DX推進に伴い、企業が利用するクラウドサービスは年々増加の一途を辿っています。その一方、パスワード管理の煩雑さによる従業員や管理者の業務ロス、そしてパスワードの使い回しによる深刻なセキュリティリスクが課題となっています。
これらの課題を解決し、業務効率化とセキュリティ強化を同時に実現できる仕組みが「シングルサインオン(SSO)」です。本記事では、SSO初心者の方にもわかりやすく、概要から具体的なビジネスメリット、スムーズな導入方法、そして見落としがちな注意点とその解決策まで網羅的に解説します。
この記事を読むことで、以下の疑問が解消されます。
・SSOとは何か
・企業にもたらす具体的なメリット
・導入ステップと注意点、「SeciossLink」による解決策
|
目次
1) ユーザーの生産性向上:増え続けるID/パスワードを1つに集約 2) 管理者の負担軽減:業務を圧迫するパスワードリセット依頼を削減 3) セキュリティの向上:多要素認証と組み合わせてリスクを低減 SSO導入のポイント:注意点とSeciossLinkによる解決策 1) すべてのクラウドサービスがSSO連携できるわけではない |
SSOサービス「SeciossLink」の製品資料をダウンロードする
シングルサインオン (Single Sign On) とは、1回のログインで複数のサービスやアプリケーションにアクセスできるようになる機能です。「Single Sign On」を略して「SSO」と呼ばれることもあります。
私たちが日常的に利用しているWebサービスは、会社では勤怠管理システムやチャットツールなどの業務用クラウドサービス、プライベートではSNSやECサイトなど、多岐にわたります。そういったWebサービスを利用する際には、多くの場合、本人確認(ユーザー認証)が求められます。現状ではほとんどのサービスがIDとパスワード、ワンタイムパスワードなどの組み合わせによってユーザー認証を行っています。
通常、サービスにログインする際、サービスごとに異なるログイン画面にIDやパスワードを毎回入力する必要があります。シングルサインオン連携することにより、一度の認証で紐づけられている複数のサービスに同時にログインできるため、一度ログインを行うと追加の認証を行う必要が無く、各サービスごとにそれぞれID/パスワードを入力せずともログインできます。
これにより、複数のID/パスワードを覚えることから解放され、都度ログインする必要もなくなります。さらに、ログインが一回に集約されるため、このログインをよりセキュリティの高い安全な認証方法で行うことで、効果的にセキュリティ対策を行うことができます。利便性とセキュリティの向上を同時に叶えることができる仕組みがシングルサインオン(SSO)です。
会社で業務用サービスとSSOするためには、SSO機能を持つ認証システム(シングルサインオンサービス、SSOサービス)を導入する必要があります。なお、利用しているクラウドサービスや社内システムとの連携可否は、導入するSSOサービスによって異なるため確認が必要です。
SSOを理解する上で、遊園地の一日フリーパスをイメージするとわかりやすいでしょう。
通常のログイン
乗り物(クラウドサービス)ごとに個別に料金(ID/パスワード)を払う必要がある状態です。乗り物に乗るたびに、都度料金を支払う(ログイン情報を入力する)ことになります。
シングルサインオン
1日フリーパス(SSO認証)を1回購入する状態です。このフリーパスさえあれば、都度料金を支払わなくても、すべてのアトラクション(クラウドサービス)に乗れるようになります。一度フリーパスを購入しゲート(SSOサービス)を通過すれば、あとは個々のアトラクションで都度料金を支払う必要はありません。
近年のDX化推進により、Microsoft 365やGoogle Workspaceなど、企業におけるクラウドサービスの利用数が増加しています。それにより、ユーザーのログイン負担や、パスワード忘れによる問い合わせの増加に加え、セキュリティリスクも高まっており、これらが課題となっています。こうしたさまざまな組織課題もまとめて解決できるのが、SSOです。
ここでは、利用サービス数の増加により生まれる3つの課題と、SSOで解決できる理由、そして具体的なメリットについて解説していきます。
SSOがもたらすメリット
1) ユーザーの生産性向上:増え続けるID/パスワードを1つに集約
2) 管理者の負担軽減:業務を圧迫するパスワードリセット依頼を削減
3) セキュリティの向上:多要素認証と組み合わせてリスクを低減
利用するクラウドサービスが1つの場合、覚えるID/パスワード(認証情報)は1つです。しかし、サービスが10や20と増えていくと、ユーザーが覚えなければならないID/パスワードも同様に増えていきます。利用するサービスが増えるたびに覚えなければならないID/パスワードも増え、ユーザーの利便性を損なう恐れがあります。例えば、従業員が毎日5つのサービスにID/パスワードとワンタイムパスワードでログインしている場合、1回あたりの入力時間は1分程度だとしても、合計すると毎日5分、年間では20時間ほどログインのために時間を使っていることになります。
