企業では業務用システムや外部のWebサービスの利用が増えていますが、それに伴い、ログイン用のアカウント管理が煩雑になりつつあります。管理を要するアカウントが多いために、アカウント情報の紛失や忘れといった問題も多く、対応に追われる社内SEも少なくありません。こうした状況は、企業で働く従業員の業務に支障となるだけでなく、情報セキュリティ上も大きな問題です。
このような問題の解決にシングルサインオンが有効です。この記事では、シングルサインオンの仕組みや導入メリットなどについて解説します。
1.シングルサインオンとは?
シングルサインオンとは、1つのアカウントの認証情報によって複数のサービスへのログインを可能にする技術のことです。シングルサインオンは、次の4種類の仕組みのいずれかによって提供されています。
2-1.エージェント方式
Webアプリケーションサーバーに、認証を代行するエージェントモジュールを組み込むことでシングルサインオンを実現する方式です。Webサーバーでリクエストを受け取ると、Webサーバー内のエージェントがシングルサインオンサーバーにユーザーのログイン状態やアクセス権限を問い合わせて確認を行います。
2-2.リバースプロキシ方式
ブラウザとWebアプリケーションサーバーの間にエージェントソフトを入れたリバースプロキシサーバーを設置することでシングルサインオンを実現する方式です。Webブラウザからアクセスがあれば、リバースプロキシサーバーが認証情報を処理しWebアプリケーションサーバーに中継します。
2-3.代理認証方式
対象サービスのログインページに、ユーザーの代理で認証情報を送信し自動的にログインを完了させ、シングルサインオンを実現する方式です。ソフトやシステムがシングルサインオンに対応していない場合に有効で、エージェント方式やリバースプロキシ方式と組み合わせて使用します。便利ですが導入には技術が求められます。
2-4.フェデレーション方式
サービスにおいて、パスワードの代わりにチケット(トークン)と呼ばれる情報を受け渡しすることで、サービス間のシングルサインオンを実現する方式です。オンプレミスとクラウドの両方を用いる環境でも対応しやすく、クラウドサービスの増加に伴い、今後の主流になると予想されています。
2.シングルサインオンの導入メリット
次に、シングルサインオンの導入によってどのようなメリットがあるのか解説します。
2-1.アカウント管理の効率化
ログインが必要なサービスが多くなるほど、管理するべきアカウントが増え、従業員の増減や組織変更のたびにアカウント情報やアクセス権限の整理が複雑で手間のかかる作業になります。シングルサインオンの導入により、管理すべきアカウントが大きく減るため、アカウント管理に携わる情報システム部や社内SEの業務が効率化されます。
2-2.情報セキュリティ体制の堅牢化
管理するアカウントが多くなると、忘れないようにとメモに残したりパソコンに付箋を貼ったりするユーザーも出ますが、こうした所からソーシャルハッキングを受けることも少なくありません。また、パスワードを単純な推測しやすいものにする人もいます。シングルサインオンの導入により、こうしたリスクを回避することが可能です。
シングルサインオンでは、ユーザーにパスワードを知らせず運用することも可能で、管理者による認証情報の一括管理もできます。また、端末やアカウント情報を一括で管理する機能を提供しているサービスも多く、MDMやBYODをセキュアに運用可能です。
2-3.ログイン作業の効率化
シングルサインオンはログイン時の認証情報の入力作業を省くことができるため、ユーザーの業務における手間を減らし効率化します。また、サービスの利用やアカウントの管理に関するストレスから解放されるのもメリットです。
3.シングルサインオン導入の注意点
シングルサインオンの導入には多くのメリットもありますが、導入にあたっては注意が必要な事項もあります。
3-1.ログイン情報の漏洩時のリスクが大きい
シングルサインオンは、ログインを簡略化できるからこそ、アカウントの情報が外部に漏れてしまった場合にはその影響範囲が大きくなるリスクがあります。一つのアカウント情報の漏洩から複数のシステム・サービスへのアクセスが懸念されるため、確認のための作業も多くの時間が必要です。そのため、多要素認証などを導入しアカウント情報のみでのログイン制限や、ログ分析から不審な振る舞いに注意を行うことが望ましいです。
3-2.トラブル時に複数サービスが利用不可になる
シングルサインオンを提供するサーバーにトラブルが起こった場合、複数のサービスへのログインができなくなる可能性があります。特に社内の基幹システムへのアクセスができなくなると業務上の影響が大きいため、アカウントを別にしたり、予備のサーバーを準備したりするなど冗長化を行うなどの対策が必要です。
3-3.対応していないサービスがある
現在はシングルサインオンに対応したサービスが増えてきており、使用するプロトコルも標準化が進んでいますが、古いソフトやシステムには仕様上対応ができないものもあります。サービス導入にあたっては対応可能かの事前確認が必要不可欠です。
3-4.コストがかかる
シングルサインオン製品やサービスにはさまざまなものがあり、利用するアカウント数に応じたコストが必要です。また、オンプレミス型の製品とクラウド型の製品では、初期費用や維持費用のかかり方が異なるため、しっかりコスト計算を行いましょう。
4.主なシングルサインオン製品の紹介
シングルサインオン製品はさまざまですが、企業の活動に重大な影響があるため、信頼できる企業のサービスを導入することが大切です。主な製品について紹介します。
4-1.トラストログイン(GMOインターネット)
クラウドでシングルサインオンを提供するIaaS型のサービスです。無料での使用も可能で、有料オプションによりActive DirectoryやOffice365との連携が可能な他、SAMLやSCIMを使った外部IDPとの連携もできます。IPアドレス制限や多要素認証にも対応しており、今後も多くの機能が追加される見込みです。
4-2.Oracle Access Management(日本オラクル)
OracleのWeblogic Serverで動作するオンプレミス型のサービスで、SAMLフェデレーションやOauth、OpenIDにより幅広いデバイスやサービスに対応したシングルサインオンを提供します。セキュリティ面が特に充実しており、暗号化通信や不正な振る舞いの検出、フィッシング防止機能や多要素認証などを利用可能です。
製品URL:https://www.oracle.com/technetwork/jp/middleware/id-mgmt/overview/index-090417-ja.html
4-3.IceWall SSO(HPエンタープライズ)
国内累計4000万以上のライセンスが販売されている、国内でもトップクラスのシェアを誇るオンプレミス型のシングルサインオンサービスです。エージェント方式とリバースプロキシ方式をサポートし、多くの他社製品との連携可能なシングルサインオンサービスを提供します。また、企業で利用される端末を登録し、マルチデバイス管理を一元化してセキュアな運用体制を作るためにも効果的です。
製品URL:https://h50146.www5.hpe.com/products/software/security/icewall/sso/
4-4.NetIQ Access Manager(ノベル)
フェデレーション方式でシングルサインオンを実現するオンプレミス型のサービスです。社内外のサービスとの連携を要する環境が想定されており、標準仕様で多くのサービスと連携できます。GUIでアクセス権や接続サービスなどを一元管理でき、デバイスフィンガープリント機能や多要素認証、ボット対策など多くのセキュリティ機能を有します。機能がシンプルで、導入や操作にあたりユーザーや管理者の負担が少ないのも長所です。
製品URL:https://www.microfocus.com/en-us/products/netiq-access-manager/overview?ref=h
5.まとめ
シングルサインオンは企業のアカウント管理を効率化するだけでなく、セキュリティの強化にも有効なサービスです。導入時には、想定されるリスクへの対策を考えつつ、信頼できる企業から自社に会ったサービスを導入することが大切です。
