SSO(シングルサインオン)とは?メリット・デメリットなどを解説
Check!
- SSOとは、複数のサービスに1回のログインでアクセスできる仕組みのことである
- SSOの導入で、各サービスごとにID・パスワードの管理をする手間が省ける
- SSOシステム導入の際は、アクセスコントロール機能の有無やシステムの操作性を確認
SSOとは、ID・パスワードによる認証を一度行うだけで、連携している複数のサービスやアプリケーションにログインできる仕組みのことを言います。本記事では、SSOの種類と仕組み、導入するメリット、SSOシステムの選び方などについてわかりやすく解説しています。
目次
開く
閉じる
開く
閉じる
SSO(シングルサインオン)とは
SSOとは、IDとパスワードで一度ユーザー認証(ログイン)すると、それ以降は追加認証不要で複数のシステムを利用できる仕組みです。ただし、追加認証不要で利用できるのは、その認証(IDとパスワード)に紐付けられているシステムのみです。
従来、複数のシステムを利用する際には、その都度ユーザー認証が必要でした。この場合はシステムごとに異なるIDやパスワードを設定せねばならず、またユーザー認証に時間と手間がかかるため業務が非効率化します。
SSOを利用すれば一度のログインで複数のシステムを利用できるため、ユーザーの負担を軽減できます。さらに、IDやパスワードの管理も効率化するでしょう。
SSOが注目を集めている理由
SSOが近年注目を集めている背景には、業界・業種を問わずITシステムの利用が増えたことやテレワークが普及したことなどがあります。ITシステムにおいては、特にテレワークにも対応しやすいクラウドサービスの利用が急激に伸びています。
企業内でも業務ごとに複数のシステム・あるいはサービスを利用するのが当たり前になり、部署ごとにそれぞれ異なるシステム・サービスを使っている場合もあります。
こうして社内で利用するシステム・サービスが増えるほど、当然のことながらIDやパスワードも増えていきます。数が増えると管理も煩雑になり、不適切な管理によってアカウント情報が外部に漏洩するリスクや、ID・パスワードがわからなくなるリスクも高まります。
そのような煩雑な管理を解消し、不適切な管理を発生させないために、利便性とセキュリティの高さを兼ね備えたSSOが注目されているのです。
SSO(シングルサインオン)の種類と仕組み
SSOには6つの種類があり、それぞれ仕組みや特徴が異なります。自社に適したSSOを採用するためにも、それぞれの特徴を理解しておきましょう。
\気になる項目をクリックで詳細へジャンプ/
SSO(シングルサインオン)の種類と仕組み
エージェント方式
エージェント方式では、「エージェント(代理人)」と呼ばれるソフトウェアをWebサーバーやアプリケーションサーバーにインストールしてSSOを行います。
エージェントはユーザーからのアクセスを確認すると、SSO認証用サーバーに他システムでの認証状況を確認します。エージェントが認証用サーバーで「認証済み」と確認できれば、ユーザーは自動で該当システムにアクセスできます。
エージェント方式には次のようなメリットとデメリットがあります。
【メリット】
- ネットワーク構成の変更が不要
- アクセスが同時に集中しても比較的スムーズに稼働できる
- 拡張性が高い
【デメリット】
- 定期的なバージョンアップが必要であり、その都度コストがかかる
- 利用できるのはエージェント対応のOS環境のみ
- サーバーごとにエージェントのインストールが必要
リバースプロキシ方式
リバースプロキシ方式は、「リバースプロキシ」という中継サーバーを経由してSSOを行う仕組みです。リバースプロキシは端末とWebシステムの間に設置されており、ユーザーが各システムにアクセスするには必ずこの中継サーバーを経由することになります。
あらかじめリバースプロキシにID・パスワードを入力しておくことで、他システムへのアクセスに必要なユーザー認証はリバースプロキシが代行してくれます。
リバースプロキシ方式には次のようなメリットとデメリットがあります。
【メリット】
- プラットフォームに依存せず導入できる
- 個別でのエージェントのインストールが不要
- Web上にサーバーを隠すため安全性・安定性が向上する
【デメリット】
- ネットワーク構成・URLの変更が必要
- Webサイト・アプリの追加に時間・手間がかかる
- 1つのサーバーにアクセスが集中するため通信速度が低下する恐れがある
代理認証方式
