シングルサインオン（SSO）とは？認証方式の種類やメリット・デメリット、導入の流れを解説

シングルサインオン（SSO）とは、一回の認証で多数のシステムやサービスなどにログインできるようになる仕組みのことです。利用すれば、ユーザーの利便性向上や情報漏洩リスクの抑制など、数多くのメリットを得られます。

本記事では、SSOの概要や利用するメリット・デメリット、導入の流れについて詳しく解説します。SSOについて知りたい方、システムなどのログインにおける利便性とセキュリティを向上させたい方は、ぜひ参考にしてください。

シングルサインオン（SSO）とは

シングルサインオン（Single Sign-On）とは、一回の認証で多数のシステムやクラウドサービスなどにアクセスできる仕組みのことです。通常、別のシステムやサービスを利用する場合、システムごとに認証が必要になります。ただ、SSOを活用すれば、連携するシステムに対して個別にID・パスワードを入力する必要はありません。

ここからは、SSOの求められる理由と歴史について解説します。

SSOが求められる理由

SSOが求められる理由は、主に以下の3つです。

• 多数のID・パスワードによる負担の増加
• 情報漏洩リスクの向上
• システム担当者の負担増加

順に解説します。

多数のID・パスワードによる負担の増加

最近のシステムやクラウドサービスの多くは、利用にID・パスワードを用いたログインが必要です。利用数が増えれば、その分認証情報の設定と管理をしなければならないため、ユーザーの負担が増加しています。また、システムごとに認証を行えば認証頻度が増え、手間も発生します。

情報漏洩リスクの向上

情報漏洩リスクの向上も、SSOが必要な理由の一つです。セキュリティの担保には、長く複雑なパスワードをシステムごとに設定して、定期的に変更する必要があります。
ただ、多くのパスワードを覚えることは難しく、メモなどに残したり、同じものを使いまわしたりする人も存在します。万が一、パスワードを盗まれればシステムなどにログインされ、個人情報や秘匿データが流出するでしょう。

システム担当者の負担増加

ID・パスワードが増えれば、ユーザーだけでなくシステム担当者の負担も増加します。利用者がパスワードを忘れたり、アカウントがロックされたりすれば、システム担当者がその対応をしなければなりません。また、企業によってはシステム部門でも全ユーザーのID・パスワード管理を行っているケースもあるでしょう。

SSOの歴史

SSOは、もともとは企業内の各システムに対してシームレスにログインする目的で用いられていました。ただ、インターネットの普及によりGoogle・Yahoo！JapanなどのポータルサイトやSNSなどの提供が始まり、利用者が増加するにつれ、それらのアカウントを使い、他のサービスを利用するニーズが高まりました。

ソーシャルログイン機能が実装されたSSO製品が登場して、ポータルサイト・SNSアカウントが他のサービスでも利用可能になりました。その結果、現在では企業内だけでなくインターネットでのSSOが活用されるようになっています。

また、SNSなどのデータに対してIDとパスワードを渡すことなくアクセスできるようにする目的で、OAuthが登場しました。OAuth（Open Authorization）とは、エンドユーザーの保護されたリソースへのアクセスを、アカウントへのログインなしで、アプリケーションに許可するオープン・スタンダードの認証フレームワークのことです。ただ、OAuthではユーザーを特定するID情報などとの連携が向いていなかったため、OAuthを認証として活用するために拡張したOpenID Connectが開発されました。

シングルサインオンの認証方式における種類

続いて、SSOの認証方式における種類を紹介します。

SAML認証（フェデレーション）方式

SAML（Security Assertion Markup Language）認証（フェデレーション）方式とは、クラウドサービスと認証情報を提供するIdP（IDプロバイダ）の間でチケット情報を取り交わすことで、多数のクラウドへのSSOを実現するもののことです。一つのクラウドサービスにログインすると、そこから他のクラウドサービスが認証情報を受け取る仕組みが採用されています。簡単な設定だけで、例えば以下サービスへのSSOが可能になります。

