シングルサインオンの仕組みを解説!シングルサインオンを導入するメリット・デメリットは?導入前のチェックポイントもご紹介!

企業で業務を行う上で、クラウドサービスの利用は欠かせません。

また、利用するサービスの種類も1つではなくそれぞれのサービスにログインを行う際に異なるID・パスワードが必要です。

使う種類が増えるほど毎回のログインの手間は多くなり、パスワードの管理も面倒になるでしょう。

今回はそういった負担を軽減するシングルサインオンのシステムについて解説していきます。

シングルサインオンの仕組みやメリット・デメリットなどについて詳しくご紹介しますので、ぜひ参考にしてみてください。

シングルサインオンの特徴

シングルサインオンはWeb上のさまざまなシステムにアクセスする際にIDやパスワードを統合して管理できるシステムです。

シングルサインオンを使用することで1つのパスワードを使って複数のサービスにログインすることができます。

Web上の多くのシステムを使う時にはIDやパスワードを必ずといっていいほど入力しなければなりません。

そうすることで他者の不正ログインを防いでいますが、使用するシステムが増えていくほど管理するID・パスワードも増えていきます。

それぞれのシステムごとに使い分けることがセキュリティ面では良いのですが、いくつものパスワードを覚えておくのは大変です。

利便性を高めるためにすべてのID・パスワードを同じにしてしまうと、流出した際のリスクが非常に大きくなってしまいます。

シングルサインオンはID・パスワードを統合した状態で、かつ安全に運用する手法として利用されるケースが増えているのです。

 

ワンポイント
シングルサインオンはID・パスワードを統合し、セキュリティ面を担保した上で複数のサービスにログインすることができるシステム。

シングルサインオンの仕組み

一口にシングルサインオンといっても実装方法はさまざまです。

代表的なシングルサインオンの4つの方式について解説していきましょう。

フェデレーション方式

利用するクラウドサービスとユーザーのデジタルIDを管理するIDプロバイダーとの間で情報をやり取りします。

信頼性の高いクラウドサービスに情報を登録することで、複数のサービスにログインができるようになる方式です。

通信ルールとなる標準プロトコルの代表的なものにSAMLやOpenID Connectが使われています。

この方式ではクラウドサービス間で情報をやり取りする際に、ユーザーのパスワード自体は使われないのでセキュリティ面で優秀です。

海外では主流の方式ですが、日本国内のサービスではこの標準プロトコルに対応しているものがまだ多くありません。

そのため、海外のサービスほど広がっておらず使えるクラウドサービスが限定されているのが現状です。

代行認証方式

代行認証方式ではクラウド上のさまざまなサービスのID・パスワードを一元管理するIDaaSのサービスを活用した方式です。

ユーザーの代わりにIDaaSのシステムを使って代理でログイン情報を入力します。

ログイン情報の入力をシステムが代行するだけなので、ログインする対象のWebアプリケーション側での改修を必要としません。

その代わりにシステムを利用するPCすべてに代行機能を備えたエージェントソフトを導入する必要があります。

エージェント方式

エージェント方式は代行認証方式とは反対にWebアプリケーションのサーバーにエージェントソフトをインストールします。

ユーザーのID・パスワードの情報を認証サーバーに保存し、各サービスにログインする際には認証サーバーに情報を要求する方式です。

この方式を採用しているWebアプリケーションのうち、1つでもログインされていればそのログイン情報が認証サーバーに送られます。

そのデータを受け取ることで、その他のWebアプリケーションでもパスワードの入力をすることなくログインできる仕組みです。

エージェント方式の場合対象のアプリケーションにエージェントを導入できれば、既存の環境を大きく変更する必要がありません。

ただし、エージェントは定期的にアップデートが必要となり使用するアプリケーションが多くなるほどコストが大きくなります。

リバースプロキシ方式

この方式ではリバースプロキシサーバーという専用サーバーを設置し、このサーバーにエージェントをインストールさせます。

ユーザーがログインする際には必ずこのサーバーを経由し、エージェントによってユーザーの認証が行われる仕組みです。

エージェント方式とは違い、利用するサービスそれぞれにエージェントを導入する手間が省けます。

その反面常にリバースプロキシサーバーを経由するため、アクセスが集中した際にサーバーの負荷が非常に大きくなるのです。

 

ユーザビリティの事例はこちら

 

