HC
橋爪兼続
2023/07/31
近年、シングルサインオン SSOを利用するサービスやウェブサイトが多く増えてきています。SSO(シングルサインオン)を安全に利用するためには、その仕組みを知ることが重要です。この記事では、基本的な仕組みから導入によるメリット等解説いたします。導入の参考にしてみてください。
シングルサインオン SSO の基礎知識
SSO(シングルサインオン)とはSingle Sign Onの略です。これは、1度のユーザ認証により、複数のシステムが利用できるようにする仕組みのことです。通常であれば、各システムでユーザを特定するためにユーザ認証を行います。一方、SSO(シングルサインオン)では、SSO(シングルサインオン)システムで認証された場合、ユーザーが適切な権限を有していると、他のシステムへのアクセスを許可をすることになります。
主な認証方式
SSO(シングルサインオン)には、主に4種類あります。代行認証方式、リバースプロキシ方式、エージェント方式、SAML認証方式です。
代行認証方式
代行認証方式は、クライアントに導入したエージェントが、システムにおけるログイン画面を監視し、ログイン画面にアクセスすると、代理で認証するという仕組みです。この方式では、システムの制限が少なく、比較的容易に導入することができます。また、エージェントが常時監視できるようにクライアントにエージェントを導入する必要性や、アカウント情報のデータベースにアクセスできる環境が必要となります。
リバースプロキシ方式
リバースプロキシ方式は、リバースプロキシサーバと呼ばれる中継サーバで認証を行い、このリバースプロキシサーバ経由で利用するシステムにアクセスすることで、SSO(シングルサインオン)を実現する方式です。この方式では、全てのアクセスがリバースプロキシサーバ経由となるため、このリバースプロキシサーバがボトルネックになる虞があります。また、リバースプロキシサーバ経由でシステムにアクセスされるように、ネットワークを構築する必要性があります。一方で、システムに直接エージェントを導入する必要が無いため、既存のシステムへの影響を与えずに検証をすることができます。
エージェント方式
エージェント方式は、各システムにそれぞれエージェントを導入し、CookieによりSSO(シングルサインオン)を実現する方式です。この方式では、リバースプロキシ方式に比べて、アクセス集中によるボトルネックが発生しづらく、ネットワークを変更する必要性がありません。
SAML方式
SAML方式は、SAMLというものを使用します。SAMLは、Security Assertion Markup Languageの略で、異なるインターネットドメイン間でユーザ認証を行うための標準規格です。この方式では、認証を行うIdP(Identity Provider)とサービスを提供するSP(Service Provider)の2つのもので構成されます。SPがSAMLに対応していれば、SAMLに対応したIdPの認証情報を利用することができます。
SSO(シングルサインオン)の変遷
分散コンピューティング環境で最初に実装されたSSO(シングルサインオン)はKerberosで、1986年にMITで開発されました。これは、認証情報を鍵管理センターで一元管理し、共通鍵を利用して認証後に認証情報としてチケットを配布し、これを利用する方式でした。
1990年代前半には、UNIXの分散環境の基盤としてOpen GroupのDCEが認証基盤の技術を確立しました。これは、LDAPとKerberosの機構を組み合わせて認証基盤を構成し、SSO(シングルサインオン)を実現しています。この技術はWindowsサーバのOSにも導入されており、現在でも利用されています。
1990年代後半からWeb環境におけるSSO(シングルサインオン)のニーズが出てきました。これに対応し、2000年頃からISVのWEB SSO(シングルサインオン)パッケージ製品が発売され、WEBでもSSOが主に企業内イントラネットを中心に利用されるようになりました。
その後、WEBサービスが充実してきたことにより、異なるドメイン間でのSSO(シングルサインオン)を実現する連携SSO(シングルサインオン)の仕様が策定され、現在に至っています。
SSO(シングルサインオン)のメリット
SSO(シングルサインオン)のメリットとしては大きく3つあります。
ログインの手間を軽減
1つめは、ログインの手間を軽減できるということです。従来は各サービスでログインすることが必要でしたが、SSO(シングルサインオン)により、一度ログインすることにより、他のサービスを利用できるようになります。
パスワードの管理が容易
2つめは、パスワードの管理が容易になることです。従来は各サービスでパスワード等が必要であったため、サービスの数だけパスワードを管理する必要がありました。これが1つで十分となります。これは、例えば従業員が退職時等でアカウント削除が必要な場合も役に立ち、1つのアカウントを削除すれば全てのサービスを利用できなくなり、アカウントの削除防止忘れにもなります。
セキュリティ対策
3つめは、セキュリティ対策として有効です。パスワードの数が多くなると、それぞれのパスワードが容易になりがちです。これが1つの場合、複雑なパスワードにすることができます。
