか、3つのメリットを紹介します。
社内で利用されるシステムの数は年々増加しています。さらにテレワークを推進するために多くのクラウドサービスを導入した企業も多いのではないでしょうか。
一度のログインにかかる時間はほんの僅かですが、その積み重ねは膨大な時間となります。
例えば、社内システムが10個、従業員数が1,000名の場合、ログインするのに1つのシステムあたり30秒がかかっているとすると、年間で約22,000時間もログインのために費やしていることになります。
さらには、すべてのID・パスワードを完璧に覚えていれば問題ないですが、安否確認システムなどあまり利用頻度の高くないシステムのID・パスワードはなかなか思い出せないこともあるでしょう。
そうなると、パスワードの再設定といった対応が必要になりさらに時間がかかってしまいます。
シングルサインオン(SSO)を導入することでこれらの問題を解決し多くの時間を効率化することが可能です。
シングルサインオン(SSO)はID・パスワードが1つの組み合わせになるので、セキュリティが弱くなると感じる方も多くいると思います。実はその逆で、シングルサインオン(SSO)を導入するとセキュリティは強化されます。
その理由としては、シングルサインオン(SSO)を導入することで覚えるID・パスワードが1組になるため、パスワードの使い回しや、付箋などにパスワードをメモしておく、入力するのが手間なので単調なパスワードを設定するなどのパスワードが漏洩するきっかけとなることを防止することができます。さらに、SAML認証を活用することでパスワード自体を第三者(サービス提供事業者)に渡すことがなくなります。そのため、万が一、利用しているサービスが不正アクセスされた場合でもパスワードの流出を免れることができます。
利用するサービスが増えるほど、多くのID・パスワードを覚える必要があります。しかし、人間の記憶力にはある程度限界があり、「パスワードを忘れた方はこちら」に頼ることもしばしばあると思います。IT部門や情報システム部門はそのパスワード忘れ対応に振り回されてしまっていることも多いのではないでしょうか。すぐに対応しなければ利用者はパスワードがリセットされるまで業務が止まってしまいます。シングルサインオン(SSO)を導入することで、このパスワード忘れ対応にかかる負担を大幅に軽減することができます。
シングルサインオン(SSO)を導入した企業のなかには、年間93%ものパスワード忘れ対応の時間を削減できた実績もあります。
上述したメリットがある一方で、デメリットも存在します。
認証を1つにすることで、利用者の利便性は向上します。しかし、シングルサインオン(SSO)で利用しているID・パスワードが流出し、認証が突破されてしまうと、連携しているすべてのサービスに被害が及び、被害が大きくなります。
そのため、シングルサインオンの認証には、ID・パスワードに加えて、ワンタイムパスワードや生体認証などと組み合わせた多要素認証を行い、徹底したセキュリティ対策を行う必要があります。
シングルサインオンが何らかの不具合で機能しなくなった場合、各サービスに対してログインできなくなり、業務に影響を与えることになります。そのため、シングルサインオン(SSO)のサービスを選定する際には、信頼性(障害の発生しにくさ)や可用性(サービスが利用できる時間の割合)が高いサービスを選ぶことが大切です。また、万が一シングルサインオンの機能が途絶えたときでも甚大な業務影響を与えないために、重要なシステムにはシングルサインオン(SSO)とは別のログイン方法を作っておくことも対策の一つです。
それでも、ID・パスワードの管理が面倒だという方は多いでしょう。そこで役に立つのが、「シングルサインオン(SSO)」という仕組みです。シングルサインオンを導入すれば、1つのID・パスワードの組み合わせで、複数のクラウドサービスへセキュアにログインできます。認証や本人確認が1回で済むため、今やシングルサインオンはテレワークを導入している企業に欠かせないツールになりました。ここでは、シングルサインオンが注目を集める理由や社会背景を解説します。
働き方改革への対応や、新型コロナウイルス対策のため、テレワークの普及が急速に進み、東京都の調べによると、2021年1月の都内企業(従業員30人以上)のテレワーク導入率は57.1%に達しました。[注1]そのような中、問題となっているのが、オフィスとは異なる環境で働く社員を狙うサイバー攻撃です。情報処理推進機構の調べによると、2020年に発生した情報セキュリティ事故のうち、組織部門で3番目に多かったのが、「テレワーク等のニューノーマルな働き方を狙った攻撃」でした。[注2]VPNの脆弱性を突いた不正アクセスや、ウイルスを含むメールを送りつける標的型攻撃など、テレワークを狙う攻撃が多発しています。しかし、テレワーク環境では、社員が管理されたオフィス以外の場所で働くため、ID・パスワードの管理に手間がかかります。そのような環境でもシングルサインオンなら、ID・パスワードの管理を一元化できるため、管理者の負担を軽減できます。テレワークの普及が急速に進む今、シングルサインオンの導入は必要不可欠です。
