現代の企業では、目的別に複数のクラウドサービスを活用しています。業務効率化や生産性向上などの大きなメリットがあるためです。しかし、利用するサービスが増加すると、それに比例してアカウント情報の管理が複雑化していきます。各システムに異なるログイン情報を設定しなければならない場合、それぞれのパスワードを記憶しておくことが難しく、同じパスワードを使い回すケースも少なくありません。ここには重大なセキュリティリスクが孕んでいます。例えば、1つのパスワードが漏えいしただけで、複数のシステムに不正アクセスされるリスクがあります。また、増え続けるアカウントを管理・制御するIT担当者の負担増加も大きな課題だといえるでしょう。
このような課題の解決策として、シングルサインオン(SSO)が注目されています。シングルサインオンを活用すれば、一度のログインで複数のシステムへアクセスできるようになるため、利用者のアカウント管理負担を大幅に低減します。また、IT担当者は複数ユーザーのアカウント情報を一元管理できるため、運用負担の軽減に繋がります。
シングルサインオンは、ソリトンシステムズの「Soliton OneGate」と「SmartOn ID」で実現可能です。Soliton OneGateでは、SAML非対応のアプリケーションでもシングルサインオンを導入できます。また、SmartOn IDは、エンドポイントでの本人認証強化が可能です。パスワード管理やアクセス制御に関する課題を抱える企業にとって、これらのソリューションは最適な選択肢になります。
「Soliton OneGate」と「SmartOn ID」の具体的な機能や導入事例を詳しく知りたい方は、以下公式サイトをぜひご覧ください。
A社では、業務システムやクラウドサービスを利用する際、それぞれのサービスにパスワードを設定する必要がありました。このようなIT環境の中、一部の従業員が、煩雑なパスワード管理を避けるために、パスワードを使い回したり、メモ帳に保存したりといった手段を取ってしまい、情報漏えいが発生。一人の従業員がフィッシング攻撃でパスワードを盗まれた結果、外部からの不正アクセスによる機密データが流出してしまったのです。
このような情報漏えいは、シングルサインオンを導入していれば防げるものでした。パスワードの使い回しや管理ミスをはじめ、システムログインに関連する煩わしい作業を低減できるためです。
実際にシングルサインオンを導入し、前述の問題が発生する前に対応されたお客様の事例をご紹介します。
西松建設株式会社様は、システムのリプレイスを機にパスワードのあり方を見直しました。建設現場では、業務に多くのアプリケーションが利用されており、都度パスワード入力を行う手間がかかります。同社の調査によると、約3,500名の社員が年間1万2千時間、424万回にもおよぶパスワード入力を行っていることがわかりました。さらに定期的なパスワード変更によって、ユーザー側にも管理者側にも大きな業務負荷がかかっていました。
「Soliton OneGate」の導入により、各業務のアプリケーションと基幹システムに、一度の二要素認証だけでログインできるシングルサインオンが実現しました。ユーザーは定期的なパスワード変更が不要になり、管理側は、アプリケーションごとのアカウント作成・変更・削除などのアカウント運用負荷が大幅に軽減されたのです。
また、同社では、SAML認証が可能なクラウドサービスだけではなく、SAML非対応のアプリケーションやオンプレミスの社内システム、Excelのアドオンなどが混在した環境でした。しかし、Soliton OneGateの代理認証機能で、SAML非対応の環境も含めてシングルサインオンを実現できました。これにより、従来の課題を解消して、ユーザーの利便性とセキュリティ強化の両立ができたのです。
ここに紹介した「Soliton OneGate」の導入事例については、「導入事例 西松建設株式会社」にて詳しく紹介していますので、あわせてご覧ください。
シングルサインオン(SSO)とは、一度のログイン認証で、複数のサービスやシステムにアクセスできる仕組みです。ログインに利用するのは一組のIDとパスワードのみであるため、アカウント情報の管理も容易になります。ここでは、従来の認証方法とシングルサインオンの違いや、シングルサインオンを理解する上で重要な「認証」と「認可」について見ていきましょう。
