Written by 伏見みう
エンジニアとしてEVやHEV、産業用設備の研究開発職に従事していた。退職後は北欧デンマークで1年過ごし、現地の風力発電設備などを見学。現在はフリーランスとして活動している。
目 次
シングルサインオンとは
シングルサインオンの需要は右肩上がりで増加
シングルサインオンはなぜ注目されている?
シングルサインオンのメリット
シングルサインオンの注意すべきデメリット
シングルサインオンの4つの仕組み(種類)
シングルサインオン選定時のポイント
シングルサインオンの設定はLANSCOPEプロフェッショナルサービスにお任せ
まとめ
シングルサインオン(SSO)とは、連携している全てのアプリやクラウドサービスに、共通のID・パスワードを用いて、一度の認証でログインできる仕組みのことです。
このシングルサインオンを活用することで
- ログイン回数が減るため、業務効率が上がる
- 簡易パスワードの使いまわしを防ぎ、セキュリティリスクを軽減できる
- 管理者側の負担を軽減できる
といったメリットが期待できます。
ただし、「認証システムが停止すると全てのサービスにログインができなくなる」「認証を突破された際の被害規模が大きくなってしまう」といったデメリットがあることも覚えておきましょう。
もし導入を検討している場合は、「IPアドレスの制限」や「多要素認証の導入」などをあわせて導入できるシングルサインオンサービスを選ぶのがおすすめです。
本記事では、シングルサインオンの機能やメリット・デメリットに加え、導入の注意点なども解説します。
▼ この記事を要約すると
- シングルサインオンとは、一度ユーザー認証を行うだけで、連携している複数のアプリやクラウドサービスにログインできる仕組み
- シングルサインオンが注目されている理由として、「認証が必要なクラウドサービスを利用する企業が増加している」「複数のクラウドサービスを利用する際に高まるセキュリティリスクを軽減できる」ことが挙げられる
- シングルサインオンを導入するメリットとしては「業務効率の向上」「セキュリティリスクの軽減」「管理者側の負担軽減」などがある
- シングルサインオンのデメリットを解決するには、セキュリティ対策を強固にすることが重要で、「IPアドレスの制限」「多要素認証の導入」などを組み合わせることが有効な方法
- シングルサインオンを選定する際は、そもそも既存システムと連携できるか、業務で使用しているデバイスに対応しているか、などに加えて「提供形態(オンプレミスかクラウドか)」「運用・管理のしやすさ」「サポート体制」「コスト」などもしっかり確認する必要がある
またエムオーテックスでは、クラウドサービスを導入している中小企業様を対象に「クラウドサービスのセキュリティ対策」に関する実態をまとめました。ぜひ自社のクラウドセキュリティの参考にお役立てください。
シングルサインオンとは
シングルサインオン(Single Sign-On SSO)とは、1組のID・パスワードを使って、一度認証を行うだけで、連携している複数のアプリやクラウドサービスにログインできる仕組みです。
▼シングルサインオンを導入した場合・していない場合の比較
上の図ように、シングルサインオンを導入していないと、クラウドサービス、業務アプリ、Webサービスといったサービスごとに、IDとパスワードを入力する手間が発生します。
社員は複数のID・パスワードを管理しなければならず、それに伴って社員の認証管理をする、情報システム部の負担も増えることになります。
そこで注目されているのが「シングルサインオン」です。
シングルサインオンを導入することで
- ・ サービスごとにID・パスワードを入力する手間が省け、業務効率が上がる
- ・ 管理するID・パスワードが減り、管理工数が削減できる
- ・ 簡易なID・パスワード使用による、セキュリティリスクが軽減できる
といったメリットを受けることが可能です。
認証と認可の違い
シングルサインオンについて理解するためには、「認証」と「認可」の違いを知る必要があります。
| 認証 | システムやアプリで本人確認をすること |
|---|---|
| 認可 | 特定の条件でシステムやアプリにアクセスするための権限を付与すること |
まず「認証」とは、システムやアプリで本人確認をすることです。
例えば、本人しか知らないパスワードを使用して本人確認を行うパスワード認証、指紋を使って本人確認を行う指紋認証などが該当します。
一方の「認可」とは、特定の条件でシステムやアプリにアクセスするための、権限を付与することを指します。
例えば、ログインに成功したユーザーに対して、クラウドに保存したデータにアクセスできるようにする、クラウドに保存した文章の閲覧や編集ができるよう設定する、などの権限付与が「認可」です。
シングルサインオンは、複数のクラウド・Webサービスの「認証」を一元管理することができ、認証に成功したユーザーに対して、システムやアプリにアクセスするための権限を付与する(=認可)という仕組みになっています。
シングルサインオンの需要は右肩上がりで増加
クラウドサービスの普及に伴い、法人向けのシングルサインオンサービスの需要は増加を続けています。
Research Nester の分析調査分析によると、法人向けシングルサインオンの市場規模は、2023年には約 40 億米ドルを記録し、2036年までに最大 110 億米ドルに達することが予測されています。
また市場は予測期間中、最大14%のCAGR(年平均成長率)で伸びることが見込まれています。
出典:Research Nester│エンタープライズシングルサインオン市場調査
シングルサインオンはなぜ注目されている?
