業務効率の低下
サービスやアプリへのログインの手間が都度発生し業務効率の低下につながっている。
- SSO/IDaaSのGMOトラスト・ログイン
- シングルサインオン(SSO)とは-概要・仕組み
シングルサインオン(SSO)とは
シングルサインオン(SSO)とは、1度ユーザー認証 (ログイン) を行うと、以後そのユーザー認証に紐づけられている複数のシステム・サービスが利用可能となる機能です。 追加の認証やログインの必要がなく、パスワードの使いまわしを防げるため、利便性と安全性を兼ね備えた仕組みです。
シングルサインオン(SSO)の概要
「シングルサインオン(Single Sign-On)」は、「シングル 」と「サインオン」を組み合わせた造語で、「1度システム利用開始のユーザー認証 (ログイン) を行うと、複数のシステムを利用開始する際に、都度認証を行う必要がない仕組み」や「1度の認証で、以後その認証に紐づけられている複数のシステムやアプリ・サービスにも、追加の認証なしで利用できる製品・システム・ツール」を意味します。
ID・パスワードに関する問題
企業のスタッフが抱えるID・パスワードの平均個数は27以上と言われています。
様々なクラウド型のサービスが普及し便利になる反面、ID・パスワードにまつわる問題が起こっています。
情報漏えいのリスク
覚えるべきパスワードの数が膨大で覚えきれず、メモしたり簡単なフレーズ設定にする、同じパスワードを使いまわしている。
総当たり攻撃※1やリスト型攻撃※2による情報漏えいのリスクが高まる。
※1 攻撃者がどこかで入手したID・パスワードのリストを使用し、正規のウェブサービスに不正アクセスを試みる行為のこと。
※2 暗号解読方法の1種で、ユーザのID・パスワードを解読するためにあらゆるパターンを試すこと。
「不正アクセス行為の発生状況等の公表について」より
管理業務のリソース増大
業務用アプリやシステムを管理する社内のIT部門・情報システム部門の負担が増加。
従業員のパスワード関連の問題(パスワード忘れやアカウントロックなど)への対応にも追われ、増員によるコスト増加も発生。
このような悩みを解消するのが「シングルサインオン」のメリットです。
シングルサインオン(SSO)のメリットとは
利便性の向上
シングルサインオンの利用時に使う1つのID・パスワードのみの運用が可能となり、たくさんのID・パスワードを覚える必要がなくなる。またアプリやシステムを利用する都度パスワードを入力する手間を省略できるため、業務効率も向上する。
セキュリティリスク削減
サービスやアプリごとにどんなに複雑で長いパスワードを設定しても、覚える必要がない。メモ書きや使いまわしを防ぎ、情報漏えいのリスクが回避される。
管理リソースやコストの削減
管理のための新たなシステム構築や、従業員をヘルプする人員も増員する必要が無い。社内のIT部門・情報システム部門の負担は減り、他の業務にリソースやコストを振り分けることが可能になる。
シングルサインオン(SSO)の認証方式と仕組み
GMOトラスト・ログインのシングルサインオン(SSO)は以下の3つの仕組みで実現しています。
SAML認証(フェデレーション方式)
「SAML(Security Assertion Markup Language) 認証」とは、GMOトラスト・ログインのような、ID管理と認証を行うIDプロバイダ(IdP)で保証されたユーザー認証情報を利用することで、連携している各種サービスのシングルサインオンが可能になる仕組みです。 サービスごとのID・パスワードの発行・管理が不要なため、セキュリティ向上が図れるうえ、ID管理にかかるユーザーや社内のシステム担当者の業務負担が軽減されるので、利便性向上にもつながります。
フォームベース認証(代理認証方式)
フォームベース認証は、GMOトラスト・ログインのブラウザ拡張機能がGMOトラスト・ログインに登録したIDとパスワードを他システムのログインフォームに代理入力することでログインする仕組みです。SAML認証に対応していないサービスアプリやWEBブラウザでログインフォームを開くタイプの社内システムでもシングルサインオンさせることができます。