• Google Apps
• Salesforce
• Office365

フォームベース認証（代理認証）方式

代理認証（フォームベース）方式とは、各種サービスの認証情報をあらかじめSSO製品に登録しておき、SSO製品を通じてサービスにアクセスした際、ログインフォームに情報が自動で代理入力されるもののことです。SAML認証が非対応のサイトでも、活用できるケースがあります。

Basic認証（代理認証）方式

Basic認証方式とは、IDとパスワードのみで制限をかける簡易的なHTTP認証でSSOを行うもののことです。比較的容易に設定可能な一方で、暗号化されていない状態のデータが送信されるため、脆弱性があります。

エージェント方式

エージェント方式は、Webやアプリケーションサーバーにエージェントソフトを組み込み、SSOを行うもののことです。利用者がログインを試みると、SSOサーバーからトークンが発行・リクエストが実行されます。エージェントがトークンを確認後、SSOサーバーから利用者の情報が連携され、ログインするサービスのサーバーとの連携も行われます。拡張性が高くユーザーの利用記録を簡単に確認できますが、エージェントソフトの導入が必要です。

リバースプロキシ方式

リバースプロキシ方式とは、リバースプロキシとよばれる中継サーバーで認証を行い、リバースプロキシ経由で対象にアクセスすることでSSOを行うもののことです。プロキシとは、インターネット通信を行う際、デバイスに代わり外部サーバーにアクセスするシステムのことを指します。リバースプロキシサーバーにID・パスワードを入力すると、その後リバースプロキシサーバーが認証を実施します。

なお、プロキシサーバーに関する詳細を知りたい方は、以下をご覧ください。
⇒プロキシとは？仕組みやメリット・デメリット、注意点をわかりやすく解説

透過型方式

透過型方式とは、透過型サーバーとよばれる中継の監視サーバーを使い、SSOを行うもののことです。ユーザーがサービスにアクセスすると、監視サーバーが認証情報を要求して、サービスへのアクセス許可を出します。

ケルベロス方式

ケルベロス方式とは、ケルベロス認証を活用してSSOを行うもののことです。ケルベロス認証とは、サーバーとクライアント間の身元確認に利用されるプロトコルのことを指します。一回認証を実施すると、デバイスにチケットとよばれるファイルが発行され、それ以降はそのチケットを使いログインする仕様になっています。

なお、ケルベロス認証に関する詳細は以下をご覧ください。
⇒ケルベロス認証とは？仕組みやSSOとの違い、メリットを解説

シングルサインオンを導入するメリット

続いて、SSOを導入するメリットを解説します。

利用者の利便性が向上する

SSOの導入により、ユーザーの利便性を向上させられます。システムやサービスごとに長く複雑なパスワードを設定して、定期的に変更する必要はありません。また、システムごとに行うログイン時の認証情報入力も不要になります。

情報漏洩リスクを抑制できる

情報漏洩リスクの抑制も、SSO導入のメリットです。数多くの認証情報を覚えたり、管理したりする必要がありません。ID・パスワードを書き留めたメモやデータが漏洩して、不正アクセスされる可能性を抑えられます。

管理の手間・コスト削減につながる

SSOの導入で、システム部門における管理の手間とコストも削減できるでしょう。パスワード忘れに起因した問い合わせの減少が期待できます。企業で全ユーザーのID・パスワードを管理している場合でも、管理する認証情報を減らせます。

シングルサインオンを導入するデメリットと注意点

メリットがある一方で、デメリットも存在します。
続いて、SSOを導入するデメリットと注意点について解説します。

不正アクセス時の被害が拡大する

SSOを導入した場合、不正アクセス時の被害拡大が予想されます。SSOの認証情報が漏洩したり、サーバー攻撃を受けたりすれば、連携している全てのシステムにアクセスされてしまいます。ユーザーが享受するメリットが、そのままサイバー攻撃者のメリットになるでしょう。

サーバー停止時にログインできなくなる

SSOサーバーが停止した際に、システムやサービスへのログインができなくなることも、導入のデメリットです。業務の継続が困難になる可能性もあるでしょう。

全てのシステムと連携できるわけではない

SSOにはさまざまな認証方法があり、全てのシステムと連携できるわけではありません。また、活用しているサービス自体はSSOが可能でも、利用プランによっては使えないケースもあります。

