シングルサインオン(SSO)とは?おすすめ製品の価格・セキュリティ面を比較
本記事で紹介しているおすすめのシングルサインオン(SSO)製品の資料はこちらから無料でダウンロードできます。各サービスの料金プラン・価格や認証機能、特徴などをまとめて比較できるので、ぜひシングルサインオン(SSO)の導入を検討する際の参考にしてくてださい。
記事の後半ではおすすめシングルサインオンの比較表や各サービスごとの料金、特徴を掲載しています。
目次を閉じる
- シングルサインオン(SSO)とは
- シングルサインオン(SSO)でできること
- シングルサインオン(SSO)の仕組み
- 1. エージェント方式の仕組み
- 2. リバースプロキシ方式の仕組み
- 3. 代理認証方式の仕組み
- 4. フェデレーション方式・SAML認証方式の仕組み
- シングルサインオン(SSO)の実装方式
- ケルベロス方式
- エージェント方式
- SAML方式
- シングルサインオン(SSO)の導入メリット
- 利便性の向上、漏えいリスクの回避
- 複雑なパスワードで安全性アップ
- パスワードポリシーの徹底を強化
- シングルサインオン(SSO)のデメリット
- セキュリティが心配
- 管理システムに依存
- 導入コストの発生
- 連携できないサービス有り
- 「BOXIL SaaS AWARD 2022」の受賞サービス
- おすすめのシングルサインオン(SSO)製品比較3選
- AccessMatrix USO
- infoScoop x Digital Workforce
- ROBOT ID
- シングルサインオン(SSO)製品一覧
- GMOトラスト・ログイン
- IceWall SSO
- AuthPoint
- シングルサインオン(SSO)製品導入で失敗しないために
- BOXILとは
シングルサインオン(SSO)とは
シングルサインオンとは、一つのIDとパスワードで認証を行い、複数のWebサービスやクラウドサービスにアクセスする仕組みのことです。シングルサインオン(Single Sign On)は、SSOと省略して呼ばれることもあります。
メールやSNS、通販、仕事ではグループウェアやストレージサービスなど、年々ウェブやクラウドの利用範囲が拡がっており、そこには個人情報が多分に含まれています。その中で特に重要なのはパスワードです。
セキュリティとして大事な「パスワード」ですが、サービスそれぞれにパスワードを設定していると、「個々のパスワードを忘れてしまう」「その都度パスワードを入力する手間」「他人に知られて悪用されてしまうリスク」など、懸念事項も多く存在します。
そのすべてを解消することは難しいですが、シングルサインオンである程度はそれらのリスクを減らせます。最近はシングルサインオンもクラウド化され、「IDaaS(アイダース)」と呼ばれ注目されています。
シングルサインオン(SSO)でできること
たとえば自宅のカギで、車も乗れて、ジムや会社のロッカーもあけられて、たまにしか使わないスーツケースのカギもあけられる。このように、1つの鍵ですべて完結できるととても便利ではありませんか。
ところがインターネットではそうはいきません。Googleのカギ、Yahooのカギ、Amazonのカギ。各サービスのカギ(パスワード)で利用するたびに解除しなくてはなりません。
そこで、増え続けるパスワードの管理を簡単にするために、一度パスワードを入力すれば複数サービスを同時に利用できるシングルサインオンという仕組みが作られました。
この仕組みなら、1つのパスワードを覚えておけば、多くのアカウントを自在に利用し、ビジネスツールやソーシャルメディアを飛び回れます。
シングルサインオン(SSO)の仕組み
シングルサインオンの仕組みには大きく4つの種類があります。
- エージェント方式
- リバースプロキシ方式
- 代理認証方式
- フェデレーション方式、SAML認証方式
SSOのエージェント方式とリバースプロキシ方式は、十数年前よりオンプレミスとして社内システムに導入する際に多く採用された方式です。IDaaSの場合、代理認証方式とフェデレーション方式のハイブリッドが主流のようです。
