シングルサインオン(SSO)とは | 仕組み・方式・導入メリット・人気サービス
下のボタンからはシングルサインオンの各サービス資料を無料でDLできます。導入を検討したい方やより詳細までサービスを知りたい方はぜひご利用ください。
目次
シングルサインオン(SSO)とは
シングルサインオンとは、1つのIDとパスワードで認証を行い、複数のWebサービスやクラウドサービスにアクセスする仕組みです。”SSO”と省略することもあります。
普段、私たちが使うPCやスマホにはたくさんの個人情報が含まれます。
たとえばメールや、通販、SNS、仕事ではグループウェアやストレージサービスなど、年々ウェブやクラウドの利用範囲が拡がっており、そこには個人情報が多分に含んでいます。
自分宛ての文章を他人に勝手に読まれたり、クレジットカードの暗証番号を知られたりしたら一大事です。各種サービスを利用する際は、それぞれのサービスごとに専用パスワードを設定する必要があります。
セキュリティとして大事な「パスワード」ですが、多くのサービスを利用し、それぞれにパスワードを設定していると、「個々のパスワードを忘れてしまう」「その都度パスワードを入力する手間」「簡単なパスワード設定し使い回してしまう」「他人に知られて悪用されてしまうリスク」など、懸念事項も多く存在します。
そのすべてを解消する事は難しいですが、ある程度はそれらのリスクを減らせます。その一つの解となる技術がシングルサインオンです。
実はシングルサインオンは新しいテクノロジではなく、十数年前からオンプレミスのシステムとして大手企業ユーザーでは利用されていました。
最近はシングルサインオンもクラウド化され、「IDaaS(アイダース)」と呼び注目されています。
シングルサインオン(SSO)でできること
たとえば自宅のカギで、車も乗れて、自転車も乗れて、ジムや会社のロッカーもあけられて、たまにしか使わないスーツケースのカギもあけられる。このように、鍵をジャラジャラ持たず、1つの鍵ですべて完結できるととても便利ではありませんか。
ところがインターネットではそうはいきません。Googleのカギ、Yahooのカギ、Amazonのカギ。各サービスのカギ(パスワード)で利用するたびに解除しなくてはなりません。
そこで、増え続けるパスワードの管理を簡単にするために、一度パスワードを入力すれば複数サービスを同時に利用できる仕組みが作られました。
この仕組みなら、1つのパスワードを覚えておけば、いつでも多くのアカウントを自在に利用し、ビジネスツールやソーシャルメディアを飛び回れます。
今まで概要を説明したきたので、なんとなく雰囲気もつかめてきたでしょうか。記事の後半では具体的なシングルサインオンサービスも紹介しています。先に説明をご覧になるとよりイメージも浮かびやすいかもしれません。
シングルサインオン(SSO)の仕組み
シングルサインオンの仕組みには大きく4つの種類があります。
エージェント方式とリバースプロキシ方式は、十数年前よりオンプレミスとして社内システムに導入する際に多く採用された方式です。IDaaSの場合、代理認証方式とフェデレーション方式のハイブリッドが主流のようです。
本記事では簡単に仕組みを紹介していきます。さらに詳しく知りたい方は下の記事を参考にしてください。
1. エージェント方式
Webアプリケーションサーバに、認証を代行する「エージェント」モジュールを組み込む方式です。リクエストはWebサーバが受け取り、Webサーバ内の 「エージェント」がシングルサインオンサーバに、ユーザーログイン状態/アクセス権限を問い合わせ、認証状態を確認することで、シングルサインオンを実現します。
2. リバースプロキシ方式
ブラウザとWebアプリケーションサーバ間に「リバースプロキシ」サーバを設置し、「リバースプロキシ」サーバにエージェントソフトを導入することで、シングルサインオンを実現します。Webブラウザからのアクセスを「リバースプロキシ」サーバが受けて、後ろのWebアプリケーションサーバに中継を行います。
3. 代理認証方式
対象のWebアプリケーションやクラウドサービスのログインページに対して、ユーザーの代わりにID/パスワードを送信し、自動的に代理入力することによってログインを完了させ、シングルサインオンを実現する方式です。
4. フェデレーション方式
クラウドサービス間を、パスワードの代わりにチケットと呼ばれる情報を受け渡しすることで、シングルサインオンを実現する方式です。
「Office365」、「G Suite」、「Salesforce」、「box」など、多くの海外クラウドサービスが対応しています。
フェデレーション方式に使えるプロトコルは標準化が進められていて、「SAML(Security Assertion Markup Language)」や「OpenID Connect」が使われています。
同時ログイン数が数万人のような組織の場合、エージェント方式を使ったオンプレのシングルサインオン製品が好まれます。
リバースプロキシ方式の場合、認証サーバへのアクセスが集中し、トラフィック回避のため、ロードバランサが必須となるためです。「システム数があまり多くない」、「組織人数が多い」場合は、エージェント方式と覚えてください。
最後に紹介したフェデレーション形式が今後、主流となる方式です。クラウドサービス側のSAML、OpenID Connectの対応が進んでおり、社内Webアプリケーションでも標準プロトコルに対応しておけば、認証連携(フェデレーション)が容易となります。
シングルサインオン(SSO)のメリット
利便性の向上、漏えいリスクの回避
すでに述べたように、パスワードを複数管理せずとも各サービスアカウントにログインし利用できることが、シングルサインオンの第一の利点です。
多くのパスワードを管理すると、一つひとつのパスワード管理が疎かになります。パスワードを使い回したり、ポストイットに書いてモニタに貼りつけて管理したりする方もいらっしゃると思います。
シングルサインオンでは、一つのパスワードさえ覚えておけば、複数のサービスを利用できるようになります。納期が迫るなか、久しぶりに起動したビジネスツールにログインできない。そんなトラブルとも無縁になります。
複雑なパスワード
