トレンド解説 2023/06/07

シングルサインオンとは？仕組みやメリットを解説

近年、テレワークの普及やクラウドサービスの業務利用など、働き方は急速に変化しています。働き方の変化に伴い、一人ひとりが利用するシステム・サービスの数も増え、管理すべきID/パスワードも膨大になりつつあります。そのような中、利便性とセキュリティを高めるための仕組みとして利用されるものが「シングルサインオン（SSO）」です。

この記事では、シングルサインオンの概要から仕組み、メリット・デメリットと併せて、注意点や導入のポイントなどを解説します。

シングルサインオン（SSO）とは

シングルサインオンとは、一度のログインで複数のシステム・サービスへ自動的にログインするための仕組みです。例えば、社内システム、クラウドサービスを複数利用している場合に、ひとつのIDでログインすることで複数の社内システム、クラウドサービスへ自動的にログインできるようになります。

最近では、一人で複数のID/パスワードを管理することが当たり前となっていますが、数が膨大なため管理が難しくなっているといえるでしょう。しかし、シングルサインオンを利用すればユーザー・または管理者は一つのID/パスワードを管理するだけで済み、利便性が高まります。

「認証」と「認可」

シングルサインオンを含む認証の仕組みを利用する際には、「認証」と「認可」の違いをしっかりと理解しておくことが重要です。

認証：ユーザーの本人確認を行なうこと
認可：ユーザーの権限を付与すること

「あなたはAさんですか？」と確認することが認証であり、「AさんはファイルXへアクセスできます」と権限を付与することを、認可といいます。重要なファイル、システムへのアクセス権限読・読み書き権限を管理することは、セキュリティ対策として重要です。

シングルサインオンでは、認証はもちろんのこと、システムごとに認可することもできます。シングルサインオンを活用し、社内システム・クラウドサービスごとに厳密な認証と認可をしっかりと行うことで、セキュリティを高めることが可能です。

シングルサインオンの各方式の仕組み

シングルサインオンを実現するための仕組みは複数存在します。自社の環境や利用するシステム・サービスによって適切な方式は異なるため、それぞれの方式の仕組みについて一つずつ見ていきましょう。

SAML認証方式（フェデレーション方式）

SAML（Security Assertion Markup Language）は、システム間で認証情報を交換するための規格です。従来、認証の仕組みはシステムごとに組み込まれており、シングルサインオンのような仕組みを実装することは難しいものでした。

SAML認証はXML形式にて各システム間で認証情報を交換できるようにしており、シングルサインオンを実現するための仕組みとして広く普及しています。近年では多くのクラウドサービスが対応しており、シングルサインオンの方式としてSAML認証はよく利用されています。

ケルベロス認証方式

ケルベロス（Kerberos）認証は、サーバーとクライアント間の身元確認のために利用される規格です。ケルベロス認証ではサーバーとクライアント間の通信を暗号化できるため、データ保全のためにも利用されます。

ケルベロス認証では、一度認証に成功するとTGS（Ticket Granting Server）からチケットと呼ばれるデータを受け取り、そのチケットを使って他のシステムへのアクセス権（チケット）を受け取ることでシングルサインオンを実現します。

チケットは有効期限付きの鍵のようなものであり、他の方式には存在しない概念です。Active Directoryのユーザー認証で用いられるプロトコルとして有名であり、クラウドサービス、Webサービスのシングルサインオンを実現するというよりも、社内システム内でのシングルサインオンを実現するための方式といえます。

エージェント方式

エージェント方式は、Webサービスなどを公開するWebサーバーやアプリケーションサーバーにエージェントを組み込む方式です。エージェントを通して、認証情報を管理する認証サーバーとやり取りを行い、シングルサインオンを実現します。

エージェント方式もサーバーにエージェントを組み込む必要があることから、社内システム内でのシングルサインオンを実現するための方式といえるでしょう。後に解説するリバースプロキシ方式と比べ、エージェントを組み込むだけで良いため、既存環境への影響が小さい点が特長です。