従来の認証方法では、各サービスで異なるIDとパスワードを設定してログインする必要がありました。クラウドサービスや社内業務システムを利用する際には、IDとパスワードをそれぞれのサービスで認証する仕組みです。一方、シングルサインオンは、認証情報を統一管理する仕組みです。中央にある認証サーバーがアカウントを一度認証し、各サービスへ認証されたことを通知してアクセス許可をします。そのため、一度のログインだけで、連携されたすべてのサービスにアクセスできるようになるのです。
例えば、クラウドサービスでのメールの確認やファイル共有、社内業務システムでの顧客管理ツールをそれぞれ利用する場合です。従来ならばサービス一つひとつにログインをしなければなりませんでした。しかし、シングルサインオンならば、すべてを一度の認証で利用できるようになります。
これにより、ログイン操作時間は短縮され、各サービスのパスワード管理しておく手間もありません。IT担当者も、従業員のアカウントやアクセス権限を一元管理できるため、業務負荷が大幅に軽減します。
シングルサインオンを導入するならば、「認証」と「認可」の違いを理解しておく必要があります。
「認証」とは、ユーザーIDで本人確認をすることです。例えば、パスワード認証ならば、「ログインしようとしているメールアドレスとパスワードが正しいこと」を理由とし、本人であることを認証します。一方「認可」とは、ユーザーにアクセス権限を付与することです。例えば、メールサーバーにアクセスする権限、ファイルサーバー内の顧客データにアクセスする権限をユーザーに与えます。違いを端的にいえば、以下のようになります。
認証:本人確認
認可:アクセス権限の付与
シングルサインオンでは、認証を一元管理できることはもちろん、サービスへのアクセスに対する認可を管理することができます。
DX化が進む中、企業では多くのクラウドサービスや業務システムを導入しています。それに比例して、従業員が覚えるパスワードの数も増え、アカウント管理の負荷が増大しているのです。ここでは、シングルサインオンが求められる主な2つ理由について見ていきましょう。
ビジネスにおけるIT活用では、セキュリティ強化と利便性向上の実現が課題です。特に近年は、リモートワークやクラウドサービス利用が一般的になりました。そのため、自宅やカフェなどの遠隔地からでも、安全かつスムーズに業務を行える環境を整えなければなりません。
シングルサインオンは、セキュリティ強化と利便性の実現が可能です。まず、シングルサインオン導入によって、認証情報を一元管理できるようになるため、認証や認可に対する強固なセキュリティを確保できます。また、各システムへの個別認証を行う必要がなくなるため、従業員は業務に必要なシステムへのアクセスがスムーズになります。
業務に利用するITシステムが複雑化すると、従業員は複数のアカウントを管理しなければなりません。同じパスワードの使い回しはできず、忘却や漏えいに気を使いながらのアカウント管理は、従業員の負担となります。
シングルサインオンは、このような負荷を低減します。一組のID・パスワードを使った一度のログインだけで各システムやサービスにアクセスできるため、アカウント管理負担は大幅に軽減されます。
シングルサインオンの仕組みには、様々な方式があります。シングルサインオンを導入する環境や要件によって、採用すべき方式が異なるため、各方式の特徴を理解しておくことが重要です。ここでは、シングルサインオンの代表的な5つの方式について見ていきましょう。
エージェント方式は、アプリケーションサーバーに専用のエージェントソフトをインストールし、エージェントを介して認証管理をしてシングルサインオンを実現する仕組みです。
エージェントは、ユーザーからアクセスのリクエストがあると、認証サーバー(IdP)に確認し、認証結果をアプリケーションに返します。この方式で認証管理を行うことで、アプリケーションごとに厳密なアクセス制御ができるのです。各サーバーへのエージェント導入が必要なため、構築や運用の手間がかかりますが、高いセキュリティを保つべきアプリケーションに対して効果的です。
リバースプロキシ方式は、中継サーバーであるプロキシサーバーを経由して認証を行うことで、シングルサインオンを実現する仕組みです。
ユーザーのアクセスリクエストはプロキシサーバーを中継し、認証サーバー(IdP)に転送されます。認証が成功すると、プロキシサーバーがアクセスリクエストをアプリケーションサーバーへ転送します。
