シングルサインオン(SSO)製品とは、1つの ID・パスワードで複数の製品にログオンできる SSO に対応した製品です。業務に複数のクラウドサービスやアプリケーションを使うことが増えるなか、SSO の重要性が高まっています。現在、SSO 製品の導入によって、アクセス管理業務の効率化やセキュリティ向上を図りたいと考えている企業も多いのではないでしょうか。
この記事では、SSO 製品の認証方式、導入メリット・デメリット、選び方などを解説します。SSO 製品の導入によって、セキュアで便利な自社環境を構築する参考にしてください。
シングルサインオン(SSO)製品とは?
シングルサインオン(SSO)製品とは、1組の ID とパスワードで複数の製品にログオンできるシングルサインオンという仕組みに対応した製品です。
通常のアプリケーションやクラウドサービスなどでは、個別の ID やパスワード入力が必要です。しかし、シングルサインオン(SSO)製品は、共通の ID とパスワードで利用できるため、管理業務を効率化できます。また、個々のユーザーの利便性も向上します。
シングルサインオン(SSO)製品を支える5つの機能
シングルサインオン(SSO)製品の認証機能の方式はエージェント方式、リバースプロキシ方式、代理認証方式、フェデレーション方式、透過型方式の5種類です。
エージェント方式
エージェント方式は Web サーバーまたはアプリケーションサーバーに、認証用のエージェントソフトを組み込む方式です。
ソフトをインストールするだけの認証方式のため、最もシンプルに実装できます。また、利用するサーバー単位でエージェントソフトが稼働しており、アクセス集中における認証処理の遅延が起こりにくいことがメリットです。
一方、それぞれのサーバーごとにインストールする手間がかかることがデメリットです。また、アプリやサービスがエージェントソフトに対応しているかも、個別に確認しておかなければなりません。
リバースプロキシ方式
リバースプロキシ式方式は、各ユーザーのデバイスと Web システムの間に、認証機能を備えたリバースプロキシサーバーを設置する方法です。
メリットはエージェントソフトを1カ所にインストールして運用すればよいので、メンテナンスの手間がかからないことです。また、新規でリバースプロキシサーバーを追加するため、既存システムはそのまま使えます。
一方デメリットは、全てのアプリケーションやサービスがリバースプロキシサーバーで認証処理を受けるため、ボトルネックが発生しやすいことです。
代理認証方式
代理認証方式は各ユーザーのデバイスと Web システムなどとの間に、代理でログイン情報を入力する機能を備えたエージェント用サーバーを立てる方式です。
代理認証方式はログインを検知すると、エージェントがデータベースを照合して ID やパスワードを代理入力する方式です。そのため連携の制限が出にくく、多くのアプリケーションやサービスで シングルサインオン(SSO)を実現できます。
一方、デメリットはエージェント用サーバーを別途構築する必要があることです。
フェデレーション方式
フェデレーション方式は異なるインターネットドメインのアプリケーション、サービスのユーザー認証を連携できる方式です。ユーザー情報を管理している IdP(Identity Provider)が各クラウドサービスと認証トークンをやり取りすることで実現します。
メリットはパスワードを直接使わず認証トークンでやり取りするため、セキュリティが高いことです。
デメリットは対応製品が少ないことです。Web サービス側の SP(Service Provider)が SAML というマークアップ言語に対応し、IdP が提供する認証情報を利用できる製品は多くありません。主に、マイクロソフトなどの大企業の製品で提供されている SSO の方式です。
透過型方式
透過型方式は、各ユーザーのデバイスと Web システムの間の通信を監視するサーバーを立て、ログイン情報が必要なときに認証情報を送信する方式です。
アプリケーション、サービスの起動を通信内容から検知すると、ログイン情報を送信する形式のため、仕組みがシンプルで、さまざまな認証タイプに対応可能です。また、オンプレミス、クラウドのどちらのシステムでも使えます。特別なエージェントソフトを稼働させる必要もありません。
透過型方式は比較的新しい SSO 方式であり、他の方式のデメリットを小さくした方式です。
シングルサインオン(SSO)製品を導入するメリット
シングルサインオン(SSO)製品を導入するメリットは、業務効率化、セキュリティ強化、システムの一元管理を実現できることです。
業務効率化が期待できる
1つの ID・パスワードで複数のアプリケーションやサービスを利用できるため、業務効率化につながります。情報システム管理者などが多くの ID やパスワードを発行し、管理することが不要なため、業務を簡易化できます。
各ユーザーは ID やパスワードを失念してしまうことが少なくなるのがメリットです。忘れないように認証情報をメモに残すなどにより、情報漏えいにつながってしまうなどの事態も避けられます。
セキュリティ管理を強化できる
SSO 製品では多くのセキュリティ管理機能が活用でき、セキュリティを強化できます。たとえばアクセス権限による制御や多要素認証、クライアント証明書によって、ログイン情報を送信する前に利用権限があるかチェックが可能です。
また、1つのパスワードを複雑なものにして、セキュリティを強化することも効果的です。1つだけなら、10文字以上で数字や大文字を含む複雑なパスワードにしても、管理や使用の負担が増えません。複数のパスワードを使用するときにありがちな、文字数が少なく安易なパスワードでの利用を防げます。