SSO(シングルサインオン)のデメリット
SSO(シングルサインオン)のデメリットとしては大きく3つあります。
ログイン情報が漏れた際のリスク
1つめは、ログイン情報が漏れた際のリスクが大きくなることです。従来の方式では、そのサービスのみでしたが、SSO(シングルサインオン)の情報が漏れるとSSO(シングルサインオン)を利用する全てのクラウドサービスにアクセスされる恐れがあります。
SSO(シングルサインオン)のシステム停止による影響
2つめは、SSO(シングルサインオン)のシステムが停止すると、全てのシステムが利用できなくなることです。そのため、SSO(シングルサインオン)の認証するシステムをメンテナンス等で停止する際は影響が大きくなります。
利用不可のクラウドサービスがある
3つめは利用不可のweb・クラウドサービスがあると言うことです。クラウドサービスによっては特定の方式のSSO(シングルサインオン)にのみ対応しているものやSSO(シングルサインオン)に全く対応していないものもあります。したがって、クラウドサービスの種類によっては、手を加える必要性が出てきます。
SSO(シングルサインオン)導入のポイント
まずは、SSO(シングルサインオン)を導入しようとしているシステムにSSO(シングルサインオン)が利用可能か、利用可能であれば どの方式に対応しているか確認することが必要です。 対応していないのであれば、システムに手を加える事が必要になりますが、多大な費用がかかります。 また、SSO(シングルサインオン)を導入するとランニングコストも発生します。これらの費用と導入による効果を十分比較する事が重要です。
まとめ
SSO(シングルサインオン)を活用することで、セキュリティは高められますが、全てのwebサービスをSSO(シングルサインオン)で一括管理しようとすると、従業員が利用できるwebサービスが限定されます。 業務の効率化とセキュリティのバランスを鑑みて、適切なシステムを導入するようにしましょう。
その他、SAMLとOAuthの違いについてもまとめておりますのでご参考ください。
シングルサインオン SSOの基礎知識
近年、シングルサインオン SSOを利用するサービスやウェブサイトが多く増えてきています。SSO(シングルサインオン)を安全に利用するためには、その仕組みを知ることが重要です。この記事では、基本的な仕組みから導入によるメリット等解説いたします。導入の参考にしてみてください。
SSO(シングルサインオン)とはSingle Sign Onの略です。これは、1度のユーザー認証により、複数のシステムが利用できるようにする仕組みのことです。通常であれば、各システムでユーザを特定するためにユーザー認証を行います。一方、SSO(シングルサインオン)では、SSO(シングルサインオン)システムで認証された場合、ユーザーが適切な権限を有していると、他のシステムへのアクセスを許可をすることになります。
主な認証方式
SSO(シングルサインオン)には、主に4種類あります。代行認証方式、リバースプロキシ方式、エージェント方式、SAML認証方式です。
代行認証方式
代行認証方式は、クライアントに導入したエージェントが、システムにおけるログイン画面を監視し、ログイン画面にアクセスすると、代理で認証するという仕組みです。この方式では、システムの制限が少なく、比較的容易に導入することができます。また、エージェントが常時監視できるようにクライアントにエージェントを導入する必要性や、アカウント情報のデータベースにアクセスできる環境が必要となります。
リバースプロキシ方式
リバースプロキシ方式は、リバースプロキシサーバと呼ばれる中継サーバで認証を行い、このリバースプロキシサーバ経由で利用するシステムにアクセスすることで、SSO(シングルサインオン)を実現する方式です。この方式では、全てのアクセスがリバースプロキシサーバ経由となるため、このリバースプロキシサーバがボトルネックになる虞があります。また、リバースプロキシサーバ経由でシステムにアクセスされるように、ネットワークを構築する必要性があります。一方で、システムに直接エージェントを導入する必要が無いため、既存のシステムへの影響を与えずに検証をすることができます。
エージェント方式
エージェント方式は、各システムにそれぞれエージェントを導入し、CookieによりSSO(シングルサインオン)を実現する方式です。この方式では、リバースプロキシ方式に比べて、アクセス集中によるボトルネックが発生しづらく、ネットワークを変更する必要性がありません。
SAML方式
SAML方式は、SAMLというものを使用します。SAMLは、Security Assertion Markup Languageの略で、異なるインターネットドメイン間でユーザ認証を行うための標準規格です。この方式では、認証を行うIdP(Identity Provider)とサービスを提供するSP(Service Provider)の2つのもので構成されます。SPがSAMLに対応していれば、SAMLに対応したIdPの認証情報を利用することができます。
SSO(シングルサインオン)の変遷