Basic認証(代理認証方式)
Basic認証はIDとパスワードをHTTPヘッダに記載しサーバーに送信することでログインする仕組みです。 最も簡単に導入が出来る認証方法なので企業内などのアクセスが限定されたシステムなどで用いられます。
GMOトラスト・ログインのシングルサインオン(パスワード代理入力とSAML認証)を動画で説明します。
シングルサインオン(SSO)のデメリットと将来
一方で、シングルサインオンサービス自体に不正アクセスされると、サービスの先にあるシステム・サービス全てに不正アクセスできてしまう懸念もあります。
また、クラウドサービスや、個人の携帯端末を業務活用するBYODが普及し、企業・組織の機密情報が外部に保管されることが多くなり、認証先(クラウドサービスなど)と認証を行う端末(企業PC、個人PC、企業スマホ、個人スマホなど)が増加しています。これにより、認証が必要な場面が増え続けていることから、シングルサインオンの必要性はより高まっており、さらにシングルサインオンに求められるセキュリティも高まっていると言えます。
シングルサインオンのデメリットを解消するために、「GMOトラスト・ログイン」などのシングルサインオン各サービスは、以下の方法でセキュリティを強化するオプションを提供しています。
-
IPアドレス制限
アクセスしている場所のIPアドレスを判別し、社内など特定のIPアドレス以外からのアクセスを制限する -
ワンタイムパスワード
パスワード認証に加え、都度変更されるワンタイムパスワードを用いて認証する仕組み -
クライアント証明書
パスワード認証に加え、電子証明書がインストールされている端末のみアクセスを許可する
パスワード認証方法と別の認証手段との併用は、一般的に「多要素認証」と呼ばれています。
ワンタイムパスワードや IPアドレス制限を追加してアクセスを強固にする「多要素認証」に関するご案内はこちらから。
シングルサインオン(SSO)システムを選ぶ際のポイント
シングルサインオン(SSO)システムを選ぶ際のポイントは主に以下の5点があげられます。
①SSOで利用したいシステム、サービスとの連携、②自社の環境、③セキュリティ強化のオプション、④SSO自体のセキュリティ、➄コスト、サポート
SSOで利用したいシステム、サービスとの連携
SaaSサービスなどは著名なものであればほとんどはシングルサインオン対応しています。あわせて導入予定のシングルサインオンシステム側も対応しているのかを確認する必要があります。
自社の環境
SaaSでの利用のみ、SaaSとオンプレミスでの社内システムの組み合わせでの利用など自社の環境を確認しましょう。またMicrosoft 365、Microsoft Entra ID (旧Azure AD)、Google Workspaceなどのサービスを利用している場合も連携が可能かも確認が必要となります。
セキュリティ強化のオプション
セキュリティ対策機能が充実しているかもポイントとなります。SSOで社員の利便性は高まりますが、多要素認証、デバイス制限などの機能オプションの利用で更なる認証の強化によるセキュリティの向上が可能となります。
SSO自体のセキュリティ
ID・パスワードを管理するため、SSO自体のセキュリティの高さも重要なポイントです。国際規格でもあるISO/IECの情報セキュリティ、クラウドサービスセキュリティなどを取得しているかを確認すると良いでしょう。外部監査を通してセキュリティの高さを証明していることが重要となります。
コスト、サポート
コスト面は、実現したいセキュリティ、組織の規模などを考慮し予算をたてましょう。まずはお試しで無料登録で開始できるかどうかもポイントになります。サポートは運用後のサポートはもちろんですが、導入時の導入支援があるかどうかでその後の運用のスムーズさが大きく変わります。
ID認証、ID/パスワード管理、シングルサインオン、アクセス制御などをクラウド経由で提供するサービス「IDaaS」とは?
IDaaSを詳しくみる