シングルサインオンの需要が世界的に高まっている背景には、昨今の急速な「クラウドサービス」の普及があげられます。
総務省の令和5年の報告によれば、クラウドサービスを利用している企業の割合は今なお増加傾向にあり、令和4年には企業の72.2%がクラウドサービスを何らかの業務で利用しています。
出典:総務省|令和4年通信利用動向調査の結果(令和5年5月29日)
クラウドサービスには場所や機器を選ばずに利用できる、システムの構築不要で安価に利用できるなど、業務効率化を実現できる様々なメリットがあります。
ただし複数のクラウドサービスを使い分けることで
- ・ ID・パスワードの数が増加し、管理工数が増える
- ・ ユーザーのログインや認証の手間が増える
- ・ ID・パスワードに起因したセキュリティリスクが高まる
といったリスクやデメリットが発生する可能性もあります。
覚えるID・パスワードが増えることで、セキュリティリスクも高まる
ID・パスワードの数が増えることで管理が甘くなり、認証情報の漏洩や不正アクセスといった、セキュリティリスクが高まる可能性もあります。
実際、警察庁による令和5年3月の報告によれば、識別符号窃用型(※)の不正アクセスの原因として最も多かったのが「パスワードの設定・管理の甘さ(230件)」でした。
※識別符号窃用型…他人の識別符号(正規の利用者であると識別するためのIDやパスワードなど)を使って、不正アクセスする手法
出典:警察庁|不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(令和5年3月16日)
複数のクラウドサービスを利用すると、つい簡単なパスワードを設定したり、複数のサービスでパスワードを使いまわしたりと、不正アクセスを助長する行為を取りかねません。
こういったセキュリティリスクを回避する意味でも、1度の認証で複数のサービスへログインできる「シングルサインオン」が注目を集めているのです。
シングルサインオンのメリット
シングルサインオンを導入することで、以下のようなメリットがあります。
- 1. ログイン回数が減るため、業務効率が上がる
- 2. 簡易パスワードの使いまわしを防ぎ、セキュリティリスクを軽減できる
- 3. 管理者側の負担を軽減できる
シングルサインオンを導入する大きなメリットとして、複数のシステムやアプリにログインする度、IDやパスワードを入力する必要がないという点が挙げられます。
これにより、覚えるID・パスワードの数が減るので、パスワードを忘れてしまうリスクが低減されます。
つまり、パスワードを忘れた場合の再設定や、パスワードを何度も間違えた際のシステムロックといった、面倒な復旧作業からも解放されます。
また、1つの複雑なログインパスワードの設定と、多要素認証のような突破されない認証機能を組み合わせるだけで、パスワードの漏洩や推測による不正アクセスを防止することが可能となります。
他にも、シングルサインオンを導入すれば、従業員のアカウント情報を一括で管理できるようになるため、管理工数を大幅に削減できるというメリットもあります。
シングルサインオンの注意すべきデメリット
基本的にはメリットが大きなシングルサインオンですが、利用時はデメリットも把握した上で導入する必要があります。
シングルサインオンにおける懸念点は、主に以下の2つです。
- 1. 認証システムが停止すると、全てのサービスにログインができなくなる
- 2. 認証を突破された際の被害が、通常のクラウドサービスより大きい
まず、シングルサインオンの認証システムが、ベンダー側のトラブルなどを理由に停止すると、連携している全てのサービスにログインできなくなる可能性があります。クラウド利用を主体とする企業などは大きなダメージを受けるため、可用性が高く停止リスクの少ない、シングルサインオンサービスを選ぶことが重要です。
また一度の認証で複数のサービスにログインできる特性上、仮に不正ログインを招くと、被害規模が大きくなってしまうという、セキュリティ面のデメリットもあります。
複数のサービスでアカウントを不正利用される、あるいは機密情報の漏洩やマルウェア感染といった被害を受けるリスクも考えられます。
シングルサインオンにおける、セキュリティのデメリットを解決するには?