仮に総当たり攻撃を受けたと仮定しましょう。総当たり攻撃は、簡単なパスワードであればあるほど、不正ログインされる確率は上がります。
仮にあなたのパスワードがローカルフォルダあれば、英字6文字であれば37秒、英数字6文字でも5日あれば解読されてしまいます。
ところが、英数字(大文字、小文字区別あり)で10文字とした場合、20万年、さらに記号も含めると解読には1,000万年かかると言われており、解読はほぼ不可能になります。
シングルサインオンによって、十分な長さの1つのパスワードで管理すれば、解読されるには相当の時間が掛かり、安全性は高まるでしょう。パスワードが複雑でも、1つだけなら覚えて使えるはずです。ビジネス用語で言い換えますと、「リソースの【選択と集中】」が可能になります。
社員にパスワードを教えない運用も
シングルサインオンで社内のパスワードを管理する場合、システム管理者が全社員のパスワードを把握するパターンと社員側に任せるパターンの両方が可能です。
最近、各クラウドサービスへのパスワードをシステム管理者が一括で管理し、社員はシングルサインオンへのログインパスワードのみ知らせるという運用が好まれ始めています。
シングルサインオン導入前は各サービスのパスワード忘れによるリセット作業の手間が発生していたと思います。
シングルサインオンは、パスワードポリシーの徹底に効果を発揮します。また、社員退職・異動の際、一つのアカウントを停止・削除すればその社員はすべてのサービスを利用できなくなります。入社時や長期休暇明けの際もしかりです。
シングルサインオン(SSO)のデメリット
セキュリティが心配
万が一、シングルサインオンで使用するパスワードがハッカーに漏えいしてしまった場合、ハッカーはほぼすべてのアカウントにログインできるようになります。すべての情報が筒抜けになってしまいます。
そのような事態を防ぐにはシングルサインオンにログインする際に、ワンタイムパスワードや静脈認証などの多要素認証により、認証を強化する方法があります。最初の認証を突破されると一網打尽になるのはシングルサインオンのデメリットですが、弱点が明確な分、対策しやすいとも言えます。
管理システムに依存
シングルサインオンのサービスや認証情報の管理システムがダウンした場合、すべてのアカウントに入れなくなる可能性があります。ただし、各システムへのパスワードを知っているか安全にバックアップしている場合は、そのパスワードによりログインできます。
導入コストの発生
シングルサインオンを導入する際、どんな費用がかかるのでしょうか?
| 利用法 | ライセンスを購入 | 月/年単位の利用権を購入 |
| 初期投資 | 高い | 低い |
| サーバ管理者 | 自社 | 事業者 |
| 従業員規模(目安) | 数千名 | 数十名〜数百名規模 |
しかし、シングルサインオンが広まるにつれ、以前に比べると導入コストは減少しています。条件によっては無料でシングルサインオンを利用できるサービスもあります。
連携できないサービス有り
Googleの「G Suite」というクラウドサービスにはあらかじめシングルサインオンと連携できるように設定項目が組み込まれています。
また、大学などの教育機関では、学術認証フェデレーション(学認)と呼ばれる授業支援ツール・講義記録・履修登録といった複数のウェブサービスに対するシングルサインオンを実現する為の仕組みもあります。
とはいえ、日本国内のクラウドサービスの中には、独自の認証の仕組みを持ち、標準化に対応していなかった為、シングルサインオンで連携できないものもあります。せっかくシングルサインオンを導入したのに、そのサービスだけ連携できないとなると、利便性やセキュリティ上、不安が残ります。
社内で新たなクラウドサービスなどを導入する際は、シングルサインオンで連携できるかを選定項目にあげる事も重要です。
おすすめシングルサインオンサービス
シングルサインオンの仕組みや方式、導入メリット/デメリットを解説してきました。実際に導入を検討する方々向けに、おすすめシングルサインオンのサービスを解説します。
SKUID(スクイド)
- アカウント数、SaaS登録数無制限なのに基本料金ずっと0円
- 直感的なUIでだれでも簡単に利用
- SSL国内シェアNo.1「GMOグローバルサイン」の提供サービス
SKUID(スクイド)は社内で利用する各種クラウド/ウェブサービスに対して「シングルサインオン」、「ID管理」を基本機能無料で提供しています。 複数のクラウドサービス間で異なるID・パスワードを一元管理し、多要素認証などによりセキュリティ面も強化することができます。
SKUIDに一度ログインするだけで、複数サービスをパスワードの入力なしに利用することができ、国内クラウドサービスを中心に約1,000サービスとSSO連携を検証しています。利用ユーザー側の利便性向上、管理者側の管理工数の削減および、情報漏えいのリスク回避にもつながります。無料ですので、部門単位などスモールスタートで始め、後から全社展開することも可能です。
シングルサインオンを企業でより使いやすく
シングルサインオンをより多くの人の間で利用する際にはIDaaSがおすすめです。シングルサインオン機能はもちろん、サービスにアクセスできるユーザーを制限する機能、パスワードの変更を監視する機能があります。より効率的なパスワード管理がしたいのであればIDaaSのご利用をおすすめします。
IDaaSの詳しい解説は下の記事で行っているので、ぜひ御覧ください。
ボクシルとは
ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。
「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」
そんな悩みを解消するのがボクシルです。
マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。
ボクシルとボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト・高効率・最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。