分散コンピューティング環境で最初に実装されたSSO(シングルサインオン)はKerberosで、1986年にMITで開発されました。これは、認証情報を鍵管理センターで一元管理し、共通鍵を利用して認証後に認証情報としてチケットを配布し、これを利用する方式でした。
1990年代前半には、UNIXの分散環境の基盤としてOpen GroupのDCEが認証基盤の技術を確立しました。これは、LDAPとKerberosの機構を組み合わせて認証基盤を構成し、SSO(シングルサインオン)を実現しています。この技術はWindowsサーバのOSにも導入されており、現在でも利用されています。
1990年代後半からWeb環境におけるSSO(シングルサインオン)のニーズが出てきました。これに対応し、2000年頃からISVのWEB SSO(シングルサインオン)パッケージ製品が発売され、WEBでもSSOが主に企業内イントラネットを中心に利用されるようになりました。
その後、WEBサービスが充実してきたことにより、異なるドメイン間でのSSO(シングルサインオン)を実現する連携SSO(シングルサインオン)の仕様が策定され、現在に至っています。
SSO(シングルサインオン)のメリット
SSO(シングルサインオン)のメリットとしては大きく3つあります。
ログインの手間を軽減
1つめは、ログインの手間を軽減できるということです。従来は各サービスでログインすることが必要でしたが、SSO(シングルサインオン)により、一度ログインすることにより、他のサービスを利用できるようになります。
パスワードの管理が容易
2つめは、パスワードの管理が容易になることです。従来は各サービスでパスワード等が必要であったため、サービスの数だけパスワードを管理する必要がありました。これが1つで十分となります。これは、例えば従業員が退職時等でアカウント削除が必要な場合も役に立ち、1つのアカウントを削除すれば全てのサービスを利用できなくなり、アカウントの削除防止忘れにもなります。
セキュリティ対策
3つめは、セキュリティ対策として有効です。パスワードの数が多くなると、それぞれのパスワードが容易になりがちです。これが1つの場合、複雑なパスワードにすることができます。
SSO(シングルサインオン)のデメリット
SSO(シングルサインオン)のデメリットとしては大きく3つあります。
ログイン情報が漏れた際のリスク
1つめは、ログイン情報が漏れた際のリスクが大きくなることです。従来の方式では、そのサービスのみでしたが、SSO(シングルサインオン)の情報が漏れるとSSO(シングルサインオン)を利用する全てのクラウドサービスにアクセスされる恐れがあります。
SSO(シングルサインオン)のシステム停止による影響
2つめは、SSO(シングルサインオン)のシステムが停止すると、全てのシステムが利用できなくなることです。そのため、SSO(シングルサインオン)の認証するシステムをメンテナンス等で停止する際は影響が大きくなります。
利用不可のクラウドサービスがある
3つめは利用不可のweb・クラウドサービスがあると言うことです。クラウドサービスによっては特定の方式のSSO(シングルサインオン)にのみ対応しているものやSSO(シングルサインオン)に全く対応していないものもあります。したがって、クラウドサービスの種類によっては、手を加える必要性が出てきます。
SSO(シングルサインオン)導入のポイント
まずは、SSO(シングルサインオン)を導入しようとしているシステムにSSO(シングルサインオン)が利用可能か、利用可能であれば どの方式に対応しているか確認することが必要です。 対応していないのであれば、システムに手を加える事が必要になりますが、多大な費用がかかります。 また、SSO(シングルサインオン)を導入するとランニングコストも発生します。これらの費用と導入による効果を十分比較する事が重要です。
まとめ
SSO(シングルサインオン)を活用することで、セキュリティは高められますが、全てのwebサービスをSSO(シングルサインオン)で一括管理しようとすると、従業員が利用できるwebサービスが限定されます。 業務の効率化とセキュリティのバランスを鑑みて、適切なシステムを導入するようにしましょう。
その他、SAMLとOAuthの違いについてもまとめておりますのでご参考ください。
よくある質問
シングルサインオン(SSO)とは
シングルサインオン(SSO)とは、一回のログインで複数のサービスにアクセスできる仕組みを指します。IDとパスワードを一度入力するだけで、複数のサービスに簡単にログインできます。一度認証を受ければ、別のサービスを利用する際にも追加の認証は不要です。
SSOは、クラウドサービス利用時に便利な認証システムです。通常、クラウドサービスを利用する際には、それぞれのサービスごとにIDとパスワードを入力する必要がありますが、SSOでは1つのIDとパスワードの入力だけで複数のクラウドサービスを利用することができます。これはユーザーにとって非常にわかりやすく、手間が省ける利点があります。ワンタイムパスワードや多要素認証など、セキュリティを強化するための機能にも対応しており、安全性を確保しながら便利にサービスを利用することができます。また、クラウドサービスの普及とともに、SSOのニーズも高まっており、多くのサービスがこれに対応しています。
シングルサインオン(SSO)のリスクは?
