>
>
公開日
複数のSaaS導入によって、ID・パスワード管理の煩雑さやセキュリティリスクに悩む企業が増えています。本記事では、シングルサインオン(SSO)の仕組みや種類、導入のメリット・デメリットをわかりやすく解説。高額な「SSO税(SSO Tax)」問題や最新のMFA疲れ攻撃対策、実際の導入事例、規模別の導入チェックリストまで、実務ですぐに使える情報を網羅してお届けします。
この記事でわかること
この記事でわかること
2025〜2026年の国内市場急拡大:IDaaS市場は300億円を突破し、セキュリティと利便性の両立が急務となっています。
実務上の落とし穴「SSO税」:SSO連携(SAML等)を利用するためだけに、高額なエンタープライズプランへの強制アップグレードを求められる実態があります。
単一障害点(SPOF)への対策:認証の入り口が1つになるため、多要素認証(MFA)やパスキー(生体認証)の併用がセキュリティ上欠かせません。
自社に適した方式の選定:SAMLなどの主流方式から、レガシーシステム向けの代行入力方式まで、自社のIT環境に応じたハイブリッド選定が求められます。
シングルサインオン(SSO)とは?基本の仕組み
シングルサインオン(SSO)は、1回限りのユーザー認証によって、連携された複数のクラウドサービスやシステムへのシームレスなアクセスを実現する技術です。
現在の主流「IDフェデレーション(SAML / OIDC)」とは
現在、SaaSを中心とするクラウド連携において圧倒的な主流となっているのが、IDフェデレーション(ID連携)方式です。この方式では、ID情報を管理するアイデンティティプロバイダー(IdP)がユーザー認証を行い、認証に成功した証明(アサーションやトークン)をサービスプロバイダー(SP)側に安全に受け渡すことでログインを確立します。
その中核となる技術仕様が、企業向け(BtoB)SaaSで広く使われる「SAML 2.0(サムル)」や、よりモダンでモバイルアプリ等とも親和性が高い「OIDC(OpenID Connect)」です。ユーザーは認証サービスに一度ログインするだけで、パスワードを各SaaSに直接教えることなく、安全かつスピーディーに連携先の全システムを利用できるようになります。
【最新データ】2025〜2026年現在の国内市場規模と導入状況
独立系IT調査会社ITR(2026年4月発表)の最新データによると、2024年度の国内IDaaS(クラウド型ID・アクセス管理)市場規模は303億5,000万円(前年度比23.9%増)に急拡大しました。2025年度も2桁成長を維持し、今後も年平均成長率(CAGR)9.5%で右肩上がりの推移が見込まれています。また、デロイト トーマツ ミック経済研究所(2026年3月発表)によれば、Webシングルサインオンや多要素認証、IDaaSなどを含む「個人認証・アクセス管理型セキュリティソリューション」の国内市場全体は、2025年度に1,474億円、2026年度には1,689億円に達すると予測されています。
一方で、デージーネットが2026年2月に実施した国内のIT展示会来場者向け調査では、「SSO導入済み」が38.2%であるのに対し、「未導入」が39.8%と拮抗している実態も判明しました。未導入の最大の要因は「費用対効果が見えにくい(29.2%)」こと。ログインに関する困りごとの第1位が「ID・パスワード管理の煩雑さ(42.9%)」であるにもかかわらず、その解消手段としてのSSO導入に踏み切れない課題が浮き彫りとなっています。
SSOの基盤となる技術をより詳しく理解したい方は、SAMLとOAuthの違いや認証と認可の仕組みを解説した記事をあわせてご確認ください。
▲ フェデレーション方式(SAML/OIDC)におけるSSO認証の仕組み
シングルサインオンを導入するメリット
ログイン手間の削減と一元管理による安全確保が最大のメリットです。
【従業員側】ログイン不要による業務効率化と利便性向上
SSOの導入により、従業員は一日に何度も異なるシステムでID・パスワードを入力する手間から解放されます。ログインプロセスがシームレスになることで、日々の定型業務へのアクセススピードが大幅に向上し、パスワードの失念による作業ストップもなくなります。これにより、コア業務に集中できる時間が増加します。
【システム管理側】ID情報の一元管理とプロビジョニングの自動化
