Written by WizLANSCOPE編集部
目 次
シングルサインオン(SSO)とは、複数のアプリケーションやクラウドサービスに対して、共通のID・パスワードを用いて、一度の認証でログインできる仕組みのことです。
企業・組織がシングルサインオンを導入することで、業務効率化やセキュリティリスクの軽減、管理者の負担軽減が期待できます。
本記事では、シングルサインオンの仕組みやメリット・デメリット、シングルサインオンツールを選定する際のポイントなどをわかりやすく解説します。
▼本記事でわかること
- シングルサインオンの概要・仕組み
- シングルサインオンのメリット
- シングルサインオンのデメリット
- シングルサインオン選定時のポイント
また、クラウドサービスを導入している中小企業様を対象に実施した「クラウドサービスのセキュリティ対策実態調査」を無料でダウンロードできる資料にまとめております。
ぜひ自社のクラウドセキュリティの参考にお役立てください。
シングルサインオン(SSO)とは
シングルサインオン(SSO)とは、1組のID・パスワードで一度認証を行うだけで、連携している複数のアプリケーションやクラウドサービスにログインできる仕組みです。
シングルサインオンを導入していない環境では、ユーザーはシステムやアプリケーションごとに異なるユーザー名とパスワードを覚える必要があり、複数のログイン情報を管理する手間や負担が発生します。
シングルサインオンを採用しているサービスの具体例として、Googleが挙げられます。
Googleでは、Googleアカウントに一度ログインするだけでGoogle WorkspaceやGoogle Adsなど様々なサービスにアクセスすることが可能です。
クラウドサービスの普及とSSO
シングルサインオンの需要は世界的に高まっており、その背景には、近年の急速なクラウドサービスの普及があります。
総務省の令和7年の報告によると、クラウドサービスを利用している企業の割合は年々増加しており、令和6年時点では、企業の80.6%は何らかの業務でクラウドサービスを利用しています。
クラウドサービスは、業務効率化や柔軟な働き方などを支援する一方で、複数のサービスを併用することで、以下のような課題も生じます。
- ID・パスワードの数が増え、管理工数や担当者の負担が増える
- 各サービスへのログインや認証の手間が増える
- 認証情報の漏洩や不正アクセスなど、セキュリティリスクが高まる
実際、警察庁が令和7年3月に発表した「不正アクセス行為の発生状況」によると、識別符号窃用型(※)の不正アクセスの原因として最も多かったのは、「パスワードの設定・管理の甘さ」であり、件数は230,174件に上りました。
識別符号窃用型とは、他人の識別符号(正規の利用者であると識別するためのIDやパスワードなど)を使って、不正アクセスする攻撃手法のことです。
出典:警察庁「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
複数のクラウドサービス併用していると、つい簡単なパスワードを設定したり、複数のサービスで同じパスワードを使い回したりするケースが増え、不正アクセスのリスクを高めてしまいます。
こうしたセキュリティリスクを回避する手段として、一度の認証で複数のサービスへログインできる「シングルサインオン(SSO)」が注目を集めているのです。
認証と認可の違い
シングルサインオンについて理解するためには、「認証」と「認可」の違いを知っておく必要があります。
まず「認証」とは、システムやアプリで本人確認をすることです。
例えば、本人しか知らないパスワードを使用して本人確認を行うパスワード認証、指紋を使って本人確認を行う指紋認証などが「認証」です。
一方の「認可」とは、特定の条件でシステムやアプリにアクセスするための、権限を付与することを指します。
例えば、ログインに成功したユーザーに対して、クラウドに保存したデータにアクセスできるようにする、クラウドに保存した文章の閲覧や編集ができるよう設定する、などの権限付与が「認可」です。
| 認証 | システムやアプリで本人確認をすること |
|---|---|
| 認可 | 特定の条件でシステムやアプリにアクセスするための権限を付与すること |
シングルサインオンは、複数のクラウド・Webサービスの「認証」を一元管理することができ、認証に成功したユーザーに対して、システムやアプリにアクセスするための権限を付与する(=認可)という仕組みになっています。
シングルサインオン市場の推移
前述の通り、クラウドサービスの普及に伴い、法人向けのシングルサインオンサービスの需要は右肩上がりの成長を続けています。
調査会社Research Nesterの市場分析によると、法人向けシングルサインオンの市場規模は、2023年には約40億米ドルに達し、2036年までに最大110億米ドルに達することが予測されています。