シングルサインオンでは、1つのIDとパスワードしか使用しません。 これは便利ですが、IDとパスワードが漏洩するとすべてのサービスに不正侵入される可能性があり、不正アクセスされた場合のリスクが非常に高まります。 ワンタイムパスワードや2段階認証などの多要素認証を導入することで、セキュリティを強化する必要があります。
シングルサインオン なぜ必要?
SSOでは、ユーザは1回のログインで1つの資格情報のみを使用するため、攻撃対象の数が減少します。 これにより、ログインのための資格情報が1つにまとまり企業のセキュリティを強化することができます。 従業員がアプリごとに異なるパスワードを必要とする状況では、セキュリティの向上はしないことが通常です。
シングルサインオンと統合認証の違いは何ですか?
統合認証は、複数のシステムへのアクセスに必要なパスワードやIDを統合的に管理する仕組みを指します。一方、シングルサインオンは、1つのパスワードを使用して複数のサービスにログインできるようにする具体的な方法を指します。統合認証は複数の認証情報を一元管理する仕組みを指すのに対し、シングルサインオンはその結果として1つのパスワードで複数のサービスにアクセスする仕組みを指します。
シングルサインオンにはどんな種類がありますか?
シングルサインオン(SSO)を実現するための方法として以下の5つの方式があります。
・エージェント方式
・リバースプロキシ方式
・代理認証方式
・フェデレーション方式
・透過型方式
シングルサインオンとSNSの関係は?
シングルサインオン(SSO)は、異なるサービスやサイトにおいて、同じIDとパスワードを利用してログインできる仕組みを指します。SNS(ソーシャル・ネットワーキング・サービス)との関連では、FacebookやTwitterなどのSNSのIDを利用して、複数のウェブサービスにシームレスにログインできるというのが一般的な利用例です。
SSOは便利?
シングルサインオン(SSO)は、利用者が一つのIDとパスワードを使用するだけで、複数のサービスやシステムにログインできる仕組みです。これにより、多くのIDやパスワードを覚える必要がなくなり、ログイン手続きの簡略化が図られます。さらに、アプリやシステムを利用する際の繰り返しパスワード入力の手間を省くことで、業務効率の向上が期待されます。
デスクトップシングルサインオンとは何ですか?
デスクトップシングルサインオンは、Windows統合認証(IWA)を活用して、Windowsドメインへのログイン時に、OneLoginのポータルサイトで別途IDとパスワードを入力することなく、シングルサインオンを利用できる機能です。
SSO なぜ安全?
シングルサインオン(SSO)では、IDやパスワード、属性情報などのユーザー情報を管理する側とサービスを提供する側が存在します。この両者の間で認証用の情報を交換し、互いに信頼してアクセス可能な状態にします。この仕組みにより、1回のユーザー認証を実行することで、連携するアプリやWebサービスへの自動ログインが可能になります。これにより、ユーザーは複数のサービスに安全にアクセスできるため、セキュリティが向上します。
シングルサインオフとは何ですか?
シングルサインオフは、シングルサインオン(SSO)の逆のプロセスで、中央サーバーからログアウトすることで、ユーザーはすべてのアプリケーションからログアウトできます。このため、ユーザーは各アプリケーションごとのログイン状態を意識する必要がなくなり、便利でありながらセキュリティも向上します。
サインオンとは何ですか?
サインオン(sign-on)は、システムやサービスにアクセスする際に、自分の身元を示す情報を提供してログインすることを指します。ユーザーがシステムにログインすると、保管されている身元情報と一致するか確認され、事前に設定された権限に基づいてシステムを利用することができます。
SSOの特徴は?
