SSOとは?企業規模別のSSOの導入率やSSOサービスの選び方を紹介!
シングルサインオン(SSO)とは、一度のログインで複数のアプリケーションやサービスをIDやパスワードを打ち込まなくてもの利用できる便利な仕組みです。この記事では、SSOの基本的な概念から、メリットとデメリット、認証方法から企業が導入するべきSSOサービスまでを網羅的に解説します。
オプション料金なしでクラウドにもオンプレにもSSO!アイパスフリーの詳細はこちら
目次
SSOとは?
SSO(シングルサインオン)は、複数のシステムやサービスに対して1回の認証でアクセスできる仕組みです。
ユーザーは一度ログインするだけで、異なるサービスやアプリケーションにスムーズかつ安全にアクセスできます。
これにより、ユーザーは複数のユーザー名やパスワードを覚える必要がなくなり、利便性が向上します。
SSOはセキュリティを高める手段としても利用され、多要素認証や強固な認証手段と組み合わせてセキュリティを向上させます
企業や組織がクラウドサービスを利用する増加に伴い、SSOの需要は拡大しており、効率的なアクセス管理の一翼を担っています。
なぜSSOを利用する企業が増えているのか?
参考:総務省|令和4年版 情報通信白書|クラウドサービス市場の動向 (soumu.go.jp)によると世界のクラウドサービス市場は、2020年に3,281億ドル(約3兆6千億円)だったのに対し2024年には6,985億ドル(7兆7,000億円)に増加すると予想されており、4年間で倍以上の成長を見込んでいます。
利便性の高いクラウドサービスの増加やリモートワークの増加に伴い社内で利用するクラウドサービスが増え続けると同時にIDとパスワードの数も増え続けていきます。
IDとパスワードの数が増えることでどのようなリスクが考えられるでしょうか。
パスワードの数が増えることで予想されるリスク
利用するクラウドサービスが増えるごとに管理するIDとパスワードも増加していきます。そのことにより以下のようなセキュリティリスクの発生する可能性があります。
1.パスワードの使いまわしによるセキュリティリスク
クラウドサービスが増えるごとに別々のID・パスワードを変更することでセキュリティリスクが向上してしまうため、サービス毎にパスワードの変更を行うことが求められます。
しかし、パスワードの頻繁な変更はユーザーにストレスをかけ、セキュリティに対する意識を低下させる可能性があります。これは「セキュリティ疲労」として知られています。社員個人でのパスワード管理はクラウドサービスが増え続ける現代では最適解とは言えません。
2.パスワードの忘れによる利便性の低下
利用者が複数のアカウントを持っている場合、パスワードを忘れた場合、アカウントにアクセスできなくなる可能性があります。 そのため、社内の情報システム部への問い合わせが増加し業務を圧迫することになります。
3.効果の限定性
定期的なパスワード変更が、実際のセキュリティ向上にどれだけ寄与するかについては疑問視する声もあります。強力な初期パスワードや他のセキュリティ対策(多要素認証など)の方が効果的であるとする意見もあります。
米国国立標準技術研究所(NIST)(National Institute of Standards and Technology)は、「デジタルアイデンティティガイドライン」の中で、パスワードの定期的な変更を推奨しない方針を打ち出しました。
NISTは、パスワードの変更がセキュリティを向上させることはなく、むしろ逆効果になる可能性があると主張しています。定期的なパスワード変更よりも、強力な初期パスワードの採用や多要素認証の導入。また、セキュリティ方針は常に進化するため、最新のガイドラインやベストプラクティスを確認することが重要という見解を示しています。
個人で全てのクラウドサービスやIDパスワードを管理することにも限界があるため、一つのパスワードで全てのサービスにアクセスできるSSOを利用する企業が増えているという背景があります。
企業はセキュリティ強度の向上と効率化を図るためにSSOを導入し、それに伴いSSO市場も成長しているのです。
企業規模別のSSO利用状況
エクスジェンネットワークス株式会社による調査「日本企業のID・アカウント運用管理の実態2023」によると、SSO(シングルサインオン)の利用状況は大手企業を中心に導入が進んでおり5,000人以上の企業であれば8割以上が36.9%「5〜8割未満が26.2%となり両者 を合わせると半数以上がSSOに対応していることがわかりました。
中堅企業(500~4,999人)でも約50%が導入しており、SSOの普及率の高さが伺えます。
SSOの仕組みとは?