クラウドシフトが進んだ結果、クラウドサービスの導入に積極的に乗り出す企業が増えたことも、シングルサインオンの重要性を高めています。クラウドの運用数が増えるほど、ID・パスワードの管理数も増えます。もし、社員がID・パスワードを忘れてしまったり、クラウドサービスのアカウントがロックされてしまったりすると、そのぶんIT部門など管理部門の負担が増加します。しかし、シングルサインオンなら1アカウントにつき、1つのID・パスワードの組み合わせでよいため、クラウドサービスの運用数が増えても管理部門の負担は増加しません。クラウドシフトに取り組み、クラウドサービスをたくさん導入している企業ほど、シングルサインオンの必要性が増しています。
シングルサインオン(SSO)を実現するために、いくつか方法があります。ここでは代表的な4つの方法をご紹介します。
いろいろな方法がありますが、それぞれが連携するサービスに対して適した方法でシングルサインオン(SSO)を実現する必要があります。
SAML(Security Assertion Markup Language)とは、シングルサインオンを実現するために用いられる通信プロトコルの一つで、インターネットドメイン間でユーザーの認証情報を行うためのマークアップ言語です。SAMLでは直接ID・パスワードのやりとりをするのではなく認証情報として各サービスへユーザーの情報を渡します。
近年、企業によるクラウドサービスの活用が増加したこともあり、SAMLに対応したサービスも増え、必要性も高まっています。
SAMLによる連携をするためには、連携するサービス側もSAMLに対応している必要があります。
OpenID Connectは、SAMLと同じく認証プロトコルの一種で、OAuthを拡張した規格です。
今回、SAMLとOpenID Connectの違いについて詳しく記述するのは長くなってしまうので控えますが、簡単に説明するとSAMLとOpenID Connectが発展した経緯や元となる考え方の違いから対応しているサービスも異なっています。
どちらが優れていてどちらが劣っているということではありませんので、利用シーンに応じてどちらを採用するかを決めるのがいいでしょう。
代行ログイン方式は、代理認証方式や代行入力型などとも呼ばれています。ユーザーの代わりにエージェントがWebサービスに対しID・パスワードなどを打ち込む方式です。SAMLなどシングルサインオンの業界標準規格に対応していないサービスに対してシングルサインオンする場合によく用いられる方式です。
リバースプロキシ方式とは、ユーザーと連携するサービスとの間に中継サーバーを用意し、その中継サーバー上で認証を管理することでシングルサインオンを実現する方式です。連携したサービスに対するアクセスのすべてが中継サーバーを経由することになります。そのため、通信量の負荷などネットワーク設計を考慮する必要があります。しかし、既に導入済みのサービスに対してシングルサインオンするために大きな改修が必要ないというメリットもあります。
今回は、シングルサインオン(SSO)についてご紹介しました。
テレワークの普及やクラウドシフトの進行により、企業が運用するクラウドサービスの数が増加しました。それに伴い、クラウドサービスのID・パスワード管理の負担も無視できないものになっています。
既にシングルサインオン(SSO)を導入している企業も多いのではないでしょうか。しかし、社内で利用しているシステムのすべてをシングルサインオン(SSO)にできているのは少ない印象です。もちろん、リスク回避のためにあえて連携していないシステムもあるかと思いますが、多くの理由は「導入したシングルサインオン(SSO)のサービスが社内システムに対応していない」と伺うことが多いです。
シングルサインオン(SSO)のサービスを導入する際は、多くのサービスに対し連携する手段を持っている製品を選定するのが大切です。そうでなければ、完全なシングルサインオン(SSO)を実現することができず、中途半端な状態となってしまい、結果として利用頻度の低いシステムのパスワード忘れ対応が多く発生しかねません。ぜひ、各システムに対し、柔軟に対応できるサービスを選びましょう。
この記事は、2021/03/05に投稿した内容を2021/10/20にリライトしたものです。
[注1] 東京都:テレワーク導入率調査結果をお知らせします!(第1501報)
https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2021/01/22/17.html
[注2] 情報処理推進機構:「情報セキュリティ10大脅威 2021」を決定
https://www.ipa.go.jp/security/vuln/10threats2021.html
「Digital Workforce」は、働き方改革のプラットフォームとして従業員やIT部門の皆様の生産性・セキュリティを向上する機能を取り揃えたサービスです。
「ポータル」「認証/SSO」「ID管理」「API管理」「セキュアブラウザ」の5つの機能を組み合わせ、安全で快適なテレワーク体制を提供します。
執筆者情報:
海蔵 航太(かいぞう こうた)
株式会社ユニリタ
クラウドサービス事業本部
ITマネジメントイノベーション部
プロモーションフォースグループ
働き方改革基盤「Digital Workforce」のプロモーション活動を担当しています。
要件定義や設計などの上流工程から、コーディングやテストなどの下流工程まで幅広く経験してきました。
お客様の課題を解決できるご提案ができるよう、尽力いたします。
Rankingランキング
New arrival新着
Keywordキーワード
