シングルサインオン(SSO)とは？仕組みやメリット・デメリット、導入のポイントを解説

シングルサインオン(SSO)とは、１つのID・パスワードで複数のサービスにログインできる仕組みです。チャットやタスク管理、バックオフィス業務など、今やクラウドサービスやアプリケーションは必要不可欠ですが、ツールが増えるとアカウント管理が煩雑に。そうした課題の解決策がシングルサインオンです。SSOの仕組みやメリット・デメリット、導入のポイントを解説します。

SSO（シングルサインオン）のシングルは『１回』、サインオンは『認証』という意味であり、1つのIDとパスワードで複数のシステムにログインできる仕組みのことをいいます。

現代では、チャットやビデオ会話、スケジュール管理にタスク管理と、複数のシステムやアプリケーションを業務で利用するのが当たり前となっています。そしてそれらのツールには、セキュリティの観点からIDとパスワードが必要です。しかし、いくつものIDとパスワードを管理するのは煩わしく、かといって同じパスワードを使いまわすのはセキュリティリスクが高くなってしまいます。

SSOはマスターキーのような１つのIDとパスワードによって、情報セキュリティを保ったまま、パスワード管理の負担とリスクを軽減する技術です。

この技術は、社内ネットワークのログインに用いられたことが始まりでした。業務で使用するパソコンにログインすれば、社内ネットワーク内にある複数のシステムに自動的にログインできるという形式です。その後、グループ会社間といったように、社内ネットワークを越えてSSOが適用されるようになっていきました。そして現代では、各種クラウドサービスの普及に合わせて、さまざまなシステムやアプリケーションに一括でログインできる方式へと技術が変化しています。

SSOには、ユーザーの手間の軽減、管理者の手間の軽減、そして情報セキュリティ対策と３つの側面でメリットがあります。

クラウドサービスの増加にともない、さまざまなサービスにログインをする機会が増えています。SSOを導入することで、利用者はツールやアプリケーションを立ち上げるごとにIDとパスワードを確認して入力する手間から開放されます。また、パスワードを覚えておく労力や、複数のパスワードを管理する必要性もなくなり、業務の効率化につながります。

SSOは、企業の管理部門にとっても業務負担を軽減させます。具体的には、従業員がパスワードを忘れた場合や、アカウントがロックされてしまった場合の対応といったフォロー業務が減ります。パスワードを一元管理できるため、入社や退職、人事異動など、人の入れ替わりや組織変更の場合でも、IT管理部門の手間を軽減し、かつ外部ログインのリスクを低下させることが可能です。

１つのIDとパスワードで良いということは、複雑で強力なパスワードを設定できるということでもあります。長いパスワードを設定できますし、一つなら覚える負担も少なくなります。また、顔認証などの生体情報や位置情報による認証を組み合わせる多要素認証を用いてよりセキュリティを強固にすることもできます。

近年ではリモートワークが広まり、業務がオフィスの外でも行われることで情報漏えいのリスクが高まっています。SSOを活用することでパスワードの管理がシンプルかつ適切になり、ユーザー・管理者ともに安全な状態で業務を効率化することができるのです。

SSOにはメリットだけでなく、いくつか懸念点もあります。

SSOでは、利用者がインターネット上で行える権限のほぼ全てを、管理システムに預けています。そのため、パスワードがひとたび漏れると全てのサービスへのログインが可能になり、企業活動に多大なる被害をもたらします。

こうした問題は、ワンタイムパスワードや生体認証などの二段階認証・二要素認証の利用でセキュリティを高めることが可能です。

SSOのサービスはさまざまな企業が提供しています。これらのサービス提供元のシステムがダウンした場合、連携していたツールやアプリケーションへのログインができなくなり、業務遂行に多大な影響を与えます。そのため、サービスを選択する場合には価格だけではなく、提供元の管理システムのセキュリティの高さや、自然災害発生時などのシステム復旧・予防対策の観点でも検討する必要があります。

SSOには、複数の方式があるため、方式によっては利用できないサービスも存在します。SSOとの連携自体ができないものや、手を加える必要があり追加の費用が発生するものもあります。利用しているサービスがどの方式で連携可能か、導入前に確認しましょう。

