シングルサインオンとは？仕組みや導入するメリット・デメリットを紹介

シングルサインオン（SSO）とは

シングルサインオン（Single Sign On、SSO）とは、1つの認証手続きで複数のシステムにログインできる仕組みのことです。シングルサインオンを利用すれば、サービスごとに異なるIDとパスワードを設定する必要がなく、ユーザーは何度も認証を行う手間が省けます。

よく使われるのは、次の2種類です。

• 企業内のポータルログイン
  1つの業務システムへログインすれば、ほかの業務システムもログインせずに利用できます。
• ソーシャルログイン
  GoogleやTwitterなどのアカウント情報を使用して、ほかのサービスにログインする方法です。OpenIDやOAuthなどの標準化技術を利用し、さまざまなサービスで導入されています。

シングルサインオンが注目されている理由

シングルサインオンが注目されているのには、次のような要因があります。

• SaaS型業務システムの増加
• テレワークの増加
• DXの推進によるITツール導入の増加

これらの要因によって、業務で認証が必要なサービスやシステムの利用が増えています。その場合、サービスやシステムの利用にはIDとパスワードなどの認証情報が必要になりますが、利用するシステムごとに設定する場合は認証情報が急増し、管理負担も増大します。

ユーザー自身も認証情報を管理しきれず、脆弱なパスワードを使ったり、同じパスワードを使い回したりする傾向も見られます。それでは、セキュリティリスクが高まってしまいます。このような、ユーザーやシステム管理側の管理負担を軽減するため、シングルサインオンの利用が増加しているのです。

シングルサインオンの仕組み・方式

シングルサインオンで認証を行う仕組みと、その方式を説明します。

シングルサインオンによる認証の流れ

シングルサインオンでの認証は次のように行われます。

企業内でのシングルサインオン

1. 社内ポータルや業務システムの1つへログインする
2. 社内のほかのシステムへもそのままアクセス

ソーシャルログイン

1. ソーシャルログインを導入しているサイトAにアクセス
2. 認証が必要になると、ソーシャルログインを利用できるサイトBに移動する。例えば、Google、Amazon、Twitter、Yahoo!、LINEなど。
3. サイトBで認証を行う
4. 自動的にサイトAに戻る。サイトAでもログインした状態になる。

シングルサインオンの方式

シングルサインオンの認証にはいくつかの方式があります。以下に代表的な方式を紹介します。

• ケルベロス認証方式
  Windows Active Directoryの認証に使われる方法で、ドメイン内にある複数のサーバーでシングルサインオンが可能です。認証時に発行される「チケット」と呼ばれるデータを利用し、アクセスを許可します。
• リバースプロキシ方式
  クライアントとWebブラウザ/Webアプリケーションサーバーの間に、リバースプロキシサーバーを設置する方式です。サーバーへのアクセスはすべてリバースプロキシサーバーを経由して認証します。
• エージェント方式
  Webアプリケーションのサーバーにエージェントと呼ばれるアプリケーションを組み込んで認証に利用する方式です。認証するとエージェントにクッキーが発行されます。
• SAML認証（フェデレーション）方式
  ユーザーがアクセスしようとするアプリケーションであるSP（Service Provider）へのログインを試みると、SPはIdP（Identity Provider）に認証情報を要求します。IdPが認証情報を送信するとログインが可能になります。
  SAMLやOpenID Connect、OAuthなどのプロトコルを利用し、多くのサービスが対応しています。
• 代理認証（フォームベース）方式
  ユーザーが操作しなくても、クライアントに導入したエージェントがログイン情報を検知して自動で入力する方式です。顔認証と組み合わせることもあります。
• 透過型方式
  透過型サーバーを中継して、必要に応じてログイン情報を送付することで認証を行います。端末やブラウザ、サーバーの設置場所に依存せず、さまざまな環境に対応可能です。

シングルサインオン導入のメリット・デメリット

シングルサインオンの導入には大きなメリットがありますが、デメリットも存在します。

メリット

• セキュリティの強化
  ログインするサイトやサービスを限定することで、強力なパスワードや、生体認証や多要素認証といった強力な認証方法を利用できます。
• 認証情報管理の効率化
  必要な認証情報の量が減ることで、管理の徹底や効率化を図れます。また、情報を管理するシステム部門の負担も削減されます。
• 不正アクセス、なりすまし、情報漏洩のリスクを軽減
  認証情報の管理の徹底を図れることによって、情報が漏洩するリスクも軽減します。これは不正アクセスやなりすまし、そこからの情報漏洩を防ぐことにもつながります。
• ユーザーの利便性向上、業務効率化
  異なる業務システムにアクセスするたびに認証を行う必要がなくなるため、ユーザーの負担が減り、業務効率化にもつながります。