代理認証方式では、「エージェント(代理人)」と呼ばれるソフトウェアを端末(パソコンやスマートフォン)にインストールしてSSOを実現します。「フォームベース方式」とも呼ばれています。
端末にIDとパスワードを保有したエージェントが常駐しており、ユーザーのアクセスを検知すると、各システムへのユーザー認証を自動で代行してくれます。
代理認証方式には次のようなメリットとデメリットがあります。
【メリット】
- 他方式と比べて比較的容易に導入できる
- (他方式では不可能な)レガシーシステムやクラウドシステムにも対応できる
- Webアプリケーションサーバーの変更・改修が不要
- 柔軟なアクセス権限の設定が可能
【デメリット】
- デバイスごとにエージェントのインストールが必要
- 拡張性は比較的低い
- 専用サーバとアプリケーションでID情報を常に一致させる必要がある
SAML方式
SAML方式は「フェデレーション方式」とも呼ばれており、「IdP」というIDプロバイダーとユーザーが「チケット」という情報をやり取りすることでSSOを行います。「チケット」とは、他方式でのパスワードにあたるものです。
SAMLはクラウドサービスでのSSOに特化しています。1つのクラウドサービスにログインすれば、それ以降はIdPが他クラウドサービスとチケットをやり取りし、自動でログインできます。
なお、SALM方式では「SALM」というプロトコルを利用します。プロトコルには「規約」「手順」などの意味があり、IT分野においては、異なるシステムやコンピューター同士が情報をやり取りするための国際的な規約(ルール)を指します。
【メリット】
- クラウドサービスのSSOを実現できる
- 海外の代表的なクラウドサービスにはほぼ対応している
- 安全性と安定性が高い
【デメリット】
- プロトコル(SALM)に対応していない場合は利用できない
- 既存システムをプロトコルに対応させるには改修が必要
- 国内クラウドサービスは対応していないものが多い
透過型方式
透過型方式は、「透過型サーバー」という中継サーバー経由でSSOを行う方式です。透過型サーバーはユーザーのWebアプリケーションへのアクセスを監視し、ユーザー認証が必要な時にのみ、ユーザーに代わってWebサーバーへ認証情報を送付します。
透過型方式のメリットとデメリットには次のようなものがあります。
【メリット】
- ネットワーク構成の変更が不要で、既存システムへの導入も比較的容易
- ほぼすべての端末・ブラウザで利用できる
- クラウド・オンプレミスの両方に対応できる
- サーバー側が複数の認証方法に対応できる
- 社外からのアクセスも可能
【デメリット】
- 透過型認証に対応したSSO製品(サーバーやエージェント)でしか利用できない
SSO(シングルサインオン)システムの主な機能
SSOの実現には、SSOシステムが利用されます。SSOシステムには主に認証機能・セキュリティ機能・IDとパスワードの管理機能が実装されています。それぞれの機能の内容やできることを具体的に解説します。
\気になる項目をクリックで詳細へジャンプ/
| 機能 | 内容 |
|---|---|
| 認証機能 | ユーザー認証の一元化 |
| セキュリティ機能 | アクセス権限の設定など |
| ID・パスワード管理機能 | IDとパスワードを一元管理 |
認証機能
SSOの役割を担う認証機能とは、一度のユーザー認証で、複数のシステムを利用できる機能です。従来のようにシステムごとのユーザー認証が不要となるため、複数のシステムを利用する業務も効率的に遂行できるでしょう。
なお、上記で解説したようにSSOの認証機能にはエージェント方式・リバースプロキシ方式・代理認証方式などさまざまな種類があります。自社の状況に適した認証機能を備えたものを選びましょう。
セキュリティ機能
セキュリティ機能としては、アカウントごとにアクセス制限を付与する機能が代表的です。ユーザーや部門・グループごとにアクセス権限を設定できるため、重要データの不正閲覧や外部への流出のリスクを低減できます。
「多要素認証」を備えたSSOもあります。多要素認証とは顔認証・指紋認証・電話番号認証など複数の認証を組み合わせたユーザー認証で、より安全なログインを実現できます。
セキュリティ機能の有無や実装機能はSSOシステムによって異なるため、導入前に確認しておきましょう。
ID・パスワード管理機能
