こんにちは。スプラッシュトップ編集部です。
近年、クラウドやWebサービスを業務で利用することが増え、社内の業務システムと合わせると多数のサービス・システムへのログインが求められる状況にあります。
各種サービス・システムへのログインで個別にID/パスワードを入力する必要があり、パスワードの管理に困っている方も多いのではないでしょうか。
そんな煩雑なパスワード管理を解決するための仕組みとして「シングルサインオン(SSO)」が挙げられます。今回は、シングルサインオンの概要や各方式の仕組み、導入のメリット・注意点を解説します。
シングルサインオン(SSO)とは?
シングルサインオン(SSO)とは、複数のサービスへのログインを一元化するための仕組みです。
従来は、サービスごとにログインIDとパスワードを設定し、ログインの都度入力する必要がありました。しかし、シングルサインオンを利用することにより一度のログインで複数のサービスが利用可能になります。
シングルサインオンを実現するための方式・仕組みにはいくつか種類があり、そのなかでもよく用いられるのがSAML認証と呼ばれる方式です。
次章でSAML認証をはじめとする各方式について詳しく解説します。
シングルサインオン(SSO)の方式・仕組み
ここでは、代表的な4つの方式・仕組みについて紹介します。
SAML認証方式
SAML(Security Assertion Markup Language)認証方式は、ユーザーとIdP、SPの三者間で認証情報をやり取りしてシングルサインオンを実現する方式です。
IdPはID管理と認証を行なうIDプロバイダ(認証情報の提供者)、SPはクラウドサービスなどのサービス提供者(認証情報の利用者)を表します。
ユーザーはIdPを通して各種SPへのログインが簡素化される仕組みとなっています。
多くのクラウドサービスがSAML認証方式に対応しており、シングルサインオンを実現するための方式としては最も一般的と言えるでしょう。
代理認証方式
代理認証方式は、PCに専用のソフトウェア(エージェント)をインストールし、ユーザーの代わりにエージェントによって認証を行なう方式です。
エージェントはアカウント情報のデータベースを持ち、各サービスのログイン画面が起動することを検知して自動的にログインIDとパスワードを入力します。
代理認証方式はシングルサインオン対象システムの制限が少なく、導入が比較的容易である点が特徴です。
リバースプロキシ方式
リバースプロキシ方式はWeb上で実現するシングルサインオンの方式です。
リバースプロキシと呼ばれる代理応答サーバーに認証情報を保存しておくことでシングルサインオンを実現します。
PCからリバースプロキシ経由でシステムやサービスにアクセスするようなシステム設計が必要となりますが、既存システムへの影響を与えることなく事前検証が行なえる点が特徴です。
エージェント方式
エージェント方式は、リバースプロキシ方式と同様にWeb上でシングルサインオンを実現する方式です。
リバースプロキシ方式との違いは、各Webシステムにエージェントモジュールを組み込み、シングルサインオン用の外部サーバーと連携することで実現します。
各システムに対する変更が必要となりますが、リバースプロキシ方式よりもボトルネックが発生しづらく、既存のネットワークに変更を加える必要がありません。
シングルサインオン(SSO)のメリット
テレワークなどの普及でクラウドサービスの利用頻度も高まり、シングルサインオンの重要性も高まっています。そんなシングルサインオンには具体的にどのようなメリットがあるのでしょうか。
煩雑なパスワード管理が不要になる
ユーザーにとっての最大のメリットは煩雑なパスワード管理が不要になることです。
複数のサービスを利用する場合でも、1つのログインIDとパスワードを覚えておくだけでよくなります。加えて、新しいサービスを利用する場合でも、新規にログインIDとパスワードを設定する必要もなくなります。
そのため、パスワードを忘れてログインできない、という困ったことも少なくなるので、ユーザーの利便性が向上します。
さらに、情報システム部門など管理者側にとってもユーザーがログインロックされた場合やパスワードを忘れた場合の対応が少なくなり、業務負荷の軽減につながります。
ユーザーと管理者側の双方におけるパスワード管理の効率化が実現可能です。
