シングルサインオン(SSO)とは?初心者にもわかりやすく解説

schedule 2024/05/29  refresh 2024/05/29

 

現在、DX化の推進により複数のクラウドサービスを利用して業務を行うことが一般的になっています。さらに、業務ごとに異なるクラウドサービスを使うこともあり、利用するクラウドサービスの数も増えています。しかし、利用するサービスの数が増えると、ログインするためのパスワードをいくつも覚えることが困難だったり、思わぬセキュリティリスクをはらんでることもあります。

そこで注目されているのが「シングルサインオン」です。この記事では、シングルサインオンの概要とそれにより解決できる課題や導入方法について、情報セキュリティに関する業務に従事している方も、そうでない方にもわかりやすく解説します。

 

シングルサインオン(SSO)とは

20240524_1


シングルサインオン(Single Sign On)とは、1回のログインで複数のサービスやアプリケーションにアクセスできるようになる機能です。「Single Sign On」を略して「SSO」と呼ばれることもあります。

私たちが日常的に利用しているWebサービスは、会社では勤怠管理システムやチャットツールなどの業務用のクラウドサービス、プライベートではSNSやECサイトなど、多岐にわたります。そういったWebサービスを利用する際には、多くの場合、本人確認(ユーザー認証)が求められます。現状ではほとんどのサービスがIDとパスワード、ワンタイムパスワードなどの組み合わせによって、ユーザー認証を行っています。

通常、サービスにログインする際、サービスごとに異なるログイン画面にIDやパスワードを毎回入力する必要があります。シングルサインオン連携することにより、一度の認証で紐づけられている複数のサービスに同時にログインできるため、一度ログインを行うと追加の認証を行う必要が無く、各サービスごとにそれぞれID/パスワードを入力せずともログインできます。

これにより、複数のID/パスワードを覚えることから解放され、都度ログインする必要もなくなります。さらに、ログインが一回に集約されるため、このログインをよりセキュリティの高い安全な認証方法で行うことで、効果的にセキュリティ対策を行うことができます。利便性とセキュリティの向上を同時に叶えることができる仕組みがシングルサインオンです。

会社で業務用サービスとシングルサインオンするためにはシングルサインオン機能を持つ認証システム(シングルサインオンサービス、SSOサービス)を導入する必要があります。なお、利用しているクラウドサービスや社内システムとの連携可否は、導入するSSOサービスによって異なるため確認が必要です。

 

シングルサインオンで解決する3つの組織課題

近年のDX化推進により、Microsoft 365やGoogle Workspaceなど、企業におけるクラウドサービスの利用数が増加しています。それにより、ユーザーのログイン負担や、パスワード忘れによる問い合わせの増加に加え、セキュリティリスクも高まっており、これらが課題となっています。こうしたさまざまな組織課題もまとめて解決できるのが、シングルサインオンです。

ここでは、利用サービス数の増加により生まれる3つの課題と、シングルサインオンで解決できる理由について解説していきます。

20240524_2-1

 

1)増え続けるID/パスワードを1つに集約

20240524_3

利用するクラウドサービスが1つの場合、覚えるID/パスワード(認証情報)は1つです。しかし、サービスが10や20と増えていくと、ユーザーが覚えなければならないID/パスワードも同様に増えていきます。利用するサービスが増えるたびに覚えなければならないID/パスワードも増え、ユーザーの利便性を損なう恐れがあります。


SSOサービスを導入することで、覚えるID/パスワードは1つで済み、さらに一度のログインで連携するすべてのクラウドサービスにアクセスできるようになります。ユーザーが覚えなければならないID/パスワードは1つであるため、利用するクラウドサービスが増えても、負担になることはありません。今後、DXをさらに加速させ、さらなる業務のクラウド化を推進できます。


2)業務を圧迫する膨大なパスワードリセット依頼を削減

利用するサービスの増加で、ユーザーが覚えなければならないID/パスワードなどの認証情報も増えます。
1~3サービス程度であれば覚えられていたID/パスワードも、10や20と増えていくと、記憶力の限界に達し、覚えることも困難になります。

