シングルサインオン（SSO）とは？仕組みや認証方法、メリット・デメリットについて解説

働き方改革などにより、複数のクラウドサービスを利用することが当たり前になりました。一方で、クラウドサービスを利用するとき、それぞれに毎回ログインしないといけないのは面倒ですよね。そこで利用されるのがシングルサインオン（SSO）です。

本記事ではシングルサインオンの仕組みやメリット、課題などを中心に、SSOサービスを選ぶ時の注意点についても解説していきます。

シングルサインオン（SSO）とは、一度ログインすれば、複数のサービスやアプリケーションに自動的にログインできる仕組みです。従来のように、サービスごとに異なるユーザー名やパスワードを入力する必要がなくなり、利便性とセキュリティを向上させることができます。

シングルサインオンは、ユーザー認証における利便性とセキュリティの向上に役立ちます。

例えば、複数のサービスやアプリケーションにログインするために、いくつものアカウント情報とパスワードを覚えなければならない場合、覚えやすい単純なパスワードが設定される可能性が高まります。また、個別のパスワードを設定せず、同じものを使い回すという人も出てくるでしょう。

こうした運用は、認証を簡単に突破され不正アクセスの被害を受けるリスクを高めます。また、1つ突破されれば、芋づる式に複数のサービスやアプリケーションに被害が拡大する恐れもあります。

そうは言っても、ユーザーにとって複雑なパスワードをたくさん管理するのはそう簡単ではありません。そこで活躍するのがシングルサインオンです。覚えなければならないアカウント情報やパスワードの数が少なく済むので、ユーザーは複雑で安全性の高いパスワードを設定しやすくなり、結果的にセキュリティの強化につながります。

シングルサインオンの技術自体は以前から存在していましたが、近年再注目を浴びている背景には、ここ数年で企業が利用するITシステムやサービスが格段に増えたことが関係しています。

例えば、グループウェアやチャットツール、Web会議システムを新たに導入したり、勤怠管理や給与管理、名刺管理をクラウドサービスに置き換えたり、あらゆる場面で認証が必要になりました。利用するサービスやアプリケーションが増えると、ユーザーはそれぞれで認証情報を管理しなければならず、管理工数やセキュリティリスクが高まります。

さまざまなITサービスが登場し便利な時代になりましたが、その影響によって、シングルサインオンの必要性が見直されているのです。

シングルサインオンを使えば、ユーザーはたくさんのID・パスワードを覚える必要がなく、入力さえも不要です。細かなことですが、多くのツールを使っていればそれだけ多くの認証の手間を削減することができ、業務の効率化に繋がります。

シングルサインオンを導入することで、認証情報の管理工数が削減できます。これはユーザーだけではなく管理者にとっても大きなメリットです。IT部門や情報システム部門などツールの管理者は、「システムのパスワードを忘れた」「パスワードを何度も間違えてロックされた」といった問い合わせを受けることがあります。そのたびにパスワードの再設定やIDのリセットに対応していると、かなり手間がかかってしまいます。シングルサインオンによって認証に関する問い合わせが減ることで、管理負担を軽減することができます。

サービスごとに個別の認証が不要ということは、ユーザーがより複雑で安全性の高いパスワードを設定しやすいということに繋がります。

また、指紋認証や顔認証などを加えて多要素認証とすることで、セキュリティレベルを上げることができますが、そうすると、認証の負担は大きくなります。シングルサインオンを使うことで、利便性を維持しながら、セキュリティレベルを高めることができます。

シングルサインオンでは、一つのマスターパスワードによって、複数のサービスへの認証情報が集中管理されています。つまり、そのマスターパスワードが突破されれば、芋づる式にあらゆるサービスへ不正アクセスされる可能性があります。

サーバーの障害などによってシングルサインオンサービスの利用ができなくなった場合、連携されているすべてのサービスにログインできなくなります。

シングルサインオンには、主に以下の5つの仕組みがあります。それぞれの方式にはメリットとデメリットがあり、組織のニーズに合わせて最適な方式を選択する必要があります。

1. エージェント方式
2. リバースプロキシ方式
3. 代理認証方式
4. フェデレーション方式
5. 透過型方式

Webサーバーやアプリケーションサーバーに専用のエージェントソフトウェアをインストールし、シングルサインオンを実現する方式です。ユーザーがアクセスをリクエストすると、エージェントが認証サーバーと連携して認証処理を行います。エージェントが認証サーバーからユーザーのログイン情報を受け取ることで、ログインが成立します。

エージェント方式のメリットは、ネットワーク構成を変更せずに導入できることです。また、この方式に組み込まれているアプリケーションのうち１つにログインしていれば、その情報が認証サーバーに保存され、そのデータを基にほかのサービスでもログインが成立するため、パスワードやIDは入力不要です。

エージェント方式のデメリットは、Webサーバーやアプリケーションサーバーへのエージェントのインストールやアップデートが必要なことです。また、Webアプリケーション自体がエージェントに対応していない場合は利用できません。

Webサーバーやアプリケーションサーバーとユーザーとの間にリバースプロキシサーバーを設置る方式です。ユーザーから認証リクエストを受けると、リバースプロキシサーバーは、認証サーバーに対してユーザーのアクセス可否を問い合わせます。アクセス可能であればリバースプロキシサーバーがアプリケーションやサービスへのアクセスを中継します。

