SSOとは?仕組みや認証方式の種類、メリットを解説
クラウド活用の増加やテレワークの普及を背景に、SSO(シングルサインオン:Single Sign-On)に注目が集まっています。本記事では、SSOの仕組みとその仕組みを実現する認証方式とともに、SSOのメリットや導入が加速している技術的理由を解説します。
近年、SSO(シングルサインオン:Single Sign-On)に注目が集まっています。その背景には、クラウド活用の増加やテレワークの普及があると考えられます。では、なぜ企業でSSO導入が進んでいるのでしょうか。また、SSOにはどのようなメリットがあるのでしょうか。今回は、SSOの仕組みやメリットなどの基礎知識を解説するとともに、SSOを取り巻く最新事情を紹介します。
SSOとは?
SSO(シングルサインオン:Single Sign-On)とは、1度のユーザー認証で複数のシステムが利用可能になる仕組みのことです。一つのID/パスワードで、認可されたさまざまなアプリケーションやサービスにログインできるようになり、ユーザーの利便性が向上します。また、正しい権限を持ったユーザーであると認められない限り、アプリケーションやサービスにはアクセスできないため、セキュリティも強化されます。
SSOが広まっている背景には、「クラウド活用の増加」と「テレワークの普及」があります。クラウドサービスは、インターネット技術の発展やビジネススタイルの変化、さらにクラウドサービスそのものの品質が向上していることにより、急速に普及が進んでいます。そのなかで、従業員がいくつものクラウドサービスを業務で使っているケースも少なくありません。しかし、利用する度に、サービスごとにID/パスワードを入力するのでは業務に支障をきたしてしまいます。そこでSSOが求められているというわけです。利便性向上というよりも、もはや必要不可欠になりつつあると言えます。
また、テレワークの普及によって、企業の情報システム部門にとっては従業員の執務状態が把握しにくい状態になりました。最近は、誰も信用せず厳格なユーザー認証を行う考え方を示す「ゼロトラスト・セキュリティ」の必要性が高まっています。ゼロトラスト・セキュリティ実現の一要素としてIAM(Identity and Access Management)と呼ばれるアイデンティティ管理があり、その一環としてSSOを導入する企業も増えています。
おすすめ記事:セキュリティの現状を知る - 果たして“性悪説(ゼロトラスト)”は正解なのか?
SSOの仕組み
SSOは、1980年代に社内ネットワーク内での認証を行うために開発されました。現在では、SSOを実現する仕組みとして、リバースプロキシ方式、エージェント方式、クライアントエージェント方式、透過型方式、フェデレーション方式の5つの認証方式があります。以下、それぞれの仕組みとメリット・デメリットを解説します。
1. リバースプロキシ方式
アプリケーションやクラウドサービスと、ユーザーとの間に、「リバースプロキシサーバー」を配置する方式です。そこにはID/パスワード、アクセス権限などの情報管理を担う認証サーバーが存在し、ユーザーから認証リクエストを受けると、リバースプロキシサーバーは、認証サーバーに対してユーザーのアクセス可否を問い合わせます。アクセス可能であればリバースプロキシサーバーがアプリケーションやサービスへのアクセスを中継します。この方式は、アプリケーションやサービスに改修を加えずに実現できるのがメリットです。しかし、すべてのリクエストがリバースプロキシサーバーに集中するため、ネットワーク上、ボトルネックになるリスクがあります。
2. エージェント方式
アプリケーションやクラウドサービスにエージェントアプリケーションをインストールする方式です。ユーザーから認証リクエストを受けると、エージェントが認証サーバーと連携して認証処理を行います。メリットはリバースプロキシ方式と違って、ユーザーのアクセスを分散できることです。しかし、対象となるすべてのアプリケーションやクラウドサービスにエージェントを導入しなければならず、改修が必要となります。さらに、アプリケーションやクラウドサービスのアップデートに伴って、エージェントもアップデートし続ける運用負荷が伴います。
3. クライアントエージェント方式
ユーザーの端末にエージェントをインストールする方式です。エージェントがアプリケーションやクラウドサービスのログイン画面を検知、登録済みのID/パスワードを自動的に入力します。アプリケーションやサービスの改修は不要ですが、エージェントが必要であるため、実現可能かどうかはユーザーの端末環境に大きく依存します。また、ユーザーがエージェントに直接アクセスできるため問題が起きるリスクがあり、問い合わせ対応に負荷がかかる傾向があります。