SSOの仕組みは、ユーザーが1回のログインで認証情報を入力することから始まります。
認証情報は、認証プロバイダーによって管理され、ユーザーが入力した認証情報を検証し、アクセスしようとしているクラウドサービスに認証情報を送信します。
クラウドサービスは、認証情報を受け取り、ユーザーがアクセスしようとしているクラウドサービスにアクセスを許可します。
SSOの中にも認証方法には様々なものがあり、それぞれに特徴があります。それぞれ見ていきましょう
SSOの様々な認証方法
シングルサインオン(SSO)には、様々な認証方法が存在します。以下はその主な種類を簡単に紹介します
エージェント方式
Webサーバーやアプリケーションサーバーに専用のエージェントソフトウェアをインストールし、認証サーバーに対してユーザーが認証済みかどうか、アクセス権限があるかどうかを確認します。
エージェント方式は、Webサーバーやアプリケーションサーバにエージェントソフトを組み込むことで、利用者がログインしようとすると、SSOサーバからSSOトークンが発行されリクエストが実行されます。
エージェントがSSOトークンを確認し、SSOサーバからユーザーの情報が連携されます。最後にエージェントからSSOの対象となっているサーバに情報を連携し、結果としてSSO対象サーバからログイン済み状態のレスポンスが利用者に返ります。
エージェント方式のメリットとしては、ネットワーク構成を変更する必要がなく、ユーザーの利用記録の特定が容易であることが挙げられます。
一方、デメリットとしては、サーバにエージェントのソフトを導入する必要がある、エージェントは都度バージョンアップする必要がある、サーバのプラットフォームによってエージェントが対応していないことがあることが挙げられます。
リバースプロキシ方式
WebブラウザとWebアプリケーションサーバーの間にリバースプロキシサーバー(Webサーバーの代理としてインターネットとの通信を中継するサーバー)を設置し、エージェントソフトウェアを導入することでSSOを実現します。
リバースプロキシ方式のメリットは、プラットフォームに依存せずにSSOを実現できる点や、対象システムにエージェントを導入する必要がない。リバースプロキシサーバが対象システムの存在を隠すことで、セキュリティを高められることなどがあげられます。
リバースプロキシ方式のデメリットとしては、ネットワークの構成を変更する必要がある。対象システムが代理認証に対応していない場合がある。などがあげられます。
リバースプロキシ方式は、クライアントからのすべてのアクセスがリバースプロキシサーバ経由になるようにネットワークを構成する必要があります。そのため、構築作業の負荷が高く、構築中に連携できないことが分かるケースがあります。
リバースプロキシ方式は、対象システムが多く、上記で説明したエージェント方式のようにプラットフォームに依存することを避けたい場合に適しています。
代理認証方式
SSOの代理認証方式とはユーザーの代わりにシステムがログイン情報を入力する方式で、クラウドでID管理を行うサービスであるIDaaSと組み合わせることで簡単に実現できます。
クライアントPCにエージェントソフトをインストールし、対象のWebシステムやアプリケーションのログイン画面を検知して、専用のサーバがユーザーの代わりにIDとパスワードを自動入力することで、シングルサインオンを実現する方式です。
この方式のメリットは、対象システムの変更が不要で、古いシステムにも対応できることです。
また、デメリットとしては、クライアントPCにエージェントのインストールや更新が必要なことです。認証情報の更新を都度行わなければならないことや、サービスの追加対応が困難な場合があるという点に注意が必要です。
この方式は、Webシステムの構成を変更できない場合や、クラウドサービスの利用が多い場合に適しています。
フェデレーション方式
クラウドサービスと認証情報を提供するIdPの間でチケット情報をやり取りする方式で、SAMLやOpenID Connect OAuthの標準プロトコルに対応するだけで導入できます。
SSOの認証方式の中で最も多く用いられている認証方式で、クラウドサービスと認証情報を提供するIdP(Identity Provider ユーザーの認証情報を管理し、他のシステムやサービスに認証サービスを提供するシステムや事業者のこと)の間でチケット情報をやり取りする方式で、一度ログインすれば、連携したクラウドサービスに自動的にログインできます。