本記事では簡単に仕組みを紹介します。さらに詳しく知りたい方は次の記事を参考にしてください。シングルサインオンの種類ごとに仕組みを説明します。
1. エージェント方式の仕組み
シングルサインオンのエージェント方式の仕組みは、Webアプリケーションサーバーに認証を代行する「エージェント」モジュールを組み込む方式です。リクエストはWebサーバーが受け取り、Webサーバー内の 「エージェント」がシングルサインオンサーバーに、ユーザーログイン状態/アクセス権限を問い合わせ、認証状態を確認することで、シングルサインオンを実現します。
2. リバースプロキシ方式の仕組み
リバースプロキシ方式は、ブラウザとWebアプリケーションサーバー間に「リバースプロキシ」サーバーを設置し、「リバースプロキシ」サーバーにエージェントソフトを導入することで、シングルサインオンを実現します。Webブラウザからのアクセスを「リバースプロキシ」サーバーが受けて、後ろのWebアプリケーションサーバーに中継を行います。
3. 代理認証方式の仕組み
代理認証方式は、対象のWebアプリケーションやクラウドサービスのログインページに対して、ユーザーの代わりにID/パスワードを送信し、自動的に代理入力することによってログインを完了させ、シングルサインオンを実現する方式です。
4. フェデレーション方式・SAML認証方式の仕組み
クラウドサービス間を、パスワードの代わりにチケットと呼ばれる情報を受け渡しすることで、シングルサインオンを実現する方式です。「Office365」「G Suite」「Salesforce」「box」など、多くの海外クラウドサービスが対応しています。
フェデレーション方式に使えるプロトコルは標準化が進められていて、「SAML(Security Assertion Markup Language)」や「OpenID Connect」が使われています。
同時ログイン数が数万人のような組織の場合、エージェント方式を使ったオンプレのシングルサインオン製品が好まれます。
リバースプロキシ方式の場合、SSO認証サーバーへのアクセスが集中し、トラフィック回避のため、ロードバランサが必須となるためです。「システム数があまり多くない」、「組織人数が多い」場合は、エージェント方式と覚えてください。
最後に紹介したフェデレーション形式が今後、主流となる方式です。クラウドサービス側のSAML、OpenID Connectの対応が進んでおり、社内Webアプリケーションでも標準プロトコルに対応しておけば、認証連携(フェデレーション)が容易となります。
シングルサインオン(SSO)の実装方式
シングルサインオン(SSO)を実現する実装方式で、代表的なものは次の3つです。
- ケルベロス方式
- エージェント方式
- SAML方式
それぞれの実装方式について説明します。
ケルベロス方式
シングルサインオンを実現させる方法のひとつに「ケルベロス」というネットワーク認証方式があります。
ケルベロス認証は、マサチューセッツ工科大学で開発された認証方式で、Microsoft社のActive Directoryでは推奨の認証機構とされています。macOSでも、Heimdalで実装されている方式です。
ケルベロス認証では、ユーザがIDやパスワードを使うのは最初に認証サーバーから認証を受けるときだけに限り、パスワードの漏えいを防げるようになっています。
エージェント方式
エージェント方式と呼ばれるシングルサインオンの認証方式では、対象となるWebサーバーに「エージェント」と呼ばれる専用のソフトウェアを導入しておきます。
Webサーバーに常駐するエージェントによる処理を、ディレクトリサービスから統合管理することでシングルサインオンを実現させる方式です。エージェント方式のシングルサインオンは、HTTP cookieが利用されています。
SAML方式
シングルサインオンのSAML方式では、ユーザが最初に認証を受けるサイトがアイデンティティプロバイダ(IdP)という位置付けになります。
そしてIdPのユーザの認証情報を信頼してサービスやアプリケーションを提供するサイトは、サービスプロバイダー(SP)という位置付けです。
IdPとSP間でID連携し、お互いに再度ログインすることなくサービスを利用できるように設定を行います。ユーザはIdPで認証を受ければ、サーバー側でログインすることなく、サービスを利用できます。