SSOを実現するには、いくつかの仕組み（方式）があります。代表的な６つの仕組み（方式）について解説します。

Webサーバーに専用のエージェントソフトを導入する方式です。ユーザーがログインした際、エージェントソフトが認証情報を確認し、認証に成功したらCookieを発行します。この認証済みCookieにより、他のシステムへのログインが可能になります。アクセスが特定のサーバーに集中するわけではないので、通信のボトルネックにならないというメリットがある一方、エージェントソフトがWebアプリケーションのOSに対応していないケースもあります。

エージェント方式と同様に、Web上で行うSSOです。リバースプロキシサーバーという専用サーバーを設置し、SSOの中継地点の役割を果たします。

Webサーバーへのアクセスがリバースプロキシ経由となるため、セキュリティが向上します。また、サーバー上にエージェントソフトを組み込むのが難しい場合にも有効です。ただし、Webサーバーにアクセスするネットワークを、リバースプロキシを経由するよう再構築する必要があります。

Webシステムの構成を変更できない、クラウド型システムを利用している際に適した方式です。ログインしたいアプリケーションやクラウドサービスに対して、専用のサーバーを用いて代理サービスが代わりにIDとパスワードを入力します。近年注目されている、クラウド上のさまざまなサービスのIDを一元管理するIDaaSとの親和性も高く、サービス元の特別な変更が不要のため比較的容易に導入できます。

異なるクラウドサービス間で、認証情報を連携する方式です。導入の負担が少なく、簡単に設定できるのが特徴です。ただし、Office365、Google Apps、Salesforceといったフェデレーション方式に対応しているクラウドサービスに限定されます。フェデレーション方式には、下記3つのパターンがあります。

• SAML（認証プロトコル）

クラウドサービスのような、社内ネットワークではない外部サービスや、異なるインターネットドメイン間の連携を可能にするプロトコルです。パスワードではなく、認証情報だけをやりとりします。

• OpenID Connect（認証プロトコル）

あるサービスにログインする際、別のサービスのIDとパスワードを用いてログインを可能にするプロトコルです。代表的な例として、GoogleやFacebookといったメジャーなSNSのIDを利用するケースが挙げられます。

• Oauth（認証プロトコル）

IDとパスワードの実際の情報を共有することなく、あるサービスから別のサービスへ権限を与えるプロトコルです。Oauthの使用により、ユーザーは一つのプラットフォームでサインインしたのち、別のプラットフォームでデータを閲覧する権限を持つことができます。

比較的新しい方式です。ユーザーがクラウドサービスやWebアプリケーションへアクセスする際、ネットワークトラフィックを監視しておき、ユーザーが必要とするときのみ認証情報をWebサーバーへ送信します。認証情報の取得には代理認証やエージェント認証を選択できます。エージェントソフトをインストールする手間がなく、既存のネットワークに導入できる一方で、透過型方式に対応しているサーバーかエージェントが必要です。

同じドメイン内で利用できる方式です。ユーザーがWebサーバーにログインする際に、ID、タイムスタンプ、有効期限が印された「チケット」を発行します。このチケットを利用し、ユーザーは同一のドメインにあるWebアプリケーションへのアクセスが可能になります。ID・パスワードの漏えいに対するセキュリティが高い一方で、ドメイン外のクラウドサービスには利用できない点が挙げられます。

ひとつのIDとパスワードで様々なシステムやアプリケーションへのログインを可能にするSSOは、業務の効率化とパスワード管理の省力化という点で現代のビジネスシーンには欠かせないものです。導入にあたっては、自社の既存ネットワークとの相性や費用対効果も踏まえて検討しましょう。

moconavi（モコナビ）はさまざまなクラウドサービスと連携するリモートアクセスサービスです。moconaviのSSOは、ユーザーも管理者も複雑なパスワード管理なしに各サービスへの快適かつ安全なアクセスを実現します。多数のメジャーなIdPサービスとの連携実績もあり、クラウドサービスとオンプレミス環境の双方に対応。SSO導入の際にぜひご検討ください。

・moconavi のSSO：資料ダウンロード、30日間無料トライアル実施中