SSO（シングルサインオン）とは｜認証の仕組みとメリットデメリット

高速インターネットやスマートフォンが普及し、今や多くのアプリやシステムが私たちの生活を支えています。一方でクレジットカードなど個人情報の漏洩に関するニュースもしばしば報道されており、情報セキュリティ対策の重要性が叫ばれるようにもなりました。

情報セキュリティ対策にはさまざまな方法がありますが、基本的な対策として活用されてきたのがパスワードです。しかし、近年はスマートフォンなどが生体認証を採用するようになり、パスワードのない世界が間近に迫っていることを感じさせます。

実際、サイトやアプリごとに別々のパスワードを設定し、それを覚えておくことは難しく、パスワードの使い回しをしている人も少なくありません。

コロナ禍で一般的になったリモートワークにはクラウドサービスが欠かせませんが、それらのIDやパスワードを管理する必要があるため、システム担当者への負担も増加しています。

今回は、複数のIDやパスワードを簡単に管理できる方法である「SSO（シングルサインオン）」について解説していきます。

SSOとは何か、認証の仕組みや実装するメリット・デメリット、導入する際のポイントについて理解を深めていきましょう。

1. SSO（シングルサインオン）の概要

2. SSOの認証の仕組み

3. SSOを実装するメリット

4. SSOを実装するデメリット

5. SSO導入を検討する際のポイント

はじめに、SSOがどういったものなのか解説します。

｜SSO（シングルサインオン）とは

SSOとは「シングルサインオン（Single Sign On）」の略であり、「ひとつ」を意味する「Single」と「認証」や「ログイン」を意味する「Sign On」を加えた言葉です。

つまり、「ひとつの認証で複数のシステムにログインできる」ことを指します。

これまでサイトやアプリごとに必要だった認証が一度で済むシステムであり、ユーザーの負担軽減に役立つシステムとして人気を集めています。

｜サインオンやID管理に関する課題

仕事でもプライベートでも、多くのシステムやサービスでIDとパスワードを求められることは日常生活の一部です。数個から十数個のIDとパスワードを管理していることはもはや一般的であり、多い人だとそれをはるかに超える数を管理していることも。

そのため、IDとパスワードに関するトラブルは近年急増しています。

たくさんのIDとパスワードを持つユーザーが多くのシステムを扱う際、いちいちログインする必要があるというのは業務の効率を下げますし、前述したようにパスワードを使い回している人は少なくないため、情報漏洩のリスクも高まります。

使う側だけでなく、システム管理を担当する部署の負担も高まり、管理にかかるコストも増大するでしょう。

そのようなトラブルを避けることができるのがSSOなのです。

SSOがどういったものなのか理解できたところで、SSOの認証の仕組みについても確認しておきましょう。SSOはひとつの仕組みの名称ではなく、複数サービスへの認証が一度で済む「仕組み」を指す言葉です。そのため、SSOの仕組みにもさまざまなものがあり、主に５種類に分けられます。

ここでは代表的な「SAML認証（フェデレーション）方式」「代行認証方式」「リバースプロキシ方式」「エージェント方式」「透過型方式」を解説します。

｜SAML認証（フェデレーション）方式

SAML認証とは、フェデレーション認証とも呼ばれる方式であり、主に「SAML：Security Assertion Markup Language」というプロトコルを用いたSSOを指す言葉です。

2つの要素「IdP：Identity Provider」と「SP：Service Provider」によって構成され、サービス提供側がSAMLに対応してさえいれば、IdPの認証情報によってSSOが可能となります。SAMLに対応しているクラウドサービスは多く、Microsoft365やSalesforceなども対応しています。

SAML認証方式はそれまで困難とされていたクラウドサービスのSSOが簡単に、しかも安全にできるようになったことが大きなメリットですが、SAMLに対応していないと利用できないというデメリットがあります。

｜代行認証方式

代行認証方式とは、代理認証方式とも呼ばれる方式であり、PCにインストールされたエージェントがIDとパスワードの入力を代行してくれる仕組みです。

エージェントはIDやパスワードといった認証情報をメモリーに保存。SSOの対象であるシステムのログイン画面の起動を検知して自動で認証情報を入力してくれます。

後述するエージェント方式に対応していない古いシステムにも対応可能なことがメリットですが、エージェントをインストールする必要があることがデメリットです。

｜リバースプロキシ方式

Webアプリケーションと認証サーバの中継サーバであるリバースプロキシ経由で認証を行うのがリバースプロキシ方式です。

直接アプリケーションにアクセスさせるのではなく、必ず中継サーバを介する必要があるため、ネットワーク構築に手間がかかりますが、エージェントが不要な仕組みなので比較的スムーズに導入でき、コストも低いことがメリットです。