現在は、Microsoft EdgeやGoogle Chromeなどの各種Webブラウザーで認証情報を記憶させることも可能になりましたが、何らかの原因でこれらのデータが消去されると、普段からパスワードを覚えていないユーザーはログインができなくなります。その場合には、ユーザーは管理者にパスワードリセットなどの問い合わせを行い、管理者は、該当サービスのユーザーパスワードを初期化するなどの操作を行う必要があります。これをサービスごと、または従業員が多ければ従業員ごとに行う必要があり、管理者の業務を圧迫する一因になります。

シングルサインオンでユーザーが管理するID/パスワードを1つにすることで、パスワード忘れが少なくなり、管理者の業務を圧迫する一因となっていたユーザーからの問い合わせが減り、管理者は本来の業務に注力することができます。

◆さらに管理者の業務を削減するには?アカウント管理を自動化する「プロビジョニング」
一方で、管理者は利用するサービスやサービス利用者が増えるたびに、ユーザーの登録や更新などのアカウント管理を行う必要があります。例えば、組織で1つのサービスを利用していた場合、新たに社員が入社すると1つのサービスにユーザー登録が必要になります。利用サービスが増えると、それが10、20と作業が増えます。また、部署異動や昇進などで更新が必要な場合にはサービスごとに更新作業が必要になり、管理者のアカウント管理は、利用サービスが増えるごとに負担が大きくなります。

このアカウント管理の負担を軽減する方法として、アカウント情報を連携サービスに同期させる「プロビジョニング」という機能があります。プロビジョニングについては、ID管理に関するページをご覧ください。


3)パスワードのセキュリティリスクを多要素認証で解決

ユーザーがサービスにログインするためには、ID/パスワードが必要です。複数のサービスを利用している場合には、本来、サービスごとに異なるパスワードを設定する必要があります。

しかし、複雑なパスワードをいくつも記憶するのは困難です。覚えなければならないパスワードが増えることで記憶力の限界を迎え、推測されやすい簡単なパスワードを設定したり、同じパスワードを複数のサービスで使いまわしてしまうケースが多くあります。

そのようなパスワードの運用が原因の不正アクセスが増加したことで、最近はクラウドサービスのログインに、パスワードとワンタイムパスワードを組み合わせた多要素認証を利用してセキュリティを高める組織が増えてきました。ワンタイムパスワード認証ができるクラウドサービスもある一方で、パスワード認証でしかログインできない、ワンタイムパスワード認証が未対応のサービスも多くあります。

そのため、組織でログイン時のセキュリティを強化しようと多要素認証の導入を検討しても、利用中のサービスが未対応の場合、クラウドサービス側での実装を待つ必要があります。ログインのセキュリティ強化が喫緊の課題である場合、業務に浸透したクラウドサービスを、多要素認証に対応した別のサービスに切り替えなければなりません。

SSOサービスを導入すると、サービスへのログインはSSOサービスで多要素認証を行います。ログインが成功すると、すべての連携サービスにアクセスできるようになるため、連携するサービスが多要素認証に対応していなくとも、サービスへのログインに多要素認証を利用することが可能になります。

SSOサービス「SeciossLink」では、「認証ルール」と「アクセス権限」の大きく2つのルールを設定することで、組織のセキュリティポリシーに準拠した設定が可能です。

認証ルールでは、誰の操作によるログインかを確認し、アクセス権限では、該当のサービスにアクセスする権利があるのかを確認します。
例えば、認証ルールでアクセスする場所を確認することで、出社時と在宅勤務時で、認証方式を変えることもできます。あらかじめ登録しておいた会社のIPアドレスからのアクセスかどうかを確認し、社外からのアクセスの場合は追加認証を求める、といった設定も可能です。

 

シングルサインオンを導入するまでの流れ

ここでは、シングルサインオンを導入するために必要なことを解説します。

20240524_4

 

1)連携するクラウドサービスを洗い出す

自社で利用しているサービスや、これから利用したいサービスなど、シングルサインオン連携したいサービスをリストアップしましょう。SSOサービスを選定する際に必要な情報になるうえ、連携するクラウドサービス数によって契約ライセンスが異なる場合もあるため、漏れがないように確認することをおすすめします。

 

2)セキュリティポリシーを確認する

次に、組織における情報セキュリティの方針であるセキュリティポリシーを確認します。
例えば、オフィスからクラウドサービスを利用する場合にはID/パスワードだけでログインができるけれど、オフィス以外の場所からサービスを利用する場合には、会社貸与の証明書が入ったPCからだけなど、ネットワークによってクラウドサービスにアクセスできる端末を制限している場合には、そのセキュリティポリシーに準拠するよう、SSOサービスを設定する必要があります。