管理者は、社内の各メンバーが利用する無数のSaaSやオンプレミスのアカウント情報を単一の統合コンソールで一元管理できるようになります。これにより、人事異動や退職時の迅速な権限変更、不要なアカウントの削除(プロビジョニング自動化)が容易になり、外部に放置されたアカウントを狙う乗っ取りリスクを防げます。また、強固なパスワードポリシーやアクセス権限の割り当てをシステム全体へ一律に適用できるため、セキュリティの統制レベル自体が引き上がります。セキュリティ監査に向けたログ収集の効率化にも寄与します。
【導入効果】ITヘルプデスク工数の削減とログイン時間短縮効果
IT業界では一般に、ヘルプデスクへの問い合わせの一定割合が「パスワード忘れによるリセット要請」で占められると言われています。SSOを導入することで、こうしたパスワード関連のサポートチケットを大幅に削減できます(市場調査によれば、1回のサポート対応につき約15〜25分の対応コストが削減されます)。複数の業界調査によれば、SSO導入によりITヘルプデスクへのパスワード関連問い合わせを大幅に削減できるとされており、最大50%削減を実現した企業事例も報告されています(各IDaaSベンダーの導入事例を参照)。
また、従業員は一日に何度もさまざまなシステムへのログインを繰り返していますが、SSOによってログインのたびに要していた時間を大幅に短縮できます。適切に構成されたSSOでは、認証済み状態でのシステム切り替えにかかる時間を大幅に圧縮でき、全社規模での生産性向上に直結します。デージーネットの調査では、導入企業の70.2%が「ログインの手間・時間が減った」とその確かな導入効果を実感しています。
SSO導入によるアカウント管理の効率化を最大化するために、プロビジョニングの仕組みやデプロイとの違いを解説した記事もぜひ参考にしてください。
シングルサインオンのデメリットと「3つの落とし穴」
SSOは導入すれば終わりではなく、単一障害点のリスクや高額なSSO税によるコスト増加を見据えた事前対策とセットで検討する必要があります。
IdPアカウント侵害による「単一障害点(SPOF)」のリスク
SSOは便利な反面、ログインの入り口を1箇所に集約するため、システム全体の「単一障害点(Single Point of Failure)」となります。万が一、SSOのメインアカウントやIdPのマスターパスワードが盗まれた場合、連携している社内のすべてのクラウドサービス(チャット、電子メール、顧客情報管理システムなど)に芋づる式に侵入されてしまうリスクをはらんでいます。
SSOシステムがダウンした際の影響範囲
特定の認証プロバイダー(IdP)や自社のSSO中継サーバーに障害が発生した場合、従業員は連携するすべてのシステムに一切アクセスできなくなります。業務が完全に停止するリスクがあるため、SSO製品の可用性(SLA)の確認や、障害時のエスケープルート(緊急アクセス手順)をあらかじめ策定しておきたいところです。
【要注意】SaaSごとに発生する高額な「SSO税(SSO Tax)」問題
多くのシステム担当者を悩ませているのが、俗にいう「SSO税(SSO Tax)」問題です。これは、SaaSツール(例:Slack、GitHub、Zoom等)において、シングルサインオン機能(SAML認証)を利用するためだけに、通常の基本料金プラン(Standard等)ではなく、非常に高額な最上位の「Enterpriseプラン」へのアップグレードを強制されるビジネス慣習を指します。
セキュリティを強化しようとSSOを契約したものの、各SaaS側のライセンス費用が2倍〜数倍に膨れ上がるため、特に中堅・中小企業にとっては導入コストが想定を大幅に超える大きな足かせとなっています。これに対し、米CISAが主導する「セキュア・バイ・デザイン」のガイドライン(CISA公式ページ)では、「SSOや多要素認証などの基本的なセキュリティ機能は、追加料金なしの標準機能として提供されるべきだ」とする是正議論が2023〜2024年にかけて世界的に活発化しました。
▲ SSO導入時に発生する単一障害点(SPOF)のリスク構造
単一障害点(SPOF)への対策として個別パスワードの安全な運用を検討されている方は、パスワードマネージャーの安全性と選び方を解説した記事が役立ちます。
シングルサインオンの種類(方式)
自社のシステム環境に適したSSO方式を選定することが導入成功の鍵です。
フェデレーション方式(SAML、OpenID Connect)
クラウドサービス間、または社外クラウドと認証プロバイダーを連携させる現在の最有力方式です。SAML 2.0やOpenID Connect(OIDC)といった標準化プロトコルを使用し、認証情報(トークン)を信頼されたシステム同士で交換します。パスワードがネットワーク上を流れないため安全性が高く、多くの最新SaaSに対応しています。