｜エージェント方式

エージェント方式はSSOの対象となるWebアプリケーションそれぞれにエージェントを導入する方式です。対象となるすべてのWebアプリケーションにインストールする手間がかかりますが、リバースプロキシ方式よりもサーバの負担が少ないのがメリットです。

｜透過型方式

SSOの比較的新しい方式であり、PCとWebアプリケーションの間に監視システムを設け、そのシステムが、認証が必要なWebアプリケーションが立ち上がった時にのみ情報を送信してくれるという仕組みです。

アクセス経路に依存しない仕組みであり、ネットワークの構築やエージェントのインストールが不要なことが大きなメリットですが、対応しているサーバやエージェントが必要となります。

さまざまな仕組みが存在し、新しい方式も登場しているSSOですが、SSOを理解するなら、実装する際のメリットとデメリットについても知っておきたいところ。まずはSSO実装のメリットについて解説します。

SSOを実装するメリットは一言で言うと「リスクと負担の軽減」です。

多くのパスワードを管理しているとパスワードを忘れてしまうこともありますが、SSOならそういった心配がなくなります。また、使い回したりメモをなくしたりといったことから起こる漏洩のリスクを軽減できます。

ユーザーとしては利便性が上がりますし、システム管理者としてはパスワード管理の手間が軽減されます。また、Webアプリケーション側も、ユーザーの行動を追うことができてマーケティングに活かすなどのメリットが得られます。

前項ではSSOを実装するメリットについて解説しました。この項ではデメリットについても確認しておきましょう。

SSOはひとつの認証で複数サービスへのログインが可能となる仕組みですが、そのひとつのパスワードが漏洩するとリスクが非常に大きなものとなるのがデメリットです。ただし最近では2段階認証やワンタイムパスワードの活用によって不正アクセスを防止することが一般的となっており、そういったリスクを回避することができます。

もうひとつ考えておかなければいけないデメリットとしては、SSOを提供しているシステムが停止してしまったり、サービス終了となった場合にSSOが利用できなくなってしまったり、といったケースです。こういったケースについては導入時にしっかり検討する必要があるでしょう。

SSOを導入するにあたって、どのようなことを検討すべきでしょうか。この項ではSSO導入を検討する際のポイントについて解説します。

｜必要性を検討する

当たり前のことですが、SSOが本当に必要かどうかをまず検討すべきです。どういった課題に対してSSOを解決策として使いたいのかを明確にしましょう。

課題を明確にすることで、SSO以外の解決策が見つかることもあるでしょうし、SSOとあわせて他のサービスやシステムを導入する必要があることがわかるかもしれません。

｜コストや期間を確認する

導入にあたってはコストと時間がかかります。導入費用と導入するまでの期間についても確認します。

｜利用しているシステムやアプリケーションに対応可能かを確認する

SSOにはさまざまな仕組みがあるため、自社のシステムにはどれが最適か、どれを活用すべきか、についても検討すべきです。

SSOを実装したいWebシステムやアプリケーションをリストアップした上で検討しましょう。

かつて「パスワードは多い方が安全である」と言われたこともありましたが、パスワードを増やせば増やすほど人は記憶できなくなり、メモ書きや使い回しに走ってしまいます。結果、情報漏洩のリスクを増やすことになるのです。

それを解決してくれるのが今回解説したSSOです。

SSOの安全性はしばしば、「入口がひとつしかないビルと、複数あるビルではどちらがセキュリティ対策をしやすいか」という質問で例えられます。高いセキュリティ効果を得られ、業務効率がアップするなら導入しない手はないはずです。

国内のIT人材は近年慢性的に不足しており、人件費も高騰しています。そのため、オフショア開発を視野に入れる企業も急増しています。

オフショア開発.comでは、専任コンシェルジュへの無料相談サービスをご用意しております。無料でさまざまなお悩みやご要望をお聞きし、最適な企業をご紹介するだけでなく、開発における最新の情報もご提供いたします。オフショア開発に関する情報はもちろん、日本企業の急務であるDXのトレンドに関する多くの情報についてもご提供できますので、ぜひお気軽にお問合せください。