SE

SSOってどのようなものなのでしょうか。

PM

1度のアカウント認証で複数のWeb上のサービスやクラウドサービスにアクセスする仕組みです。メリットもありますが、デメリットもありますので、ご紹介いたします。

SSOとは？

sso(シングルサインオン)は、1度のアカウント認証で複数のWeb上のサービスやクラウドサービスにアクセスする仕組みを指します。また、シングルサインオン(Shingle Sign On)の頭文字を取り「SSO」と呼びます。

SSOは、アカウント管理の手間を省き、セキュリティ強化も可能です。これを利用すれば、複数のクラウドサービスに1度の認証でアクセスが可能になります。

SSOの特徴

SSOの一番の特徴は「1度のアカウント認証で複数のWebサービスにアクセスできること」です。シングルサインオンの導入することによって、複数のWebサービス等を利用する場合にも、ユーザーは1つのパスワードのみ管理するだけでよくなります。

システム管理者やWebサービス提供者の立場から見ても、SSOの導入は数ある認証情報の管理や認証機能を開発するなどの負担もなくなる利点があります。

SSOを導入する5つのメリットと4つのデメリット

上で紹介したように、SSOを導入することで、ユーザー側にとっても管理側にとっても嬉しい特徴はたくさんあります。では、SSOを導入するメリットとデメリットをいくつか見ていきましょう。

SSOを導入する5つのメリット

まずは、SSOを導入することで得られるメリット5つを紹介します。具体的なメリットを、情報流出などのリスクやパスワード管理の点などから詳しく見ていきましょう。

これからSSOの導入を考えている方やSSOをよく知らない方も、まずはSSOのいいところから知っていき、自社のサイトに導入した場合、どのようなメリットがあるのかなども一緒に考えてみてもいいかもしれません。

メリット1：第三者に情報を渡さなくても第三者のシステムへのサインインが可能

まず1つめに、SSOの規格であるSAMLなどを用いることで、第三者に情報を渡さずに第三者のシステムへサインインが可能なことが挙げられます。

利用者は、1つのアカウント情報を記憶することで1回のログオンで必要なアプリケーションにアクセスできるため、本来業務に専念できます。その結果、利用者からのアカウント情報の流出が減少し、利便性と生産性が向上するなどのメリットがあります。

メリット2：複数のシステムを利用する時に毎回のパスワード入力を省略出来る

2つめに、SSOを利用することで、各サービスを利用するたびに増え続けるパスワードの管理を簡単にするために、一度パスワードを入力すれば複数のサービスを同時に利用できるということです。

これによって、1つのパスワードを覚えておけば、いつでも多くのアカウントを自在に利用することができ、パスワードを複数覚えなければいけないことや、万が一忘れた際のパスワード再発行の手間などを減らせます。

メリット3：パスワード関係の問題やヘルプデスク等の人員、コストの削減

SSOは、パスワード関係の問題、ヘルプデスクなどの人員やかかるコストの大幅な削減にもつながります。

SSOを利用することで、ユーザーは利用するサービス1つ1つにIDとパスワードを入力する必要がなくなり、記憶するIDとパスワードがひとつで済むということは先程紹介しましたが、SSOはユーザー側のみではなく、企業側の情報システム担当者にもこういった利点があるのです。

メリット4：複数のシステムを同じパスワードで利用する「パスワードの使い回し」を防止できる

SSOを利用することで、ユーザーは個々のシステムのパスワードを覚える必要はなくなる他、管理者は業務システムなどの本来のパスワード情報をユーザーに知らせる必要性もなくなり、パスワードの使いまわしも防ぐことができます。

パスワードの使いまわしは別のサービスなどから流出してしまったIDやパスワードを利用され、他のサービスに不正にアクセスされる「パスワードリスト攻撃」に狙われやすくなります。

メリット5：導入期間が短く低コストである

SSOは、ID統合システムと比較すると対象アプリ側の認証システムを調整する必要がなく、導入期間が短くかつ安価で導入することが可能です。

一般的にログイン管理を一括化するには、ID統合が用いられます。各サービスのIDを統合すれば、個別にログイン情報を管理する手間が減ります。一方SSOは、エージェントのインストールなどの負担はあるものの、ID統合と比べるとコストが低く短期での導入も可能です。

SSOを導入する4つのデメリット

ここまで、SSOの導入により情報漏えいのリスク減少やコストの削減、セキュリティの向上を見込める一方、デメリットもいくつかあります。パスワードが流出してしまった場合のリスクや管理システムに依存してしまうこと、連携が不可能なサービスのこと、一度破られてしまうとすべてのサービスにログインできてしまうといったデメリットも存在します。

ここからは、SSOの導入で考えうる具体的なデメリットを紹介していきます。

デメリット1：製品に不正アクセスされるとシステム等全てに不正アクセスが可能

一元管理によりユーザーの利便性は向上しますが、一方でSSOで利用するパスワードが流出してしまうと、大きな損害が出てしまうリスクもあります。その理由はというと、全てのアカウントにログインできるということになり、そこから不正にアカウントを利用されてしまうからです。