各システムのアカウントを1つのID・パスワードと紐づけて管理する機能です。ログイン用のアカウントをシステム上で一元管理できるため、ユーザー自身が自分で管理する必要はありません。ユーザーがIDやパスワードを忘れたり、紛失したりといった心配もありません。
SSO(シングルサインオン)を利用するメリット
SSOは安全かつ効率的なユーザー認証を実現する仕組みです。導入により、次のようなメリットを期待できます。
\気になる項目をクリックで詳細へジャンプ/
SSO(シングルサインオン)を利用するメリット
利便性の向上
SSOを導入すれば、一度のユーザー認証で複数のシステムに自動的にログインできます。複数のシステムを同時に使いながら業務にあたる場合、システムごとにユーザー認証をするとそれだけで時間がかかってしまい、業務スピードはどうしても低下します。
SSOでログインすれば、1回の認証で他のシステムに自動的にログインできます。毎回のログインの手間が省けるため、ユーザーの負担が減るだけでなく、業務スピードの向上にもつながります。
セキュリティ対策を強化できる
SSOの導入により、セキュリティ対策の強化が期待できます。まず前提として、強固なセキュリティ体制を敷くには、次の2つのポイントを押さえたパスワード設定が必要です。
- システムごとに異なるパスワード
- 文字列が長く難解(複数の文字・数字が混在)なパスワード
パスワードは紙や端末のメモ機能にメモすることが多いと思いますが、管理が適切でない場合、他者による不正閲覧・アカウント情報の流出といったリスクがあります。しかし、文字列を短く簡単にする、パスワードを使い回すといった行為もまたリスクが高まります。
そこで注目されるのがSSOです。システムごとに長く難解なパスワードを設定しても、ログインの際は基本的に1つのID・パスワードしか必要ないため、メモに残したり暗記したりする必要がありません。
パスワード管理が楽になる
SSOの導入により、ユーザー・管理者(IT部門・情報部門)はともにパスワード管理が容易になります。ユーザーは、システムごとに異なるID・パスワードを記憶したり、メモに残してそれを厳重に管理する必要がなくなります。
管理者は、従業員1人ひとりのIDやパスワードを管理するための専用システムを用意したり、ユーザーがパスワードを忘れた・紛失した際にパスワード再発行を行ったりする必要がなくなります。
これにより、IT部門や情報部門の担当者は本来のコア業務に注力できるようになるため、業務効率・生産性の向上も期待できます。
短期間・低コストで導入できる
ログインの一括管理には、SSOのほかにID統合という方法があります。しかしID統合の際は既存システムの大幅な改修が必要となることが多く、時間・手間と金銭的なコストが発生します。
一方、SSOの中でもエージェント方式や代理認証方式はネットワークの改修不要で導入できるため、ID統合に比べれば導入コストを抑えられます。
方式によってはエージェントソフトウェアのインストールや中継サーバーの設置が必要ですが、この場合でもID統合に比べれば小さなコストで済むことが多いです。
SSO(シングルサインオン)を利用するデメリット
SSOにはさまざまなメリットがある一方、デメリットも存在します。SSOを円滑に運用するためにもデメリットをあらかじめ理解し、十分な対策を立てておくことが大切です。
\気になる項目をクリックで詳細へジャンプ/
SSO(シングルサインオン)を利用するデメリット
不正アクセスされた際のリスクが大きい
SSOは1度のユーザー認証で複数のシステムを利用できる仕組みです。そのためSSOシステムそのものに不正アクセスされた場合、侵入者は関連システムを自由に操作できることになります。個人情報や機密情報の漏洩といった甚大な損害につながるでしょう。
対策としては、多要素認証の利用があります。たとえばクライアント認証・ワンタイムパスワード・二段階認証・生体認証などの複数の認証機能を設定することで、SSOへの不正アクセスのリスクを低減できます。
全てのサービスで利用できるわけではない
サービス・システムによってはSSOが利用できないこともあります。SSOの利用を希望する場合は、そのシステム・サービスがSSOに対応可能かどうか確認しましょう。
SSOを新しく導入する場合、社内の既存システムに対応したものを選ぶ必要があります。先にSSOを導入し、将来的に新しいシステムを導入する場合は、既存のSSOとの連携性を確認しましょう。
システム停止時はログインできない
SSOシステムが停止すると関連システム・サービスにログインできなくなります。場合によっては全ての業務がストップするでしょう。
