シングルサインオン（SSO）とは？仕組みや認証方法を解説

シングルサインオン（SSO：Single Sign On）とは、一度の認証で連携している複数のシステム・サービスへ認証不要でログインできる機能のことです。これにより、サービスごとにID・パスワードを入力する手間が省けます。

利用するサービスが増えれば、ログイン時に入力するID・パスワードも増えてしまい覚えるパスワードや入力する手間がその分増えることになりますが、シングルサインオンを利用すれば1回のログインで連携する複数のサービスを利用できるため、負担を軽減することができます。

さらに、シングルサインオンは、利用者の負担を削減するだけではなく、管理者の負担も軽減します。
利用者からのパスワードを忘れの問い合わせ対応や各サービスへのアカウント追加、削除などの対応も少なくなり、その分他の業務に時間をとることが可能になります。

SSOが必要とされる背景

近年、インターネットの普及によりクラウドサービスの利用も増えてきています。その一方で、利用サービスの増加によるログインの手間が発生し、業務効率の低下を引き起こしています。

また、パスワードが増えることで、使い回しやメモに書くなどによる情報漏洩リスクが高まっていることや、従業員のアカウント管理業務増加により、管理部門への負担が増えているのが現状です。これらの課題を解決するためにもシングルサインオンの必要性が高まっています。

SSOを実現する５つの認証方式

1度のログインで複数サービスにアクセスできるシングルサインオンですが、その仕組みとなる代表的な5つの認証方式をご紹介します。連携したいシステム、サービスによって、どの認証方式が利用できるかが異なりますので、ぜひ参考にしてみてください。
なお、SSOを提供するソリューション、サービス側も、必ずしもすべての認証方法を備えている訳ではありませんので、検討の際にはご注意ください。

1. フォームベース方式（代理認証）

専用の代理サーバーを設置することで、ログイン画面にてユーザーの代わりに認証を行います。つまり、代理サーバーが自動的にID・パスワードを送信してくれるため、ユーザーが自ら入力する必要はありません。

ログインしたいアプリやサービス側の変更は不要なため、導入しやすい特徴があります。また、最新のシングルサインオンに対応していないレガシーシステムにも導入が可能です。そのため、クラウドサービスや古いWebシステムを利用している企業におすすめといえるでしょう。

また、単体ではなく「エージェント方式」や「リバースプロキシ方式」と組み合わせて使用されることも多くあります。

2. フェデレーション方式（SAML認証）

近年のSaaSサービスでは実装されていることが多い方式です。
この方式は、ユーザーとSP、IdPの三者でやり取りが行われます。

• SP（Service P）：認証情報を要求する側、つまりログイン連携したいクラウドサービス・アプリ側のこと。
• IdP（Identity Provider）：認証情報を提供する側、つまりユーザーが認証済みであることをSPへ伝える側のこと。

ユーザーがIdPへログインすると、IdPからSPへ認証済みの情報が送られます。この伝達により、ユーザーはSPにID・パスワードを入力せずアクセスが可能です。そして、この方式に利用される主なマークアップ言語がSAMLです。

3. リバースプロキシ方式

ユーザーがインターネット経由でアクセスの要求を送信すると、まず仲介役であるリバースプロキシがそれを受け取ります。その後、リバースプロキシからアクセス先のWebサーバーへ要求を送信し、コンテンツの返送を受け取ります。そして、リバースプロキシが受け取ったコンテンツをサーバーへ送信するという仕組みです。

この方式はセキュリティ強化だけではなく、爆発的なアクセスによるWebサーバーの負荷を分散するためにも利用されています。

4. エージェント方式

ユーザーの端末側にエージェントと呼ばれるアプリケーションを導入する方法です。エージェント内にID・パスワードを事前に登録しておくことで、エージェントに1度ログインするだけで、登録してあるアプリやサービスを利用することができます。

ネットワークの設計を変更せず構築が可能で、拡張性が高いという特徴があります。また、ユーザーの利用記録が特定しやすいため、従業員の規模が大きい企業にもおすすめです。

5. 透過型方式

認証サーバーとアプリやサービスの間に監視サーバーを設置して、ユーザーがアクセスするときに認証が必要なときだけ認証情報を送信する仕組みです。アクセス経路に依存しない方式のため、オンプレミス、ブラウザ、端末、クラウド問わず利用できます。

