「 シングルサインオン 」とは、1つの「ID+パスワード」のみでログインできるようになるID管理技術です。「セキュリティ強化」「ユーザーアクセス管理強化」「ユーザーエクスペリエンス向上」「IT運用コスト削減」「セキュリティ基盤のためのベースステップ」などのシングルサインオン導入メリットを紹介します。

「シングルサインオン」とは

1つの「ID+パスワード」のみでログイン

シングルサインオン(SSO：Single Sign-On)とは、ユーザーが「1セットの資格情報(ID+パスワード)」を使用して、複数のアプリケーション(サービス)に安全にアクセスできるようにするユーザー認証技術です。

アプリケーション(サービス)ごとに「ID+パスワード」を覚えたり入力したりする必要がなくなるため、すべてのユーザー(従業員や顧客)のログインエクスペリエンスを合理化できます。

シングルサインオンが可能となるアプリケーション(サービス)の例

・メッセージング—電子メールアカウント、Slack、Skype
・社内基幹系システム—生産、人事、財務
・社内情報系システム—社内ポータル、ビジネスインテリジェンスポータル
・クラウドサービス—Microsoft365、Google Workspace　など

「フェデレーションID管理」の一部

SSO(シングルサインオン)は、「フェデレーションID管理」と呼ばれるより大きな概念の一部であるため、「フェデレーションSSO」と呼ばれることもあります。

「フェデレーションID管理」とは、2つ以上の「ドメイン」または「ID管理システム」の間で作成される信頼関係を指します。

そのため、シングルサインオン機能は、多くの場合、フェデレーションID管理アーキテクチャ内で使用できます。

IDアクセス管理(IAM)におけるSSOの役割

IDおよびアクセス管理機能(IAM：Identity and Access Management)は、組織がユーザーアクセスのすべての側面を管理するのに役立ち、シングルサインオン機能はIAM基盤の上で動作します。

シングルサインオン機能は、ユーザーIDを確認し、適切なアクセス許可レベルを提供するために不可欠であり、「アクティビティログ」「アクセス制御」「ユーザー動作監視」などの各プロセスと統合されている必要があります。

IDaaSソリューション

IDaaS(Identity-as-a-Service)ソリューションは、ID管理に関する機能を単一パッケージとして提供するクラウドサービスであり、シングルサインオン機能も提供します。

「セキュリティ」「プロビジョニング」「ワークフロー」などに関する作業を簡略化でき、ユーザーエクスペリエンスを向上できるため、多くの企業で導入が進んでいます。

シングルサインオンを導入すべき理由

さまざまなビジネスアプリに依存

今日のデジタルワーカーは、さまざまなアプリケーションに依存して仕事を行っています。
・エンタープライズアプリケーション—企業データセンターでホスト
・SaaSソリューション—クラウドベースアプリケーション
・モバイルアプリ—スマートフォンやタブレット向け　など

多くのパスワードを抱えるリスク

大量パスワードの煩雑性

シングルサインオンを導入していない場合、エンドユーザーは、多くのアプリケーションそれぞれに対する「ID+パスワード」を設定し記憶し管理しなければなりません。

さらに、パスワードを忘れてしまうと、それぞれのアプリでパスワード再発行の手間がかかります。

ずさんなパスワード管理が横行

しかし、多くのユーザーは、あまりの煩雑性に耐えきれず、ずさんなパスワード管理を実施してしまいます。
・同一パスワードの使いまわし
・強度が弱い(覚えやすい)パスワードを設定
・パスワードを付箋にメモしてモニターに貼っておく　など

サイバー侵害リスク

悪意のある攻撃者は、緩いパスワード設定を悪用して、アカウント資格情報を盗みます。

そして、そのアカウントを利用して、サイバー攻撃を仕掛け、本来の目的である企業機密データを盗みます。

つまり、ずさんなパスワード管理が、企業価値を失墜させる大きなリスクとなります。

トータルセキュリティを高めるシングルサインオン

シングルサインオンを導入することで、エンドユーザーが管理すべき「ID+パスワード」は1つだけにできます。

その結果、パスワード管理不備を発端とするサイバー攻撃リスクを大幅に低下させることができます。

尋常ではない作業量に圧倒される情シス(IT管理部門)

各アプリを管理する情シス

各アプリケーションは個別のID管理およびアクセス制御メカニズムに依存しています。

情シスはビジネスユーザーが利用しているすべての種類のアプリケーションについて管理する必要があります。

作業量=「対象ユーザー数×アプリ数」

シングルサインオンを導入していない場合、ITおよびセキュリティ運用チームは、それぞれ独立したID管理プラットフォームを使用してユーザーをオンボーディングし、ユーザーの特権をプロビジョニングすることを余儀なくされます。