対策としては、経営や事業存続に関わる重要業務の基幹システムは、SSOと別の認証方法・パスワードで管理するという方法があります。併せて、システム停止時の対応マニュアルの整備・ベンダーのサポート体制やサポート範囲の確認といった対策も必要です。
SSO(シングルサインオン)システムの選び方
SSOシステムの導入を成功させるためのポイントをご紹介します。次のポイントを抑え、円滑な導入・運用を目指しましょう。
\気になる項目をクリックで詳細へジャンプ/
SSO(シングルサインオン)システムの選び方
アクセスコントロール機能があるか
SSOシステムはアクセスコントロール機能を有したものがおすすめです。アクセスコントロールとはいわゆるアクセス権限の付与で、特定のユーザーにのみシステムへのアクセス・操作を許可します。
外部・内部からのシステムへの不正なアクセスを制限することで、重要なデータや情報をサイバー攻撃・情報漏洩から守ります。また、アクセスユーザーを限定することで、誤操作によるデータの消失や書き換え・更新のリスクも低減できます。
オンプレミス型かクラウド型か
SSOシステムには、企業の内部に設置するオンプレミス型とベンダーが管理・運用するシステムをインターネット経由で利用するクラウド型があります。
オンプレミス型はカスタマイズ性が高く、運用・保守も自社で行うため、制御やメンテナンスにおいても自社の都合に合わせやすいといったメリットがあります。その反面、初期費用は高額で運用スキルを持った人員も必要です。
クラウド型は自社にシステムを設置する必要がないので初期費用は比較的安く、短期間で導入できます。運用・保守の手間もかからず。テレワークなどにも対応しやすいです。ただし、柔軟なカスタマイズは難しく、月額料金など継続的な費用が必要になります。
対応デバイスの種類を確認
SSO導入の際は対応デバイスを確認しましょう。特にクラウド型のSSOシステムは、スマートフォンやタブレットなどのモバイル端末と連携できるものが望ましいです。
モバイル端末対応のSSOを導入すれば、社外からでもシステムに安全にアクセスできるため、利便性の向上や業務の効率化につながります。
使いやすいか
ユーザー・管理者の双方にとって使いやすいSSOシステムを選びましょう。ITツールに不慣れな従業員でも利用できるよう、直感的に操作できるものがおすすめです。
また、システムの管理側も担当者が扱いやすい仕様になっているか確認しましょう。使いやすさは実際に使ってみなければわからないことも多いため、無料トライアルなどを利用してテスト運用するのがおすすめです。
セキュリティ対策は万全か
SSOはユーザー認証を1回しか行わないため、SSOシステム自体に不正侵入されると、関連システム全てへの侵入を許すことになります。不正侵入を防ぐためにも、強固なセキュリティ体制を敷いているSSOシステムを選定しましょう。
たとえばIPアドレス制限・クライアント認証・二段階認証・生体認証など複数の認証機能を併用しているものがおすすめです。アクセス管理機能を備えたSSOならば、ユーザー別にアクセス履歴を確認できるため、不正アクセスの迅速な発見が可能です。
サポート体制が充実しているか
ベンダーのサポート体制が充実しているものがおすすめです。たとえば導入支援サービスや、運用開始後のトラブル対応・カスタマーサポートを備えたSSOを検討しましょう。
併せて、サポート方法(チャット・訪問など)やサポート対応日時(早朝・深夜・休日の対応可否)も事前に必ず確認してください。また、海外のSSOサービスを利用する場合、日本語対応可能かどうかもチェックしましょう。
まとめ
SSOは一度のユーザー認証で複数のシステムを利用できる仕組みです。システムごとにユーザー認証をする必要がなく、ユーザーの負担軽減や業務の効率化を期待できます。セキュリティ対策の強化・パスワード管理の簡便化が実現するのもSSOの大きなメリットです。
SSOにはエージェント方式・リバースプロキシ方式などさまざまな種類があります。それぞれの特徴やメリット・デメリットを理解し、自社の状況に適したものを選定しましょう。
また、SSOシステム選定の際は、対応デバイス・使いやすさ・ベンダーのサポート体制にも注目しましょう。アクセスコントロール機能・IPドレス制限などの多要素認証機能を備えたSSOを選ぶことで、より高いセキュリティ精度が期待できます。
本記事を参考にSSOを採用し、重要な情報・データを安全に保護しつつ、業務効率・生産性の向上を目指しましょう。
