統合認証基盤の1つ「シングルサインオン」とは
シングルサインオンは、統合認証基盤の1つとして位置づけられています。
統合認証とは、複数のシステムにアクセスするためのパスワードやIDを統合的に管理する仕組みのことです。シングルサインオンは、1つのパスワードで複数サービスにログインできるようにすることでそれを実現する方法です。
パスワードやIDの適切な管理は、情報を守るうえでかかせません。しかし、あまりに多くのパスワードを管理するのは負担が大きく、紛失や盗難のリスクもあります。このような背景から、シングルサインオンを始めとした統合認証が注目されつつあります。
シングルサインオンの5つの方式
シングルサインオンは、以下の5つの方式に分類されます。
1:エージェント方式
Webアプリケーションのサーバに、エージェントという専用のソフトウェアをインストールする方式です。
ユーザーの認証情報は、認証サーバという別のサーバに保存されています。そのサーバに認証情報を要求し、受け取る役目を果たすのがエージェントです。
ユーザーが各サービスにアクセスしようとすると、エージェントが認証サーバからログイン情報を受け取ります。その結果、ユーザーがログイン済みであることが認められれば、パスワードの入力は不要です。
このとき、認証サーバは複数のWebアプリケーションで共通です。つまり、複数あるうちどれか1つでログインすれば、認証サーバにはそのユーザーはログイン済みと記録されます。結果として、1度のログイン作業で複数のWebアプリケーションにログインしたことになります。
2:リバースプロキシ方式
WebアプリケーションとWebブラウザの間に、リバースプロキシという専用のサーバを設置する方式です。
この方式では、ユーザーはWebアプリケーションにアクセスする際、リバースプロキシを経由することになります。そして、このリバースプロキシには、エージェントがインストールされています。
つまり、リバースプロキシを経由した段階で認証情報を受け取れるということです。エージェント方式のように、Webアプリケーションにアクセスして初めて認証情報を受け取るのではありません。
そのため、各Webアプリケーションにエージェントを設置しなくてよいのが特徴です。
3:代理認証方式
代行入力方式とも呼ばれる、第三者にログイン情報を代理認証させる方式です。第三者といっても、人が入力するわけではありません。ユーザーがログインページにアクセスした際、ログイン情報入力欄に情報を自動入力するシステムのことです。
Webアプリケーションそのものには改修が不要であるというメリットがあります。また、Webアプリケーション以外のサーバやアプリケーションにも対応可能です。
4:フェデレーション方式
クラウドサービスのログインに使われる方式です。信頼できるプロバイダにログインしておくだけで、複数のクラウドサービスにログインできるようになります。クラウドサービスログイン時に、そのプロバイダから認証情報が引き出されるためです。
海外で普及が広がり、有名なクラウドサービスでは一般的なログイン方法となっています。日本でも広がりつつありますが、標準プロトコルに従っていないものが多いなどの問題も抱えています。
5:透過型方式
認証が必要になったときのみ、認証情報を挿入する方式です。この方式では、専用のサーバがユーザーの動向を常に監視しています。そして、Webアプリケーションにログインするときに、認証情報をWebアプリケーションに送信します。
基本的に、ユーザーがWebアプリケーションにアクセスする経路の影響を受けないのが特徴です。社外ネットワークからのアクセスであっても問題ありません。また、Webアプリケーションの状態に左右されないのもメリットです。
シングルサインオンのメリット
シングルサインオンのメリットを3つ紹介します。
利便性が向上する
1つのパスワードで複数のWebアプリケーションにログインできるため、ログイン時の手間が大幅に削減されます。1回のログインにかかる手間と時間は微々たるものですが、複数サービスを使っているとその手間は侮れません。
また、パスワードを記憶しなくてよくなるのも大きな恩恵といえます。複数のパスワードを適切に管理するのは容易ではありません。覚えるのが難しく、デスクにパスワードを書いた付箋を貼るケースもありますが、これではセキュリティ上不安です。
万が一パスワードを紛失・失念した場合は、再発行するのにも大きな手間がかかります。その結果、業務に支障をきたす恐れもあるでしょう。シングルサインオンであれば、これらの手間や負担から解放されます。
セキュリティを強化できる
パスワードは、できるだけ桁数が多いものを設定することが推奨されています。
確かに、桁数が多いほど不正ログインのリスクは減少します。総当たり攻撃や推測によるログインを阻止しやすくなるでしょう。ただし、複数のサービスで長いパスワードを設定し、管理するのは大変です。
シングルサインオンはこれらの問題を解決するうえでも有効です。パスワードは1つで良いので、長いものでも管理する負担が少なく済みます。
低コストかつ短い期間で導入できる
一般的に、ID管理の理想的な形はID統合だと考えられています。複数のWebアプリケーションでIDを統合すれば、ログインだけでなく、ユーザー情報の管理を一元化できます。しかし、この方法ではWebアプリケーション自体に改修が必要で、多大なコストがかかるのが欠点です。
一方、シングルサインオンは、対象のWebアプリケーションを改修する必要がありません。方式にもよりますが、基本的に導入負担があまり大きくないのが特徴です。費用が安いだけでなく、導入までの期間も短く済みます。
シングルサインオンのデメリット
シングルサインオンのデメリットを2つ紹介します。
パスワード流出時の影響が大きい
