my 楽天モバイル Office シングルサインオン(SSO)とは?求められる理由とゼロトラストとの関係を解説
いま多くの法人で、「シングルサインオン(SSO)」への対応が求められています。高度情報化社会を迎えた現代では、認証を一つにまとめるSSOの導入により、利便性の改善と安全性の向上を両立させることが可能です。加えて、いま話題の「ゼロトラスト」に対応しやすくなることもメリットの一つです。
この記事では、SSOについて詳しく解説します。求められる理由、導入の方法やポイントに加えて、ゼロトラストとの関係を確認していきましょう。
シングルサインオン(SSO)とは?
SSOとは一度のログイン操作により、複数のシステムやサービスに対してアクセスを行う認証の仕組みです。GoogleアカウントでGmailやGoogleドライブなど、Googleに関するサービスをシームレスに扱えることは代表的な例に挙げられます。
SSOはクラウドサービスのみならず、オンプレミスでも実現できます。業務システムやサービスごとにログイン操作を行う手間を省けるため、スムーズにシステムを扱えるとともに、ユーザー管理の負担を軽減できます。
SSOの主な認証方式
SSOには、さまざまな認証方式が用いられています。代表的な認証方式を、以下の表でご確認ください。
| 認証方式 | 概要 |
|---|---|
| エージェント方式 | Webアプリケーションサーバーに対して、認証を代行する「エージェントソフト」をセットアップする。認証済みのユーザーに対してCookieを発行し、他システムにアクセスした際にCookieがあれば認証済みとする。 |
| SAML認証方式 (フェデレーション方式) | 認証にユーザー情報を記述した「SAMLアサーション」を用いる仕組み。クラウドサービスにアクセスすると、IdP(アイデンティティプロバイダ)とユーザーの間で認証を行う。認証後に送信される「SAMLアサーション」を用いて、クラウドサービスを利用する。 |
| ケルベロス方式 | 認証に成功したユーザーに対してチケットが発行される。サーバーはチケットをもとにして、ユーザーのアクセスを許可する。Windowsとの親和性が高い一方で、クラウドサービスの利用には不向き。 |
| 代理認証方式 (フォームベース認証方式) | 各ユーザーのパソコンに、エージェントソフトやブラウザ拡張機能をインストールする。エージェントソフト等は、ユーザーの代わりにログイン情報を入力する。ID・パスワードによるログインのみ行えるシステムの場合でも、SSOを実現できる。 |
| 透過型方式 | Webシステムと端末の間にSSO製品を導入し、認証が必要なタイミングで認証情報をWebシステムに送信する。ネットワーク構成の変更やエージェントソフト等の導入が不要。オンプレミスにも対応できる。 |
| リバースプロキシ方式 | システムにアクセスする際に、必ずリバースプロキシサーバーを経由する。古いシステムが残る法人でも利用可能。数万人レベルの使用には不向き。 |
SSOとID・パスワード認証との相違点を解説
SSOは、なぜ求められるのでしょうか?長らく使われているID・パスワード認証との相違点を含めて解説します。
システムやサービスごとに異なるID・パスワードを覚えずに済む
ID・パスワード認証では、システムやサービスごとに異なるIDやパスワードを覚えなければなりません。その数は、10以上にのぼることもあります。その結果、以下の不都合な事態を招くおそれがあります。
- 異なるサービスやアプリケーションにアクセスするつどログイン操作を要し、業務効率が下がる
- IDやパスワードを頻繁に忘れ、ログインができず業務が滞る
- 複数のシステムやサービスで同じID、同じパスワードを使いまわし、セキュリティリスクが上がる
SSOを導入した場合、ユーザーは一組のIDとパスワードを管理することで業務を遂行できます。ユーザーにとって「覚えやすく忘れにくいパスワード」も設定しやすいでしょう。多くのIDとパスワードを覚える手間から解放されることは、SSOが選ばれる代表的な理由です。