SSO 製品ではログインの日時やアプリケーション、サービスの利用履歴、パスワード変更など全てがログに残ります。万一不正なアクセスがあったときも、後から検証可能です。
システムを一括で管理できる
シングルサインオン(SSO)製品を導入すると、他の製品とログイン情報やパスワード管理などを一元化できます。先に紹介した5種類の認証機能はいずれも、認証処理用のサーバー、ツールに情報が集まるため、ログインや利用履歴をまとめられます。
また、1つのパスワードの発行、管理によって、複数のアプリケーション、サービスへのアクセス権限を一括で管理できるのもメリットです。特に異動や退職、派遣社員の登用などにより、人の入れ替わりが多い職場や企業では、管理の手間を削減できるでしょう。
シングルサインオン(SSO)製品を導入するデメリット
シングルサインオン(SSO)のデメリットとして、アカウント流出時のリスクが大きいこと、シングルサインオン(SSO)非対応の製品があること、大規模なシステム障害の起こり得ることについて解説します。
アカウント流出による不正アクセスの可能性
万一アカウントが流出した場合に、複数のアプリケーション、サービスに不正アクセスされてしまうリスクがあります。たった一つの ID やパスワードが情報漏えいしただけで、企業にとって大きな損害につながるリスクがあることに十分注意が必要です。
不正アクセスを防止する対策としては、定期的なパスワード変更が有効です。万一、アカウントが流出しても被害を少なくできます。
また、ワンタイムパスワードや生体認証による二段階認証も効果的です。ただし、全ての製品が対応しているわけではないため、必要に応じてこれらの機能があるか確認しておきましょう。
全てのサービスがシングルサインオン(SSO)対応ではない
全てのアプリケーションやサービスがシングルサインオン(SSO)に対応しているわけではなく、連携できない製品もあります。
シングルサインオン(SSO)が実現できるのは標準化された認証処理を利用するからであり、独自の認証システムを持った製品は連携できません。導入前は利用しているアプリやサービスがシングルサインオン(SSO)に対応しているのか、確認しておきましょう。
シングルサインオン(SSO)にトラブルがあると全てのシステムにログインできなくなる
認証処理、アクセス管理を一括して行うシングルサインオン(SSO)システムにトラブルが起きると、連携しているシステムが全て使えなくなるリスクがあります。たとえば、エージェント方式のエージェントソフトやフェデレーション方式の IdP に不具合が起きると、複数の製品が利用不可になります。
リスク軽減に有効なのは、重要なアプリケーションやサービスはシングルサインオン(SSO) の対象外にして、ID やパスワードを別管理する方法です。また、サポートサービスが充実しているシングルサインオン(SSO)製品の提供業者を選ぶことも重要です。
シングルサインオン(SSO)製品を選ぶ4つのポイント
シングルサインオン(SSO)製品を選ぶポイントは、業務形態とのマッチング、運用のしやすさ、サポート体制、柔軟性(機能拡張性)の4つです。
ポイント1:業務形態に適した製品を選ぶ
シングルサインオン(SSO)製品を選ぶ際は、業務形態を重視しましょう。リモートワークを推進している場合は、社外からのアクセス認証やクラウドサービスへの対応、マルチデバイスなどの条件が重要項目になります。
社内からのアクセスがメインの場合は、オンプレミスに対応しており、時間外のアクセスを遮断する機能や生体認証などによって、高いセキュリティを実現できる製品が向いています。
ポイント2:運用しやすい製品を選ぶ
管理者と従業員が運用しやすい製品を選ぶことも重要です。いくらセキュリティが強化できたとしても、管理が複雑であれば、業務効率が下がってしまいます。また、全てのアプリケーションに生体認証などを設けると、従業員から面倒だとクレームが発生する可能性があります。
意外に盲点になりやすいのは、管理者自身の権限移譲機能です。管理者が異動する場合を想定して、スムーズに管理者の権限を更新できる製品を選びましょう。
ポイント3:サポートサービスが手厚い製品を選ぶ
トラブル発生時に業務への影響を最小限に留るため、サポートサービスが充実している製品を選びましょう。24時間365日のサポート窓口があるか、導入・運用支援サービスが用意されているかなどが検討項目です。
よくある失敗は、海外製品を導入したために、レスポンスのスピードやスタッフの技術力などの質が満足できないケースです。また、英語でサポートを受けなければならず、管理者の負担が増える場合もあります。
ポイント4:システムの柔軟性が高い製品を選ぶ
将来のシステム拡張、変更に対応できる柔軟性があるかどうかも、シングルサインオン(SSO)製品を選ぶ際の重要ポイントです。
今後導入するシステムが決まっているなら、同じ認証用サーバーを使って一元管理できるかなど連携のしやすさを確認しておきます。また、カスタマイズが可能かどうか確認しておくことも、自社に合った運用に柔軟に改善していくために必要です。
まとめ
シングルサインオン(SSO)製品とは、1つの ID・パスワードで複数製品にログインできるシングルサインオンに対応した製品です。5つの認証方式があるので、自社に適したシステムを構築しましょう。
SBテクノロジーのアクセス制御ソリューション「Online Service Gate」は、シングルサインオンやデバイス ID を用いた端末固有の識別 ID でアクセスを制御するなどアクセス管理が柔軟に行えるソリューションです。さまざまなクラウドサービスをセキュアに便利に利用できるでしょう。
2010年サービス開始以来の豊富な導入実績とノウハウに基づいた、スムーズで手厚いサポートも特長です。顧客ニーズに応えるために、現在も機能拡張を続けています。