シングルサインオンでは1つのパスワードで複数のサービスにログインします。つまり、その1つのパスワードが流出した場合、対象のサービスすべてに不正ログインされる恐れがあるということです。
この問題点への対策として多要素認証が推奨されています。ログイン時にワンタイムパスワードや指紋認証などを組み合わせることで、不正ログインを阻止します。
管理システムに依存しやすい
シングルサインオンのシステムに異常が生じた場合、複数のWebアプリケーションにログインできなくなります。一元管理のデメリットといえるでしょう。特に企業の中核業務に関わるようなWebアプリケーションにログインできなくなれば、その被害は計り知れません。
ただし、パスワードを知っていれば問題なくログインすることが可能です。シングルサインオンが使えなくても問題ないよう、パスワードを控えておくなどの対策が必要です。
シングルサインオン製品の選び方
シングルサインオン製品はどのように選べばよいのでしょうか。
既に使っているシステムとの連携ができるのか
シングルサインオン製品を導入する際、既存のシステムとうまく連携できないことがあります。その場合はそれらのシステムに手を加えなければならないため、コストが高くなります。
一部のシステムが無駄になる可能性もあるので、これはできるだけ避けたい事態です。そのため、製品選定時には自社のシステムとの相性を確認しましょう。今後ほかのシステムを導入する予定があれば、そのシステムとの相性も重要です。
また、認証情報を管理するデータベースも選定時の鍵となります。シングルサインオンでは1つの認証情報を複数のサービスで利用します。そのため、環境構築の際にはまず、散在する認証情報を1つのデータベースで一元化しなければなりません。
この工程がスムーズに進む製品を選ぶことで、自社の資産を有効活用できるでしょう。
仕様変更など柔軟な対応が可能か
シングルサインオンは導入後に拡張や仕様変更を迫られることがあります。たとえば、Webサービスへのアクセス数が増えた場合には、認証サーバの処理能力を拡張する必要が生じるでしょう。
その場合、具体的に拡張にどのくらいの工数がかかるのかが重要なポイントです。大掛かりな改修作業が必要な場合もあれば、簡単な設定だけで済むケースもあります。
作業にかかる時間のわずかな差が、ビジネスの結果を大きく左右することもあります。できるだけスムーズで柔軟な対応が望める製品を選びましょう。
ITトレンド編集部厳選!シングルサインオン製品5選
おすすめのシングルサインオン製品を5つ紹介します。商品情報は5月18日時点での内容です。
単にIDやパスワードを一元管理できるだけではありません。管理者によるアクセス制限や、社員によるサービス利用状況のログの保存・確認など、多彩な機能があります。また、基本的な機能は無料で利用できるのも特徴です。
AccessMatrixUSO
株式会社ハイ・アベイラビリティ・システムズ
AccessMatrixUSO の比較ポイント
- 生産性向上・不要な認証行為の省略による無駄時間の削減
- パスワード強度を上げることによるセキュリティ強化
- パスワード忘れ、パスワードロックによる管理者対応工数の削減
クラウドサービスやJAVA、メインフレーム、コンソールなど、多彩な種類のアプリケーションに対応しています。パスワード自動生成機能があり、生成したそれをユーザーに隠せます。そのため、社員本人にパスワードを教えない運用も可能です。
SafeNet Trusted Access Premium
タレスDIS CPLジャパン株式会社
SafeNet Trusted Access Premium の比較ポイント
- クラウドシングルサインオンをSaaSサービスで提供
- ポリシーベースのアクセス管理とワンタイムパスワード認証
- 適切なユーザーが正しいアプリケーションに容易にアクセス
アクセスポリシーにより、ユーザーがログイン情報を必要としたときのみ情報を提供します。その際の認証方式やアクセス対象などは細かく定義可能です。また、ユーザーのアクセス状況に関するログを保存でき、アクセスポリシーの設定に活かせます。
CloudLink の比較ポイント
- クラウドサービスや企業内システムへのシングルサインオンが可能
- 統合Windows認証や多要素認証にも対応
- 低コストで導入・運用が可能
GoogleAppsやSalesforce、Office365など、SAMLに準拠した多くのクラウドサービスに対応しています。また、複数の認証リポジトリに対応しているのも特徴です。社内の既存の資産を有効活用したい企業におすすめです。
SSOcube (シングルサインオン)
株式会社ハイ・アベイラビリティ・システムズ
SSOcube (シングルサインオン) の比較ポイント
- 小・中規模(100ユーザ~3000ユーザ)のシステム
- AccessMatrixの構造化セグメント・ユーザ管理機能を必要としない
- 比較的低コストにてSSOを実現されたいお客様
パスワードとワンタイムパスワードの多要素認証により、パスワード漏えい時の被害を最小限に抑制します。ワンタイムパスワードは、PassLogic認証と呼ばれるセキュリティ上強固な方法で発行されます。また、オフライン環境でPCに残ったキャッシュを基にログインできるのも特徴です。
シングルサインオンをうまく活用しましょう!
シングルサインオンとは、1つのパスワードで複数サービスにログインする方法で、5種類に分類されます。シングルサインオンのメリット・デメリットは以下のとおりです。
- 【メリット】
-
- 【デメリット】
-
製品選定時の注意点は以下のとおりです。
ここまでの解説を参考に、ぜひ自社に合ったシングルサインオンの導入を検討してください。