代理認証方式

代理認証方式は、ユーザーの代わりにログイン情報を代理で入力する方式です。エージェント方式とは異なり、クライアント側にエージェントを組み込み、サービスのログイン画面などを検知して自動的にログイン情報を入力します。

クライアント側に組み込まれたエージェントは、アカウント情報を管理するデータベースなどにアクセスし、シングルサインオンの対象となるサービス・システムを監視しています。アカウント情報を管理するデータベースなどへの認証が通れば、あとは対象のサービスなどにアクセスするだけでログインできるようになる方式です。

代理認証方式は、シングルサインオンの対象となるアプリケーションが古くても対応可能である、といった利点があります。

リバースプロキシ方式

リバースプロキシ方式は、中継サーバーを介して認証を行うことでシングルサインオンを実現する方式です。ユーザーは各種サービスにアクセスする際に「リバースプロキシサーバー（中継サーバー）」を経由します。リバースプロキシサーバーに対して認証を行うことで、認証済みのCookieが発行され、それを使って各種サービスが利用できるようになります。

リバースプロキシ方式は、エージェント方式や代理認証方式のようにクライアント・サーバー側に手を加える必要がありません。ただし、ネットワークのアクセス経路として必ずリバースプロキシサーバーを通るようにネットワーク設計を変更する必要があります。

透過型方式

透過型方式は、シングルサインオンの対象サービス、システムに対するユーザーのアクセスを監視し、その都度ログイン情報を送信する方式です。シングルサインオンの方式の中でも比較的新しい方式となっています。

透過型方式に対応したシングルサインオンのソリューションを導入し、透過型方式に対応したサービス・システムであれば、すぐにシングルサインオンが実現できます。アクセス経路に依存することなく、社内システム、クラウドサービスも問わず利用することが可能です。

シングルサインオンのメリット

シングルサインオンの導入は、様々なメリットにつながります。そのなかでも、代表的な3つのメリットについて見ていきましょう。

セキュリティの強化につながる

シングルサインオンを導入することで、セキュリティを強化できます。近年ではクラウドサービスの業務利用が増えており、重要なデータが社外に保管されていることも珍しくありません。各種システム・サービスに対するアクセスは厳重に管理する必要がありますが、一人ひとりのアカウントの管理は個々人に任されています。

業務で一人が利用するシステムの数は増え、管理すべきパスワードの数も膨大になっていることから、セキュリティ的に弱いパスワードを設定したり、使いまわしたりするケースが多く見られます。シングルサインオンを導入すれば、一人ひとりが管理すべきパスワードの数は大幅に減り、不正アクセスなどのリスク低減につなげる事が出来ます。

利便性が向上する

前述の通り、業務で一人が利用するシステムの数は増えており、その都度ログインが必要な環境では作業効率が低下します。シングルサインオンであれば、一度ログインしてしまえばその後はログイン作業が必要ありません。

必要なときに直ぐに必要なサービス・システムにアクセスできる環境を構築できるため、作業効率や利便性の向上につながります。近年では、パソコンだけでなくスマートフォンやタブレットも業務で利用する機会が増えていますが、シングルサインオンはデバイスを問わず実現できる場合も多いため、利便性の向上に役立てられています。

パスワード管理を効率化できる

業務利用するシステムの数が増えることで、管理すべきパスワードの数も膨大になりました。覚えておくことが難しいため、パスワードを紙に書き出したり、Excelなどで保管したりしてしまっている方も多いのではないでしょうか。

前述のような管理方法ではパスワードが漏洩してしまう可能性があるため、より厳密な管理が必要です。シングルサインオンを導入すれば、個人が管理すべきパスワードは一つだけになるため、パスワード管理の効率化が実現できます。

シングルサインオンのデメリットや注意点

シングルサインオンは多くのメリットをもたらしますが、同時にデメリットや注意点も存在します。以下のデメリット・注意点についても知っておきましょう。

サイバー攻撃で突破された際の被害が大きくなる

シングルサインオンを実現するためには、各種システム・サービスのアカウント情報を一元管理する必要があります。そのため、一元管理しているサーバーなどがサイバー攻撃を受け、情報漏えいなどが発生すると被害が大きくなってしまいます。シングルサインオンの導入時、アカウント情報を管理するサーバーなどに対するセキュリティ対策は、特に重視することが重要です。