フェデレーション方式は、SAMLやOpenID Connectなどの標準プロトコルに対応しており、Webアプリケーション側での改修が少なくて済みます。また、パスワード自体はクラウドサービス間でやり取りされないため、セキュリティに優れており、利便性とセキュリティの両方を高めることができるSSOの方式です。
透過型方式
シングルサインオン(SSO)の透過型方式とは、ユーザーがWebアプリにアクセスした際、必要に応じてログイン情報を送付する仕組みで、アクセス経路に依存しないため、どのような端末やブラウザ、社外からのアクセスでも成立します。
利用者がWebアプリを開いたときにだけ、ログイン情報を送信してアクセスを可能にする認証方式です。SSO製品をデバイスとWebシステムの間に設置し、利用者のアクセス通信を監視します。この方式は、ネットワーク構成を変更せずに導入できるメリットがあります。また、ブラウザや端末、オンプレミスやクラウドなど、さまざまな環境に対応できます。透過型方式は、複数のクラウドサービスやシステムを利用している企業におすすめです。
これらの方式はそれぞれメリットとデメリットがあり、導入する際には環境や要件に応じて選択することが重要です。SSOの導入により、ユーザーは複数のサービスに個別にログインする手間を省くことができ、利便性の向上とセキュリティの強化が期待できます。
SSOのセキュリティ機能
SSOには、様々なセキュリティ機能があります。以下に紹介します。
パスワードレス認証
スマートフォンなどへのプッシュ通知や生体認証などを使って、パスワードを入力せずに認証できる機能です。パスワードの漏洩や忘れを防ぐことができます。
クライアント認証
クライアント端末に証明書をインストールして、サーバーとの通信を暗号化する機能です。不正な端末からのアクセスを防ぐことができます。
ワンタイムパスワード
一度しか使えないパスワードを生成して、認証に使用する機能です。パスワードの盗用や再利用を防ぐことができます。
二段階認証
パスワードのほかに、SMSやメールなどで送られるコードやトークン、または顔認証などの生体認証を入力して認証する機能です。パスワードだけでは不十分な場合に、セキュリティを強化することができます。
IPアドレス制限
特定のIPアドレスからのアクセスのみを許可する機能です。社内ネットワークやVPNなどからのアクセスのみを認めることで、不正なアクセスを防ぐことができます。
以上のように、SSOのセキュリティ機能は、パスワードの管理や利用を改善するものや、認証の強度や範囲を制限するものなどがあります。SSOを導入する際には、自社の環境やニーズに合わせて、適切な機能を選択することが重要です。
SSOのメリット・デメリット
総務省は 「国民のためのサイバーセキュリティサイト」にて、パスワードを定期的に変更することを推奨していない旨を記載しています。
理由としては、パスワードを定期的に変更することで、作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となるためで、定期的な変更よりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
パスワードの定期変更は、必ずしも必要ではなく、流出時に速やかに変更することが重要です。(ただし、利用するサービスによっては、パスワードを定期的に変更することを求められることもあります。)
クラウドサービスと共にふくれあがるIDとパスワードの管理を安全に行うためにも一度の認証で複数のアプリケーションやサービスにアクセスできるシングルサインオン(SSO)の導入は最適解となり得ます。
SSOのメリット
シングルサインオン(SSO)の導入には以下のようなメリットがあります。・認証アカウントの一元管理でリスクが軽減する
・パスワード管理のリスク・負担が低減する
・利便性の向上による業務効率化
・セキュリティ対策の強化
・管理リソースとコストの削減
SSOののデメリット
一方、SSOを導入することのデメリットとしては、以下のような点が挙げられます・システムが停止すると全てのサービスにログインができなくなる
・導入コストが発生する
以上が、SSOを企業で採用するメリットとデメリットです。SSOを導入する際には、メリットとデメリットを比較し、検討することが重要です。
SSOには対応しているサービスと対応していないサービスがあるのはなぜ?