これを防止するには、ワンタイムパスワードや生体認証、二要素認証などのセキュリティ対策をする必要があります。

デメリット2：製品によって社員が多い企業だと導入コストが高くなる可能性がある

SSOを導入する際、コストがかかります。提供形態によって様々ですが、一般にオンプレミス型という自社サーバにインストールしたソフトウェアを利用するタイプは、社員が多い企業ほど初期費用が高額な場合があります。

しかし、シングルサインオンが広まるにつれ、以前と比較すると導入の際のコストは減少しています。また、条件次第では無料でシングルサインオンの利用が可能なサービスもあります。

デメリット3：SSOの認証速度に遅延が見られる場合もある

3つめのデメリットとして、sso方式は、所謂リバースプロキシ型での仕組みから、アクセスが集中した際の認証速度に不安な点があります。ですが他の方式では、よほど大多数のユーザーが一度に大量にアクセスした場合以外は認証速度に問題が出ることはあまりないでしょう。

そのため、このデメリットについてはよほどのことではない限り許容できる範囲だといえます。

デメリット4：SSOが連携できないサービスもある

最後に、国内のクラウドサービスの中には、独自の認証の仕組みを持ち、標準化に対応されていないなどの理由からSSOで連携不可なものもあります。せっかくssoを導入して、目的のサービスが連携できないなどということになってしまうと、利便性やセキュリティ関連にも不安が出てきます。

社内で新しくクラウドサービスなどを導入する際には、SSOで連携できるかどうかを選定項目に検討することも重要です。

SSOの実装方式3つ

SSOの仕組みはSaaS版とオンプレミス版の2種類ありますが、この中では比較的対象システムの制限が少ないオンプレミス版が主流とされています。オンプレミス版の実装方式は複数あり、自社のSSO対象システムの対応環境に合わせて選ぶことができます。

自社のシステムにSSOが対応可能な実装方式をあらかじめ確認しておくと、SSOの選定が円滑になります。ここからは、代表的な実装方式3つを紹介していきます。

実装方式1：エージェント方式

シングルサインオンの認証方式にはエージェント方式と呼ばれる方式があり、その方式では対象となるWebサーバに「エージェント」という専用のソフトウェアを導入しておく必要があります。

エージェントによる処理をディレクトリサービスから統合管理することで、シングルサインオンを実行することができます。また、エージェント方式ではHTTPとcookieが利用されています。

実装方式2：SAML方式

SAML方式では、ユーザーがまず認証を受けるサイトがアイデンティティプロバイダ（IdP）という位置付けになっています。SAMLとは、異なるインターネットドメインとの間でユーザー認証を実行するための標準規格です。

Webサービスを提供しているSP側がSAMLに対応されている場合には、IdPから提供されている認証情報を利用することでSSOの実行が可能になります。

実装方式3：ケルベロス方式

ケルベロス認証は、ケンブリッジのマサチューセッツ工科大学で開発された認証方式です。Microsoft社のActive Directoryが推奨している認証機構で、macOSでも実装されている方式です。

また、ケルベロス認証では、ユーザがアカウント情報を使用するのは最初にサーバーから認証を受けるときだけに限るため、パスワードの流出を防げるようになっています。

SSOおすすめサービス

ここまで、SSOの具体的なメリットとデメリットのほか、代表的な実装方式について詳しく説明してきました。ここからは、実際にSSOの導入を検討している方に向け、おすすめのSSOサービスをいくつか紹介していきます。

近年、業務で使用するシステムやアプリケーションが増え、パスワードの管理やセキュリティ面での需要が高まっているSSOですが、サービスごとに違うそれぞれの特徴や機能を見ていきましょう。

SSOおすすめサービス1：IIJ IDサービス

「IIJ IDサービス」は、様々なサービスのIDを共有し、SSOを実行できるクラウド型ID管理サービスです。

特徴として、リスクベース認証、IPアドレス制限など高度なセキュリティ機能があり、外部の様々なサービスへのシングルサインオンサーバ機能を提供しています。そのほかWindows Update対応などの手間になるシステム運用は専任エンジニアに任せることが可能です。

SSOおすすめサービス2：トラスト・ログイン

トラスト・ログインは基本プランが無料で即日導入が可能なIDaaSです。社員数が十数人規模の中小企業から大企業まで幅広い様々なサービスを提供しています。

トラスト・ログインは、基本料金が0円という低コストで導入できるほか、管理者やユーザーが使いやすいシンプルなUIで機密性、プライバシーに関する国際基準を満たしているなどの理由から多くの企業やサービスから選ばれているサービスです。

SE

なるほど。デメリットもありますがメリットを考えるとぜひ導入したいですね。

PM

そうですね。クラウドサービスを安全に効率よく利用したいという企業には是非おすすめしたいサービスです。

SSOはパスワードを管理する手間が省ける！

この記事では、SSOのメリット・デメリットから、実装方式の種類などを中心に紹介してきました。SSOを導入することでより効率的な作業を実現し、セキュリティ面の向上も確実となるほか、社員や管理者側の業務を円滑に回してくれます。

近年、業務で多くのアプリやシステムを使用する企業が増えており、そんな中でもSSOはクラウドサービスを安全に効率よく利用したいという企業には是非おすすめしたいサービスです。