シングルサインオン（SSO）とは？初心者にもわかりやすく解説

1）増え続けるID/パスワードを1つに集約

SSOサービスを導入することで、覚えるID/パスワードは1つで済み、さらに一度のログインで連携するすべてのクラウドサービスにアクセスできるようになります。ユーザーが覚えなければならないID/パスワードは1つであるため、利用するクラウドサービスが増えても、負担になることはありません。今後、DXをさらに加速させ、さらなる業務のクラウド化を推進できます。

利用するサービスの増加で、ユーザーが覚えなければならないID/パスワードなどの認証情報も増えます。
1～3サービス程度であれば覚えられていたID/パスワードも、10や20と増えていくと、記憶力の限界に達し、覚えることも困難になります。

現在は、Microsoft EdgeやGoogle Chromeなどの各種Webブラウザーで認証情報を記憶させることも可能になりましたが、何らかの原因でこれらのデータが消去されると、普段からパスワードを覚えていないユーザーはログインができなくなります。その場合には、ユーザーは管理者にパスワードリセットなどの問い合わせを行い、管理者は、該当サービスのユーザーパスワードを初期化するなどの操作を行う必要があります。これをサービスごと、または従業員が多ければ従業員ごとに行う必要があり、管理者の業務を圧迫する一因になります。

シングルサインオンでユーザーが管理するID/パスワードを1つにすることで、パスワード忘れが少なくなり、管理者の業務を圧迫する一因となっていたユーザーからの問い合わせが減り、管理者は本来の業務に注力することができます。

◆さらに管理者の業務を削減するには？アカウント管理を自動化する「プロビジョニング」
一方で、管理者は利用するサービスやサービス利用者が増えるたびに、ユーザーの登録や更新などのアカウント管理を行う必要があります。例えば、組織で1つのサービスを利用していた場合、新たに社員が入社すると1つのサービスにユーザー登録が必要になります。利用サービスが増えると、それが10、20と作業が増えます。また、部署異動や昇進などで更新が必要な場合にはサービスごとに更新作業が必要になり、管理者のアカウント管理は、利用サービスが増えるごとに負担が大きくなります。

このアカウント管理の負担を軽減する方法として、アカウント情報を連携サービスに同期させる「プロビジョニング」という機能があります。プロビジョニングについては、ID管理に関するページをご覧ください。

ユーザーがサービスにログインするためには、ID/パスワードが必要です。複数のサービスを利用している場合には、本来、サービスごとに異なるパスワードを設定する必要があります。

しかし、複雑なパスワードをいくつも記憶するのは困難です。覚えなければならないパスワードが増えることで記憶力の限界を迎え、推測されやすい簡単なパスワードを設定したり、同じパスワードを複数のサービスで使いまわしてしまうケースが多くあります。

そのようなパスワードの運用が原因の不正アクセスが増加したことで、最近はクラウドサービスのログインに、パスワードとワンタイムパスワードを組み合わせた多要素認証を利用してセキュリティを高める組織が増えてきました。ワンタイムパスワード認証ができるクラウドサービスもある一方で、パスワード認証でしかログインできない、ワンタイムパスワード認証が未対応のサービスも多くあります。

そのため、組織でログイン時のセキュリティを強化しようと多要素認証の導入を検討しても、利用中のサービスが未対応の場合、クラウドサービス側での実装を待つ必要があります。ログインのセキュリティ強化が喫緊の課題である場合、業務に浸透したクラウドサービスを、多要素認証に対応した別のサービスに切り替えなければなりません。

SSOサービスを導入すると、サービスへのログインはSSOサービスで多要素認証を行います。ログインが成功すると、すべての連携サービスにアクセスできるようになるため、連携するサービスが多要素認証に対応していなくとも、サービスへのログインに多要素認証を利用することが可能になります。

SSOサービス「SeciossLink」では、「認証ルール」と「アクセス権限」の大きく２つのルールを設定することで、組織のセキュリティポリシーに準拠した設定が可能です。

認証ルールでは、誰の操作によるログインかを確認し、アクセス権限では、該当のサービスにアクセスする権利があるのかを確認します。
例えば、認証ルールでアクセスする場所を確認することで、出社時と在宅勤務時で、認証方式を変えることもできます。あらかじめ登録しておいた会社のIPアドレスからのアクセスかどうかを確認し、社外からのアクセスの場合は追加認証を求める、といった設定も可能です。