SSOに対応するためには、システムやサービス側で認証の標準規格であるSAML2.0やOpenID Connectなどをサポートする必要がありますが、すべてのシステムやサービスがそれらに対応しているわけではありません。対応するには開発コストや時間がかかるため、優先度が低い場合もあります。
SSOに対応しているシステムやサービスでも、SSOの機能を有料プランやエンタープライズプランなどの高額なプランでのみ提供している場合があります。
SSOに対応していないシステムやサービスでも、SSOシステム側で代行認証方式やリバースプロキシ方式などを利用して接続できる場合がありますが、これらの方式は通信の遅延や障害の発生などのリスクがあります。また、SSOシステム側で対応できるシステムやサービスの数にも限りがあるため、すべてのシステムやサービスにSSOできるわけではありません。
以上のように、SSOには対応しているシステムとしていないシステムがあるのは、システムやサービス側の開発状況やビジネスモデル、SSOシステム側の技術的な制約などが影響していると考えられます
クラウド型のSSOサービスとオンプレ型のSSOサービスの違いは?
SSOサービスにはクラウド型とオンプレミス型(自社管理型)がありますがどのような違いがあるか確認しておきましょう。
クラウド型SSO
クラウド型SSOは、サービス提供者がセキュリティの管理を行ってくれるため、自社での負担が少なく、手軽に導入できます。しかし、サービス提供者のセキュリティポリシーに依存するため、自社の要件に合わない場合や、サービス提供者にセキュリティの問題が発生した場合には対応が難しい場合があります。
オンプレミス型SSO
オンプレミス型SSOは、自社でシステムを保有して運用するため、自由度やカスタマイズ性が高く、独自のセキュリティ要件を満たすことができます。しかし、導入費用やメンテナンスコストが高く、専門知識や人員が必要になる場合があります。
クラウド型SSOとオンプレミス型SSOのセキュリティを比較する際には、自社の業務やシステムの特性、セキュリティの要件、コストやリスクの許容度などを総合的に判断する必要があります。
どのSSOを選択するべきか?
様々なSSO製品がある中で、クラウド型か、オンプレミス型か?自社にあった認証方式はどれか?セキュリテイ機能はどれを選べばいいか?など様々な選択肢があります。
安価であり、導入も早いクラウド型を選ぶ選択肢もありますが、自社管理型のオンプレミスを選択することでトラブル時にも対応が効くため、社内の大切なID、パスワードを管理することを考えるとオンプレミス型を選択することができます。
クラウド型SSO製品も強固なセキュリティと信頼の実績を持っているサービスが多数ありますが、海外製のものも多いためトラブル時のサポートに遅延が発生する場合もあります。
ただしオンプレミス型のデメリットとしてクラウド型より価格が高くなる傾向にあるため、長期的な利用を考える場合には注意が必要です。価格、セキュリティ、サポートの面からバランスを考えて最適なSSOシステムを選択しましょう。
オプション無しで全てのアプリにログインできる!オンプレミス型なのに月額1ID・290円で利用できる「アイパスフリー」
様々なセキュリティ製品やビジネス向けアプリケーションの自社開発を行う株式会社バルテックが提供する「IPASS FREE(アイパスフリー)」はオンプレミス型SSO製品です。
安価であり、導入も早いクラウド型を選ぶ選択肢もありますが、自社管理型のオンプレミスを選択することでトラブル時にも対応が効くため、社内の大切なID、パスワードを管理することを考えるとオンプレミス型を選択することができます。
クラウド型SSO製品も強固なセキュリティと信頼の実績を持っているサービスが多数ありますが、海外製のものも多いためトラブル時のサポートに遅延が発生することも考えられます。