シングルサインオン(SSO)の導入メリット
シングルサインオン(SSO)を導入することによって次のようなセキュリティ面でのメリットがあります。
- 利便性の向上、漏えいリスクの回避
- 複雑なパスワードで安全性アップ
- パスワードポリシーの徹底を強化
具体的にどんなメリットがあるのかを、情報漏えいリスクやパスワード管理の観点から詳しく紹介します。
利便性の向上、漏えいリスクの回避
すでに述べたように、パスワードを複数管理せずとも各サービスアカウントにログインし利用できることが、シングルサインオンの第一の利点です。
多くのパスワードを管理すると、一つひとつのパスワード管理が疎かになります。パスワードを使い回したり、ポストイットに書いてモニタに貼りつける、メモを書いておくといった管理をする方もいますよね。
シングルサインオンでは、一つのパスワードさえ覚えておけば、複数のサービスを利用できるようになります。納期が迫るなか、久しぶりに起動したビジネスツールにログインできない。そんなトラブルとも無縁になります。
複雑なパスワードで安全性アップ
仮に総当たり攻撃を受けたと仮定しましょう。総当たり攻撃は、簡単なパスワードであればあるほど、不正ログインされる確率は上がります。
仮にあなたのパスワードがローカルフォルダにあれば、英字6文字であれば37秒、英数字6文字でも5日あれば解読されてしまいます。
ところが、英数字(大文字、小文字区別あり)で10文字とした場合、20万年、さらに記号も含めると解読には1,000万年かかると言われており、解読はほぼ不可能になります。
シングルサインオンによって、十分な長さの1つのパスワードで管理すれば、解読されるには相当の時間が掛かり、安全性は高まるでしょう。パスワードが複雑でも、1つだけなら覚えて使えるはずです。ビジネス用語で言い換えますと、「リソースの【選択と集中】」が可能になります。
パスワードポリシーの徹底を強化
シングルサインオンで社内のパスワードを管理する場合、システム管理者が全社員のパスワードを把握するパターンと社員側に任せるパターンの両方が可能です。
最近、各クラウドサービスへのパスワードをシステム管理者が一括で管理し、社員はシングルサインオンへのログインパスワードのみ知らせるという運用が好まれ始めています。
シングルサインオン導入前は各サービスのパスワード忘れによるリセット作業の手間が発生していたと思います。
シングルサインオンは、パスワードポリシーの徹底に効果を発揮します。また、社員退職・異動の際、一つのアカウントを停止・削除すればその社員はすべてのサービスを利用できなくなります。入社時や長期休暇明けの際もしかりです。
シングルサインオン(SSO)のデメリット
シングルサインオン(SSO)でセキュリティの向上が見込める一方で、次のようなデメリットもあります。
- パスワードが漏えいしてしまったときのリスク
- 管理システムに依存
- 導入コストの発生
- 連携できないサービス有り
一度破られてしまうとすべてのサービスにログインできてしまうといったデメリットもあります。その他にも考えうるデメリットを紹介していきます。
導入時には、セキュリティ面を含め次の4点に気をつけましょう。
セキュリティが心配
万が一、シングルサインオンで使用するパスワードがハッカーに漏えいしてしまった場合、ハッカーはほぼすべてのアカウントにログインできるようになり、すべての情報が筒抜けになってしまいます。
そのような事態を防ぐにはシングルサインオンにログインする際に、ワンタイムパスワードや静脈認証などの多要素認証により、認証を強化する方法があります。最初の認証を突破されると一網打尽になるのはシングルサインオンのデメリットですが、弱点が明確な分、対策しやすいとも言えます。
管理システムに依存
シングルサインオンのサービスや認証情報の管理システムがダウンした場合、すべてのアカウントに入れなくなる可能性があります。ただし、各システムへのパスワードを知っているか安全にバックアップしている場合は、そのパスワードによりログインできます。
導入コストの発生
シングルサインオンを導入する際、どんな費用がかかるのでしょうか?
