CORPORATE
SEARCH検索
  1. TOP
  2. セキュリティ全般
  3. 情報 セキュリティ
  4. 記事一覧
  5. シングルサインオン(SSO)とは?導入するメリット・デメリット

シングルサインオン(SSO)とは?導入するメリット・デメリット

「シングルサインオンとは?仕組みやメリット・デメリットを知りたい」という疑問を持っている方はいませんか?シングルサインオンとは、ユーザーが一度の認証で複数のシステムにアクセスできるようにする技術のことです。

クラウドサービスの利用が拡大している現代において、業務の効率化が見込めるシングルサインオンが注目されています。今回は、シングルサインオンのメリット・デメリット、認証方式の種類、システムの選び方を解説します。

目次

[ 開く ] [ 閉じる ]
  1. シングルサインオン(SSO)とは
  2. シングルサインオンが注目される背景
  3. シングルサインオンを導入するメリット
  4. 利便性の向上による業務効率化
  5. セキュリティ対策の強化
  6. 管理リソースとコストの削減
  7. シングルサインオンを導入するデメリット
  8. 不正アクセス時のリスクが大きい
  9. 対応していないサービスがある
  10. 認証システムが停止するとログインできない
  11. シングルサインオンの認証方式の種類
  12. SAML認証(フェデレーション)方式
  13. フォームベース認証(代理認証)方式
  14. Basic認証(代理認証)方式
  15. エージェント方式
  16. ケルベロス方式
  17. リバースプロキシ方式
  18. 透過型方式
  19. シングルサインオンシステムの選び方
  20. 自社で運用・管理しやすいか
  21. 既存・導入予定のサービスと連携できるか
  22. セキュリティ対策が十分に備わっているか
  23. トラスト・ログイン byGMOがシングルサインオンの導入を徹底サポート
  24. まとめ

シングルサインオン(SSO)とは

シングルサインオン(SSO:Single Sign-On)とは、ユーザーが一度の認証で複数のシステムにアクセスできるようにする技術のことです。この技術の導入により、ユーザーは異なるサービスで別々の認証手続きを行う必要がなくなります。

認証の基本的なプロセスとしては、ログイン時にSSOサーバーを通じて複数のサービスでユーザー認証されます。例えば、アプリA・B・Cを利用する場合でも、一度ログインしてSSOサーバーで認識連携されれば、アプリA・B・Cそれぞれで認証する必要がありません。

このシングルサインオンはユーザーの利便性を向上させるだけでなく、パスワードの管理や保管を効率化し、セキュリティ対策を高めることが可能です。

シングルサインオンが注目される背景

コロナ禍によるリモートワークの普及、そして企業のDX化が推進されていることで、日々の業務でクラウドサービスの利用が拡大しています。例えば、以下のようなクラウドサービスが挙げられます。

▼利用拡大するクラウドサービスの一例

  • ビジネスチャットツール
  • Web会議システム
  • Google Workspace
  • Microsoft Azure
  • Amazon Web Services

業種によっては会計管理や勤怠管理についても、クラウドサービスを利用している場合があります。利用するクラウドサービスの種類が多くなると、その分ログインする手間や認証情報を管理する手間が増えてしまいます。

そこで注目されているのが、これらの課題を解決するシングルサインオンです。クラウドサービスの利用が拡大している現代において、運用の効率化やセキュリティ対策の強化のために、シングルサインオンの導入が求められているのです。

シングルサインオンを導入するメリット

シングルサインオンを導入すれば、複数のメリットが見込めます。主なものとして、以下3つのメリットを紹介します。

  1. 利便性の向上による業務効率化
  2. セキュリティ対策の強化
  3. 管理リソースとコストの削減

各ポイントを1つずつ解説します。

利便性の向上による業務効率化

一度のログインで複数のシステムやサービスにアクセスできるようになるため、業務の効率化が図れます。

例えば、企業内で複数のクラウドサービスを利用している場合、通常であれば各サービスごとにログインする手間が発生します。一つのサービスにログインする手間は大きくありませんが、実行する社員が増え、毎日積み重ねるものと考えると、大きなロスに繋がります。

その点、社内にシングルサインオンを導入すれば、一度の認証で全てのサービスにアクセスが可能となり、ログインにかかる手間や時間を大幅に削減することができるのです。

セキュリティ対策の強化

シングルサインオンの導入はセキュリティ対策の強化にも貢献します。なぜなら、認証情報が漏えいするリスクが軽減し、より強固なパスワードの設定に繋がるためです。

通常、多くのサービスを利用する場合、サービスと同じ数だけIDとパスワードを作成し、それらを適切に管理する必要があります。複数の認証情報を忘れないために、パスワードを使いまわしたり、メモに残しておいたりなどで管理を怠り、セキュリティが脆弱化する可能性があります。