オンプレミス型のデメリットの項目で導入費用が高額になる事を上げましたが、「IPASS FREE(アイパスフリー)」は月額1ID・290円(50IDの場合)で強固なセキュリティを保ったSSOを実現できます。
サービス追加ごとのオプション料金がかからない
多くのIDaaS製品では、利用するアプリの数によって利用料金が上がっていきますが、「IPASS FREE(アイパスフリー)」は月額料金以上のアプリ連携で金額が上がることはありません。
更にクラウドサービスから、社内だけで共有している基幹システムなどのオンプレミス製品とも連携できるため、利用している全てのサービスにSSOで一括アクセスできるようになります。
利用サイトが一般的なIDaaSに対応していない場合もOK
SSO(シングルサインオン)を利用するには、通常SAMLやOpenIDといった認証方式への対応が必要です。しかしそれらの認証方式に対応するにはコストや技術的な知見が不可欠です。
顔認証パスワード管理では、そういった通常のWebサイトへのシングルサインオンが簡単な設定だけで可能になります。情報システム担当者が不可欠な難しい設定等はありません。
利用中のサービスコストを一目で把握
管理権限をもつユーザーは、ユーザーごとのID、パスワードの管理はもちろん、月額コストも確認できるため、社内で利用しているアプリの合計利用金額の棚卸が可能になります。
社内で利用しているアプリのトータルコストが一目で把握できる他、退職した社員のアカウントを停止、解約、パスワードを変更する、といった操作ができます。
社員本人にパスワードに知られずに設定できる
社員が利用するクラウドサービスのパスワード、IDを管理者が設定できます。
本人の顔とパソコンがパスワードになるため、社員自身にはパスワードを知られずに各サービスにログインできます。このことにより、情報漏洩や外部からのアクセスを防止、ウイルス感染の防止にもつながります。
顔認証と独自の鍵認証の二段階認証
「IPASS FREE(アイパスフリー)」独自の鍵認証システムと、顔認証PCを利用した二段階認証でのセキュリティにより強固なセキュリティを保持してSSOを行う事ができます。
PCにログイン後、顔認証を行い管理サイトにアクセスすると、以後ワンクリックで各クラウドサービスへのログインが可能になります。
顔認証機能を搭載した自社ブランドPC『VALTEC NOTE BOOK PC』
「IPASS FREE(アイパスフリー)」はバルテックの自社開発商品ですが、自社ブランドである『VALTEC NOTE BOOK PC』と組み合わせることにより、生体認証をプラスした2段階認証となり、社員はパスワードを記録することなく様々なアプリケーションに一括でアクセスすることができます。
自社製造・自社ブランド製品だから手厚いサポートが受けられる
自社製造・自社ブランド製品を利用してのSSOを利用している場合、株式会社バルテックの全国50店舗以上を展開するバルテックの各支店からいつでもサポートを受けられる体制を整えることができます。
社内のオンプレミス、もしくはクラウドサービスに接続した各アプリケーションが利用できなくなるトラブルが起きた場合、海外製のSSo製品やサポートの充実していないSSOサービスであれば業務の停止が起こる可能性もあります。
安全に利用を継続するのであればサポート体制の見直しも行う事が大切になってきます。
↓↓今ならアイパスフリーとセットで購入することで2ヶ月間無料キャンペーンを実施中↓↓
まとめ
リモートワークの普及とDXの推進 コロナ禍によるリモートワークやテレワークの普及、そしてデジタルトランスフォーメーション(DX)の世界的な潮流により、SaaSやクラウドサービスの利用が拡大しています。このような環境下では、複数のアプリケーションやサービスへのシームレスなアクセスが求められ、SSOの重要性が高まっています。
SSOは、ユーザーが複数のサービスにアクセスする際の利便性を高める一方で、セキュリティの観点からも重要です。パスワードの使い回しによるリスクを回避し、一元管理によってセキュリティを強化することが重要です。