代行入力(フォームベース認証)方式
ブラウザやクライアント端末に専用ツールを導入し、ユーザーに代わってID・パスワードを自動的に入力してログインする方式です。プロトコル連携(SAML等)に対応していない、自社の古いウェブシステムや安価なSaaSプランに対してもSSOを適用できるため、高い適用柔軟性を持ちます。
リバースプロキシ方式
ユーザーとアプリケーションサーバーの間に「リバースプロキシ」と呼ばれる代理サーバーを設置し、そのプロキシ上でユーザー認証を一元管理する方式です。クライアントから社内システム(オンプレミス)への直接アクセスを防ぎつつ、プロキシを経由して複数のウェブアプリに一度の認証で入れるよう設計されています。
代理認証(エージェント)方式
対象のアプリケーションサーバーに専用の「エージェント」モジュールを直接組み込み、エージェントがSSOサーバーと通信してユーザー認証を代理する方式です。Webベース以外の古い社内システムにも比較的適用しやすい一方で、サーバーごとにエージェントをインストール・保守・アップデートしなければならず、管理の手間がかかるデメリットがあります。
SSO接続方式の比較表
企業のIT環境(クラウド中心、またはハイブリッド)に合わせた最適な選択ができるよう、代表的なSSO方式を比較表に整理しました。
SSO方式 | 代表的な認証プロトコル | 適したシステム(クラウド / オンプレ) | 導入の難易度 | 主な特徴 |
|---|---|---|---|---|
フェデレーション方式 | SAML 2.0、OIDC | クラウド(SaaS)中心の近代的な環境 | 中(各SaaS側の設定が必要) | セキュリティが最も堅牢、パスワード送信不要 |
代行入力方式 | HTTPS(フォームベース) | レガシーSaaS、独自ウェブシステム | 低(ブラウザ拡張等で即日導入可) | プロトコル非対応システムでもSSO化が可能 |
リバースプロキシ方式 | 独自仕様、HTTPヘッダー連携 | オンプレミス、企業内Webシステム | 高(ネットワーク構成の変更が必要) | 社内システムへの安全なゲートウェイとして機能 |
エージェント方式 | 独自仕様 | 独自のレガシーシステム、オンプレミス | 高(各システムサーバーへの組み込みが必要) | 社内システムサーバー自体での強固な認証制御 |
▲ 自社環境に応じたSSO主要3方式の特徴比較
フェデレーション方式の根幹を支える仕組みについて詳しく知りたい方は、SAML認証の仕様やメリットを分かりやすく解説した記事をご覧ください。
▲ システム環境に合わせて選ぶ主要SSO方式の3タイプ比較
おすすめSSOサービス比較
SSOサービス(IDaaS)は国内外に多数あり、自社の規模・環境・予算によって最適な選択肢は異なります。ここでは代表的なサービスの特徴を簡易比較表にまとめました。詳細な機能や料金は各社の公式サイトでご確認ください。
サービス名 | 提供元 | 主な特徴 | 向いている企業規模 |
|---|---|---|---|
Okta | Okta, Inc.(米) | グローバル実績が豊富。7,000以上のアプリ連携、プロビジョニング自動化、ゼロトラスト対応に強み | 中堅〜エンタープライズ |
HENNGE One | HENNGE(国産) | 国産クラウド型SSO。デバイス認証・条件付きアクセスに強く、Microsoft 365との連携実績が豊富 | 中堅〜大企業 |
GMOトラスト・ログイン | GMOグローバルサイン(国産) | 代行入力方式も含むハイブリッド対応。無料プランあり、レガシーSaaSへの適用柔軟性が高い | スモール〜中堅 |
Microsoft Entra ID(旧Azure AD) | Microsoft(米) | Microsoft 365環境との親和性が最高。既存のActive Directoryとのハイブリッド連携が容易 | Microsoft環境の全規模 |
Google Cloud Identity | Google(米) | Google Workspaceとの統合が強み。SAML/OIDC対応SaaSへのSSO提供が可能 | Google Workspace利用企業 |
※上記は2026年6月時点の公開情報をもとにした概要比較です。最新の機能・料金は各社公式サイトをご確認ください。
多くの企業で導入されているSSOサービスの仕組みを深く知るために、Microsoft Entra IDの基本機能や導入事例を解説した記事もおすすめです。
失敗しないSSO導入の進め方と注意点
