個別のパスワードに代わる新たな認証方法として、シングルサインオン(SSO)があります。情報セキュリティの面で、基本的には利用するのが安全ですが、その一方でデメリットも存在しています。
本記事ではシングルサインオンのメリット・デメリット併せてご紹介しますので、導入の参考にしてみてください。
また、企業の情報セキュリティを担当している方へ、LRM では企業がやるべきセキュリティ対策が一目瞭然のセキュリティチェックシートを無料で配布しています。ぜひご活用ください。
シングルサインオンとは
シングルサインオン(SSO)とは、1組のID・パスワードによる認証を1度行うだけで、複数のサービスやシステムにログインできるようにする仕組みのことです。
シングルサインオンではない通常のIDとパスワードによる認証では、システムやサービスごとにIDとパスワードを設定して、必要に応じて個別に認証することが必要です。
しかし、シングルサインオンであれば、1組のIDとパスワードの組み合わせで済むため、記憶しなければならないIDとパスワードの数が減り、かつ一度で複数のサービス・システムに認証できるため、ユーザの負担を大きく減らすことが可能です。
シングルサインオンが必要とされる背景
一般に、企業の従業員が保有しているID・パスワードの平均個数は27個以上と言われています。
従業員の記憶力にもよりますが、27以上のIDとパスワードを記憶して使い分けるのは困難でしょう。
しかし、紙にメモしておく、覚えやすいかんたんなパスワードにする、同じパスワードを使いまわす、といった方法はセキュリティ上避けられるべきです。
また通常のIDとパスワードによる認証では、サービスやアプリのログインの手間が都度発生して、業務効率が低下します。
情報システム部からしても、従業員のログイントラブルへの対応に追われてしまうのは避けたいものです。
このような背景があったことで、シングルサインオンは徐々に導入が進められていきました。
シングルサインオンのメリット
ここでシングルサインオンのメリットについて見ていきましょう。
具体的には以下の3つがメリットとしてあげられます。
利便性の向上
シングルサインオンを導入することで、利便性が向上します。
ユーザーもサービスやシステムの管理者も、管理すべきIDとパスワードの組み合わせを減らせるため、負担も大きく減少させられます。
また複数のサービスやシステムをまたがって利用するケースでも、一度の認証で済ませられます。
セキュリティリスク軽減
シングルサインオンの導入により、セキュリティリスク軽減のメリットもあります。
サービスやツールごとに個別のパスワードを設定している場合、その管理が煩雑であったり、覚えることがむずかしかったりで、使いまわしやかんたんなパスワード、紙のメモの使用といった杜撰なパスワード管理が行われやすく、これではセキュリティ上適切であるとは言えません。
シングルサインオンを利用すると、そうした杜撰な対応をせずとも楽にパスワード管理ができます。
管理リソースやコストの削減
業務で管理しているシステムやサービスの多くは、複数の従業員が利用するものです。
シングルサインオンを導入すると、管理リソースやコストの削減に繋がります。
これは管理者が管理すべきIDとパスワードの数を大幅に削減できることと、社員自身がしっかりと自分のIDとパスワードを管理できることによります。
シングルサインオンのデメリット
ここまでお伝えしたようなメリットもある一方で、シングルサインオンには下記のようなデメリットもあります。
一元管理によるリスクの増大
複数のサービスやシステムを一組のIDとパスワードで認証できることはもちろん大きなメリットですが、万が一、このシングルサインオン用のIDとパスワードが漏えいしてしまった場合、すべてのサービスやシステムへの外部からの不正アクセスを許すことにもなりかねません。
システムの停止
シングルサインオンは認証のための特殊なシステムです。
このシステムが停止してしまった場合、シングルサインオンでの認証を利用していたサービスやシステムにログインできなくなってしまうことが考えられます。
認証ができず、サービスやシステムの利用ができなくなってしまうと、業務進捗への影響も当然懸念されます。
導入のためのコスト
当然ですが、シングルサインオンはサービスですので、導入にコストがかかります。
自社サーバーにソフトウェアをインストールするオンプレミス型と、クラウドで利用できるクラウドサービス型がありますが、いずれにしても一定のコストは必要です。
シングルサインオンのデメリットに対応するには
こうしたデメリットに対処するには、以下のような方法があります。
シングルサインオンに他のアクセス制限方法・認証を組み合わせて緩和する方法です。
IPアドレス制限によるアクセス制限をかける
IPアドレスのレベルでアクセス制限をかけると、シングルサインオンに用いられるパスワードが漏えいした場合でも、不正なアクセスをブロックできます。
会社が認めるIPアドレスからのアクセスしか認めないことになるので、外部からのアクセスはシャットアウトできるのです。
特に機密性が高い情報にはIPアドレス制限をかける等のルールを決めておくと、不正アクセス発生時の被害を最小限にすることが可能です。
電子証明書がインストールされているデバイスからのみアクセスを許可する
電子証明書を発行し、それをインストール済みのデバイスからのみのアクセスを認める方式もあります。
静的IPアドレスは偽装されてしまう可能性もありますが、暗号化技術を用いた電子証明書を利用すると、さらにシングルサインオンのデメリットに確実に対応することができます。