シングルサインオンのセキュリティリスクを軽減するためには、不正認証をされないための強固なセキュリティ設定が必要です。
具体的には、
- ・ IPアドレスの制限
- ・ 多要素認証の導入
をあわせて導入できるシングルサインオンサービスを選ぶのがおすすめです。
「IPアドレス制限」とは、登録されていないIPアドレス(インターネット上の住所)からのアクセスを制限する機能のことです。
例えば、特定のサービスにアクセスできるIPアドレスを自社オフィスのIPアドレスだけに制限すれば、社外や第三者からの不正アクセスを防ぐことができます。
もう一つの「多要素認証」は、アカウントのログイン時、2つ以上の認証要素を組み合わせてログインを行うセキュリティ手法です。通常のID・パスワードの入力に加え、生体認証やワンタイムパスワードの入力といった、別要素の認証方法を組み合わせるのが一般的です。
▼多要素認証のイメージ
このように「IPアドレスの制限」や「多要素認証の導入」とシングルサインオンを組み合わせることで、アカウントの乗っ取りや不正アクセスを防ぐことができます。
シングルサインオンの4つの仕組み(種類)
シングルサインオンには、大きく4種類の仕組みがあります。
| 1. リバースプロキシ方式 |
ブラウザとWebアプリケーションサーバーの間に「リバースプロキシサーバー」という中継サーバーを設置する仕組み。システムにアクセスする際は、リバースプロキシサーバーを経由してログインする。
メリット デメリット |
|---|---|
| 2. エージェント方式 |
Webアプリケーションサーバーに、認証を代行する「エージェントソフト」を組み込む仕組み。エージェントソフトがユーザーの代わりに、認証情報を管理するサーバーとやりとりを行う。
メリット デメリット |
| 3. 代理認証方式 |
PC内のエージェントソフト(ユーザーの代理で処理をするソフトウェア)が、シングルサインオンのログイン画面の起動を検知し、ユーザーの代わりにログイン情報を入力する仕組み。 ユーザーはあらかじめ、使用する端末にエージェントソフトをインストールしておく。 メリット デメリット |
| 4. フェデレーション方式 |
SAML認証とも呼ばれ、サービスプロバイダ(ログイン先となるサービス)と、アイデンティティプロバイダ(シングルサインオンの提供者)の間で、認証情報を管理する仕組み。
メリット デメリット |
これらシングルサインオンの種類には、それぞれにメリット・デメリットがあり、自社の環境に適した仕組みを導入する必要があります。
例えば、「1.リバースプロキシ方式」はサーバーにアクセスが集中しやすいため、数万人規模の大企業の利用には適していないと言えます。
また昨今、注目されている「IDaaS(アイダース)」には、「3.代理認証方式」「4.フェデレーション方式」が該当します。
IDaaSとはクラウド型でIDを管理し、シングルサインオンやアクセス制限を付与できるサービスのことです。クラウドサービスだけでの運用はもちろん、クラウドとオンプレミスの混合環境でも、IDやパスワードの認証を一元管理することが可能です。
特に、SAMLに対応しているサービスであれば、異なるクラウドを連携して利用できる「4.フェデレーション方式」は、今注目を集めているシングルサインオンの方式です。
Microsoft 365 やSalesforceなど、SAMLに対応するアプリケーションも増えており、今後シングルサインオンの中で主流になっていくことが予想されます。
シングルサインオン選定時のポイント
シングルサインオンを選定する例は、最低でも以下の6つのポイントを確認するようにしましょう。
- 1. 既存システムとの連携
- 2. 対応デバイス
- 3. 提供形態(オンプレミスかクラウドか)
- 4. 運用・管理のしやすさ
- 5. サポート体制
- 6. コスト
1. 既存システムとの連携
導入する製品が
- ・ 既に利用している社内システムやクラウドサービスなどと連携可能か
- ・ 既存のネットワーク構成で導入できるか
- ・ 今後利用予定のシステムで使用可能か
- ・ 既存の多要素認証に対応しているか
など、既存のシステムとうまく連携できるか、現在の環境でも問題なく導入できそうかをしっかり確認しましょう。また、既存のシステムまたはシングルサインオン製品の連携対象が拡大されていないかも、あわせて確認するようにしてください。
2. 対応デバイス
パソコンだけでなく、スマートフォンやタブレットを業務で使う場合は、これらのデバイスにも対応したシングルサインオンを選定するようにしてください。