悪意ある者にIDやパスワードを盗み取られにくい
ネットワークを介した通信では途中で悪意ある者が盗聴し、データを盗み出すケースもあります。もちろん暗号化などの技術を活用して、情報を盗まれても悪用させない工夫は行われています。しかしネットワーク上でIDやパスワードをやり取りする回数を減らせると、データ流出のリスクも低減できます。
SSOなら、認証ははじめの1回だけで済みます。ID・パスワード認証のように、ログインのたびにIDやパスワードがやり取りされることはありません。IDやパスワードを盗み取られる機会を減らせることも、SSOが選ばれる理由に挙げられます。
管理の手間を減らしながら適切な認証を行える
SSOは、IT管理者の負担も軽減できます。IDとパスワードを管理する手間は、認証に使うシステムの分だけで済むことが理由です。例えば新入社員が入る際に、発行すべきアカウントは1種類で済みます。管理すべきアカウント数の減少は、IT管理者の業務効率化に直結します。
一方でSSOはID・パスワード認証と同等、またはそれ以上のセキュリティを確保できます。管理の手間を減らしながら適切な認証を実現できることも、選ばれる理由です。
SSOはゼロトラストへの適切な対応を後押しする
SSOは、すべてを信頼せず必ず認証する「ゼロトラスト」への適切な対応も後押しします。その理由を、4つに分けて解説します。
クラウドサービスやテレワークとの相性が良い
クラウドで提供されるSSOのサービスは、社内・社外を問わず、さまざまなシステムに対応します。業務で使うクラウドサービスやオンプレミスで運用中のシステムでの多様な働き方とゼロトラストの相性が良くなっています。
社内・社外のユーザー認証を一本化することで、ログインや管理の負担を減らし、ゼロトラストセキュリティの採用もしやすくなり、セキュリティを強化できます。
セキュリティの高い認証方法と組み合わせて使える
SSOは、セキュリティを高める認証方法と組み合わせて使えます。一例として、多要素認証が挙げられます。ID・パスワードによる認証に加えて生体認証などを組み合わせることで、悪意ある者の侵入を防ぐことが可能です。
近年では認証方法として「パスキー」を採用するサービスも増えています。パスキーはその仕組み上、通信回線にIDやパスワードが送信されません。サーバーから送信された認証用データに、端末側の秘密鍵で署名を行い、認証確認用データを作成し返送します。サーバーが認証確認用データをチェックすることで認証を行うため、セキュリティを高めることが可能です。
セキュリティを高める施策を講じやすい
SSOの導入後は認証を一カ所に集約できるため、セキュリティを高める施策を集中的に施し、効果を高めることができます。以下はその一例です。
- ユーザーのアクセス権を設定
- IPアドレスの制限(登録されていないIPアドレスからのアクセスを制限する)
- セキュリティツールの導入
利用者の手間が増えないため受け入れられやすい
セキュリティ強化の施策は、利用者に対して操作数の増加など、新たな負担を強いがちです。しかしSSOの場合は、「サービスやシステムごとにいちいちログインする手間が省ける」といった、利便性の向上を伴います。このため、多くの利用者に受け入れられやすいでしょう。SSOへの移行やセキュリティの遵守に対して協力を得やすいことも、メリットに挙げられます。
楽天モバイルのゼロトラストセキュリティでさらに安心
SSOはゼロトラストの実現を後押ししますが、実際の運用には包括的なセキュリティ対策が欠かせません。
楽天モバイルでは、ゼロトラストの考え方に基づいた「ゼロトラストセキュリティ」を提供しています。アクセス制御・認証強化・可視化を一体で実現し、多様な働き方やクラウド活用を支える仕組みを整えています。詳細は「ゼロトラストセキュリティとは?求められる背景や導入のポイントなどを解説」をぜひご参照ください。
