SE

SSOってどのようなものなのでしょうか。

PM

1度のアカウント認証で複数のWeb上のサービスやクラウドサービスにアクセスする仕組みです。メリットもありますが、デメリットもありますので、ご紹介いたします。

SSOとは？

SSO(シングルサインオン)とは、1度のアカウント認証で複数のWeb上のサービスやクラウドサービスにアクセスする仕組みを指します。また、シングルサインオン(Shingle Sign On)の頭文字を取り「SSO」と呼びます。

SSOは、アカウント管理の手間を省き、セキュリティ強化も可能です。これを利用すれば、複数のクラウドサービスに1度の認証でアクセスが可能になります。

個人用のSSOとは

個人用のSSOとは、その名の通り本人が使うためのSSOです。複数のWeb上のサービスやクラウドサービスにアクセスする際、1回1回アカウント認証するのは手間がかかります。

そこで、個人用のSSOを導入することで、1回のアカウント認証で本人が個人用の複数のWeb上のサービスやクラウドサービスにアクセスすることが可能となります。

SSOを導入する5つのメリット

まず、SSOを導入することのメリットを5つ紹介します。SSOとは何かよく知らない方やSSOとはどういうものかわからない方も、これらのメリットを参考にして導入した際にどのようなメリットが生じるのかを具体的に想像してみてもいいかもしれません。

1：第三者に情報を渡さずに済む

まず1つめに、SSOの規格であるSAMLなどを用いることで、第三者に情報を渡さずに第三者のシステムへサインインが可能なことが挙げられます。

利用者は、1つのアカウント情報を記憶することで1回のログオンで必要なアプリケーションにアクセスできるため、本来業務に専念できます。その結果、利用者からのアカウント情報の流出が減少し、利便性と生産性が向上するなどのメリットがあります。

2：パスワードの入力を省略できる

2つめに、SSOを利用することで、各サービスを利用するたびに増え続けるパスワードの管理を簡単にするために、一度パスワードを入力すれば複数のサービスを同時に利用できるということです。

これによって、1つのパスワードを覚えておけば、いつでも多くのアカウントを自在に利用することができ、パスワードを複数覚えなければいけないことや、万が一忘れた際のパスワード再発行の手間などを減らせます。

3：ヘルプデスクなどの人員が削減できる

SSOは、パスワード関係の問題、ヘルプデスクなどの人員やかかるコストの大幅な削減にもつながります。

SSOを利用することで、ユーザーは利用するサービス1つ1つにIDとパスワードを入力する必要がなくなり、記憶するIDとパスワードがひとつで済むということは先程紹介しましたが、SSOはユーザー側のみではなく、企業側の情報システム担当者にもこういった利点があるのです。

4：パスワードの使い回しや流出を防げる

SSOを利用することで、ユーザーは個々のシステムのパスワードを覚える必要はなくなる他、管理者は業務システムなどの本来のパスワード情報をユーザーに知らせる必要性もなくなり、パスワードの使いまわしも防ぐことができます。

パスワードの使いまわしは別のサービスなどから流出してしまったIDやパスワードを利用され、他のサービスに不正にアクセスされる「パスワードリスト攻撃」に狙われやすくなります。

5：導入期間が短く低コストである

SSOは、ID統合システムと比較すると対象アプリ側の認証システムを調整する必要がなく、導入期間が短くかつ安価で導入することが可能です。

一般的にログイン管理を一括化するには、ID統合が用いられます。各サービスのIDを統合すれば、個別にログイン情報を管理する手間が減ります。一方SSOは、エージェントのインストールなどの負担はあるものの、ID統合と比べるとコストが低く短期での導入も可能です。

SSOを導入するデメリット4つ

ここまではSSOとはどういうメリットを有しているかについて詳しく紹介してきました。SSOとは何かよくわからない方やSSOとはどういうものかわからない方でも、導入した場合のメリットについては理解できたでしょう。

次にSSOとはどういうデメリットを有しているかについて紹介します。SSOとは何かよくわからない方でもわかるように具体的に紹介していきます。

1：パスワードが漏洩した際の不正アクセスリスクが高い

一元管理によりユーザーの利便性は向上しますが、一方、SSOで利用するパスワードが流出してしまうと、大きな損害が出てしまうリスクもあります。その理由はというと、全てのアカウントにログインできるということになり、そこから不正にアカウントを利用されてしまうからです。

これを防止するには、ワンタイムパスワードや生体認証、二要素認証などのセキュリティ対策をする必要があります。

2：導入コストが高くなる可能性がある

SSOを導入する際、コストがかかります。提供形態によって様々ですが、一般にオンプレミス型という自社サーバーにインストールしたソフトウェアを利用するタイプは、社員が多い企業ほど初期費用が高額な場合があります。

しかし、シングルサインオンが広まるにつれ、以前と比較すると導入の際のコストは減少しています。また、条件次第では無料でシングルサインオンの利用が可能なサービスもあります。

3：管理システムが停止するとログインできなくなる

管理システムが停止するとログインできなくなるということがあります。SSOとは一度のアカウント認証で複数のサービスにアクセスする仕組みですが、その管理システムが停止するとアカウント認証ができず、サービスにアクセスすることができません。

SSOとは1回の認証で複数のサービスにアクセスできるという長所がある一方、認証ができないとそれらのサービスへのアクセスができないという短所がある仕組みになっています。