オンプレミスやレガシーシステムを含めた全社的な事前調査が導入成功の前提となります。
自社システムの対応可否(オンプレ・レガシーSaaS)の洗い出し
SSOの導入時に最も陥りやすい失敗パターンは、「いざ導入を始めたら、社内独自開発の古いシステムやSAML非対応のレガシーSaaSが多すぎて連携できず、結局別でパスワード管理を運用せざるを得なくなった」というケースです。まず導入前に、全従業員が利用しているシステムやSaaSを徹底的に棚卸しする必要があります。どうしてもプロトコル連携(SAML/OIDC)に対応していないシステムが残る場合は、フェデレーション方式の製品に固執せず、代行入力方式をハイブリッドで併用できるSSO製品(例:GMOトラスト・ログイン等)を選択することが賢明です。
多要素認証(MFA)とゼロトラスト(パスキー・条件付きアクセス)の併用
「SSOを入れればセキュリティは完璧」という認識は明確な誤解です。単一障害点(SPOF)の脅威を回避するためには、SSOログイン(IdP)の認証の質を極限まで高める必要があります。IDとパスワードの認証に加え、スマートフォンアプリのワンタイムパスワード、IPアドレス制限、デバイス証明書、FIDO2基準に基づく「パスキー(顔・指紋などの生体認証)」を組み合わせた「条件付きアクセス」をセットで設計したいところです。
最新の脅威「MFA疲れ攻撃(MFA Fatigue)」への対策
近年、SSO環境を標的にした「MFA疲れ攻撃(MFA Fatigue)」が急増しています(CISA:多要素認証に関する注意喚起参照)。これは、攻撃者がログイン試行を連発して標的ユーザーのスマートフォンへ大量のMFA承認(プッシュ通知)を送りつけ、嫌気がさしたユーザーに「うっかり承認ボタン」を押させることで不正侵入を完了させる手口です。対策として、単純な「承認」ボタンではなく、PC画面上に表示された2桁の数字をスマートフォンのアプリ側に入力させる「番号マッチング」方式の採用や、FIDO2認証(パスキー)への移行を積極的に検討したいところです。
【想定規模別】SSO選定・導入検討チェックリスト
企業の規模やフェーズによって、SSOツールの最適な選択基準は異なります。以下の規模別の考慮点を確認しながら、実際の導入実績や評判も参考に、自社に合ったサービスを選んでいきましょう。
従業員50名未満(スタートアップ・小規模企業):
管理の負荷を極限まで下げる必要があります。まずは無料プランが充実しているサービスや、連携が容易な代行入力(フォームベース)方式を含む安価なIDaaSから検討を進めるのが現実的です。高額なSSO税によるライセンス破綻を防ぐため、プランごとの費用感を事前に見積もりましょう。従業員50〜300名(中堅・成長期企業):
SaaSの利用数が急増し、人事異動に伴うアカウント管理工数(プロビジョニング)が増加します。SAML/OIDCプロトコルに対応した高セキュリティな国産・外資のIDaaSを比較軸とし、認証ログの取得やグループ単位のアクセス制御が可能な製品を選定します。従業員300名超(エンタープライズ企業):
古いオンプレミス環境とクラウド環境が複雑に混在するため、ハイブリッド環境対応(AD連携、リバースプロキシ併用)が可能な統合IdP製品(例:Okta等)の選定が欠かせません。また、ゼロトラストアクセス制御、退職時アカウント停止の完全自動化など、統制基準を満たす高度なライフサイクル管理が必要となります。
▲ 社内システムの特徴に合わせた最適なSSO方式の選定フロー
パスワード漏洩リスクを根本から防ぐ次世代の認証手法については、パスキーの仕組みやメリット、設定方法を解説した記事を参考にしてください。
▲ 自社システムの対応状況から最適なSSO方式を導く選定判断フロー
SSO(IDaaS)の最新導入事例
実際の導入事例から、セキュリティと業務効率をどう両立させているかを見ていきましょう。
【事例1】プレイド:OktaでSaaS管理とライフサイクル自動化を両立(Okta導入事例)
業種・規模:インターネットサービス、約300名規模
導入時期:2020年代(2025年現在も安定稼働中)
課題:プロダクトの急成長に伴い、社内利用するSaaSが激増しました。ID・パスワードの管理工数の増加と、許可を得ないシャドーITによるセキュリティリスク、退職者のアカウント削除漏れが深刻な経営懸念となっていました。
施策:グローバル実績が豊富で評判の高いIDaaS「Okta」を採用しました。社内で使用する主要SaaSのSSOを一元化するとともに、人事システムと連動させたプロビジョニング自動化システムを構築しました。