シングルサインオンを導入するメリット

シングルサインオンを導入するメリットについて解説していきます。

ログインにかかる負担を軽減できる

複数のサービスを利用する際には、その都度ログイン情報の入力が必要となるため工数がかかります。

また、それぞれのサービスのID・パスワードを管理することも容易ではありません。

シングルサインオンを導入することで、最小限のログイン情報の入力で複数のサービスの利用が可能になります。

毎日多くのサービスを利用する企業では、手動でログイン作業を行うと企業全体で考えると多くの時間を費やさなければなりません。

その手間が省けるだけでも大きく生産性は向上するでしょう。

セキュリティリスクの低減につながる

ログインに使用するパスワードはすべてのサービスで別のものを使用し、かつ長い文字数であることが好ましいとされています。

しかし、それらをすべて記憶しておくことは難しいでしょう。

そのため、手動で入力する場合では覚えやすい簡単なものや複数のサービスで同じパスワードを使い回しがちです。

推測されやすいパスワードを使うことは、不正ログインの可能性を高めてしまいセキュリティ面で大きなリスクを生んでしまいます。

シングルサインオンでは複数のパスワードを記憶することなく多くのサービスにログインすることが可能になるのです。

パスワード使い回しなどのセキュリティ面の不安を取り除き、安全に多くのサービスを利用することができます。

管理の負担を軽減できる

セキュリティリスクはハッキングなどのWeb上で起きることだけではありません。

パスワードを管理する管理者の人為的ミスによっても流出の危険があるのです。

パスワードを忘れてしまう場合や、紙に書いて保管した場合ではその紙を紛失してしまうと大きなセキュリティリスクにつながります。

シングルサインオンを導入することによって、こういった人為的ミスも事前に防ぐことができるでしょう。

 

ワンポイント
・サービスにログインする度にかかる負担を軽減できる
・複数のパスワードを記憶することがない上にセキュリティ面でも安全性を担保できる
・パスワード忘れなどの人為的ミスを防げる

シングルサインオンを導入するデメリット

シングルサインオンを導入した場合のデメリットについても解説していきましょう。

パスワード漏洩時のリスクが高い

シングルサインオンでは1つの認証を行うことによって複数のサービスにログインできる便利なサービスです。

しかし、裏を返すとその認証情報が流出してしまうと他のサービスにも簡単に不正ログインが可能となってしまいます。

そういった不正ログインを防ぐためには認証を行う際に通常のID・パスワードを入力する以外の工夫が必要です。

ワンタイムパスワードで都度パスワードを変更する、生体認証を使い他人ではログインできないようにすることなどが効果的でしょう。

管理システム障害時の影響が大きい

シングルサインオンでは1つのサーバーやシステムに対する依存度が大きい傾向があります。

そのため、その中枢となるシステムに障害が起きてしまうとすべてのサービスにログインできない状態を招く場合があるのです。

それぞれのサービスのログイン情報をすべてシングルサインオンのシステムに集中させている場合では手動でのログインはできません。

管理システムに障害が起きた場合には別の方法でログインする方法を想定しておくことが必要でしょう。

連携できないサービスもある

シングルサインオンの手法はいろいろとありますが、自社が導入した方式がすべてのクラウドサービスで対応しているとは限りません。

海外では主流のプロトコルであっても日本のサービスではまだ連携していないサービスも数多くあります。

その場合はシングルサインオンを導入したとしても、1つのシステムですべてのサービスをカバーできない場合もあるのです。

導入する際には自社の使うサービスで利用可能かどうか事前によく調べた上で利便性を高められるか検討したほうが良いでしょう。

 

ユーザビリティの事例はこちら

 

シングルサインオン導入前のチェックポイント

シングルサインオンを導入する前のチェックポイントについて解説していきます。

自社の課題や導入する必要性

シングルサインオンは複数のサービスに1つの認証のみでログインすることを目的として導入されます。

しかし、すべてのクラウドサービスが共通してシングルサインオンのシステムに対応しているとは限りません。

そのため、自社が使用しているサービスが導入を検討しているシングルサインオンに対応しているか確認する必要があります。

シングルサインオンを導入したとしても、対応しているサービスが少なければ導入の必要性が感じられません。

自社の課題を解決できるようなシングルサインオンのシステムを導入することが重要です。

導入に必要な人員を確保できるか

シングルサインオンのシステムを導入するためには、サーバーの構築やアプリケーションの修正などで人員を割く必要があります。

導入するシステムの種類によってもかかる工数に差が出ますが、どのシステムでも少なからず準備が必要です。

通常業務と並行して行う必要があるので、その人員をどれだけ確保できるかの精査も行わなければなりません。

作業内容によっては通常の業務に支障をきたす場合もあるので、そのカバーを行うことも想定して人員を配置することが重要です。

 

