シングルサインオン（SSO）とは？テレワークで利用される理由

シングルサインオンとは

シングルサインオンとは、ユーザーが認証操作を1回するだけで複数のアプリケーションにログインできるようにするサービスです。英語では「Single Sign On」と表記することから、「SSO」と略される場合もあります。

シングルサインオンを利用すると、各種のアプリケーションはユーザーのログイン認証を SSO サービスに委任します。ユーザーが認証すると、SSO サービスはセキュリティ証明を各種のアプリケーションに送信し、その結果、ユーザーが認証したことが各アプリケーションに確認され、それ以上のログイン操作が不要になります。これがシングルサインオンの基本的な仕組みです。

昨今の企業は業務ごとに複数のアプリケーションを使い分けることが一般的になっているため、シングルサインオンのニーズが高まっています。

シングルサインオンのメリット

シングルサインオンを導入することで、利用者・管理者共にメリットを得られます。以下では、シングルサインオンを企業に導入するメリットを解説します。

管理の手間が削減される

シングルサインオンの第一のメリットは、認証情報の管理が簡単になることです。通常、IDやパスワードなどの認証情報は、利用サービスごとに使い分けるのが一般的です。しかし、いくつものサービスを利用する企業では、管理すべき認証情報が多く、利用者・管理者共に負担が大きいのが問題になっています。

たとえば、利用者側はいくつもの複雑なID/パスワードを暗記するか、他者には漏れないような仕方でその情報を保管しなければなりません。もしもID/パスワードを忘れたり紛失したりすれば、そのたびに管理者に連絡してパスワードを再発行してもらうなどの手間がかかります。異なるサービスにアクセスするごとに認証操作を求められるのも単純にストレスであり、業務効率を低下させる原因になりえます。

管理者側もサービスごとにID/パスワードを管理し、それぞれの情報を利用者に伝達しなければならないのは負担です。パスワードの忘却・紛失トラブルはヘルプデスクにとって日常茶飯事であり、企業の貴重なIT人材を無駄に浪費する結果になっています。

その点、シングルサインオンを導入すれば、ユーザーが管理するID/パスワードは一組でよくなるため、上記のような管理負担を一気に軽減可能です。利用者は一組のID/パスワードを記憶し、1回のログイン認証だけですべてのサービスをシームレスに利用できます。

管理者も各利用者の認証情報をSSOサービス上で一元管理できるため、ID/パスワードの作成・更新・削除などの負担や、それらの情報を利用者に通達する負担を大きく減らせるでしょう。パスワードの忘却・紛失によるトラブルシューティングに駆け回る頻度も大きく減り、より生産的な仕事に集中しやすくなります。

情報漏洩リスクが削減される

第二のメリットは情報漏洩リスクの削減です。シングルサインオンを導入していない場合、ユーザーは各サービスのID/パスワードを自力で暗記するか、メモなどに残して管理することになりますが、ここでしばしばセキュリティリスクが発生します。

たとえばパスワードを暗記する場合に起こりがちなのが、記憶しやすいようにパスワードを単純なものにすることです。当然ながら、単純なパスワードはそれだけ破られるリスクも高くなります。

しかも、同じパスワードをほかのサービスへ流用するユーザーも多いため、その結果すべてのサービスが脆弱なパスワードで保護される形になってしまいます。この状態はサイバー攻撃を仕掛ける側にとって、一種類の脆弱なパスワードを解除さえすれば全サービスにアクセスできることを意味するため非常に好都合です。

暗記を諦めるとなれば、次の手段は利用するパスワードをメモに残すことです。実際、自分が利用するパスワードを紙に書いたり、PCのメモ帳やExcelなどで管理したりしている人は多いのではないでしょうか。もしかしたら、ログインの際にいちいち取り出す手間を省けるように、デスクの上にそのメモを貼り付けている人もいるかもしれません。

この場合のセキュリティリスクは明らかです。いくらパスワードが複雑でも、そのメモを誰かに見られてしまったら意味がありません。PC内にメモを残している場合も、そのファイル自体が堅牢なセキュリティや複雑なパスワードで保護されていなければ、結局はそこを攻撃されて各サービスが危険に晒される恐れがあります。

シングルサインオンを導入することで、ユーザーが暗記すべきID/パスワードは一組で済むようになるため、暗記の負担は激減し、メモを取る必要性自体が薄れます。脆弱なパスワードを使い回したり、いくつものパスワードをメモに残したりするよりも、1つの強力なパスワードで守るほうが結局は安全ということです。