また、同レポートでは、予測期間中のCAGR(年平均成長率)は、最大14%に達するとされています。
このことからも、シングルサインオン導入の動きは、今後ますます加速していくことが予想されます。
出典:Research Nester│エンタープライズシングルサインオン市場調査
シングルサインオンを導入するメリット
シングルサインオンを導入することで、以下のようなメリットが期待できます。
- ログイン回数が減少し、業務効率が向上する
- 簡易パスワードの使いまわしを防止でき、セキュリティリスクを軽減できる
- 管理者側のアカウント管理負担を軽減できる
シングルサインオンを導入する大きなメリットとして、複数のシステムやアプリケーションにログインする際に、毎回IDやパスワードを入力する必要がなくなるという点が挙げられます。
これにより管理するアカウント情報の数が減り、パスワード忘れや入力ミスによる業務停滞を防ぐことができます。
さらに、パスワードを忘れた場合の再設定や、誤入力によるロック解除といった、面倒な復旧作業からも解放されます。
また、SSO環境では、一つの強固なパスワードの設定と、多要素認証のような突破されない認証機能を組み合わせることで、パスワード漏洩や推測による不正アクセスを防止することが可能です。
企業・組織がシングルサインオンを導入すると、従業員のアカウント情報を一括で管理できるようになるため、担当者の管理工数を大幅に削減できるというメリットもあります。
シングルサインオンの注意すべきデメリット
シングルサインオンは、業務効率向上やセキュリティ強化が図れるなど、さまざまなメリットを持つ仕組みです。
しかし、導入にあたっては、デメリットや注意点も理解しておく必要があります。
シングルサインオンを利用する際の代表的なデメリット・注意点としては、以下の2点が挙げられます。
- 認証システムが停止すると、全てのサービスにログインができなくなる
- 認証を突破された際の被害が、通常のクラウドサービスより大きくなる
まず、ベンダー側のトラブルなどにより、シングルサインオンの認証システムが停止した場合、連携しているすべてのサービスにログインできなくなる可能性があります。
特にクラウドサービスを中心に業務を行っている企業では、業務停止や生産性低下など、深刻な影響が生じることが懸念されます。
こうした事態を防ぐためには、可用性が高く、停止リスクの低いシングルサインオンサービスを選ぶことが重要です。
また、シングルサインオンは、一度の認証で複数のサービスにログインできるというメリットがある一方で、不正ログインが発生した場合には、被害範囲が広がりやすいというデメリットがあります。
複数のサービスに不正ログインされると、情報漏洩やマルウェア感染など、被害が大規模化する可能性が高いです。
そのため、シングルサインオンサービスを導入する際は、これらのリスクに対する対策を事前に検討しておくことが重要です。
セキュリティ上のデメリットへの対策方法
シングルサインオンのセキュリティリスクを軽減するためには、不正認証をされないための強固なセキュリティ設定が必要です。
具体的には、以下の2点が設定可能なサービスを選ぶことが推奨されます。
- IPアドレスの制限
- 多要素認証の導入
「IPアドレス制限」とは、登録されていないIPアドレス(インターネット上の住所)からのアクセスを制限する機能のことです。
例えば、特定のサービスにアクセスできるIPアドレスを自社オフィスのIPアドレスだけに制限すれば、社外や第三者からの不正アクセスを防ぐことができます。
「多要素認証」は、システムやサービスへのログイン時に、「知識情報」「所持情報」「生体情報」の3つの認証要素のうち、2つ以上の認証要素を組み合わせて認証を行うセキュリティ手法です。
| 知識情報 | パスワードなどの特定のユーザーのみが知っている情報 |
|---|---|
| 所持情報 | スマートフォンやセキュリティキーなどのユーザーが所持している情報 |
| 生体情報 | 指紋や顔認証、虹彩認証などのユーザーの固有の身体情報 |
「多要素認証」は、2つ以上の認証要素を組み合わせる必要があるため、万が一パスワードやIDが漏洩しても、アカウントの乗っ取りや不正アクセスのリスクを大幅に低減することができます。
シングルサインオンを導入する際は、「IPアドレスの制限」や「多要素認証の導入」と組み合わせ、セキュリティ体制の堅牢化を目指しましょう。
▼多要素認証のイメージ
シングルサインオンの4つの仕組み・種類
シングルサインオンには、大きく4種類の仕組みがあります。
| 1. リバースプロキシ方式 |
・ブラウザとWebアプリケーションサーバーの間に「リバースプロキシサーバー(中継サーバー)」を設置し、そこで認証を行う方式 ・ユーザーはリバースプロキシサーバーを経由してシステムにアクセスする ・個別にアプリやソフトをインストールする必要がないメリットがある一方で、リバースプロキシサーバーにアクセスが集中しやすく、負荷が高まりやすい注意点がある |