SSOサービスを導入することで、覚えるID/パスワードは1つで済み、さらに一度のログインで連携するすべてのクラウドサービスにアクセスできるようになります。ユーザーが覚えなければならないID/パスワードは1つであるため、利用するクラウドサービスが増えても、負担になることはありません。SSOによりログインが1回になることで、従業員はログインにかける時間を1日平均4分短縮でき、その分をコア業務に充てられるため年間約16時間削減し、大幅に生産性向上が見込めます。今後、DXをさらに加速させ、さらなる業務のクラウド化を推進できます。
管理者は利用するサービスやサービス利用者が増えるたびに、ユーザーの登録や更新などのアカウント管理を行う必要があります。例えば、組織で1つのサービスを利用していた場合、新たに社員が入社すると1つのサービスにユーザー登録が必要になります。利用サービスが増えると、それが10、20と作業が増えます。1つのサービスの登録に5分ほどかかるとすると、5つのサービスを登録するなら30分近く、サービスの数によっては1時間以上を要する場合もあります。また、部署異動や昇進などで更新が必要な場合にはサービスごとに更新作業が必要になり、管理者のアカウント管理は、利用サービスが増えるごとに負担が大きくなります。
このアカウント管理の負担を軽減する方法として、アカウント情報を連携サービスに同期させる「プロビジョニング」という機能があります。プロビジョニングを利用することで、入社・異動・退職時のアカウント管理工数を平均で5分の1程度に削減し、退職者のアカウント削除漏れによる情報漏洩リスクも防止できます。プロビジョニングについては、以下のブログをご覧ください。
ユーザーがサービスにログインするためには、ID/パスワードが必要です。複数のサービスを利用している場合には、本来、サービスごとに異なるパスワードを設定する必要があります。
しかし、複雑なパスワードをいくつも記憶するのは困難です。覚えなければならないパスワードが増えることで記憶力の限界を迎え、推測されやすい簡単なパスワードを設定したり、同じパスワードを複数のサービスで使いまわしてしまうケースが多くあります。このようなパスワード運用は、セキュリティ上の重大なリスクを伴います。
パスワードに起因する不正アクセスは年々増加しており、実際に発生したサイバー攻撃の手口のうち「パスワードを窃取・悪用する手口」が3割以上を占めているというデータもあります※1。また、サイバー攻撃を受けて顧客情報や機密情報が漏洩した被害の中には、被害額が1億円に達するものも報告されています※2 。これらは単なる経済的損失に留まりません。顧客や取引先からの信頼失墜やブランドイメージの棄損など、企業の経営に重大な影響を及ぼしかねないリスクをはらんでいます。
このような背景もあり、最近はクラウドサービスのログインに、パスワードとワンタイムパスワードを組み合わせた多要素認証を利用してセキュリティを高める組織が増えてきました。ワンタイムパスワード認証ができるクラウドサービスもある一方で、パスワード認証でしかログインできない、ワンタイムパスワード認証が未対応のサービスも多くあります。そのため、組織でログイン時のセキュリティを強化しようと多要素認証の導入を検討しても、利用中のサービスが未対応の場合、クラウドサービス側での実装を待つ必要があります。ログインのセキュリティ強化が喫緊の課題である場合、業務に浸透したクラウドサービスを、多要素認証に対応した別のサービスに切り替えなければなりません。
SSOサービスを導入すると、サービスへのログインはSSOサービスで多要素認証を行います。ログインが成功すると、すべての連携サービスにアクセスできるようになるため、連携するサービスが多要素認証に対応していなくとも、サービスへのログインに多要素認証を利用することが可能になります。SSO導入により、推測されやすいパスワードや使い回しによる不正アクセスから企業を守り損害リスクを大幅に軽減できます。
ここでは、SSOを導入するために必要なことを解説します。
SSO導入の流れ
1) 連携するクラウドサービスを洗い出す
2) セキュリティポリシーを確認する
3) SSOサービスを検証する
4) 設定し、運用を始める
自社で利用しているサービスや、これから利用したいサービスなど、SSO連携したいサービスをリストアップしましょう。SSOサービスを選定する際に必要な情報になるうえ、連携するクラウドサービス数によって契約ライセンスが異なる場合もあるため、漏れがないように確認することをおすすめします。
また、この際に各サービスが対応しているSSO連携方法も確認しておくことで、後のSSOサービス選定がスムーズになります。連携方式として最も一般的な仕組みはSAML方式(フェデレーション方式)です。SAML(読み:サムル)という規格に対応しているクラウドサービスであれば、シングルサインオン連携が可能なケースがほとんどです。
その他に、以下の連携方式もあります。
・OpenID Connect (OIDC)
・OAuth
・リバースプロキシ
・代理認証
次に、組織における情報セキュリティの方針であるセキュリティポリシーを確認します。 例えば、オフィスからクラウドサービスを利用する場合にはID/パスワードだけでログインができるけれど、オフィス以外の場所からサービスを利用する場合には、会社貸与の証明書が入ったPCからだけなど、ネットワークによってクラウドサービスにアクセスできる端末を制限している場合には、そのセキュリティポリシーに準拠するよう、SSOサービスを設定する必要があります。 また、SSOサービスの搭載機能によっては、よりセキュリティの高い「生体認証」などを利用してログインすることも可能です。最近では、Windows Hello (顔認証もしくは指紋認証) やTouch ID (指紋認証)が標準で搭載されているPCも販売されているため、それらを利用してログイン可能なSSOサービスも多くあります。
