クラウドサービスの活用が進む中、何種類ものサービスを併用している企業も多いことでしょう。しかし、利用するサービスが多ければ多いほど、ログイン操作やパスワード管理の負担も増えていきます。そこで本記事では、こうしたアクセス認証の負担を激減させるソリューション、「シングルサインオン」についてわかりやすく解説します。
シングルサインオン(SSO)とは
シングルサインオンとは、ログイン操作を1度するだけで、複数のITサービスのログイン操作を省略可能にする仕組みです。“SSO”という略称が使われる場合もあります。通常、ユーザーは利用するサービスごとにその都度IDやパスワード等を入力してログイン操作をしなければなりません。例えば、Googleが提供するGmailなどを利用する場面では、ログインするたびにメールアドレスやパスワードの入力が欠かせません。しかしシングルサインオンを活用すれば、こうしたログインプロセスを簡素化し、ワークフローを合理化することが可能です。
シングルサインオンには主に「エージェント方式」「代理認証方式」「リバースプロキシ方式」「フェデレーション方式」などの仕組みがあります。この中でも現在主流になっているのはフェデレーション方式で、ここにはSAMLという技術が使われています。
SAMLとは”Security Assertion Markup Language”の略で、異なるドメイン間・Webサービス間でシングルサインオンを可能にする技術です。クラウドサービスを利用する企業が増えている現在、フェデレーション方式(SAML)の採用が広がっているのは当然の流れと言えるでしょう。例えば、Microsoft社のOffice 365もフェデレーション方式に対応しています。
シングルサインオンを使用するメリット
続いては、シングルサインオンを活用することで得られるメリットをより具体的に掘り下げていきます。
利便性が向上する
シングルサインオンのメリットその1は、ユーザーの利便性向上です。先述したように、基本的にユーザーはサービスの利用時にその都度ログイン操作することが必要です。この手間は当然、利用するサービスが多くなるほど大きくなり、パスワード管理も煩雑になっていきます。
もしかしたら、いくつもの複雑なパスワードを覚えきれず、ログインするたびにパスワードを書いたメモを取り出している人もいるのではないでしょうか。この点、シングルサインオンを活用すれば、ログインする手間やシステムごとにパスワードを管理する手間を省き、快適に業務を行えます。
パスワード漏洩のリスクが減少する
シングルサインオンのメリットその2は、パスワード漏洩のリスクが減ることです。複数のサービスを利用していると、いくつものパスワードを覚えきれずに、パスワードを使いまわしたり、デスクにパスワードを書いたメモを貼ったりと、パスワード管理が不適切になりがちです。
こうしたパスワード管理の仕方がセキュリティの穴になりえるのは言うまでもありません。しかし、シングルサインオンを活用すれば、普段利用するパスワードは一種類だけで済むので、こうしたリスクを減らせます。
シングルサインオンを使用するデメリット
上記のようなメリットがある一方で、シングルサインオンにはデメリットも存在します。シングルサインオンを導入・運用する上では、以下の点に注意しなければなりません。
パスワード漏洩時に被害が大きくなる
シングルサインオンのデメリットその1は、パスワード漏洩時の被害リスクが大きくなることです。シングルサインオンは一つのパスワードで多くのシステムにログインできる仕組みなので、このシングルサインオン自体のパスワードが漏洩してしまえば、そこに連動している全てのサービスのパスワードが漏洩したのと同様のことになってしまい、大きな被害が懸念されます。
システム停止時にログインができない
シングルサインオンのデメリットその2は、もしシングルサインオンがシステム停止してしまった場合、シングルサインオンに紐づけられている一切のサービスにログインできなくなってしまうことです。これによって業務を開始できず、事業に大きな悪影響が出る可能性があります。
セキュリティと利便性を両立するには
上記のように、シングルサインオンはユーザーの利便性を大きく向上させる一方で、万一の際のセキュリティリスクの大きさが懸念されます。そのため、シングルサインオンを導入する際には、セキュリティと利便性を両方とも高いレベルで確保することが求められます。以下では、これを可能にするためのポイントを解説します。
二段階認証を利用する
シングルサインオンのセキュリティレベルを向上するには、二段階認証を利用するのがおすすめです。二段階認証とは、パスワード入力などの通常の認証手続きとは別に、メールやSMSなどを利用して本人確認を二重に行う認証方法です。多要素認証と呼ぶ場合もあります。これによって、万一パスワード情報が流出したとしても、ログイン時にはもう一つ別の認証情報が必要となるため、不正ログインのリスクを減らすことが可能です。ただし、二段階認証にはログインの手間が増えるというデメリットもあります。
生体認証を利用する
生体認証の活用もセキュリティの向上に大きく資する対策です。生体認証とは、指紋や顔などの本人固有の身体情報を認証用の鍵にする仕組みです。パスワード入力と違い、生体認証は対応機器さえあれば容易に行えるため、ユーザー側の負担が小さいというメリットもあります。先の二段階認証において、パスワード入力と並行して生体認証を活用するのもおすすめです。スマートフォンに送られるSMSなどを利用した所有認証だと、スマートフォンをその都度取り出す手間があったり、スマートフォンを置き忘れたり充電が切れたりしていた場合に、利用できない恐れがあります。しかし生体認証ならばそうした手間もリスクも排除し、利便性を保った上で二段階認証を活用できます。
不審なサインオンを検知する機能を搭載したサービスを利用する
万一の際の対策として、不審なサインオンをシステムが検知した際に、セキュリティ警告などをしてくれるサービスを利用するのも有効です。例えば、それまで利用されたことのないIPアドレスからのサインオンが行われたなど、ログイン情報に異常があった場合、ログイン情報が流出した恐れがあるとしてメールなどで通知してくれるサービスです。このような通知サービスを利用すれば、万が一不正アクセスがされた際も早期発見しやすくなり、被害の拡大を抑えられます。
セキュアなシングルサインオンサービス Azure ADをご紹介
上記のような対策を踏まえることで、利便性とセキュリティを兼ね備えたシングルサインオンが可能になります。そして、これを実現する具体的なシングルサインオンサービスとしてここでおすすめしたいのが、Microsoftが提供する「Azure AD」です。
Microsoftのシングルサインオンサービスと言えば、オンプレミス版の「Active Directory」を連想する人が多いかもしれませんが、わかりやすく言えばAzure ADとはこれのクラウド版です。Active Directoryはオンプレミスの自社サービス間にしか対応していませんでしたが、Azure ADはクラウドサービス(Webサービス)間のシングルサインオンにも対応しています。
また、前項で紹介したセキュリティ対策にも対応している上、部署や役職ごとのアクセス管理もできるので、ガバナンスを効かせた情報管理が実現可能です。Azure AD自体もクラウドサービスなので、導入が簡単にできるのも魅力の一つと言えるでしょう。Azure ADを導入すれば、まさに利便性とセキュリティを両立したシングルサインオン環境を実装できます。
まとめ
シングルサインオンとは、複数のITサービスのログイン認証をひとつのID・パスワードで一括処理できる仕組みです。シングルサインオンには利便性とセキュリティの両立が求められますが、この点Microsoftの「Azure AD」はまさにこの要件を満たしたおすすめのソリューションです。