ユーザー管理作業を見てみると「対象ユーザー数×アプリ数」となってしまうため、管理対象アプリが1つ増えるだけでも、作業量は大幅に増加してしまいます。

ユーザー数が多く、かつ、アプリ数も多くなる大きな組織では、情シスだけでこなせる作業量を大きく超えてしまいます。

作業ミスによるセキュリティリスク

情シスが膨大な作業量をこなそうとした場合、どうしても設定ミスなどが発生します。

その結果、管理上の盲点を生み出し、特権クリープなどの追加のセキュリティ脆弱性をもたらす危険性があります。

トータルセキュリティを高めるシングルサインオン

シングルサインオンを導入すると、「作業量=対象ユーザー数」となるため、情シスの作業量を大幅に縮小できます。

また、オンボーディング(オフボーディング)などは、人事情報と連携して自動化できるため、設定ミスによるセキュリティリスクも大幅に低減できます。

シングルサインオンの「メリット」

企業がシングルサインオンを導入すると、幅広いメリットを享受できます。

セキュリティ強化

ユーザーが複数の「ID+パスワード」を利用している環境では、パスワードの「再利用」「書き留め」「他ユーザーとの共有」など、パスワード漏洩リスクが増加します。

シングルサインオンを導入して、ユーザーが管理する必要のある「ID+パスワード」の数を減らすことにより、エンタープライズセキュリティを強化できます。

パスワード漏洩は基本的な侵入手段であるため、複数パスワードへの依存を減らすことで、フィッシングによるセキュリティ侵害の可能性を低下できます。

ユーザーアクセス管理の強化

シングルサインオンにより、「どのユーザーが？」「いつ？」「どこから？」「どのアプリケーションに？」アクセスしたかについてのリアルタイムでの把握が容易になるため、企業がシステム整合性を保護しやすくなります。

主なメリット

・ユーザーアクセス権構成—ユーザーの役割、部門、優先順位レベル
・アクセスレベルの透明性と可視性を常に確保
・デバイス紛失などのセキュリティリスクへの迅速な対処
・重要データなどへのアクセスを即座に無効化　など

ユーザーエクスペリエンス向上

従業員の生産性向上

シングルサインオンにより、従業員は仕事をするために必要なリソースに簡単にアクセスできます。

セキュリティを犠牲にすることなくアクセスを高速化することで、重要タスクに集中する時間を増やすことができます。

顧客ユーザーエクスペリエンス向上

顧客は一度ログインすると、自社が提供するすべての製品やサービスに簡単にアクセスできます。

毎回ログインする手間がないことは、購入決定のための重要な要素となります。

IT運用コスト削減

パスワード初期化作業

シングルサインオン導入で、ユーザーが管理する「ID+パスワード」の数を減らせることにより、情報システム部門の「パスワードリセット作業」も減らすことができます。

ヘルプデスクチケット1件あたりの工数は小さいものかもしれませんが、大きな組織となると累計工数は莫大なものため、大きなコスト削減効果を期待できます。

「ユーザー」と「サービス」のスケールアップ

シングルサインオン導入による資格情報管理自動化のおかげで、システム管理者は、「全ユーザーの各アプリ(サービス)登録管理作業」を大幅に簡略化できます。

人的エラーの要因が減るとともに、「ユーザー数」や「ログイン対象アプリ(サービス)数」のスケールアップが容易になります。

セキュリティ基盤のためのベースステップ

シングルサインオン導入は、企業全体のセキュリティを強化するための最初のステップとなります。

シングルサインオン基盤をベースとすることで、多くのセキュリティベストプラクティス実装をスタートできます。

・多要素認証(MFA)の展開
・ID証明機能
・リスク評価機能
・同意管理ツール接続
・各種コンプライアンス対策　など

シングルサインオンの「デメリット」

SSOは「セキュリティを高める」や「ユーザーフレンドリー」などのメリットにより大変便利なソリューションですが、適切に展開(管理)されていない場合、以下のようなリスクをもたらす可能性があります。

シングルパスワードの脆弱性

1セットの「ID+パスワード」でログインできる「SSOパスワード」が盗まれてしまった場合、そのSSOパスワードでログイン可能なすべてのアプリ(Webサイト)において不正ログインされてしまうリスクがあります。

攻撃者がユーザーのSSOクレデンシャルにアクセスすると、ユーザーがアクセス権を持つすべてのアプリにもアクセスできるようになります。

たとえば、GoogleアカウントのSSOパスワードが盗まれてしまった場合、「Gmail」「Googleドキュメント」「Googleドライブ」「Googleアカウントフェデレーションアプリ」などに保存している情報も盗まれてしまいます。

そのため、パスワードだけではなく、追加の認証メカニズムを展開することは非常に重要です。

潜在的脆弱性

シングルサインオンプロトコル(SAMLやOAuthなど)の潜在的脆弱性により、攻撃者はユーザーのWebアカウント(モバイルアカウント)に不正にアクセスできてしまう可能性があります。

各ソリューションにおいて、潜在的脆弱性まで考慮した設計と開発が必要となります。

実績のあるプロバイダーが提供するSSOソリューションは「検証済みセキュリティプロトコル」や「堅牢なサービス」などにより、安心して利用できるサービスレベルを提供しています。

アプリ互換性

シングルサインオン対象としたいアプリが、利用しているSSOソリューションと効果的に統合するように設定されていない場合があります。

主要なSSOソリューションや多くのアプリは相互接続できるように構築されていますが、事前に確認しておく必要があります。

日本企業向けクラウドID管理サービス「Keyspider」とは？

Keyspiderオフィシャルサイトでは、Keyspiderに関する情報を紹介しています。

「日本企業向けである理由」「Keyspiderが必要である理由」「JSOX法対応」「業務自動化」などについて参照できます。

参考元サイト

• →pingidentity.com　→Single Sign-on vs. Federated Identity Management: The Complete Guide
• →okta.com　→What Is Single Sign-On (SSO)?
• →onelogin.com　→How does single sign-on work?
• →csoonline.com　→SSO explained: How single sign-on improves security and the user experience
• →cyberark.com　→Single Sign-On (SSO)
• →blog.miniorange.com　→What is Single Sign-On (SSO) and How does SSO Works?