4. 透過型方式
ユーザーとアプリケーションやサービスの間に、通信を監視するサーバーを設置する方式です。ユーザーが認証をリクエストしたときに、認証サーバーに可否を問い合わせ、許可してよければ認証情報を送信します。ネットワーク構成を変更する必要はありません。エージェントは不要で、アプリケーション、クラウドサービスの改修も必要なく、端末も幅広い選択肢を持つことができます。ただし、透過型認証に対応したSSO製品が必要になります。
5. フェデレーション方式
クラウドサービスにより実現されている方式です。ユーザー、認証サーバー、クラウド間でデータをやりとりする点に大きな特徴があります。具体的なやりとりの流れは、図1の通りです。
ユーザーは認証サーバーに対して、ID/パスワードを入力します。
認証サーバーは処理を行い、問題がなければユーザーに対してクラウドサービスの選択肢とともに、認証結果データを送信します。
ユーザーは利用したいクラウドサービスを選択し、そのクラウドサービスに対して認証結果データを送信します。
クラウドサービスはユーザーのログインを許可します。
(ユーザーがまずクラウドサービスへアクセスし、クラウドサービスがユーザーを認証サーバーへリダイレクトするパターンもあります。以降の流れは同じです。)
この方式では、ID/パスワードがやりとりされるのは最初の1回のみであるため、セキュリティ面でも優れています。ただし、認証サーバーにアクセスが集中するため、負荷がかかる可能性があります。最近は認証サーバーもクラウドサービスで提供されるようになっており、企業がそのパフォーマンス維持を気にかけるケースは減少しています。
SSOのメリットとは?
SSOの導入には、ユーザー、情報システム部門、経営者のそれぞれにメリットがあります。
ユーザーのメリット
ID/パスワードの入力が最初の1回のみになるため、業務効率を向上できます。パスワードを入力する手間を省略し、複数のパスワードを管理する煩わしさからも解放されるので、ユーザーは本来の業務に集中することができます。また、パスワードを忘れてしまった場合、アプリケーションやサービスごとにパスワードを再発行する必要もありません。
情報システム部門のメリット
パスワードの“使いまわし”をはじめとした、さまざまなセキュリティリスクを軽減できます。ユーザーは認証サーバーを経由しなければ、アプリケーションやクラウドサービスへのアクセスができなくなります。これは入り口が1カ所になるということです。情報システム部門としてはこの1カ所の守りに注力すればいいので、セキュリティ対策がしやすくなります。
経営者のメリット
ユーザーの業務効率が向上するということは、生産性向上につながります。また、これまでアプリケーションやクラウドサービスごとに講じてきたセキュリティ対策が、SSOにより一元化できるようになるため、IT投資も最適化できます。さらに、対策を講じることで、セキュリティ意識の高い企業イメージを打ち出せます。
SSOテクノロジーの現在地
SSO導入は、前述のフェデレーション方式の普及によって大きく後押しされています。クラウドサービスに対して一括でSSOを可能にするフェデレーション方式のテクノロジーが登場し、対応するクラウドサービスも増えている状況です(厳密にいえば、Windowsネットワークの認証基盤であるMicrosoft Active Directoryもフェデレーション方式であり、Windowsユーザーの間では活用されていました)。ドキュサインもフェデレーション方式を採用しており、SAML2.0に対応した認証サーバーと連携可能です。具体的には、Okta、Azure AD、OneLogin、Akamai、VMware Workspace ONE、国内ベンダーではHENNGEなどがあります。
SSOは、ユーザーの業務効率の向上とセキュリティ強化を両立するとともに、企業の付加価値を高めるのにも適したソリューションです。今後のアプリケーション開発やクラウドサービス選びでは、SSOを実現可能かどうかという観点でも検討するとよいでしょう。
おすすめ記事:毎日使うSaaSをSSOでまとめて管理して、利便性+セキュリティを一気に解決!
参考:
「Software Design」2021年10月号 (技術評論社)
「ITの常識が変わる! 成長する企業はなぜSSOを導入するのか」(日本ヒューレット・パッカード株式会社、日本BP)