セキュリティの強化
シングルサインオンのもう一つのメリットは、セキュリティの強化が見込めることです。
パスワードを複数管理する場合、多くの人が同じパスワードを使いまわしてしまいがちとなります。そうすると、どこかのサービスでパスワードが漏洩した場合に芋づる式に他のサービスへの不正アクセスを許してしまうことにつながるのです。
しかし、シングルサインオンを導入して一元管理しておくことで、ユーザー側では一つのログインIDとパスワードを覚えておくだけでよくなり、それぞれのサービスへのパスワードはより強度の高いパスワードを設定できます。
また、「忘れてしまうから」と紙や付箋にパスワードを書いている方もいるのではないでしょうか。この場合もパスワードが漏洩しやすく、セキュリティ的には好ましくありません。
このような場合においても、シングルサインオンを導入していればログイン情報を覚えていられるため、安心して利用できます。
シングルサインオン(SSO)のデメリット
非常に便利でセキュリティの強化にもつながるシングルサインオンですが、利用する上では覚えておかなければならないデメリットも存在します。利用する際には以下の点に注意しましょう。
シングルサインオン(SSO)のサービスが停止するとログインできない
シングルサインオンのサービスを利用する場合、最終的にアクセスする先のクラウドサービスなどの認証情報を一元的に管理しているため、このサービスが停止してしまうと各種サービスへのログインができなくなる可能性があります。
それぞれのサービスにログインするための認証情報を別途管理していれば回避可能ですが、多くの場合はログインできなくなると考えてよいでしょう。
そのため、導入する際には可用性の高いシングルサインオンのサービスを選ぶことが重要です。
パスワードの漏洩による被害規模の拡大
前述のデメリットに通じる部分ですが、シングルサインオンのサービス自体に不正アクセスされてしまうと、利用しているシステム・サービスのすべてが不正利用されてしまう可能性が考えられます。
一元的にログインIDとパスワードを管理しているため、個々に管理している場合よりも被害規模が大きくなってしまうのです。
シングルサインオンのサービスのなかには、ログインIDとパスワードによる認証だけでなく、生体認証やデバイス認証などを組み合わせた“多要素認証”を採用しているサービスもあります。
多要素認証を利用していれば不正アクセスのリスクが低減できるため、導入予定のシングルサインオンサービスが多要素認証に対応しているかどうかをしっかりとチェックすることが重要です。
>多要素認証にも対応!シングルサイン標準搭載のリモートデスクトップはこちら
利用できないサービスもある
シングルサインオンはすべてのサービスやシステム、アプリケーションで使えるとは限りません。さまざまなサービスなどに対応するために複数の方式や仕組みが存在していますが、利用できない可能性も考えられます。
場合によっては、一元管理を行なうためにシステム変更が必要となることがあり、余計な工数とコストが掛かることになります。
クラウドサービスとの連携で使用されるSAML認証においても、この認証方式に対応しているサービスである必要があります。普段利用するサービスやシステムに導入予定のシングルサインオンサービスが対応できるかどうかは、必ず事前にチェックしなければなりません。
>SAML 2.0認証方式を採用したリモートデスクトップはこちら
まとめ
シングルサインオンは複数のサービス・システムへのログインを一元化するための仕組みです。ユーザーは一つのログインIDとパスワードを覚えておくだけで、さまざまなサービスなどへ自動的にログインできるようになり、利便性が向上します。
シングルサインオンを導入することは、ユーザー・管理者ともに煩雑なパスワード管理から開放されることにつながり、さらにはセキュリティの強化も期待できます。
しかしその反面、シングルサインオンのサービスが停止すると各種サービスへログインできなくなる可能性や、利用できないサービスが存在するデメリットも覚えておかなければなりなせん。
シングルサインオンを導入する際には、シングルサインオンサービスの可用性や利用できるサービスの有無をしっかりと確認し、併せて多要素認証への対応もチェックするとよいでしょう。