システムがシングルサインオンに対応していないケースがある

シングルサインオンを実現するための方式はさまざまですが、なかには対応していないシステム・サーバー・サービスが存在します。例えば、業務利用しているクラウドサービスがSAML認証に対応していない、シングルサインオンのソリューションと自社サーバーが対応している方式が異なる、などの場合にはシングルサインオンを実現できない可能性があります。シングルサインオンを実現したい範囲を明確にし、導入前に各種方式の対応状況を確認しておきましょう。また、SAML認証に加え、SAML非対応の社内システムでもパスワードレスを実現できる、エージェント方式のシングルサインオン機能を実装しているソリューションもおすすめです

シングルサインオンの認証システムに不具合が生じたときの影響が大きい

前述の通り、シングルサインオンではアカウント情報を一元的に管理しています。そのため、不具合が生じた際にはシングルサインオンの対象システム・サービスのすべてにアクセスできなくなる可能性があります。業務利用するクラウドサービス・社内システムなどのすべてが利用できなくなり、業務が継続できなくなる可能性もあるため注意が必要です。

シングルサインオンのデメリットや注意点への対策

シングルサインオンのデメリットや注意点に対しては、次のような対策が有効です。

IPアドレス制限
ワンタイムパスワードの利用
クライアント証明書の利用
事前の環境調査

シングルサインオンの認証サーバーや利用するユーザーのセキュリティを高めるためには、IPアドレス制限やワンタイムパスワード、クライアント証明書の利用が有効です。認証サーバーにアクセスするユーザーのIPアドレスを制限し、海外からのアクセスを拒否するなどすることで、サイバー攻撃のリスクを低減できます。

また、利用するユーザーの不正アクセスを防ぐために、都度パスワードが変更されるワンタイムパスワードを利用する、クライアント証明書（電子証明書）がインストールされているデバイスからのアクセスしか許可しない、といった仕組みを利用しましょう

注意すべき点として、近年では、フィッシング攻撃によりワンタイムパスワードなどを突破するようなサイバー攻撃が発生しています。電子証明書認証は、様々な認証方式の中でも唯一通信段階で認証できる認証方式です。フィッシング耐性のある認証方式として、近年導入されるケースが多くなっています。

シングルサインオン導入の具体例

シングルサインオンはさまざまな環境で利用されています。

業務における一般的な利用例としては、システムや業務アプリケーションを社内ポータルと連携し、社内のアカウント情報を使って業務利用する各種システムに自動的にログインできるようする、といったケースが挙げられます。さらに、業務利用するクラウドサービスとも連携し、社内のアカウント情報で業務利用するすべてのシステム・サービスにアクセスできるようにしている企業も多いでしょう。

業種や規模を問わず、シングルサインオンの利便性の高さは評価されており、導入する企業が増えています。

シングルサインオンシステム選定のポイント

シングルサインオンのソリューションやサービスの選定のポイントとしては、次のような点が挙げられます。

利用したいサービスに対応しているか
自社の利用目的、用途に合っているものか
ソリューションの提供形態
ソリューションの信頼性

シングルサインオンのシステムを導入しても、利用したいサービスがシングルサインオンに対応していなければ意味がありません。クラウドサービス・自社システムを問わず、利用目的や用途を明確にした上で、導入しようとしているソリューションでシングルサインオンがしっかりと実現できるかどうかを事前に確認することが重要です。

併せて、ソリューションもクラウドサービスとして提供しているものや、エージェント型のようにオンプレミス環境に導入するものなど様々であるため、ソリューションの提供形態も確認しましょう。特に、クラウドサービスと自社システムのようにハイブリッド環境におけるシングルサインオンを実現したい場合には、実現するための方式も含めて確認した上で選定する必要があります。

また、デメリット・注意点で解説した通り、シングルサインオンの認証サーバーがサイバー攻撃を受けたり、不具合が起きたりすると業務に多大な影響を及ぼします。そのため、ソリューションのセキュリティ対策や信頼性も選定する際に重要視するポイントの一つです。