シングルサインオン(SSO)の特徴は以下の通りです。
一度の認証で多くのサービスにアクセス可能: SSOでは、一度のログインで複数の関連サービスやシステムにアクセスできます。これにより、複数のIDやパスワードを覚える必要がなくなります。
利便性と生産性の向上: ユーザーは1種類のIDとパスワードのみでアクセスできるため、ログインの手間が省け、作業効率が向上します。
セキュリティの強化: ユーザーが1つの認証情報を使い回すことで、パスワードの再利用や弱いパスワードの使用が減り、セキュリティが向上します。
アクセス制御の効率化: 一元管理された認証システムを利用するため、アクセス権限の一貫性と管理が容易になります。
ログアウトの簡素化: シングルサインオフ機能により、一度のログアウトで関連する全てのサービスからログアウトできます。
ユーザーエクスペリエンスの向上: ユーザーは複数のサービスに継続的にログインする必要がなくなり、使いやすくなります。
シングルサインオン(SSO)を導入するメリットは?
シングルサインオン(SSO)のメリットは多岐にわたります。まず、ユーザーは1つのIDとパスワードを使って複数のサービスにログインできるため、利便性が向上します。パスワードを1つだけ覚えればいいため、複雑なパスワードの管理が簡略化され、ユーザーの負担が減ります。これにより、ユーザーエクスペリエンスが改善され、効率的な作業が可能になります。
また、セキュリティの強化も重要なメリットです。1つのIDとパスワードを用いて認証を行うため、再利用されるパスワードのリスクが低減します。さらに、セキュリティポリシーを一元管理できるため、統一されたセキュリティ基準を実施しやすく、セキュリティの一貫性が保たれます。管理者側もユーザーアカウントやアクセス権限を中央で一元管理でき、効率的な運用が可能となります。
シングルサインオフ機能により、1つの操作で複数のサービスからログアウトでき、セキュリティの観点からも利点があります。さらに、ユーザーのアカウントやセキュリティに関連するサポートコストが削減され、企業側のコスト削減にも寄与します。これらのメリットにより、SSOは多くの組織で採用され、効果的なアイデンティティ管理の手法となっています。
2段階認証とは?
2段階認証(Two-Factor Authentication、2FA)とは、セキュリティを強化するための認証手法の一つです。通常のIDとパスワードに加えて、もう一つの認証要素を利用して、アカウントへのアクセスを許可する仕組みです。
2つの異なる要素を組み合わせることでセキュリティが強化され、第三者がアカウントに不正アクセスすることを困難にします。失くしやすいパスワードだけではなく、物理的に保持するデバイスなどが必要なため、セキュリティの向上に寄与します。
シングルサインオンの仕組みは?
シングルサインオン(SSO)は、IDとパスワードを一度入力するだけで複数のサービスにログインできる仕組みです。認証を一度受ければ、別のサービスを利用する際に追加の認証が不要です。
シングルサインオンのセキュリティのデメリットは?
シングルサインオンのセキュリティ上のデメリットは以下の点が挙げられます。
ID情報漏えいで不正利用のリスクがある: SSOを使用する場合、一つの認証情報が複数のサービスへのアクセスに関連しています。このため、認証情報が漏えいした場合、不正利用のリスクが増加します。セキュリティの強化が必要です。
サービス停止で関連サービス・アプリにログインできなくなる: SSO環境では、認証サーバーに問題が発生した場合、複数のサービスやアプリにアクセスできなくなる可能性があります。これに備えて冗長性を持たせる必要があります。
サービスによってはSSOを使用できない: 一部のサービスやアプリはSSOをサポートしていないことがあります。この場合、ユーザーは従来通り個別に認証情報を入力する必要があります。
フォームベース認証とSAML認証の違いは何ですか?
フォームベース認証とSAML認証の違いは、認証方式、通信経路とセキュリティ、フェデレーション、ユーザーエクスペリエンスにあります。フォームベース認証ではIDとパスワードが使用され、通信リスクが高いが、SAML認証はセキュリティトークンを使用し、通信セキュリティが向上します。また、SAML認証は複数のサービスで同じ認証情報を共有し、ユーザーエクスペリエンスを向上させます。 SAML認証はセキュリティと利便性の両方を提供し、特に多くのサービスにアクセスする場合に有益です。一方、フォームベース認証は単一のアプリケーション向けでシンプルだが、セキュリティのリスクがあります。
執筆者:
橋爪兼続
ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