リバースプロキシ方式では、プロキシサーバーを設置することで実現できるため、エージェント方式のようにアプリケーションサーバーへの変更を加える必要がありません。そのため、既存のシステムにシングルサインオンを導入したい場合や、複数のアプリケーションサーバーを利用する場合に効率的な仕組みだといえます。ただし、設置したプロキシサーバーに障害が発生した場合は、すべての認証ができなくなるリスクがあるため、プロキシサーバーを冗長構成にするなどの対策が必要です。
代理認証(フォームベース)方式は、ユーザーの代わりにログインフォームへ認証情報を入力してくれる仕組みです。クラウド上のID管理サービスと連携するなどの方法を使えば、その他の方式と比較してもシングルサインオンを実現しやすい仕組みだといえるでしょう。
代理認証方式では、システムがログイン画面を自動的に認識して、IDとパスワードを自動入力してくれるため、ユーザーは認証操作を行う必要がありません。例えば、シングルサインオンに対応していない、SAML(後述)非対応の古いアプリケーションにも利用できるメリットがあります。レガシーシステムとシングルサインオンを統合する選択肢のひとつです。
フェデレーション方式(SAML認証方式)は、認証情報を安全にやり取りしてシングルサインオンを実現する仕組みです。
フェデレーション方式では、ユーザーのアクセスリクエストを受けたサービスプロバイダー(SP)が、認証サーバー(IdP)に認証情報を確認し、認証サーバーからの応答を元に、サービスプロバイダーがログインを許可する流れです。
フェデレーション方式に対応しているクラウドサービスならば、設定するだけでシングルサインオンを実現できます。また、サービスプロバイダー側にユーザー情報が保存されないこともメリットのひとつです。ただし、フェデレーション方式に対応していないアプリケーションでは、シングルサインオンの利用が制限されるため、事前確認が必要です。
透過型方式は、ユーザーがアプリケーションサーバーへアクセスする際、透過型サーバーが「認証が必要な場合にのみ認証情報を確認」して、シングルサインオンを実現する方式です。
ユーザーのアクセスをサーバーが監視し、必要に応じて自動的に認証情報の要求と送信を処理するため、ユーザーは認証操作を意識する必要がありません。また、アクセス経路に依存しないため、使用するデバイスやブラウザを選ばず、クラウドサービスでもオンプレミスの社内システムでもシングルサインオンを利用可能にします。
ただし、透過型方式は比較的新しい技術であるため、透過型認証に対応しているシングルサインオン製品が必要です。
シングルサインオンを導入することで、業務環境における様々な課題が解決できます。ここでは、シングルサインオン導入のメリットについて見ていきましょう。
シングルサインオンを導入することで、従業員は複数のIDやパスワードを記憶、あるいは管理する必要がなくなります。業務に関わるシステムへのアクセスが単純化するため、操作の手間も大幅に削減されることも大きなメリットです。特に、システムを頻繁に切り替える業務では、ログイン作業の手間が省け、作業効率が上がります。パスワードの紛失や記憶違いなどのトラブルも低減され、従業員のストレスも解消されるでしょう。システムを使う際の「パスワードを覚えていないかもしれない」という心理的ハードルが下がることも、生産性向上に大きく影響します。
シングルサインオンは認証情報を一元管理するため、不正アクセスによるデータ漏洩リスクを低減できます。多要素認証(MFA)と連携すれば、サイバー攻撃に対する強固なセキュリティ対策になります。また、アクセス制御を統一できるため認証プロセスがわかりやすくなり、企業全体でのセキュリティポリシーを統一しやすくなることも大きなメリットです。
シングルサインオンの導入は、生産性の向上に繋がります。従業員は頻繁にログインを繰り返す必要がなくなり、システムへのアクセスに対する煩わしさから解放されます。例えば、顧客情報管理やプロジェクト管理など、複数のシステムを利用する業務では、業務効率が向上します。また、IT担当者は、ユーザーのパスワードリセットなどのトラブル対応が減り、個別のアカウント管理がシンプルになるため、運用負担が軽減します。その他の業務にリソースを割くことができるようになり、生産性の向上に繋がるでしょう。
シングルサインオン導入には、すべてのアクセス権限を一元化できるメリットもあります。例えば、新入社員に対して、業務に必要なアクセス権をまとめて付与できます。退職者が出た場合の、対象アカウントを即時無効にする作業にも手間がかかりません。また、アクセス管理の一元化はアカウントへの権限設定ミスを防ぎます。その結果、企業全体のセキュリティレベル向上も期待できるのです。