ここでは、シングルサインオンを導入するために必要なことを解説します。

自社で利用しているサービスや、これから利用したいサービスなど、シングルサインオン連携したいサービスをリストアップしましょう。SSOサービスを選定する際に必要な情報になるうえ、連携するクラウドサービス数によって契約ライセンスが異なる場合もあるため、漏れがないように確認することをおすすめします。

次に、組織における情報セキュリティの方針であるセキュリティポリシーを確認します。
例えば、オフィスからクラウドサービスを利用する場合にはID/パスワードだけでログインができるけれど、オフィス以外の場所からサービスを利用する場合には、会社貸与の証明書が入ったPCからだけなど、ネットワークによってクラウドサービスにアクセスできる端末を制限している場合には、そのセキュリティポリシーに準拠するよう、SSOサービスを設定する必要があります。

また、SSOサービスの搭載機能によっては、よりセキュリティの高い「生体認証」などを利用してログインすることも可能です。最近では、Windows Hello（顔認証もしくは指紋認証）やTouch ID（指紋認証）が標準で搭載されているPCも販売されているため、それらを利用してログイン可能なSSOサービスも多くあります。

例えば、認証ルールでアクセスする場所を確認することで、出社時と在宅勤務時で、認証方式を変えることもできます。あらかじめ登録しておいた会社のIPアドレスからのアクセスかどうかを確認し、社外からのアクセスの場合は追加認証を求める、といった設定も可能です。

連携するクラウドサービスとセキュリティルールを決めたら、どのSSOサービスを導入するか検討します。シングルサインオンシステムを提供している企業は複数あるため、事前に確認した要件を叶えられそうなサービスをいくつか挙げ、導入するSSOサービスを選定し、検証環境で実際に設定を行いましょう。

オンプレミスのソフトウェア製品の場合は構築等が必要ですが、クラウド型のSSOサービスであれば、すぐに利用を始められます。事前に決めておいたセキュリティルール（認証ルール・アクセスルール）やシングルサインオン連携などの各種設定を行い、シングルサインオンでのログインをスタートしましょう。

非常にメリットの多いシングルサインオンですが、必ずしも、今利用しているクラウドサービスすべてを連携できるとは限りません。導入する上で、留意しなければならない点を解説します。

1）すべてのクラウドサービスがシングルサインオン連携できるわけではない

Microsoft 365やGoogle Workspaceなど、最近では多くのサービスでシングルサインオン連携が可能ですが、中には連携できないサービスもあります。

連携方式として最も一般的な仕組みはSAML方式（フェデレーション方式）です。SAML（読み：サムル）という規格に対応しているクラウドサービスであれば、シングルサインオン連携が可能なケースがほとんどです。

その他に、以下の連携方式もあります。
・OpenID Connect（OIDC）
・OAuth
・代理認証
・リバースプロキシ

また、サービス自体はシングルサインオン連携に対応していたとしても、契約プランによってはシングルサインオン連携が利用できない場合もあるため注意が必要です。

2）ログインできない場合の対処法を事前に検討する必要がある

シングルサインオン連携するためには、SSOサービスの導入が必要です。

これまでクラウドサービスへのアクセスを、オフィスのWi-Fiなどのネットワーク接続時のみに制限していた場合には、このSSOサービスの導入を機会に、在宅勤務などのリモートワークができる体制、オフィス以外の場所からでもアクセスできる状態に整える組織も多くあります。

そのアクセス権限の設定によっては、ユーザーがサービスにログインできない状況が発生する可能性もあります。例えば、クラウドサービスにアクセスできる端末を証明書が入っているPCだけに制限している場合、この「証明書をダウンロードしたPC」が壊れるとログインできない状況に陥ります。
そのような状況に備え、管理者は対応方法を事前に検討しておく必要があります。

シングルサインオンは一回の認証で複数のサービスにログインでき、利便性とセキュリティの向上を同時に叶えられます。セシオスが提供するSSOサービス「SeciossLink」は、クラウドサービスのためすぐにシングルサインオンの導入が可能です。また、組織独自の要件がある場合には、セシオスならオンプレミスのソフトウェア製品もございますので、組織に最適な提案が可能です。連携したいサービスやアクセスルールの設定など、シングルサインオンで実現したいことがありましたら、まずはセシオスにご相談ください。