| 利用法 | ライセンスを購入 | 月/年単位の利用権を購入 |
| 初期投資 | 高い | 低い |
| サーバー管理者 | 自社 | 事業者 |
| 従業員規模(目安) | 数千名 | 数十名〜数百名規模 |
しかし、シングルサインオンが広まるにつれ、以前に比べると導入コストは減少しています。条件によっては無料でシングルサインオンを利用できるサービスもあります。
連携できないサービス有り
Googleの「G Suite」というクラウドサービスにはあらかじめシングルサインオンと連携できるように設定項目が組み込まれています。
また、大学をはじめとする教育機関では、学術認証フェデレーション(学認)と呼ばれる授業支援ツール・講義記録・履修登録といった複数のウェブサービスに対するシングルサインオンを実現するための仕組みもあります。
とはいえ、日本国内のクラウドサービスの中には、独自の認証の仕組みを持ち、標準化に対応していなかったため、シングルサインオンで連携できないものもあります。せっかくシングルサインオンを導入したのに、そのサービスだけ連携できないとなると、利便性やセキュリティ上、不安が残ります。
社内で新たなクラウドサービスなどを導入する際は、シングルサインオンで連携できるかを選定項目にあげる事も重要です。
「BOXIL SaaS AWARD 2022」の受賞サービス
「BOXIL SaaS AWARD」は、スマートキャンプの運営するSaaS比較サイト「BOXIL SaaS」が、毎年3月4日をSaaSの日(サースの日)として主催しているイベントです。「BOXIL SaaS AWARD 2022」では、働き方や事業推進の変化に役立ったサービスを定量・定性面の双方から評価して表彰しました。
【SSO(シングルサインオン)のカテゴリで受賞したサービス】
おすすめのシングルサインオン(SSO)製品比較3選
おすすめのシングルサインオン製品を3つ厳選し、料金・価格、機能、セキュリティ面の強さを比較しました。
上記で紹介したシングルサインオン製品を含むおすすめサービスの資料はこちらから無料でダウンロードできます。導入を検討したい方やより詳細までサービスを知りたい方はこちらもご覧ください。
AccessMatrix USO - 株式会社ハイ・アベイラビリティ・システムズ
- さまざまなアプリケーションのSSOに対応
- 既存アプリに影響なく導入可能
- ActiveDirectoryを介した多彩な認証方式
AccessMatrix USO(アクセスマトリックスUSO)は、デスクトップアプリを含む、多くの種類のアプリケーションに対応した代行入力型SSOツールです。デスクトップ型やWeb型、クライアントサーバー型、Java型といったあらゆる種類のアプリケーションに対応しています。
また、コーディングや既存アプリに手を加えることは一切不要で、既存環境を変えずに短期間で導入可能です。さらに、ActiveDirectoryとIC認証や指紋認証、トークンなどを組み合わせることで、ログインをより強固かつ簡易的なものにできます。ICカードでの生体認証にも対応しているので便利です。
料金プラン・価格
| 料金プラン | 初期費用 | 月額料金 |
|---|---|---|
| サブスクリプションパック | 無料 | 330円 |
※無料トライアルあり、最低利用人数100人、最低利用期間1年
infoScoop x Digital Workforce - 株式会社ユニリタ
- クラウドとオンプレミス両方に対応
- 使いやすいポータル画面により業務効率化を実現
- 充実したセキュリティ対策
infoScoop x Digital Workforce(インフォスクープ×デジタルワークフォース)は、クラウドとオンプレミスの両方に対応したSSOサービスです。SMAL方式と代理認証方式を組み合わせることで、クラウドはもちろん、社内にサーバーを置くオンプレミスのシステムにもSSOでログインできます。
各種システムと連携可能なポータル画面を通して、使いたいシステムを瞬時にログインしたり、社内掲示板の即座な確認などが可能です。さらに、ワンタイムパスワード認証やアクセス制限、ログの収集、分析などセキュリティオプションも充実しています。
料金プラン・価格
参考価格:450,000円-/月
※詳細は要問い合わせ
ROBOT ID - ナレッジスイート株式会社
- IDとパスワードを一括管理
- 柔軟性のあるアクセス権限管理とセキュリティ
- CSVファイルでデータをエクスポート/インポート可能
