ブログ記事

スマホもカバー!現代ニーズに合うシングルサインオンの導入法

2017/09/11

変化するIT環境に対応したSSOを

近年、一般個人の利用シーンのみならず、企業内でもスマホを中心とするスマートデバイスが急速に普及、従来のPCを中心とした利用から、モバイルへの移行および併用が急速に進んできています。こうした変化とあわせて、クラウドサービスの多様化・進化と、業務で利用するシステムの複数化が進み、セキュリティ管理はますます複雑なものとなってきました。

個々のシステムごと、デバイスごとでIDやパスワードを管理していると、移行するたびに入力が必要となり、大きく業務効率を下げるものとなってしまうのはもちろん、記憶・管理しきれないことによる使い回しなども発生しかねません。

そこで、1度の認証ログインで複数のクラウドサービスやアプリ、Webサービスを、さまざまなデバイスでシームレスに、かつ安全に利用できるようにする、より一歩進んだシングルサインオンの仕組みが求められています。よって今回はまず、利便性向上の面からとくにニーズの高い、スマホでのシングルサインオンについて解説しましょう。

スマホにも対応するSSOの実現方法

スマホの場合、画面も小さいためIDやパスワードの入力がPC以上に行いにくく、SSOの導入なしに、さまざまなアプリやサービスを使いこなすのは、大きく利便性を損なうところとなります。しかしビジネス利用に耐えうる高水準でのセキュリティ性確保と適切な管理のもとで利用する仕組みの整備が、これまで以上に必要となることも考えねばなりません。では具体的にどう対応すればよいのでしょうか。

第1の方法として、SSOに対応するクラウド連携のセキュリティサービスの活用が挙げられます。業務で用いるMicrosoft OfficeやG Suite、Salesforceなどと連携したセキュアなアクセスをワンストップで確保するサービスを窓口とすることで、シングルサインオンを叶えます。この場合、サービスのIP制限やデバイス証明書などを用いることで、アクセスを許可された社内PCとiPhoneやAndroidスマホのみ接続可能とし、個人が所有する未知の端末などからのアクセスは遮断して、セキュリティリスクをカットできます。

専用のブラウザ提供をサポートするサービスならば、ファイルが端末に保存されることもないため、スマホを紛失したり、ウイルス感染が発生したりしても、情報漏洩リスクを最小限に抑えられるでしょう。

第2の方法としては、これまでの方式とは異なる新方式のシングルサインオン導入が有効です。この場合、ユーザー個々に設定された認証情報が、トラフィックに含まれるかたちで自動送信されるため、ネットワーク構成の変更やエージェントのインストールなどを行わなくとも、既存の環境でSSOを実現できます。導入後のスマートデバイス追加も容易で、最小限の工数によりOSを問わないクライアント追加・対応が可能です。

業務利用を行うスマホにクライアント電子証明書を用いた、正規ユーザーであることの認証証明をすでに導入していれば、これを用いたシングルサインオン展開も可能で、社内からのアクセスの場合は電子証明書のみでのSSOログイン、外部からのインターネットVPN経由の場合は、追加のパスワード組み合わせを要求するといった、セキュリティレベルの調整も行えるようになります。

第3として、スマホ認証をサポートするエージェントを利用する方法もあります。仲介するエージェントのサービスを確認しましょう。専用証明書をクッキーに保存して個別にスマホ認証を行ったり、スマートデバイスにインストールした専用アプリに保存したりすることでSSOを適切な管理下のもと、叶えられるようになっています。基本的な実装に、いくつかの構成手順をプラスするだけで、従来のSSOを拡張、iPhoneやAndroidにも対応するサービスが出てきていますから、それらの活用を検討するとよいでしょう。ただし提供アプリや管理コンソールなどで対応OSが限定されることもありますので、その点は注意が必要です。

導入・構築における注意点

なおスマートデバイスをカバーするSSOの導入に際しては、ネイティブモバイルアプリのリスクも検討しておかねばなりません。管理側が承認しているアプリでも、個人向けのアプリストアから入手されていると、データを制御することができなくなります。またSSOで利用するユーザーの誰かが、外部のアプリを業務利用のサービスやアプリに意識的であるか否かに関係なく、結果的に紐付けてしまうと、寄生されてデータ流出のリスクが生じます。

これらにはアプリラップやコード変更、個々の指導などで対応するしかありませんでしたが、近年はネイティブモバイルアプリに対応するSSOサービスも登場しています。デバイス登録時に証明書と専用の認証構成を配布、特定のSSOトークンを生成して、セキュアにアクセスできるようにするといった仕組みをとるこれらのサービスは、スマホ利用の多い企業などでは、とくに検討する価値があります。

またスマホを含めたシングルサインオン導入のセキュリティ不安への対策では、NFC搭載のAndroid端末の場合、通常の認証に非接触ICカードを加えた二要素認証を用いることも可能です。対応しないiPhoneでは、ワンタイムパスワード認証機能で二要素認証を実現、セキュリティ強化のニーズに応えるものもありますから、これらを活用するとよいでしょう。

スマホやタブレットといったスマートデバイスのビジネス利用は、今後もシーンを拡大する可能性が高いものですから、生産性・効率性・セキュリティと管理の観点から十分に検証された、自社に合うシングルサインオンの導入検討をお勧めします。

(画像は写真素材 足成より)

最新記事

カテゴリ

アーカイブ

%d人のブロガーが「いいね」をつけました。