ワンポイント
・自社の使うサービスで利用できるシステムか確認する
・導入することで得られるメリットと導入にかかるコストを照らし合わせて考える

シングルサインオン製品を選ぶ際のポイント

シングルサインオンの製品を選ぶ際のポイントについて解説していきます。

システム連携に対応しているか

シングルサインオンを導入する際の一番のポイントは既存システムと連携できるかどうかです。

システムによってはそのまま連携させることができる場合もありますが、うまく連携できない場合では修正が必要になります。

その修正箇所が多いほどコストもかかり確保する人員の数も多くなるのです。

また、場合によっては既存システムの一部が機能しなくなることもあります。

相対的に見てシステムを導入するメリットを考慮した上で検討する必要があるのです。

導入にかかるコスト

シングルサインオンを導入するには当然ながらコストをかけなければなりません。

導入するシステムによって異なりますが、アプリケーションごとにツールを整備することや新規サーバーの構築などが必要となります。

シングルサインオンを効果的に活用すると、企業全体の社員が行うログイン作業の時間が短縮可能です。

作業単位で見ると数秒のことでも、企業全体の年間の作業時間で考えると大きな時間が短縮できその分の人件費を浮かせられます。

使えるシステムの数などによって削減できるコストの量は変わるので、導入コストと照らし合わせて考えることが重要です。

 

ユーザビリティの事例はこちら

 

シングルサインオン導入後の注意点

シングルサインオン導入後にも注意するポイントがあります。

複数サービスに1つの認証だけでログインできる便利なシステムではありますが、その分セキュリティ面のリスクもあるのです。

シングルサインオンの認証情報が流出してしまうと、大きなリスクを生んでしまうのでセキュリティレベルを強化する必要があります。

ワンタイムパスワードや生体認証を使い、万が一認証情報が流出しても不正アクセスを防ぐような仕組み作りが重要です。

定期的に使用しているパスワードを更新することもセキュリティを強化できるポイントでしょう。

また、社内のユーザーの中でも段階的にアクセス制限を行うことも必要です。

シングルサインオンの認証を使い社内ユーザーがすべてのシステムにログインできてしまうと不都合が出る場合もあります。

社内の情報でも機密性の高いものに関しては漏えいリスクを最小限にするため、アクセス制限をかけなければなりません。

シングルサインオンの導入に合わせて、他の認証システムを組み合わせることで適切にアクセス制限することも必要です。

 

ワンポイント
・ワンタイムパスワードや生体認証を使いセキュリティーレベルを上げる必要がある
・機密性の高い情報を保護するために社内のシステムの中でもアクセス制限をかける

シングルサインオン製品例

シングルサインオン製品として以下の3つをご紹介します。

  • AccessMatrixUSO
  • CloudLink
  • SSOcube

AccessMatrixUSOは利用環境を一切変更することなくシングルサインオンを実現できるシステムです。

アプリケーションサーバーへツールの追加やプログラミングを行わずに、独自のシステムを使い操作性も変化させずに利用できます。

ICカードや生体認証、デジタル証明書などの多要素認証とも連携しているためセキュリティ面を強化した上で運用可能です。

CloudLinkは認証情報を受け渡す標準プロトコルであるSAMLを使い代理認証機能をサポートします。

端末制限機能も搭載し、WebブラウザにCookieを発行することで使用する端末側にはツールの導入を行わずにアクセス制限が可能です。

比較的低コストでの導入ができることも、このシステムのメリットでしょう。

SSOcubeはAccessMatrixUSOと同じ企業が提供する、100~3,000ユーザーの中小規模事業者向けのサービスです。

中小規模のシステムで短期間で容易にシステムの導入を行うことを目的としています。

ユーザーの代わりに情報を入力する代理入力方式を採用し、アプリケーションの改変をすることなくシステムの導入が可能です。

また、マトリクス認証を使ったワンタイムパスワードを使うことでセキュリティ面も強固なものとなっています。

シングルサインオンの導入で悩んだら

シングルサインオンは日々のログイン作業の軽減や、使用頻度の低いシステムのパスワード忘れなどを防げる便利なシステムです。

しかし、さまざまな方式がある上に導入を検討しているシステムに自社が使うすべてのサービスが対応しているとは限りません。

自社のシステムと相性の良いものをコスト面などを含めて選択することが重要です。

シングルサインオンの導入で悩みがあれば、ぜひデジマクラスにご相談ください。

デジマクラスでは豊富な業界知識ノウハウを使い的確なアドバイスを行うことが可能です。

シングルサインオン導入後のセキュリティ面の強化や、利用サービスの見直しなどについてもサポートいたします。

まとめ

企業で利用される利便性の高いクラウドサービスが増えていくほどID・パスワードを管理したり入力したりする工数は増えていきます。

シングルサインオンはそうしたパスワード管理の手間を省き、最小限の認証作業で多くのサービスへのログインを可能にするシステムです。

日々のログイン作業の負担が軽減できれば生産性が向上し企業に大きなメリットをもたらします。

シングルサインオンの種類によって対応できるサービスも変わるので、不明点があれば専門家のアドバイスを受けることがおすすめです。

コスト面なども照らし合わせた上で自社に合ったシステムを選択していきましょう。

最新情報をチェックしよう!