ROBOT ID(ロボットアイディー)は、Webサービス/アプリのIDとパスワードを1つに統合し管理できるSSOシステムです。業務に関連するパスワードは、1社員につき平均7~8個持つと言われていますが、ROBOT ITの利用でたった1つのID/パスワードに集約し、多数のソフトウェアに高度なセキュリティ環境下でログインできます。
社員ごとに利用可能なソフトウェアのアクセス権限を設定でき、パスワードの文字数などのセキュリティレベルも自在に変更が可能。CSVファイルで社員データやID・パスワードなどの大量の情報を簡単にエクスポート/インポートできます。
料金プラン・価格
| 料金プラン | 初期費用 | プラン価格 |
|---|---|---|
| パブリッククラウド版 | 10,000円 | 1,000円-/月 |
| プライベートクラウド版 | 要お見積り | 980,000円-/その他 |
※無料トライアルあり
シングルサインオン(SSO)製品一覧
上記で紹介できなかったシングルサインオンで人気のあるサービスを一覧で紹介します。料金プラン・価格、無料トライアルの有無も記載しているので、サービスを比較検討する際の参考にしてくてださい。
GMOトラスト・ログイン - GMOグローバルサイン株式会社
- インストールや社内システムへの変更不要
- GMOグローバルサインでセキュリティも安全
- 基本料金0円、有料オプションでより利便性を強化
GMOトラスト・ログインは、基本料金0円から始められて、セキュリティや利便性を強化したい場合には有料オプションで機能アップが可能。さらにサーバーの用意やインストール・社内システムの変更不要で運用できます。また国内SSLシェアNo.1の実績に裏付けられたセキュリティ会社が提供するサービスなので、安心して利用できるのも魅力の1つです。
料金プラン・価格
| 料金プラン | 初期費用 | プラン価格 |
|---|---|---|
| 基本プラン | - | 無料(最低利用人数10人) |
| PROプラン | - | 300円(最低利用人数30人) |
※無料プラン・トライアルあり
IceWall SSO
- イントラネットサービスなどへ多くの導入実績
- クラウドサービスへのSSOも実現(無償オプション利用)
- セキュアで利便性の高いシングルサインオン
IceWall SSOは、利便性の高い快適なセキュリティ環境を実現するシングルサインオンソリューションです。クラウド環境とのシングルサインオンは、無償オプション製品「IceWall Federation」を利用すると実現できます。
料金プラン・価格
要問い合わせ
AuthPoint - 株式会社デジタルスフィア
- 簡単管理でデバイスを守る
- 複数の認証要素を組み合わせられる
- オフラインでも認証可能
AuthPointは、ネットワークやVPN、クラウドリソースなどを不正アクセスから守る多要素認証システムです。ワンタイムパスワードやプッシュメッセージ、指紋認証など、複数の認証要素を組み合わせ、高レベルなセキュリティを実現します。
システムは、モバイル上のアプリケーションを利用してアクティブ化するため、導入も簡単。オフライン状態でも、QRコードによる認証で、セキュリティを維持します。
料金プラン・価格
要問い合わせ
こちらからは、シングルサインオンの人気ランキングや、各種サービスの評判・口コミをチェックできます。あわせてご覧ください。
シングルサインオン(SSO)製品導入で失敗しないために
シングルサインオン製品によって料金や認証機能、セキュリティ面の強さ、サポートは異なります。サービス導入で失敗しないためには事前の情報収集が重要です。
ボクシルではシングルサインオン製品の料金や特徴がまとまった資料が無料でダウンロードできます。ぜひ、サービスを比較検討するさいは、こちらの無料でダウンロードできる資料をご利用ください。
シングルサインオン(SSO)をより多くの人の間で利用する際にはIDaaSがおすすめです。シングルサインオン機能はもちろん、サービスにアクセスできるユーザーを制限する機能、パスワードの変更を監視する機能があります。より効率的なパスワード管理がしたいのであればIDaaSのご利用をおすすめします。
IDaaSの詳しい解説はこちらの記事でしているので、ぜひご覧ください。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計800社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