4：SSOが連携できないサービスもある

最後に、国内のクラウドサービスの中には、独自の認証の仕組みを持ち、標準化に対応されていないなどの理由からSSOで連携不可なものもあります。せっかくSSOを導入して、目的のサービスが連携できないなどということになってしまうと、利便性やセキュリティ関連にも不安が出てきます。

社内で新しくクラウドサービスなどを導入する際には、SSOで連携できるかどうかを選定項目に検討することも重要です。

SSOの5つの認証方式

ここまで、SSOとはなにか、SSOとはどういうものかを紹介してきましたが、SSOとはどういうメリットやデメリットを有しているかについて理解できたでしょう。

次に紹介するのはSSOの代表的な実装方式について紹介していきます。SSOとはまだよくわかっていないという方でもわかるように具体的に紹介していきますので早速見ていきましょう。

1：エージェント方式

シングルサインオンの認証方式にはエージェント方式と呼ばれる方式があり、その方式では対象となるWebサーバーに「エージェント」という専用のソフトウェアを導入しておく必要があります。

エージェントによる処理をディレクトリサービスから統合管理することで、シングルサインオンを実行することができます。また、エージェント方式ではHTTPとcookieが利用されています。

2：SAML方式

SAML方式では、ユーザーがまず認証を受けるサイトがアイデンティティプロバイダ（IdP）という位置付けになっています。SAMLとは、異なるインターネットドメインとの間でユーザー認証を実行するための標準規格です。

Webサービスを提供しているSP側がSAMLに対応されている場合には、IdPから提供されている認証情報を利用することでSSOの実行が可能になります。

3：ケルベロス方式

ケルベロス認証は、ケンブリッジのマサチューセッツ工科大学で開発された認証方式です。Microsoft社のActive Directoryが推奨している認証機構で、macOSでも実装されている方式です。

また、ケルベロス認証では、ユーザーがアカウント情報を使用するのは最初にサーバーから認証を受けるときだけに限るため、パスワードの流出を防げるようになっています。

4：リバースプロキシ方式

リバースプロキシ方式とは、リバースプロキシと呼ばれる中継サーバーで認証を行い、リバースプロキシ経由でサービスにアクセスするという方式です。直接Webシステムにアクセスさせず、リバースプロキシ経由にするように設計を変えるという場合もあるので、手間がかかることもあります。

しかし、SSO対象システムにはエージェントなどを導入する必要がないことから、既存システムへの影響もなく事前に検証ができるといったメリットもあります。

5：透過型方式

透過型方式とは、利用者が対象のWebアプリを開いた際に、認証情報をサーバーへ送信して複数のWebサービスへのアクセスを可能にすることです。SSOの中では、比較的新しい手法となっています。

おすすめのSSOサービス5選

ここまで、SSOの具体的なメリットとデメリットのほか、代表的な実装方式について詳しく説明してきました。ここからは、実際にSSOの導入を検討している方に向け、おすすめのSSOサービスをいくつか紹介していきます。

近年、業務で使用するシステムやアプリケーションが増え、パスワードの管理やセキュリティ面での需要が高まっているSSOですが、サービスごとに違うそれぞれの特徴や機能を見ていきましょう。

1：IIJ IDサービス

「IIJ IDサービス」は、様々なサービスのIDを共有し、SSOを実行できるクラウド型ID管理サービスです。

特徴として、リスクベース認証、IPアドレス制限など高度なセキュリティ機能があり、外部の様々なサービスへのシングルサインオンサーバー機能を提供しています。そのほかWindows Update対応などの手間になるシステム運用は専任エンジニアに任せることが可能です。

2：トラスト・ログイン

トラスト・ログインは基本プランが無料で即日導入が可能なIDaaSです。社員数が十数人規模の中小企業から大企業まで幅広い様々なサービスを提供しています。

トラスト・ログインは、基本料金が0円という低コストで導入できるほか、管理者やユーザーが使いやすいシンプルなUIで機密性、プライバシーに関する国際基準を満たしているなどの理由から多くの企業やサービスから選ばれているサービスです。

3：OneLogin

OneLoginには、フェデレーションと代行入力という2種類の方法があります。OneLoginのID・パスワードでログインすれば、利用者が利用可能な複数のサービスのアイコンが一覧で表示されます。

その中から使いたいアイコンをワンクリックで起動できるようになるといったサービスです。

4：CloudGate UNO

CloudGate UNOはパスワードレス認証をすることで可能となり、生体認証機能を使って認証することが可能となります。また、様々な機能を利用することでさらにセキュリティを高めることができます。

5：Duo

Duoで扱えることとしては、まずアプリケーションを一元管理できる専用ダッシュボードが使えるようになります。また、アプリケーションごとにアクセスポリシーをカスタマイズ可能にすることができるようになります。

さらに既存のSSO、フェデレーション、ID プロバイダーをサポートできるといった機能があるサービスです。

SE

なるほど。デメリットもありますがメリットを考えるとぜひ導入したいですね。

PM

そうですね。クラウドサービスを安全に効率よく利用したいという企業には是非おすすめしたいサービスです。

SSOとは何かを理解して導入を検討してみよう

この記事ではSSOとはなにか、SSOとはどういうものか、SSOとはどういうメリット・デメリットを有しているか、SSOとはどういう認証をするのか、SSOとはどういうサービスがあるのかについて紹介しました。

SSOとは何かよくわからなかった人でも、この記事を見てSSOとは何か理解できたという人は導入を検討してみてはいかがでしょうか？