|---|---|
| 2. エージェント方式 |
・Webアプリケーションサーバー側に、認証を代行する「エージェントソフト」を組み込み、認証する方式 ・ユーザーではなく、エージェントソフトが認証情報を管理するサーバーとやりとりをする ・ネットワーク構成を変更する必要がないメリットがある一方で、サーバーごとにエージェントソフトを組み込まなければならないため、運用管理の手間が増えてしまう |
| 3. 代理認証方式 |
・ユーザーの端末上で動作する「エージェントソフト」が、シングルサインオンのログイン画面を検知し、ユーザーに変わってログイン情報を自動入力する方式 ・導入は比較的容易にできるが、各端末にエージェントソフトをインストールする必要がある |
| 4. フェデレーション方式 |
・一般的に「SAML認証」とも呼ばれる方式 ・サービスプロバイダ(利用するサービス)と、アイデンティティプロバイダ(認証を提供する側)の間で、認証情報を安全に連携する仕組み ・異なるドメインのサービスやシステムでも認証情報を連携できるメリットがある一方で、対象のアプリケーションがSAMLに対応していない場合は利用できない |
シングルサインオンの種類には、それぞれにメリット・デメリットがあり、自社の環境に適した仕組みを導入する必要があります。
例えばリバースプロキシ方式は、サーバーにアクセスが集中しやすいため、数万人規模の大企業の利用には適していません。
一方で、エージェント方式は、エージェントのインストールやアップデートが必要というデメリットがあるものの、認証処理が各サーバーで行われるため、集中型の認証サーバーに比べてパフォーマンスが向上する傾向があります。
IDaaSの認証方式
昨今、注目されている「IDaaS(アイダース)」には、前述の「3.代理認証方式」「4.フェデレーション方式」が該当します。
IDaaSとはクラウド型でIDを管理し、シングルサインオンやアクセス制限を付与できるサービスのことです。
クラウドサービスだけでの運用はもちろん、クラウドとオンプレミスの混合環境でも、IDやパスワードの認証を一元管理することが可能です。
特に、SAMLに対応しているサービスでは、異なるクラウドを連携して利用できる「4.フェデレーション方式」が、シングルサインオンの方式の中で今注目を集めていいます。
Microsoft 365 やSalesforceなど、SAMLに対応するアプリケーションも増えており、IDaaSは今後シングルサインオンの中で主流になっていくことが予想されます。
シングルサインオンを選定する際の6つのポイント
シングルサインオンサービスを選定する際に確認すべきポイントを6つ紹介します。
- ポイント(1):既存システムとの連携
- ポイント(2):対応デバイス
- ポイント(3):提供形態(オンプレミスかクラウドか)
- ポイント(4):運用・管理のしやすさ
- ポイント(5):サポート体制
- ポイント(6):コスト
シングルサインオンサービスに限らず、ツールやサービスを導入する際は、機能性だけでなく、自社の環境に適しているか・使いこなせるのかなどの観点も踏まえることが重要です。
詳しく見ていきましょう。
ポイント(1):既存システムとの連携
新しいツールやサービスを導入する際は、「既存のシステムと連携できるか」「現在の環境でも問題なく運用できるか」を確認することが重要です。
確認すべき項目の例として、以下があげられます。
- 既存の社内システムやクラウドサービスなどと連携可能か
- 既存のネットワーク構成で導入できるか
- 今後利用予定のシステムで使用可能か
- 既存の多要素認証に対応しているか
また、既存のシステムまたはシングルサインオン製品の連携対象が拡大されていないかも、あわせて確認するようにしてください。
ポイント(2):対応デバイス
PCだけでなく、スマートフォンやタブレットを業務で使う場合は、これらのデバイスにも対応したシングルサインオンサービスを選定する必要があります。
また、将来的な業務形態の変化を考慮して、あらかじめマルチデバイスに対応した製品を選定しておくことが推奨されます。
ポイント(3):提供形態
シングルサインオンサービスは、ソフトウェアを自社で保有する「オンプレミス型」とソフトウェアをクラウド上で管理する「クラウド型」の2つの提供形態があります。
オンプレミス型は初期費用や維持費が高く、運用負担も大きくなりがちですが、カスタマイズ性が高くセキュリティリスクを抑えやすい傾向があります。
一方クラウド型は、初期費用や維持費を抑えられ、環境構築もしやすい反面、既存システムの統合や連携の自由度が低くなる場合があります。
シングルサインオン導入後の運用も考慮し、自社の体制や運用方針に適した提供形態を選定することが推奨されます。