今後の業務形態が変わる可能性を見越して、あらかじめマルチデバイス対応のものを選定しておくのもおすすめです。
3. 提供形態(オンプレミスかクラウドか)
シングルサインオンの提供は、ソフトウェアを自社で保有するオンプレミス型とソフトウェアをクラウド上で管理するクラウド型に分けられます。
オンプレミス型は初期費用や維持費が高く、運用管理が難しいものの、カスタマイズ性が高くセキュリティリスクが低くなります。一方クラウド型は、初期費用や維持費が抑えられ環境構築がしやすいものの、既存システムの統合や連携の自由度が低い可能性もあります。
シングルサインオン導入後のことも考え、運用する組織に適した提供形態のものを選定してください。
4. 運用・管理のしやすさ
運用・管理がしにくいと、専門的な知識を持った人材が新たに必要になったり、運用管理に余計に人材を確保したりしなければなりません。
既存の体制や人員に適した運用・管理ができるものを選定し、導入後スムーズに運用・管理できるように事前に社内教育を施すなどといった体制を整えるようにしましょう。
5. サポート体制
シングルサインオン製品に万が一トラブルが発生したときのことを考えて、サポート体制が充実しているかも確認しておきましょう。
特に
- ・ 日本語で対応可能か
- ・ 対応手段は電話かチャットか
- ・ 24時間サポートが可能か
などは最低限確認しておきたいところです。
また、サポート範囲についてもよく確認することが大切です。
6. コスト
シングルサインオンを導入するのにはコストがかかります。機能、サービス、セキュリティごとに料金が変わるのはもちろんですが、1アカウントごと、100アカウントごとなどで料金プランが異なるので、業務形態に則したものを選んでください。
また、費用対効果について検討するのも大切です。求める効果に見合うコストのものを選定しましょう。
シングルサインオンの設定はLANSCOPEプロフェッショナルサービスにお任せ
シングルサインオンは、一度IDとパスワードを入力するだけで、連携している複数のアプリやクラウドサービスにログインできるという非常に便利な特徴を持っています。
しかしその反面、設定や管理を誤ってしまうと大きなセキュリティリスクとなりかねません。
ご利用中のクラウドサービスにて「多要素認証」など、認証・アクセス権限まわりのセキュリティ設定を見直す際は、LANSCOPEプロフェッショナルサービスの「クラウドセキュリティ診断」をご検討ください。
知識豊富なエキスパートが、お客様のクラウド環境を診断し、不正アクセスや情報漏洩に繋がる「設定漏れやミス」を着実に発見。解決策をご提案します。
また対応可能なクラウドサービスは多岐にわたるため、幅広いお客様のクラウド設定の不安解消に、お力添えすることが可能です。
▼対応可能なクラウドサービスの診断一覧
- ・ Microsoft 365 セキュリティ診断
- ・ Google Workspace セキュリティ診断
- ・ Salesforce セキュリティ診断
- ・ Amazon Web Services(AWS)セキュリティ診断
- ・ Microsoft Azure セキュリティ診断
- ・ Google Cloud Platfor (GCP)セキュリティ診断
- ・ Zoom セキュリティ診断
- ・ Box セキュリティ診断
- ・ Slack セキュリティ診断
まとめ
本記事ではシングルサインオンが注目されている理由や選定時のポイントなどについて解説しました。
▼本記事のまとめ
- シングルサインオンは、一度ログイン認証するとそれ以降、他のサービスで自動的かつ安全に認証してくれる機能であり、多くのID・パスワードの組み合わせを管理する必要がなく、業務効率向上とセキュリティリスク低減を両立できる
- シングルサインオンは便利な一方、不正アクセスされると連鎖的に被害が広がるので、多要素認証やIPアドレス制限などと組み合わせて導入する必要がある
- シングルサインオンはいくつか種類があり、企業のネットワークの構成や使用するサービスの種類によって適切に選定することが大切である
シングルサインオンを導入することで、数多くのID・パスワードを管理する手間が省け、業務の効率化とセキュリティリスク低減の両立が可能となります。
ただし、不正アクセスされると連鎖的に被害が広がるといった注意点もあるので、導入の際にはセキュリティ対策を強固にする必要があります。
この記事がシングルサインオンを導入するための参考になれば幸いです。
関連する記事