また、エージェントのインストールが不要なため既存のネットワークへの設置も簡単に行うことができるので、Webシステムへの負担が少ないという特徴もあります。

以上が、代表的な認証方式となります。

シングルサインオンを導入することによる４つのメリット

複数のアプリケーションやサービスを利用するにあたって、シングルサインオンの導入は様々なメリットをもたらします。ここでは4つのメリットについて紹介します。

1. ユーザーの利便性向上

利用するアプリやサービスが増えれば、その分管理するID・パスワードも増えてしまいます。サービス個別にパスワードポリシーの要件を満たす難解なパスワードを設定しても、忘れてしまいアカウントがロックされてしまうといったことも多く見受けられます。また、そのような手間を避けるためにパスワードを使い回したり、簡略化したりすれば情報漏洩のリスクを高めることに繋がります。

シングルサインオンを導入すれば、利用者は1つのパスワードだけ覚え、1度のログインで連携サービスを利用できるため利便性が向上します。
1人が1日にログインするのは数回かもしれませんが、企業の全員がログインする回数となると膨大となる企業も多いでしょう。
さらに、利用頻度の少ないシステムのログインのために、メモを探し出したりパスワード忘れの対応をする手間を考えるとシングルサインオンを利用することで負担は軽くなります。

2. パスワード漏洩リスクの低下

先述したような同じパスワードの使い回しや簡略化は情報漏洩のリスクとなります。また、付箋にメモとしてPCに貼っておくなど、誰かに見られるリスクを考慮しない行為は非常に危険です。
外部にパスワードが漏れてしまうと、不正アクセスのリスクも発生します。シングルサインオンでは複数の異なるID・パスワードを覚えておく必要がないため、このようなリスクを事前に防ぐことが可能です。

3. 管理者の負荷軽減

管理者にとってパスワード忘れの問い合わせ対応や、何度も入力ミスすることによっておこるアカウントロックの解除・リセット対応などの負担は軽視できません。
昨今ではIT人材の不足により情報システム部門においても人手が不足している企業も多く、なかなか時間を割けないことも多いかと思います。

シングルサインオンの利用でパスワード忘れの問い合わせが減ればその分他の作業に時間を充てることができます。

4. セキュリティの強化

1度のログインで複数のアプリやサービスにアクセスでき、便利になる一方で安易なパスワードを設定していると不正アクセスなどのリスクが懸念されます。
そこで、ログインの認証に多要素認証を利用することで各段にセキュリティを強化することができます。

テレワークなど外部からクラウドサービスを利用する際にも、IDとパスワードだけで利用できる環境よりも、各段にリスクが軽減できます。

シングルサインオンを導入することによる３つのデメリット

セキュリティ対策や、利便性の向上に欠かせないシングルサインオンですが、デメリットも存在します。ここでは3つのデメリットについて紹介します。しっかり把握して対策の準備ができるようにしておきましょう。

1. システムへの依存

認証システムに障害が起こり停止してしまえば、連携しているサービス全体にログインできなくなるため、業務が滞ってしまう可能性があります。このような事態を避けるためにも、未然に防ぐための対策方法や復旧作業の事前計画などを立てておくと良いでしょう。

2. 情報漏洩時の被害拡大

万が一、不正アクセスされてしまうと認証連携している各サービスへも不正アクセスされてしまう可能性があります。つまり一度不正アクセスが起きてしまうと、被害が拡大しやすいのです。

対策方法としては、ログイン時に、生体認証やデバイス認証などを組み合わせた多要素認証を組み込むことをおすすめします。
昨今では、PCに備え付けのカメラで顔認証を利用できたり、スマートフォンでFace ID、Tiuch IDなどを利用したりと生体認証も身近な存在となってきました。
SSOを実現するサービスでは認証を強化する機能を備えていることが多いため、そのような対応をすることが多くみられます。

SSOで各サービスへの入口（ログイン）を１つにまとめ、その入口の認証を強化することでデメリットを解消することができます。

3. 連携範囲が限定される

連携したいサービスがシングルサインオンに対応していなければ連携は不可能です。連携できるサービス、できないサービスとわかれてしまうことは管理を複雑にする可能性があります。

シングルサインオンを導入する際は、事前に利用しているサービスがSSO連携を実現する連携方式に対応しているか確認を行いましょう。

多くのサービスがSSOの機能を備えており、自社にあったサービスを選ぶのは一苦労です。ここでは、SSOを導入する際の比較・選定ポイントについて紹介します。

1. 連携するサービスとの親和性

社内で利用しているサービスや、オンプレミスのシステムのうち、SSO連携したいものは、必ず事前に実現の可否を確認することをお勧めします。
SSOサービスを提供しているベンダーに、連携したい製品名を挙げて問い合わせすることで、どのような方法で連携しているか、していないか　など回答をもらうことができます。