SSOサービス「SeciossLink (セシオスリンク)」では、「認証ルール」と「アクセス権限」の大きく2つのルールを設定することで、組織のセキュリティポリシーに準拠した細やかな設定が可能です。
「認証ルール」では、誰の操作によるログインか(ユーザー情報)、どこからのアクセスか(IPアドレス、地域)、どのようなデバイスからのアクセスか(PC、スマホ)などを確認します。 「アクセス権限」では、認証されたユーザーが、特定のサービスにアクセスする権利があるのかを確認します。
例えば、認証ルールでアクセスする場所を確認することで、出社時と在宅勤務時で認証方式を変えることもできます。あらかじめ登録しておいた会社のIPアドレスからのアクセスかどうかを確認し、社外からのアクセスの場合は追加認証(ワンタイムパスワードや生体認証など)を求める、といった設定も可能です。また、特定の部署のメンバーのみが利用できるサービスや、特定の時間帯のみアクセス可能なサービスを設定するなど、柔軟なアクセス制御を実現します。
連携するクラウドサービスとセキュリティルールを決めたら、どのSSOサービスを導入するか検討します。 シングルサインオンシステムを提供している企業は複数あるため、事前に確認した要件を叶えられそうなサービスをいくつか挙げ、導入するSSOサービスを選定し、検証環境で実際に設定を行いましょう。
セシオスなら、組織のシステム環境やセキュリティ要件に合わせた最適な選択が可能です。標準的な要件であればクラウド型のSSOサービス、複雑な既存システムとの連携が必要な場合などはオンプレミス型のご提案が可能です。お気軽にご相談ください。
・クラウド型のSSOサービス「SeciossLink」の製品ページを見る
・オンプレミス型のSSOサービス「Secioss Access Manager Enterprise(SAME)」の製品ページを見る
・SeciossLinkの管理画面を実際に操作できる
・複数のクラウドサービスと連携しSSO・多要素認証などの設定を試せる
・認証ルールやアクセス権限の柔軟性を確認できる
オンプレミスのソフトウェア製品の場合は構築等が必要ですが、クラウド型のSSOサービスであれば、すぐに利用を始められます。事前に決めておいたセキュリティルール(認証ルール・アクセスルール)やSSO連携などの各種設定を行い、SSOでのログインをスタートしましょう。
非常にメリットの多いSSOですが、導入する上で留意すべき点とSeciossLinkによる解決策を解説します。
注意点
1) すべてのクラウドサービスがシングルサインオン連携できるわけではない
2) ログインできない場合の対処法を事前に検討する必要がある
Microsoft 365やGoogle Workspaceなど、最近では多くのサービスでSSO連携が可能ですが、中には連携できないサービスもあります。また、サービス自体はシングルサインオン連携に対応していたとしても、契約プランによってはSSO連携が利用できない場合もあるため注意が必要です。
SeciossLinkは、SAML・OIDCなど主要な連携方式に対応しており、さまざまなクラウドサービスや社内システムとの連携を実現します。また、SAMLに対応していないレガシーシステムに対しては、リバースプロキシ等による連携もご提案可能です。
シングルサインオン連携するためには、SSOサービスの導入が必要です。 これまでクラウドサービスへのアクセスをオフィスのWi-Fiなどのネットワーク接続時のみに制限していた場合には、このSSOサービスの導入を機会に、在宅勤務などのリモートワークができる体制やオフィス以外の場所からでもアクセスできる状態に整える組織も多くあります。
アクセス権限の設定によっては、ユーザーがサービスにログインできない状況が発生する可能性もあります。例えば、クラウドサービスにアクセスできる端末を証明書が入っているPCだけに制限している場合、この「証明書をダウンロードしたPC」が壊れるとログインできない状況に陥ります。そのような状況に備え、管理者は対応方法を事前に検討しておく必要があります。
SeciossLinkは、「ID/パスワード+証明書」もしくは「ID/パスワード+ワンタイムパスワード」を選択制にするなど、細やかなルール設定が可能です。セキュリティを維持しながら、さまざまな条件のルールを設定でき、さらに優先順位をつけて適用させることもできます。
SSOは一回の認証で複数のサービスにログインでき、利便性とセキュリティの向上を同時に叶え、企業にとって重要なビジネスメリットをもたらします。
セシオスが提供するSSOサービス「SeciossLink」は、柔軟な認証ルールとアクセス権限、そして主要な連携方式全てに対応することで、組織の多様なクラウドサービス環境にフィットし、セキュアで効率的な働き方を実現します。また、組織独自の要件がある場合には、オンプレミスのソフトウェア製品もございますので、お客様のシステム環境やセキュリティポリシーに最適な提案が可能です。
連携したいサービスやアクセスルールの設定など、SSOで実現したいことがありましたら、まずはセシオスにご相談ください。
※1※2:独立行政法人情報処理推進機構「2024 年度 中小企業における情報セキュリティ対策に関する実態調査」