また、SSOサービスの搭載機能によっては、よりセキュリティの高い「生体認証」などを利用してログインすることも可能です。最近では、Windows Hello(顔認証もしくは指紋認証)やTouch ID(指紋認証)が標準で搭載されているPCも販売されているため、それらを利用してログイン可能なSSOサービスも多くあります。

SSOサービス「SeciossLink」では、「認証ルール」と「アクセス権限」の大きく2つのルールを設定することで、組織のセキュリティポリシーに準拠した設定が可能です。
20240524_5
認証ルールでは、誰の操作によるログインかを確認し、アクセス権限では、該当のサービスにアクセスする権利があるのかを確認します。


例えば、認証ルールでアクセスする場所を確認することで、出社時と在宅勤務時で、認証方式を変えることもできます。あらかじめ登録しておいた会社のIPアドレスからのアクセスかどうかを確認し、社外からのアクセスの場合は追加認証を求める、といった設定も可能です。

20240524_6

 

3)SSOサービスを検証する

連携するクラウドサービスとセキュリティルールを決めたら、どのSSOサービスを導入するか検討します。シングルサインオンシステムを提供している企業は複数あるため、事前に確認した要件を叶えられそうなサービスをいくつか挙げ、導入するSSOサービスを選定し、検証環境で実際に設定を行いましょう。

なお、SSOサービスの多くはクラウドサービスであるため、要件によっては実装が難しい場合があります。その場合には、オンプレミスのソフトウェア製品も検討してみるとよいでしょう。

 

4)設定し、運用を始める

オンプレミスのソフトウェア製品の場合は構築等が必要ですが、クラウド型のSSOサービスであれば、すぐに利用を始められます。事前に決めておいたセキュリティルール(認証ルール・アクセスルール)やシングルサインオン連携などの各種設定を行い、シングルサインオンでのログインをスタートしましょう。

 

留意事項

非常にメリットの多いシングルサインオンですが、必ずしも、今利用しているクラウドサービスすべてを連携できるとは限りません。導入する上で、留意しなければならない点を解説します。


1)すべてのクラウドサービスがシングルサインオン連携できるわけではない

Microsoft 365やGoogle Workspaceなど、最近では多くのサービスでシングルサインオン連携が可能ですが、中には連携できないサービスもあります。

連携方式として最も一般的な仕組みはSAML方式(フェデレーション方式)です。SAML(読み:サムル)という規格に対応しているクラウドサービスであれば、シングルサインオン連携が可能なケースがほとんどです。

その他に、以下の連携方式もあります。
・OpenID Connect(OIDC)
・OAuth
・代理認証
・リバースプロキシ

また、サービス自体はシングルサインオン連携に対応していたとしても、契約プランによってはシングルサインオン連携が利用できない場合もあるため注意が必要です。

 

2)ログインできない場合の対処法を事前に検討する必要がある

シングルサインオン連携するためには、SSOサービスの導入が必要です。

これまでクラウドサービスへのアクセスを、オフィスのWi-Fiなどのネットワーク接続時のみに制限していた場合には、このSSOサービスの導入を機会に、在宅勤務などのリモートワークができる体制、オフィス以外の場所からでもアクセスできる状態に整える組織も多くあります。

そのアクセス権限の設定によっては、ユーザーがサービスにログインできない状況が発生する可能性もあります。例えば、クラウドサービスにアクセスできる端末を証明書が入っているPCだけに制限している場合、この「証明書をダウンロードしたPC」が壊れるとログインできない状況に陥ります。
そのような状況に備え、管理者は対応方法を事前に検討しておく必要があります。

 

まとめ

シングルサインオンは一回の認証で複数のサービスにログインでき、利便性とセキュリティの向上を同時に叶えられます。セシオスが提供するSSOサービス「SeciossLink」は、クラウドサービスのためすぐにシングルサインオンの導入が可能です。また、組織独自の要件がある場合には、セシオスならオンプレミスのソフトウェア製品もございますので、組織に最適な提案が可能です。連携したいサービスやアクセスルールの設定など、シングルサインオンで実現したいことがありましたら、まずはセシオスにご相談ください。