ポイント(4):運用・管理のしやすさ
運用・管理の難易度が高いと、専門知識を持った人材を新たに確保したり、運用担当者を増員したりする必要が出てきます。
人員を増やせば、その分コストが増加し、企業・組織にとって大きな負担となる可能性があります。
このような事態を避けるためにも、ツールを選定する際は、既存の体制や人員で無理なく運用・管理ができるものを選ぶことが重要です。
また、導入後もスムーズに運用できるように、事前に社内教育や体制整備を行うことが推奨されます。
ポイント(5):サポート体制
万が一トラブルが発生した場合に備えて、サポート体制が充実しているかも確認しておくべきポイントです。
特に、以下の項目は最低限チェックしておきたい内容です。
- 日本語でのサポートに対応しているか
- 電話・チャットなど、複数の問い合わせ手段が用意されているか
- 24時間のサポートが可能か
また、サポート範囲(対応可能な内容や制限事項)についても、あらかじめよく確認しておきましょう。
ポイント(6):コスト
シングルサインオンの導入にはコストがかかります。
機能・サービス・セキュリティレベル別に料金が変わるケースや、1アカウントごと・100アカウントごとなどのアカウント数で料金形態が異なるケースもあるため、自社の要件に当てはまるサービスを選ぶようにしましょう。
また、費用対効果について検討するのも大切です。求める効果に見合うコストのものを選定しましょう。
シングルサインオンの設定はLANSCOPEプロフェッショナルサービスにお任せ
シングルサインオンは、一度IDとパスワードを入力するだけで、連携している複数のアプリやクラウドサービスにログインできるという非常に便利な仕組みです。
しかしその反面、設定や管理を誤ると、重大なセキュリティリスクにつながる可能性があります。
ご利用中のクラウドサービスにて「多要素認証」など、認証・アクセス権限まわりのセキュリティ設定を見直す際は、LANSCOPEプロフェッショナルサービスの「クラウドセキュリティ診断」をご検討ください。
知識豊富なエキスパートが、お客様のクラウド環境を診断し、不正アクセスや情報漏洩に繋がる「設定漏れやミス」を着実に発見。解決策をご提案します。
また対応可能なクラウドサービスは多岐にわたるため、幅広いお客様のクラウド設定の不安解消に、お力添えすることが可能です。
▼対応可能なクラウドサービスの診断一覧
- Microsoft 365 セキュリティ診断
- Google Workspace セキュリティ診断
- Salesforce セキュリティ診断
- Amazon Web Services(AWS)セキュリティ診断
- Microsoft Azure セキュリティ診断
- Google Cloud Platform (GCP)セキュリティ診断
- Zoom セキュリティ診断
- Box セキュリティ診断
- Slack セキュリティ診断
まとめ
本記事では「シングルサインオン(SSO)」をテーマに、注目されている理由やメリット・デメリット、選定時のポイントなどについて解説しました。
▼本記事のまとめ
- シングルサインオン(SSO)は、一度IDとパスワードを入力するだけで、連携している複数のアプリケーションやクラウドサービスにログインできる仕組み
- シングルサインオンを導入することで、多くのID・パスワードを個別に管理する必要がなくなり、業務効率向上とセキュリティリスクの低減を両立できる
- シングルサインオンは利便性が高い一方で、一度不正アクセスを受けると、連鎖的に被害が拡大するリスクがあるため、多要素認証やIPアドレス制限などと組み合わせて導入することが推奨される
- シングルサインオンには複数の種類があり、ネットワーク構成や利用中のサービス環境に応じて最適な方式を選定することが重要である
- シングルサインオンサービスを選定する際は、機能性だけでなく、既存システムとの連携性や運用・管理のしやすさ、サポート体制なども含めて総合的に検討することが重要である
シングルサインオンを導入することで、数多くのID・パスワードを管理する手間が省け、業務の効率化とセキュリティリスク低減の両立が可能となります。
ただし、万が一不正アクセスを受けた場合は被害が拡大する恐れもあるため、導入する際は、「多要素認証」や「IPアドレス制限」などと組み合わせ、セキュリティ強化を図ることが重要です。
本記事で紹介したLANSCOPEプロフェッショナルサービスの「クラウドセキュリティ診断」は、利用中のクラウドサービスにおいて、攻撃を受けるリスクのある設定上の不備がないかを確認するサービスです。
知識と経験豊富なエキスパートが、お客様のクラウド環境を診断し、不正アクセスや情報漏洩に繋がる「設定漏れやミス」を着実に発見、解決策を提案します。
クラウドサービスを業務利用している企業・組織の方は、ぜひ実施をご検討ください。
おすすめ記事