多くのメリットがあるシングルサインオンですが、導入や運用に際して注意すべき点もあります。ここでは、シングルサインオン導入のデメリットについて見ていきましょう。
シングルサインオンは、アカウント認証を一元化するため、システム障害が発生した場合の影響範囲が大規模なものになります。例えば、シングルサインオンのシステムがダウンすると、連携しているアプリケーションやサービスのすべてにアクセスできなくなる可能性があるのです。その結果、業務が停滞し、大きな損害と機会損失を招くおそれがあります。業務を止めないためにも、冗長化構成やバックアップ体制を万全に整えておきましょう。また、障害復旧の時間を短縮するために、障害発生時の復旧計画をマニュアル化しておくことも大切です。
シングルサインオンを導入する際には、既存システムとの統合やITインフラの構築が必要です。ソフトウェアやハードウェアの購入など、初期費用だけでも大きなコストになるでしょう。また、シングルサインオンに関する従業員への教育も必要です。コスト面が大きなデメリットにもなりますので、コストパフォーマンスを十分に検討し、必要な範囲から段階的な導入を計画しましょう。
シングルサインオンは認証を一元化するため、認証サーバーへ大きく依存します。仮に、認証サーバーが不正アクセスなどのサイバー攻撃を受けた場合は、連携しているすべてのシステムに危険が及びます。管理者アカウントが漏えいすると、システム全体が不正利用される可能性もあるのです。そのため、シングルサインオンを導入する際には、必ず多要素認証を活用し、アクセス制限や監視体制を強化しておきましょう。
すべてのシステムがシングルサインオンに対応しているわけではありません。特に、レガシーシステムや、自社用にカスタマイズしたアプリケーションは、シングルサインオンのシステムを統合することが困難な場合もあります。仮に、一部のみシングルサインオンに対応して、いくつかのシステムには対応できていない環境になってしまった場合、ユーザーの手間の増加や混乱を招きます。そのため、シングルサインオンの導入前には、既存システムとの互換性を十分に確認することが大切です。
シングルサインオンは、セキュリティと利便性を兼ね備えた認証手段です。上手に活用するためには、その仕組を支える技術や関連する用語を理解しておくことが重要です。ここでは、以下のシングルサインオンに関連する用語を見ていきましょう。
多要素認証(MFA:Multi-Factor Authentication)は、1つのパスワードだけで認証するのではなく、複数の異なる要素を組み合わせて認証することで、セキュリティを強化します。攻撃者が、仮にパスワードなどの要素を1つだけ入手しても、他の要素がなければ不正アクセスができません。認証要素には、以下3つの要素が使用されます。
知識情報(ユーザーが知っているもの:パスワード、秘密の質問の答え など)
所有情報(ユーザーが持っているもの:スマートフォン、セキュリティトークン など)
生体情報(ユーザー自身の身体的特徴:指紋や顔認証 など)
例えば、オンラインショッピングサイトなどでは、パスワードに加えてスマートフォンに送信されるワンタイムパスワード(OTP)を使って認証を行う方法があります。また、企業では、業務システムへログインする際に、顔認証や指紋認証を認証方法に追加することで、強固なセキュリティ基盤の構築が可能です。
多要素認証は、中小企業でも採用が進んでいます。リモートワーク環境から業務システムやデータへアクセスする際の強力なセキュリティ基盤として活用できます。
多要素認証については、【「多要素認証」の記事】にて詳しく解説していますので、あわせてご覧ください。
ゼロトラストは、「すべてのアクセスを信用しない」という考え方を前提に構築するセキュリティです。
例えば、従業員がリモートワークの場合、自宅から会社のシステムにログインする際も、許可されたデバイスであるか、アクセスが通常の時間帯や行動パターンと一致しているか、アクセス元に不審な点はないかなどが確認されます。
従来型のネットワークセキュリティは、企業内ネットワーク(LAN)からアクセスするユーザーやデバイスは、無条件に信頼する傾向にありました。しかし、リモートワークやクラウドサービスの普及、サイバー攻撃の巧妙化などによって、現代のビジネス環境には合わなくなったのです。ゼロトラストでは、ユーザーアカウントやデバイス、位置情報やアクセス時間帯などの複数の要素を、一つひとつ動的に検証してアクセス制御を行います。最小限のアクセス権限だけを付与することで、強固なアクセス制限を実現します。
