新しいWebサービスやソフトを利用する時に欠かすことができないチェックポイントがセキュリティ対策です。
特に利用するサービスが増えるほどに高まるのがパスワード漏洩のリスクでしょう。
パスワード管理を効率化して利便性を向上させるにはSSOの導入がおすすめです。
本記事ではSSOとは何か、仕組みや導入するメリット、デメリットなどを解説しますので参考にしてください。
SSO(シングルサインオン)とは?
SSO(Single Sing-On)とは、1つのシステム利用時にログイン認証を行うことで複数のシステムの利用時に認証を行う必要がなくなるようにする仕組みのことを指します。
1度の認証で、そのユーザー認証に紐づけられている複数のシステムやサービスに追加認証なしで利用できるようになるため、非常に利便性の高い仕組みと言えます。
多くのサービスがIDとパスワードによるユーザー認証を導入しており、利用するサービスが増えるほどに覚えるID·パスワードが増えていきます。
シングルサインオンを導入すれば1つのIDとパスワードで複数のシステムを利用できるようにり、利便性が向上します。
SSO認証の仕組み
SAML認証(フェデレーション方式)
SAML(Security Assertion Markup Language)認証とは、IdP(Identity Provider)とSP(Service Provider)によってユーザー認証情報を利用したシングルサインオンが可能になる仕組みのことを指します。
SAML認証方式では、対象のサービスへアクセスした際にサービス側から認証要求が送信され、認証を成功させることでIdPが認証応答を送信して自動ログインができるようになるため、1度認証が成功すればSAML認証方式に対応している複数のサービスに手間なくログインできるようになります。
サービスごとにIDやパスワードを管理する手間が不要となるためシステム担当者の業務負担が軽減されます。
エージェント方式
エージェント方式は対象のアプリ(サービス)にエージェント型ソフトをインストールする方式のことを指します。
エージェント方式が組み込まれているアプリの中から1つにログインしていれば、ログイン情報が認証サーバーに保存されるので、他のサービスでもログイン時のIDやパスワード入力が不要となります。
デメリットとしては、対象のWebアプリケーション全てにエージェントをインストールする必要があるため、アップデートも適宜行なって行かなければいけません。また、そもそも対象のWebアプリケーションがエージェント方式に対応していなければ使うことができない点もデメリットです。
リバースプロキシ方式
リバースプロキシ方式とは、Webアプリケーションと認証サーバーの間にリバースプロキシというサーバーを設置する方式のことを指します。
エージェント方式と異なるのはリバースプロキシにエージェントがインストールされているため、各アプリケーションにエージェントを導入しなくて良いという点です。
難点としては、対象のWebアプリケーションを全てリバースプロキシ経由にしなければいけなくなります。そのため負荷がかかりやすくなる点に注意しなくていけません。
代理認証方式
代理認証方式はユーザーの代わりにシステムによってログイン情報を入力することができます。IDaaSというサービスと組み合わせることで実現可能です。
システムが代理で入力してくれるため、Webアプリケーション側でカスタマイズする必要がなく、Webアプリケーションにも応用できます。
注意点としてはユーザー側にエージェントをインストールする必要があります。
SSO(シングルサインオン)の導入方法
自社が利用しているサービス、WebアプリケーションをSAML認証方式のSSOに対応させる方法を紹介します。
いくつか方法はありますが、比較的容易なのが専用のアプライアンスを利用する方法です。
すでにWebサービス、アプリケーションを運営している場合は「Powered BLUE」のような認証機能対応のWebアプライアンスをリバースプロキシとして利用すればSAML認証を実装することができます。
SSO(シングルサインオン)のメリット
利便性の向上
SSOを導入することで、1つのID·パスワードで複数のサービスにログインできるようになるため、たくさんのIDやパスワードを覚える必要がなくなります。
利用するサービスごとにIDとパスワードを入力する時間が省略されることもメリットです。
セキュリティリスクが削減される
SSOが導入されていない環境では、サービスごとに異なるIDやパスワードをどこかにメモしておく必要があったり、覚えるのが面倒ということで全て同じもので統一する必要がありました。
しかし、これはセキュリティ面から言えば非常に危険で情報漏洩のリスクを高めてしまいます。
SSOではIDやパスワードが異なっても同じ認証方式を採用していれば、パスワードが異なっていても入力の手間なくログインすることが可能です。
管理リソースやコストの削減が可能に
ID·パスワード管理のために新しいシステムを構築する手間や費用、従業員ヘルプのための人員増加などが必要なくなります。
パスワード管理の負担が軽減されることで、空いた時間を別の業務に振り分けることができます。
SSOのデメリット
SSOは導入すればパスワード管理の手間が効率化される一方でデメリットもあります。主な一例としては下記の通りです。
パスワード漏洩が重大なセキュリティリスクにつながる
SSOで利用しているID·パスワードの情報が漏洩してしまった場合、そのIDとパスワードを利用している全てのサービスが不正利用されてしまうリスクがあります。
IPアドレス制限機能が搭載されているものであれば社内など特定のIPアドレス以外からの不正なアクセスを制限することができます。
また、ワンタイムパスワードを用いればパスワードが都度変更されるため情報漏洩のリスクを下げることが可能です。
システムが停止するとログインできなくなる
SSOは特定のシステムによって認証情報が管理されているため、管理システムが停止してしまった場合はSSOでログインするように設定しているサービスが使用できなくなる恐れがあります。
ただし、それぞれのサービスへログインするためのパスワードやIDが別に管理されている場合ではこの限りではありません。
仕組みを理解してSSO(シングルサインオン)を導入しよう
SSO(シングルサインオン)について、概要やその仕組み、導入方法、メリット·デメリットなどを紹介しました。
利用するWebサービス、アプリケーションが増えるほどにパスワード管理は煩雑化するため、SSOの導入は積極的に検討するべきでしょう。
本記事で紹介したSSOの仕組みや導入方法を参考にして、是非導入を検討してみてください。