不正アクセス時の被害を抑制するセキュリティ対策

続いて、不正アクセス時の被害を抑制するセキュリティ対策を2つ紹介します。

IPアドレス制限の実施

SSOを利用する際には、IPアドレス制限の実施がおすすめです。IPアドレス制限とは、特定のIPアドレスを持つホストからの要求をブロックするサービスのことです。個人情報や機密データが保存されたフォルダに対してIPアドレス制限をかければ、不正アクセスされても重要な情報が漏洩するリスクを抑えられます。

ワンタイムパスワードの導入

ワンタイムパスワードの導入も、不正アクセス時の被害抑制に効果的です。ワンタイムパスワードとは、一定間隔で更新され一回だけ使える使い捨て型パスワードのことです。ワンタイムパスワードを用いれば、SSOの認証情報が漏洩した際に不正アクセスされる可能性を抑えられます。

シングルサインオン導入の流れ

続いて、SSO導入の流れについて解説します。

1.導入システムの棚卸し

まずは、自社が導入しているシステムを棚卸ししましょう。SSOは認証方式ごとに、連携できるサービスが異なります。また、連携するサービス数に比例して、ライセンスの契約数が増加するサービスもあります。

2.自社のセキュリティポリシーを確認

続いて、自社のセキュリティポリシーを確認して、SSOに求める条件を明確にしましょう。例えば、社内と社外からのアクセスに関する認証方法を変えられるサービスも存在します。

3.サービスの検討と検証

求める条件が明確になった後に、実際に利用するサービスの検討と決定を行います。SSOは数多くあるため、慎重に検討しましょう。

4.運用スタート

サービスを導入したら、ルールの決定や設定を行い運用をスタートします。クラウドサービスであれば、オンプレ型の製品と比べて比較的簡単に利用を開始できます。

シングルサインオン製品を選定するポイント

最後に、SSO製品を選定するポイントを紹介します。

既存システムとの連携が可能か

既存システムとの連携が可能かを確認しましょう。また、導入予定のシステムやサービスがあれば、それとの連携ができるかの確認も重要です。

サービス自体のセキュリティに問題がないか

サービス自体のセキュリティに問題がないかの確認も重要です。デメリットと注意点で解説した通り、SSOサーバーに不正アクセスされれば、連携している全てのシステムに侵入されてしまいます。

運用や管理がしやすいか

運用や管理がしやすいかの確認も行うと良いでしょう。また、設定が簡単にできるかの確認もおすすめです。設定が難しくベンダーに代行してもらえば、その分の費用がかかります。

コストが適正か

コストパフォーマンスも考慮しましょう。サービスの利用料が高過ぎる場合、導入により得られるメリットがコストに見合わない恐れがあります。

サポートが充実しているか

提供ベンダーのサポートにおける充実度も、確認すると良いでしょう。設定や運用時に不明点が出る可能性があります。サポートが充実していれば、安心して導入・運用できるでしょう。

まとめ

シングルサインオンとは、一回の利用者認証で多数のシステムやクラウドサービスなどにアクセスできる仕組みのことです。システムごとのID・パスワード入力やその管理をしなくて良いため、利用者の利便性向上とシステム管理部門の負担軽減などが期待できます。
ただし、SSOで活用する認証情報が漏洩したり、サーバー攻撃を受けたりすれば、連携するシステムに侵入されてしまうため、被害が拡大する恐れがあります。ワンタイムパスワードの導入など、対策を行いましょう。

また、情報が漏洩した際に素早く察知して、適切な対応を取るための体制構築も求められます。近年行われているサイバー攻撃は高度化・多様化しており、対策を行ったとしても100％防ぐことは困難です。不正アクセスにより個人情報などが流出すれば、企業の信頼性やブランドイメージが低下してしまいます。情報漏洩監視ツール「ダークウェブアイ」は、会社のドメイン情報を入れるだけで「いつ」「どこから」「どんな情報が」漏れてしまったのか、一瞬で分かります。

自社のアカウント情報が漏洩していないか不安な方は、まず自社の漏洩状況を確認してみてはいかがでしょうか？
⇒メールアドレスを入れるだけ！自社の漏洩状況をチェック！