デメリット

• 一度認証情報が漏れると被害が大きい
  1つの認証情報でさまざまなサイトにアクセスできるため、一度認証情報が漏洩すると、大きな被害をもたらします。
• 認証システムが停止すると、すべてにログインできなくなる
  認証システムを提供しているサービスやサーバーが停止すると、利用しているすべてのサイトにログインできなくなります。業務が停止する可能性もあります。

シングルサインオンのデメリットを解消するには？

上に挙げたようなデメリットを解消するには、次のような対策があります。

• IPアドレス制限によるセキュリティ強化
  認証情報だけでなく、不審なIPアドレスからのアクセスを拒否する、関係者以外のIPアドレスからのアクセスを拒否するなどで、セキュリティを強化します。
• ワンタイムパスワードの利用
  シングルサインオンにワンタイムパスワードの設定を組み合わせると、よりセキュリティを強化できます。ワンタイムパスワードとは、通常のパスワードとは別に、毎回変更されるパスワードのこと。たとえ認証情報が漏洩しても、なりすましを防ぐことができます。
• アクセス許可の制限
  電子証明書がインストールされているデバイスのみアクセスを認める方式をとることも有効です。電子証明書とは、信頼できる第三者（認証局）が間違いなく本人であることを証明したもの。暗号化技術を用いているため、さらにセキュリティ強化につながります。

また、シングルサインオンとは逆の考え方ですが、セキュリティを確保するには「ゼロトラストセキュリティ」を導入する方法もあります。ゼロトラストセキュリティとは、すべてのユーザーや端末からの認証を一度疑い、毎回きちんと認証を行うことを基本とする考え方です。

ゼロトラストセキュリティの詳細は、次の記事をご参照ください。

関連記事

ゼロトラストとは？メリットやデメリット、実現するためのポイントを紹介

シングルサインオンシステムを選ぶときのポイント

シングルサインオンを実現するには、専用のシステムを導入します。導入するシステムを選定するときには、次のような点を確認します。

• SSOシステムの導入形態
  システムはクラウドサービスで提供されるか、オンプレミスでも導入可能か。
• 既存のシステムへの対応
  利用したいサービスやアプリケーション、既存の業務システムや将来導入を検討しているシステムに対応しているか。
• 認証方法
  認証方式は何を使っているか、さらに生体認証や多要素認証を追加することは可能か。
  なお、現在利用しているアプリケーションやサービスによっては、使える認証方法が限定されることもあります。
• 自社の環境で利用できるか
  自社のサーバーやクライアントで利用できるか、テレワークで利用できるか。
• 十分なセキュリティを確保できるか
  システム自体のセキュリティは確保されているか、アクセス権限、ログの保存などは可能か。
• 運用管理はしやすいか
  日常的な運用管理はしやすいか、将来のアプリケーション追加は可能か。
• サポートは十分か
  導入や運用管理、トラブル発生時のサポートはあるか、内容はどのようなものか。
• コストは予算内か
  必要な機能を満たしながら、適正なコストで利用できるか、コストは予算内か。

これからもクラウドサービスの利用は増えていくので十分な認証が必要

現在すでに多くの業務にSaaSが導入されていますが、その数はこれからも増えていくでしょう。そのため、シングルサインオンによる認証も増えていくと予想されます。シングルサインオンの導入は、基本的にはセキュリティの強化につながります。ただし、認証情報の適切な取り扱いと運用管理には注意が必要です。

SaaSの利用やリモートワークを安全に行うには、シングルサインオンやアクセスツールの導入に加え、セキュリティを確保した接続や認証方法を検討することをおすすめします。

さまざまなリモートアクセスツールを展開しているCACHATTO Oneでは、リモートデスクトップ、セキュアコンテナ、セキュアブラウザなどの、さまざまな製品を提供しています。そのなかから自社に最適なツールを選ぶことができ、より快適かつ低コストで安全なテレワークを実現可能です。詳しくは以下をご参照ください。