一方で、社内にシングルサインオンを導入し、一つのIDとパスワードだけでログインできるようになれば、記号や英大文字を組み合わせた強固なパスワードを設定しても苦ではありません。また、複数の認証情報を管理する場合に比べて漏えいする経路も減るため、セキュリティ対策の強化に繋がります。

【関連記事】企業が取り組むべきセキュリティ対策とは?重要性や対策内容を解説

管理リソースとコストの削減

シングルサインオンは、管理リソースとコストの削減も期待できます。社員は一つの認証情報で多くのサービスにアクセスできるため、各サービスごとのIDやパスワードをそれぞれ管理する必要がありません。また、情報システム部門やIT部門も社員が利用しているクラウドサービスのID、パスワードを一元管理できるため部署異動、退職時の対応など管理工数が削減できます。

▼シングルサインオンの導入によるリソース・コストの削減例

  • 社員一人ひとりが大量のIDとパスワードを管理する必要がなくなる
  • パスワードを忘れた際の再設定リクエストの数が減少する
  • 誤ったパスワードを入力してアカウントがロックされるリスクが減る
  • 部署異動、退職時の管理工数が削減

多くの社員を抱える企業の場合、認証情報の管理リソースやコストを削減することで、業務に大きな影響を与える可能性があります。

シングルサインオンを導入するデメリット

シングルサインオンを導入することで、一部デメリットも考えられます。導入を検討する上では、以下3つのデメリットの理解が必要です。

  1. 不正アクセス時のリスクが大きい
  2. 対応していないサービスがある
  3. 認証システムが停止するとログインできない

それぞれのポイントを順番に見ていきましょう。

不正アクセス時のリスクが大きい

シングルサインオンは一つの認証情報で複数のサービスにアクセスが可能になるため、悪意のある攻撃者にこの認証情報が知られてしまった場合、被害範囲が広がりやすい傾向にあります。

例えば、メールシステムや業務システムなど、企業の機密情報が集約されているサービス・システムが、一度に攻撃されて被害に遭う可能性があるのです。

効果的な対策として、ワンタイムパスワードや多要素認証を採用する方法があります。認証方法を強固にすることで、情報漏えいした際のリスクを抑えられます。

【関連記事】多要素認証(MFA)とは|二要素認証・二段階認証との違いやメリットを解説

対応していないサービスがある

対応していないサービスがあることも忘れてはいけません。旧来のシステムや特定のクラウドサービスなど、認証情報を連携するシングルサインオンの方式に対応していないサービスを利用している場合、そのサービスには別途ログインが必要となります。

シングルサインオンを導入した後に発覚した場合、サービスを連携させるまでの期間が長引いたり、追加料金が発生したりする可能性があります。導入後のトラブルを避けるためにも、シングルサインオンを導入する前に、各サービスが連携可能かどうかを調べておきましょう。

認証システムが停止するとログインできない

シングルサインオンの認証システムが何らかの理由で停止した場合、全てのサービスへのログインができなくなるというリスクもあります。シングルサインオンでは認証システムで情報を一括管理しており、そのシステムに強く依存しているため、システムが停止するとサービスにログインできなくなります。

このトラブルによる業務への支障を避けるため、認証システム停止時の対応フローを事前に確認しておきましょう。また、重要なサービスやシステムの認証情報については、別途管理しておくのも一つの手です。

シングルサインオンの認証方式の種類

シングルサインオンと一言で言っても、認証方式の種類は多岐にわたります。以下、主な認証方式とそれぞれの特徴を解説します。

SAML認証(フェデレーション)方式

SAML(Security Assertion Markup Language)認証は、IDプロバイダ(IdP)で保証されたユーザー認証情報を利用してシングルサインオンする方式です。

この方式を使用すると、サービスにアクセスした時、ユーザーはIdPからIDとパスワードの入力が求められます。他のサービスを利用する際には、IdPから認証情報が共有されるため、シームレスなログインが可能となります。

フォームベース認証(代理認証)方式

フォームベース認証は、ユーザーの代わりにシステムが代理で認証する方式です。入力画面を開くとIDやパスワードを自動で入力してくれるため、ユーザー側の負担が大幅に軽減します。SAML認証に対応していないサービスや社内システムでも、シングルサインオンさせることが可能です。

Basic認証(代理認証)方式

Basic認証もまた代理認証の一種で、HTTPヘッダー内にIDとパスワードを含めて送信する認証方式です。最も簡単に導入できる認証方式ですが、通信内容が暗号化されていないため、セキュリティの観点から不適切な場合があります。

エージェント方式

エージェント方式は、Webサーバーやアプリケーションサーバー上にエージェントソフトウェアを設置し、そのエージェントがユーザー認証を代行する方式です。エージェントが認証サーバーと通信して認証を行い、成功した場合にユーザーに対してアクセス権を提供します。

