
業務効率の低下
サービスやアプリへのログインの手間が都度発生し業務効率の低下につながっている。

シングルサインオン(SSO)とは何か、初めての方でもわかりやすく、概要から仕組みと種類、導入するメリット・デメリットについて解説します。
シングルサインオンとは、1度ユーザー認証 (ログイン) を行うと、以後そのユーザー認証に紐づけられているシステム・サービスを、追加の認証なしで利用できる機能です。
「シングルサインオン(Single Sign-On)」は、「シングル 」と「サインオン」を組み合わせた造語で、「1度システム利用開始のユーザー認証 (ログイン) を行うと、複数のシステムを利用開始する際に、都度認証を行う必要がない仕組み」や「1度の認証で、以後その認証に紐づけられている複数のシステムやアプリ・サービスにも、追加の認証なしで利用できる製品・システム・ツール」を意味します。
用語集「SSO | Single Sign On | シングルサインオン」企業のスタッフが抱えるID・パスワードの平均個数は27以上と言われています。
様々なクラウド型のサービスが普及し便利になる反面、ID・パスワードにまつわる問題が起こっています。
サービスやアプリへのログインの手間が都度発生し業務効率の低下につながっている。
覚えるべきパスワードの数が膨大で覚えきれず、メモしたり簡単なフレーズ設定にする、同じパスワードを使いまわしている。
総当たり攻撃※1やリスト型攻撃※2による情報漏えいのリスクが高まる。
※1 攻撃者がどこかで入手したID・パスワードのリストを使用し、正規のウェブサービスに不正アクセスを試みる行為のこと。
※2 暗号解読方法の1種で、ユーザのID・パスワードを解読するためにあらゆるパターンを試すこと。
業務用アプリやシステムを管理する社内のIT部門・情報システム部門の負担が増加。
従業員のパスワード関連の問題(パスワード忘れやアカウントロックなど)への対応にも追われ、増員によるコスト増加も発生。
このような悩みを解消するのが「シングルサインオン」のメリットです。
シングルサインオンの利用時に使う1つのID・パスワードのみの運用が可能となり、たくさんのID・パスワードを覚える必要がなくなる。またアプリやシステムを利用する都度パスワードを入力する手間を省略できるため、業務効率も向上する。
サービスやアプリごとにどんなに複雑で長いパスワードを設定しても、覚える必要がない。メモ書きや使いまわしを防ぎ、情報漏えいのリスクが回避される。
管理のための新たなシステム構築や、従業員をヘルプする人員も増員する必要が無い。社内のIT部門・情報システム部門の負担は減り、他の業務にリソースやコストを振り分けることが可能になる。
GMOトラスト・ログインのシングルサインオン(SSO)は以下の3つの仕組みで実現しています。
「SAML(Security Assertion Markup Language) 認証」とは、GMOトラスト・ログインのような、ID管理と認証を行うIDプロバイダ(IdP)で保証されたユーザー認証情報を利用することで、連携している各種サービスのシングルサインオンが可能になる仕組みです。 サービスごとのID・パスワードの発行・管理が不要なため、セキュリティ向上が図れるうえ、ID管理にかかるユーザーや社内のシステム担当者の業務負担が軽減されるので、利便性向上にもつながります。
フォームベース認証は、GMOトラスト・ログインのブラウザ拡張機能がGMOトラスト・ログインに登録したIDとパスワードを他システムのログインフォームに代理入力することでログインする仕組みです。SAML認証に対応していないサービスアプリやWEBブラウザでログインフォームを開くタイプの社内システムでもシングルサインオンさせることができます。
Basic認証はIDとパスワードをHTTPヘッダに記載しサーバーに送信することでログインする仕組みです。 最も簡単に導入が出来る認証方法なので企業内などのアクセスが限定されたシステムなどで用いられます。
GMOトラスト・ログインのシングルサインオン(パスワード代理入力とSAML認証)を動画で説明します。
一方で、シングルサインオンサービス自体に不正アクセスされると、サービスの先にあるシステム・サービス全てに不正アクセスできてしまう懸念もあります。
また、クラウドサービスや、個人の携帯端末を業務活用するBYODが普及し、企業・組織の機密情報が外部に保管されることが多くなり、認証先(クラウドサービスなど)と認証を行う端末(企業PC、個人PC、企業スマホ、個人スマホなど)が増加しています。これにより、認証が必要な場面が増え続けていることから、シングルサインオンの必要性はより高まっており、さらにシングルサインオンに求められるセキュリティも高まっていると言えます。
シングルサインオンのデメリットを解消するために、「GMOトラスト・ログイン」などのシングルサインオン各サービスは、以下の方法でセキュリティを強化するオプションを提供しています。
IPアドレス制限
アクセスしている場所のIPアドレスを判別し、社内など特定のIPアドレス以外からのアクセスを制限する
ワンタイムパスワード
パスワード認証に加え、都度変更されるワンタイムパスワードを用いて認証する仕組み
クライアント証明書
パスワード認証に加え、電子証明書がインストールされている端末のみアクセスを許可する
パスワード認証方法と別の認証手段との併用は、一般的に「多要素認証」と呼ばれています。
ワンタイムパスワードや IPアドレス制限を追加してアクセスを強固にする「多要素認証」に関するご案内はこちらから。