また、セキュリティを高めるには定期的にパスワードを更新することが効果的ですが、シングルサインオンを導入することでそうした更新作業もしやすくなります。シングルサインオンを利用すれば、すべてのサービスへの認証情報を一括で変更できるからです。これによって企業は自社のセキュリティポリシーを簡単に適用しやすくなります。

シングルサインオンのデメリット

シングルサインオンには大きなメリットがある一方で、注意すべき以下のようなデメリットもあります。

システム停止した場合ログインができない

シングルサインオンのデメリットは、SSOサービスが何らかの事情でシステム停止した場合、そこに紐づけられた各種サービスへのログインができなくなることです。SSOサービスは企業が利用するさまざまなリソースへのマスターキーを預かっているようなものなので、サイバー攻撃者にとって魅力的な攻撃対象になりえるでしょう。

とはいえ、複数のサービスで個別に認証情報を管理させることが一概に良いとは言えません。リスク分散ができる一方で、サービスごとにセキュリティレベルの差が出ることは否めないからです。その点では、セキュリティが強力なSSOサービスで認証情報を一元管理した方が安心な面はあります。

いずれにせよ、SSOサービスを導入する場合は、そのサービス自体の安全性や堅牢性を確認することが重要です。具体的には、保証制度やシステムの稼働率などをあらかじめ確認した上で、利用するサービスを選定することをおすすめします。

パスワードが漏洩した場合被害が大きい

認証情報が漏洩した場合の被害が大きいこともデメリットです。シングルサインオンのID/パスワードが漏洩したということは、そこに紐づけられたすべてのサービスの認証情報が漏洩したのと同義です。もしも第三者に認証情報が知られてしまった場合、すべてのサービスが不正アクセスの脅威に晒されることになります。

ただし、こうしたリスクは、パスワードを強力なものにしたり、多要素認証を利用したりすることで軽減可能です。多要素認証とは、ID/パスワード情報の入力のほかに、ユーザーのスマホに送信されたワンタイムパスワードや指紋認証を要求するなど、複数の方法を組み合わせてログイン認証を行う仕組みです。多要素認証を利用すれば、万が一パスワードが漏洩した場合も、そのほかの認証情報がなければログインできないため、強力なセーフガードになります。

シングルサインオンの導入により、1回限りの認証操作ですべてのサービスにアクセスできるからこそ、その1回をできるだけ厳重に守ることが重要です。

テレワークで利用されている理由

テレワークの普及にともない、セキュリティ強化のためにシングルサインオンを導入するケースが増えています。以下では、テレワークにおいてシングルサインオンが利用される理由を解説します。

アクセスを制限できるため

シングルサインオンは、テレワークにおけるセキュリティ上の課題になりがちなアクセス制限に有効です。テレワークにおいて、ユーザーは多様な場所や端末から自社のシステムへアクセスすることが予想されます。しかし、どの場所、どのデバイスからも無制限にアクセス可能な状態にしておくことは、セキュリティ上のリスクです。

シングルサインオンでは、ID/パスワードの管理のほかにも、ユーザーのデバイス制限やIP制限なども行えます。ユーザーは自社のシステムにアクセスするために必ずシングルサインオンを経由する必要があるので、あらかじめ許可されたデバイスや場所以外からはアクセスできません。これにより、万が一認証情報が漏洩した場合でも、ほかのデバイスを使って不正アクセスされるようなリスクを減らせます。

管理者の負担を軽減できるため

管理者の負担を減らせることも、テレワークでシングルサインオンの導入が進む理由です。テレワークを導入する際にはさまざまな面から環境整備をしなければなりません。

たとえば、これまでシステムをオンプレミスで運用していた場合は、社外からもアクセスできるようにクラウドへ移行する必要があります。その場合、セキュリティ体制も従来のものから根本的に見直さなければなりません。テレワーク用のツールを新規に導入したり、回線にかかる負荷を見直したりする必要もあるでしょう。

このように行うべき仕事が数多く発生している中で、ユーザーの認証管理まで細々と設定する余裕はなかなか確保できません。たとえばアクセス制限はサービスごとに行える可能性もありますが、その設定を個別に行うのは非常に手間です。