ワンタイムパスワードによる認証を組み合わせる
シングルサインオンにワンタイムパスワードを設定すると、シングルサインオンに使われるパスワードが流出したとしても、不正アクセスを防ぐことが出来ます。
ワンタイムパスワードとは、メインのパスワードとは別に、一時的に発行されるパスワードのことです。
数秒~24時間など有効期限は様々ですが、一時的かつユーザーのみが知りえるパスワードとなります。
この方法であれば、メインパスワードが流出しても、不正アクセスにつながる可能性がかなり抑えられます。なお、このように2つ以上の認証を組み合わせることを「多要素認証」と言います。
シングルサインオンの認証方式
シングルサインオンの認証方式は以下の3つの仕組みがあります。
SAML認証(フェデレーション方式)
SAML認証(フェデレーション方式)とは、IDの管理と認証を行うIDプロバイダで管理されているユーザーの認証情報を使用して、連携しているさまざまなサービスやシステムへのシングルサインオンが可能となる方式です。
IdP(Identity Provider)とSP(Service Provider)という、2つのシステム(Webサービス)を利用し、IdPから、SPへと、サインオン情報を送信します。
クラウドサービスなどのサービスを複数使っている場合に理論上はメリットがあります。異なるドメインのサービスやシステムでも認証情報を連携できるからです。
しかし、実際に対応しているサービスはまだ限られています。
ちなみに、弊社が開発・運営するセキュリオはSAML認証に対応しています。
フォームベース認証(代理認証方式)
フォームベース認証とは、ユーザーの代わりにシステムが代理で認証する方式です。
アカウント情報データベ―スにユーザー情報を格納し、システムで認証します。
SAML認証に対応していないクラウドサービスや、Webブラウザ上でログインフォームを利用する社内システムなどで利用できます。
代行認証方式を実行するには、PCに専用エージェントを導入することと、アカウント情報データベースに接続できる環境構築が必要です。
Basic認証(代理認証方式)
Basic認証(代理認証方式)とは、IDとパスワードの情報をHTTPヘッダに追加してサーバーに送信することで認証する仕組みのことです。
専用エージェントが不要であることから、実装は容易ですが、それほどセキュリティが強固ではありません。
そこで、社内LANで稼働しているサービスやシステムなど、ある程度アクセスが限定されている環境で使用されることが多いです。
シングルサインオンシステムの選び方
解決したい課題を明確にする
ITシステムやサービスを利用するうえで基本的なことですが、まずは何のためにSSOを導入するのか明確にします。
- 現状存在する課題・要求は何か
- その解決に必要なモノ・コトは何か
- SSOを導入したらどんなアドバンテージがあるのか
こうしたことを整理しておきましょう。
また、SSOの導入によって発生するかもしれない悪影響やデメリットについても想定すると、尚良いです。
ID管理・情報セキュリティ対策が効率的にできるか確認する
SSOの基本的なメリットは、ID管理の面での効率化と情報セキュリティ対策です。
それを踏まえて上記、解決したい課題と照らし合わせてSSOの導入が目的に沿ったものであるかを確認します。
自社のユーザ・ID数やその他環境も加味し、自社にとって必要十分な情報セキュリティ対策に繋がるかを吟味しましょう。
他に利用しているシステムとの整合性を確認する
自社で利用しているWebサービスやアプリケーションとの連携が可能かを必ず確認しましょう。
また、サービスによっては成長段階にあり、順次連携サービスを拡大している場合があります。
サービスのホームページで対応予定を把握する、場合によっては問い合わせてみるのも良いでしょう。
コスト・リソースを確保する
ここがなかなか悩ましいところですが、サービスの導入・運用には一定のコスト・リソースがかかります。
まずは自社にどれだけのコスト・リソースがあるのか確認し、確保しましょう。
また、そのコスト・リソースに見合うだけのメリットがあるSSOを選びましょう。
LRMが提供するシングルサインオンサービス
LRMでは、クラウドやオンプレミスシステムなどで動作しているアプリケーションの利用で必要なID管理や認証機能を、アプリケーションとは分離して利用できるGluegentGateというIDaaSを提供しています。
これはシングルサインオン・アクセス制御・多要素認証・統合アカウント管理をパッケージにしたもので、サービスやシステムにアクセスできる人や場所、端末の管理を可能とします。
導入後は製品の最新情報を適宜公開しているので、常に最新の状態で利用できるためセキュリティ対策も万全です。
シンプルで分かりやすいUIで、パソコンだけでなくスマートフォンやタブレットの画面にも最適化しているので、どのような環境でも操作性も抜群。まずはお気軽にお問い合わせください。
まとめ
シングルサインオンは、多数のパスワードを管理することから生じるセキュリティリスクに対応できるものです。業務負担の軽減や、コストカットの効果もあります。
ただし、シングルサインオンは1つのパスワードで多くのシステムへのアクセスを認めるものです。
一元管理からくる、不正アクセスのリスクに対応できないといったデメリットはカバーする必要があります。
さらに認証方式を組み合わせて多要素認証とすること・IPアドレスや電子証明書などによるアクセス制限を利用するなどして、不正アクセスのリスクに備える必要があります。