リバースプロキシ方式のメリットは、個別のWebサーバーやアプリケーションサーバーへのエージェント導入が不要で、OSやアプリケーションの種類に依存しないことです。また、システムの外部公開が必要な場合、リバースプロキシサーバーを介することでより安全にシステムを公開できます。

リバースプロキシ方式のデメリットは、対象のWebアプリケーションすべてをリバースプロキシサーバー経由にする必要があることです。リバースプロキシサーバーアクセスが集中するため、ボトルネックにならないようにロードバランサーの導入など負荷分散を考慮する必要があります。

対象のアプリケーションのログインページに対して、ユーザーの代わりにIDとパスワードを送信し、ログインを完了させることで、シングルサインオンを実現する方式です。エージェントがインストールされたリバースプロキシサーバーを経由して代理認証することが可能です。クラウドでID管理を行うサービスであるIDaaSと組み合わせることで簡単に実現できます。

代理認証方式のメリットは、ログイン情報をシステムが代理入力するだけなので、アプリケーション改修のできない古いアプリケーションやパッケージソフトウェアに対しても、シングルサインオンが実現可能なことです。また、Webアプリケーション以外にも応用できるのもメリットです。

代理認証方式のデメリットは、アプリケーションが管理しているIDとパスワードと、認証サーバーが管理しているIDとパスワードが完全に同期されている必要があることです。また、中には代理認証方式に対応していないサービスも存在することや、ユーザー側にエージェントをインストールする必要があるのもデメリットです。

クラウドサービス間を、パスワードの代わりにチケットと呼ばれる情報を受け渡しすることで、シングルサインオンを実現する方式です。フェデレーション方式に使えるプロトコルは標準化が進められていて、「SAML（Security Assertion Markup Language）」や「OpenID Connect」が使われています。

標準プロトコルに対応するだけで、シングルサインオンが実現できることがメリットです。海外のメジャーなクラウドサービスが数多く対応しています。

Webアプリケーションサーバーおよび、クラウドサービス事業者側が標準プロトコルに対応する必要があることがデメリットです。日本のクラウドサービスの場合、まだまだ認証プロトコルに対応していないサービスが多いと言えます。

ユーザーがWebアプリケーションへアクセスする際の通信を監視し、ユーザー認証が必要なときのみ、認証情報を送信することで、シングルサインオンを実現します。

透過型方式のメリットは、ネットワーク構成を変更せずに導入できること、どんな端末やブラウザでも対応していること、クラウドサービスだけでなくオンプレミスのサービスでも対応できることです。

透過型方式のデメリットは、透過型認証に対応したシングルサインオン製品が必要であることです。

シングルサインオンを導入する際に気を付けたいポイントについて、代表的なものを6つご紹介します。

企業によってネットワークにおけるセキュリティポリシーはさまざまです。オンプレミスのアプリケーション利用が主流である場合や、ユーザーの認証情報を社内に置かなければならない、インターネット接続を禁止・制限している環境である場合もあります。近年では自社ネットワークの外からさまざまな業務システムにアクセスしたいという要件が多いかもしれません。シングルサインオン対象とするシステムの環境条件はシングルサインオン選定の大きなポイントになるでしょう。また、選定時には自社で利用しているシステムがどの認証方式に対応しているか確認してください。

少し前までであれば仕事で使われるデバイスといえばPCのみでしたが、近年ではスマートフォンやタブレット端末などさまざまなデバイスが業務に利用されています。シングルサインオンサービスがマルチデバイスに対応しているかどうか必要に応じて確認してください。

シングルサインオンサービスを利用することで、従業員が面倒なパスワード管理の手間から解放されます。それにより簡素なパスワード設定ではなく強固なパスワード設定を促進することができるでしょう。

しかし、シングルサインオンサービス自体が不正アクセスを受けた場合、連鎖的に複数のシステムのアカウント情報が漏えいすることに繋がります。アクセスコントロールや多要素認証の機能が装備されているかなど、シングルサインオンサービス自体のセキュリティ機能が十分であるかどうか確認しておきましょう。

シングルサインオンサービスには提供形態がオンプレミスのみ対応、クラウドのみ対応、オンプレミス・クラウドの両方に対応、という3種類の提供形態があります。通常のサーバー運用と同様にオンプレミスであれば自由度が高い代わりに高額な初期投資や運用担当者の専門的スキルを要します。自社に適した提供形態であるかどうかの確認が重要です。

多機能なシステムを採用したとしても、導入時の設定やその後の管理が煩雑であれば人的にも金銭的にも余計なコストが必要となります。自社の情シス担当者がスムーズにシステム移行できるか、導入後の管理・運用に割くリソースは妥当なのかを事前に確認しておく必要があります。

シングルサインオンサービスに不具合があった場合、影響範囲は連携しているシステムすべてに至る可能性が高いため、障害時のサポート体制もあらかじめチェックしておく必要があります。問い合わせ窓口が24時間365日対応か、問い合わせ方法はメールやチャットのみか、電話窓口もあるのかなど、有事の際に自社にとって必要なサポートが受けられるかどうかを導入前に押さえておきましょう。