その点、シングルサインオンを導入すれば認証設定を一元管理できるので、サービスごとに設定する手間が減り、システム担当者はそのほかの仕事に時間や労力を割けます。

シングルサインオンの仕組み

シングルサインオンの基本的な仕組みは前項で述べましたが、その認証方式は複数の種類に分けられます。以下では、シングルサインオンの代表的な方式を四つ取り上げてその仕組みを簡単に解説します。

代行認証方式

代行認証方式は、各アプリケーションのログインページに対して、ユーザー自身が操作するのでなく、代理サーバーが自動的に認証情報を送信する方式です。この方式のメリットとして、C/S、オンプレミス、クラウドいずれのサービスに対してもシングルサインオンを適用しやすいことが挙げられます。後述するエージェント方式などと組み合わせての運用もできます。

リバースプロキシ方式

システムの認証操作のすべてを、リバースプロキシサーバーを媒介して行う方法です。この方式では、ユーザーがログイン認証を実施すると、認証済みのCookieが発行されます。Cookieはリバースプロキシサーバー内に設置されたエージェントを介して紐づけられたWebサービスへ送信され、それによってログイン認証が自動的に行われる仕組みです。個々のWebサーバーやアプリサーバーにエージェントを導入する必要がないため、幅広いアプリケーションに利用できます。ただし、すべての認証情報がリバースプロキシサーバーを経由する都合上、負荷が大きくなりがちです。

エージェント方式

Webサーバーもしくはアプリケーションサーバー内に導入された専用エージェントソフトに認証情報の管理を任せる方式です。ユーザーがログイン認証をすると、エージェントは認証を証明するCookieを発行し、それを提携しているサービスへ送信してアクセスを許可させます。エージェント方式を導入すると、アプリケーションごとにパスワード管理をせずに済むというメリットがある一方、それぞれのWebサーバーやアプリケーションサーバーに専用エージェントソフトを導入しなければならないので手間が必要です。

SAML認証方式

ID プロバイダー (IdP)とサービスプロバイダー(SP)の2つのあいだで認証情報を転送する方式です。同じドメイン内でしか利用できないCookieを使う方式とは異なり、SAML方式ではIdPを使用してユーザー認証を一元化することで、異なるドメイン間でもシングルサインオンを実現できます。ただし、SAML方式に対応していないサービスもある場合もあることに注意が必要です。

シングルサインオンの選び方

先の認証方式の違いも含め、SSOサービスにはそれぞれ違いがあります。そこで以下では、自社に適したSSOサービスの選び方を解説します。

オンプレミス型かクラウド型か

SSOサービスの提供形態はオンプレミス型とクラウド型の2種類に大別できます。両者の強みと弱みを把握した上で選定することが大切です。

オンプレミス型のメリットは、対象システムが幅広く、カスタマイズ性が高いことです。基本的に自社で管理運用する形になるため、メンテナンスなどの予定も自社の都合で決められます。ただし、その分だけ必要なスキルや労力も高くなる傾向があります。

クラウド型のメリットは短期間で導入可能なことです。サーバーへのインストールなどは不要なので、サービスに登録すればすぐにでも利用を開始できます。初期費用や管理運用の負担などもオンプレミス型より抑えやすいでしょう。ただし、ユーザー数や必要な機能が多いと、結果的にオンプレミスよりランニングコストが高くなる場合があります。

利用するシステムが対応しているか

必ず確認すべきなのが、そのSSOサービスが自社の利用するシステムに対応しているかどうかです。認証方式などに応じて、各SSOサービスではシングルサインオンの対象にできるシステムが異なります。せっかく導入しても、自社が利用しているシステムに対応できないのでは意味がないため、既存のシステムや導入予定のシステムに対応できるかをあらかじめ確認しておくことが必要です。試用期間のある製品もあるので、実際に使い勝手を試してみるのもよいでしょう。

稼働率やサポート体制は充実しているか

シングルサインオンを導入する場合、各システムの認証セキュリティはそのSSOサービスに大きく依存します。SSOサービス側の障害などによって業務に悪影響が出ることがないように、その稼働率を事前に確認することは非常に大切です。

同時に、不具合が発生した際のサポートは手厚いか、すぐに連絡のつくお問い合わせ先はあるかなど、万が一の場合にも頼れそうなサービスを探しましょう。SSOサービスの中には海外製品もあるので、日本語対応が可能かどうかなども確認すべきポイントです。