オンプレミスのシステムについては、SSO連携の実現の可否について検証を行わないと確認できない場合もありますので注意が必要です。

また、連携できるサービスの数についても限りがあるサービスもあるので、今後の拡張性も含め余裕があるか確認しておくとよいでしょう。

加えて、プロビジョニング連携を利用してアカウントにかかわる作業を自動化したい場合には、機能が備わっていることも忘れずに確認する必要があります。 

2. 拡張性

SSO機能だけを利用するのか、将来的には組織情報なども含めIDを一元化したいのかでも選定するサービスは異なります。
人事情報とSSOサービスを連携し、自動で連携サービスへのアカウント作成や変更などが行える環境になると、ID管理者にとって作業の負担が軽くなることは間違いないでしょう。
また、人的ミスによる不要なIDが残ってしまう　といったリスクも軽減できます。

とはいえ、どのように管理すれば効率的にIDの管理できるか分からない場合には、サービス提供ベンダーに相談することで将来像が見えてくることもあると思います。
今だけではなく、今後も見据えて導入できるかを確認することをお勧めします。

3. 認証の種類

セキュリティの強化を理由にSSOを導入する場合には、アクセスセキュリティを強化する多要素認証の機能は不可欠です。
認証方式や組み合わせによって、安全性や利便性のレベルやバランスがそれぞれ異なりますので、柔軟に対応できると安心です。 

リモートワークが多い職種ではクライアント証明書認証、窓口業務においては顔認証などを利用することでセキュリティを強化しつつ、利便性を損なうこともありません。

4. ユーザーや管理者の操作性

ユーザーからの視点と管理者の操作性も大切なポイントになります。操作デモや検証環境が利用できる場合には設定方法が分かりやすいか確認することをお勧めします。

5. サポート体制

導入前から導入後までのサポート体制を確認することも重要です。問い合わせ方法や対応可能時間・対応言語など、事前に把握しておきましょう。
導入や運用がスムーズに行われるかはサポートの体制にかかる部分も多いため、とても大切なポイントになります。

6. コスト

費用も大事な選定のポイントになります。必要な機能を備えつつ、納得のいく料金体系であるか確認をすることをお勧めします。
利用しない機能を多く備えたパッケージなどを導入してしまい、費用がかさむことがないようにしましょう。
また、今後利用しそうな機能も踏まえて金額を確認しておいた方が無難です。

ここまでで、SSOについての概要やメリットデメリットをご案内してきましたが、SSOを使う際に、さらに管理負荷を軽減できる「プロビジョニング」について最後に紹介をします。

プロビジョニング（provisioning）とは、広義では、サーバやサーバのリソース等を使えるように準備するという意味で利用されますが、ID管理の文脈では、「対象サービスでアカウントを準備し、ユーザが利用できるようにする」といった意図になります。

IDaaSを利用することで、SSOだけではなく、プロビジョニングの活用も可能になります。
※すべてのクラウドサービスがプロビジョニング可能ではありませんのでご注意ください。

プロビジョニングの機能が有効になると、IDaaS が持つ情報を使って、対象のサービスにアカウントを作成し、利用できる状態にすることができます。

例えば、新入社員が入社した際、クラウドサービスA　クラウドサービスB を利用させる場合を考えます。

• IDaaSを利用しない場合

クラウドA、クラウドB　それぞれにアカウントを作成する

• IDaaSを導入し、クラウドサービスA　クラウドサービスB をプロビジョニング連携している場合

IDaaSで新入社員のアカウントを作成。クラウドサービスA　Bに、新入社員の利用を「許可」すると、自動的に2つのサービスにアカウントが作成され、利用可能な状態になります。

上記の例では、連携システムが2つですが、これがもっと多くのサービスを連携している場合でも、「許可」ではなく「更新」や「利用中止」の場合でも同様に自動で更新されます。

プロビジョニングがサポートされていると、IDaaS上の情報のみを適切に管理することで、連携するサービス上のアカウントを管理することができます。
これにより、退職者のアカウントがシステムに残っていた　などといったリスクを低減することができます。

最近では、このような効率化も念頭においた機能が求められるようになってきています。

シングルサインオンはID・パスワードを一元管理して、セキュリティ強化を図るための仕組みです。ユーザーは複数のID・パスワードを覚えておく必要がなくなるため、利便性や業務の効率アップにも繋がります。

とはいえ、不正アクセスのリスクが0になるわけではありません。企業の働き方や状況に応じ生体認証やデバイス認証などを組み合わせた多要素認証を採用するなど、他の技術と合わせて導入することでよりセキュリティ強度の高いシステム導入を目指すことが必要でしょう。