成果:入社時・退職時のアカウント生成および権限削除をほぼ自動化(ライフサイクル管理の構築)しました。退職時には全SaaSのアカウントを一括でシャットダウンできるようになり、管理工数を劇的に削減するとともに、退職者のアカウント経由での情報漏洩リスクを大幅に低減しました。
【事例2】SaaS活用企業:HENNGE Oneでデバイス認証と多要素認証を組み合わせたセキュアアクセスを実現(HENNGEカスタマーストーリー)
HENNGEの公式カスタマーストーリーでは、Microsoft 365やクラウドSaaSを多数利用する企業において、HENNGE Oneを活用した導入事例が複数紹介されています。代表的な導入パターンを以下に示します(詳細は公式カスタマーストーリーをご参照ください)。
共通の課題:複数のSaaS・社内システムでID管理が煩雑化し、デバイスや接続元を問わないアクセスによるセキュリティリスクが懸念されていました。
施策:国産クラウド型SSOサービス「HENNGE One」を導入。SSO認証の一元化に加え、デバイス証明書認証やIPアドレス制限による条件付きアクセスを設定しました。
成果:許可外デバイス・環境からのログインを遮断してセキュリティを強化しつつ、従業員のログイン利便性も向上しました。管理者はアカウントの一元管理が可能となり、IT管理工数の削減にも寄与しています。
クラウド環境におけるID一元管理の重要性を踏まえ、IDaaSの基本機能や具体的な導入メリットを解説した記事もあわせてご覧ください。
よくある質問(FAQ)
Q:SSO税(SSO Tax)とは何ですか?
A:SaaSをシングルサインオン(主にSAML認証)で連携するために、高額な「Enterpriseプラン」へのアップグレードを強いられる追加費用や価格設定を指します。米CISA等、世界中のセキュリティ機関から是正が呼びかけられています。
Q:レガシーシステムでもSSOは導入できますか?
A:導入可能です。SAML等の標準プロトコルに対応していないシステムの場合、自動でログイン画面にID/パスワードを代理入力する「代行入力(フォームベース)方式」のSSOツールを選択・併用することで、改修不要でSSO環境に組み込めます。
Q:MFA疲れ攻撃とはどのような脅威ですか?
A:攻撃者が不正ログインを繰り返してユーザーのスマートフォンへMFA承認(プッシュ通知)を何度も送信し、疲弊・混乱したユーザーが誤って承認ボタンを押すのを狙う手口です。対策として、PCに表示された数値をスマホアプリに打ち込ませる「番号マッチング」が効果的です。
Q:SSOの導入費用の目安はどのくらいですか?
A:製品や規模によって異なりますが、クラウド型IDaaS(月額課金)の場合、従業員1人あたり月数百円〜数千円が一般的な相場です。ただし、連携するSaaS側でエンタープライズプランへのアップグレードが必要になる「SSO税」が発生するケースがあるため、SaaS各社のプラン費用も含めたトータルコストで試算しておくことをおすすめします。
Q:既存のActive Directory(AD)とSSOは併用できますか?
A:可能です。多くのIDaaS製品はActive Directory(またはAzure AD/Microsoft Entra ID)との連携に対応しており、既存のオンプレミスADをIdPとして活用しながらクラウドSaaSへのSSOを実現するハイブリッド構成が広く採用されています。AD連携の可否は製品選定の際に欠かせない確認項目の一つです。
オンプレミス環境やレガシーシステムとの連携方法を深く理解したい方は、LDAPの仕組みやActive Directoryとの違いを解説した記事がおすすめです。
まとめ
SSOはセキュリティと業務効率を同時に底上げできる基盤ですが、「SSO税」による想定外のコスト増や単一障害点(SPOF)・MFA疲れ攻撃といった実務リスクとセットで考える必要があります。これからSSOの構築やサービスの再検討を進めるシステム担当者の方は、まず以下のアクションから着手してみましょう。
✅ 今日からできるアクションチェックリスト
✅ 全社で利用中のSaaS・社内システムを棚卸しし、SAML/OIDC対応可否を確認した
✅ 各SaaSのSSO対応プランと費用(SSO税の有無)を見積もった
✅ MFA方式(番号マッチングまたはFIDO2/パスキー)の導入可否を検討した
✅ SSOシステム障害時のエスケープルート(緊急アクセス手順)を策定した
✅ 退職者アカウントの一括停止フローを整備・自動化した
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