ケルベロス方式

ケルベロス方式は、KDC(Key Distribution Center:鍵配布センター)を用いた認証方式です。この方式では、サーバーが認証を行った後、その結果を暗号化したチケットをユーザーに提供し、ユーザーはこのチケットを使用して各サービスにアクセスします。

リバースプロキシ方式

リバースプロキシ方式は、リバースプロキシサーバーがユーザーからのアクセスを代行し、その上で認証を行う方式です。アクセスが全てリバースプロキシサーバー経由になるよう、ネットワークを構築する必要があります。

透過型方式

透過型方式は、透過型サーバーを経由してシングルサインオンを行う方式です。サービスとアプリケーションサーバー間に通信を監視するサーバーを設置し、必要な場合にのみ認証情報を送信することで、アプリケーションサーバーの負荷を軽減します。

シングルサインオンシステムの選び方

シングルサインオンシステムを導入する際には、いくつかの要素を考慮する必要があります。特に重要な要素として、以下の3つが挙げられます。

  1. 自社で運用・管理しやすいか
  2. 既存・導入予定のサービスと連携できるか
  3. セキュリティ対策が十分に備わっているか

今後、シングルサインオンを導入する予定の方は、各ポイントの詳細を押さえておきましょう。

自社で運用・管理しやすいか

シングルサインオンシステムは長期的に運用・管理するため、自社で扱いやすいものを選ぶ必要があります。また、システムの扱いやすさだけでなく、運用・管理を担当する従業員のスキル・経験も考慮しましょう。

例えば、大規模なシステムを運用できるスキルやリソースを持つチームが備わっている場合は、高度な機能を有したシングルサインオンシステムを選ぶことが可能です。一方、小規模なチームやシステムの知識がない担当者の場合は、使い勝手の良いシステムや、導入・運用のサポートが充実しているシステムを選びましょう。

既存・導入予定のサービスと連携できるか

既存のサービスとの連携だけでなく、今後導入予定のサービスとも連携できるか確認することも大切です。認証方式の種類によって対応しているサービスやシステムが異なるため、必ず事前に確認しておきましょう。

例えば、SAMLに対応したサービスを導入する場合、シングルサインオンもSAML対応の方式を選ぶ必要があります。試用できるシステムであれば、導入前に実際に利用して確認しましょう。

セキュリティ対策が十分に備わっているか

セキュリティが脆弱だと本末転倒なので、セキュリティ対策が十分なのか、またサポート体制が整っているかをチェックしましょう。脆弱なセキュリティ体制だと、シングルサインオンの利便性が逆手に取られ、多大なリスクを招く可能性があります。

▼確認すべきセキュリティ対策の機能性

  • 二要素認証
  • 多要素認証
  • 異常検知機能
  • アクセスコントロール
  • リアルタイムでのログ監視

シングルサインオンシステムを導入する際には、これらの機能性が十分に備わっているのかを確認しましょう。また、サービス提供者がセキュリティの更新を定期的に行い、対応体制を整えているのかも重要ポイントとなります。

トラスト・ログイン byGMOがシングルサインオンの導入を徹底サポート

GMOトラスト・ログイン

画像引用元:GMOトラスト・ログイン

GMOトラスト・ログイン」は、IDプロバイダー(IDP)としてシングルサインオンをサポートするだけでなく、IP制限や多要素認証といったセキュリティ強化機能を提供しています。これにより、利便性とセキュリティの両方を追求したシステムの導入が可能となります。

また、本サービスではActive Directory連携、Azure Active Directory連携、外部IDP連携(SAML)といったように、幅広いサービスとの連携も可能です。認証強化オプションは以下の通りです。

▼「GMOトラスト・ログイン」が提供する認証強化オプション

  • パスワードレス(プッシュ通知認証)
  • ワンタイムパスワード(OTP)
  • クライアント認証
  • IPアドレス制限
  • ステップアップ認証

これらの特長から、本サービスはシングルサインオンを導入し、同時にセキュリティ対策を強化したい企業に向いています。選択肢の一つとして、ぜひ検討してみてください。

まとめ

本記事では、シングルサインオンのメリット・デメリット、認証方式の種類、システムの選び方を解説しました。

クラウドサービスの利用が拡大している現代では、シングルサインオンが注目を浴びています。システムを導入すれば、利便性の向上による業務効率化を図れるだけでなく、セキュリティ対策の強化にも期待できます。

ただし、導入に当たっては一部デメリットがあり、複数の認証方式があるため注意が必要です。導入を検討中の方は、本記事で紹介したシステムの選び方を参考にしてみてください。

GMOトラスト・ログイン」では、シングルサインオンの導入を全面的にサポートしています。認証強化オプションが充実しているため、セキュリティを強化したい方に向いています。

文責:GMOインターネットグループ株式会社

関連記事

TECHNOLOGY BLOG
SSL GMOグローバルサインのサイトシール