ゼロトラストについては、【「ゼロトラスト」の記事】にて詳しく解説していますので、あわせてご覧ください。
OAuth(オーオース)は、ユーザーが複数のサービスを安全に連携させることを目的とした、権限認可のプロトコルです。
例えば、クラウドストレージに保存されている写真を、スマートフォンの写真編集アプリで編集したい場合を考えてみましょう。編集のためには、アプリがクラウドストレージにアクセスしなければなりません。しかし、クラウドストレージのパスワードをアプリに教えてしまうのはセキュリティ面で懸念があります。このとき、OAuthを利用すると、クラウドストレージがアプリに対して「一時的なトークン(アクセス権限)」を発行します。これにより、クラウドストレージのパスワードは渡さずに、アプリが写真にアクセスできるようになるのです。
このように、OAuthの技術を活用することで、サービスに必要な権限を付与したいときでも、パスワードなどの認証情報を渡す必要がなくなります。
SAML(Security Assertion Markup Language)は、異なるシステム間で認証情報をやり取りするための標準規格で、複雑なIT環境でのシングルサインオンを実現します。オンプレミス環境とクラウドサービスを連携させる際などに有効です。
例えば、従業員が社内の認証システム(1つのログイン画面など)で認証を済ませると、その他業務で利用する顧客管理システムなどのクラウドサービスやクラウドストレージ、社内システムなどにアクセスできるようになります。従業員はシステムごとに複数回のログインをする必要がなくなり、利便性が向上するでしょう。また、アカウントを管理するIT担当者は、アクセス権限を一元管理できるため、運用負荷が軽減されます。
シングルサインオンの導入は、IT環境に利便性とセキュリティの両立を実現します。一度のログインで複数のシステムにアクセスできる仕組みは、パスワード管理の煩雑さを解消し、従業員の業務効率向上が期待できます。また、アカウント情報やアクセス権限を一元管理できるため、アカウント管理や運用を行うIT担当者の業務負担の軽減が可能です。
一方、システム障害時の影響範囲が大きいことや、既存システムとの互換性を事前調査しなければならないこと、初期コストや運用コストがかかるなどの課題があります。これらを解決しながらシングルサインオンを導入するために、豊富な導入実績と信頼性の高いソリューションを選びましょう。
シングルサインオン導入におすすめなのが、ソリトンシステムズのソリューションです。SAML非対応のアプリケーションでもシングルサインオンを実現できる「Soliton OneGate」や、エンドポイントでの本人認証を強化する「SmartOn ID」を提供しています。各サービスの詳細はもちろん、シングルサインオンの導入を検討の際には、ぜひお気軽にお問い合わせください。
ソーシャルログイン
SNSアカウントを使って、別のサービスにログインする仕組み。
ソーシャルログインとは、SNSアカウントを使って他のサービスへログインできる仕組みです。ソーシャルログインを利用すると、利用を開始するサービスで新しいIDやパスワードを作成せずに、既存のSNSアカウントを使って登録(サインアップ)できます。
例えば、「Aサービス」に登録する際に、「Bアカウントでログイン」と表示されるボタンをクリックするだけで、簡単にログインが完了します。これにより、ユーザーは複数のアカウントとパスワードを管理する手間が省けるのです。
シングルサインオンは、企業内で業務利用する複数のシステムやサービスに対して、一度の認証でアクセスを可能にする仕組みですが、ソーシャルログインは、各サービスでログインする必要があります。
ソーシャルログイン:サービスごとにログインが必要
シングルサインオン:一度のログインで、各サービスへアクセス可能
また、ソーシャルログインは、SNSアカウントの情報を利用して、名前やメールアドレスといったユーザー情報を他のサービスに提供することもできます。多くは個人向けサービスで活用されていた手法です。しかし近年では、企業の顧客ポータル(顧客専用のWebサイト)や会員サイトなどにも採用されており、その使いやすさから登録率向上が期待されています。