ゼロトラストで安心・安全なセキュリティ環境へ
ワンストップで快適で安全なネットアクセスを実現し、セキュリティ関連業務の一元管理によって企業のセキュリティレベルを向上。大幅なコスト削減にも繋がる「ゼロトラストセキュリティ」の導入を楽天モバイルがサポートします。
SSOの実現を支えるサービス
SSOの実現を支えるサービスは、いくつかあります。代表的なサービスを、以下の表でご確認ください。
| サービス名 | SSOとの関係 |
|---|---|
| IDaaS | ユーザーを認証する項目(ID、パスワードなど)を、インターネット経由で一元管理する仕組み。 |
| LDAP | ユーザー名やコンピュータ名など、ネットワーク内の情報を管理する「ディレクトリサービス」へアクセスするプロトコル。情報はツリー構造で管理されている。SSOを実現する手段としても使われる。 |
| SAML | ログインのつどIDとパスワードを使う代わりに、ユーザー情報(IDや属性など)を記述した「SAMLアサーション」を使う。認証はユーザーとIdP(IDプロバイダー)の間で行う。 |
SSOの導入方法
SSOの導入は、5つの手順を踏んで行う必要があります。各ステップで押さえておくべきポイントを解説します。
①現状の把握
SSOの適切な導入は、現状の正しい把握から始まります。以下の項目をチェックしましょう。
- 業務で使用中のシステム
- システムごとのログイン方法
- アクセス権限の付与状況
調査の対象は、社内で活用するすべてのシステムです。従業員や部門が独自に活用するシステムも調査に含めることで、セキュリティの抜け・漏れやトラブルを防止できます。
②SSOの対象とする範囲を決定
現状をもとに以下に挙げる項目も考慮して、SSOの対象とする範囲を決定します。
- 費用
- 実現までの期間
- 業務への影響範囲
はじめは少数のシステムでSSOを実施し、段階的に対象のシステムを広げる方法もおすすめです。トラブルが起きても範囲を限定できるため、影響を抑えられることが理由です。
③SSOの設計
SSOの範囲を決めた後は以下の項目に注意して、システムの選定やSSOの設計を行いましょう。
- 採用するSSOの方式
- IDaaS環境の構築方法
- アクセス制御の方法
- 認証の方法(多要素認証の採用など)
- ログのチェックやインシデントを上げる方法
- 既存の社内システムとの連携方法
社内のセキュリティポリシーも考慮のうえ、設計を進めましょう。
④SSOの実装
設計したSSOを、実機でセットアップする工程です。運用開始前にはテストを行い、意図通り動作するかチェックしましょう。
⑤運用開始後の評価や改善
事前のテストを十分に実施した場合でも、実運用を開始すると何らかの不具合や課題は出てくるものです。運用に支障をきたす不具合には、迅速に対応しなければなりません。
運用開始後はタイミングをみて、導入による評価を行いましょう。課題があれば、改善に取り組む必要があります。
SSOを業務で生かすポイントと注意点
SSOを業務で生かすためには、コスト以外に押さえておきたい3つのポイントがあります。それぞれの内容を確認して、使いやすいシステムと強固なセキュリティの両立を実現しましょう。
運用中の業務システムに対応するサービスを選ぶ
システムやクラウドサービスのなかには、一部のSSO方式に対応しない場合があります。運用中の業務システムに対応するサービスを選びましょう。
令和の時代は、業務にスマホが用いられるケースもよくあります。SSOを選ぶ際には、スマホによるアクセスに対応するかという点もチェックしておきましょう。
セキュリティポリシーに合致するサービスを選ぶ
SSOを選ぶ際には、自社が定めたセキュリティポリシーとの整合性をチェックすることも重要です。以下の機能を搭載するサービスを選ぶとよいでしょう。
- 多要素認証
- IPアドレスや端末ごとのアクセス制御
- 操作の異常を自動で検知
もちろん、SSOサービスそのもののセキュリティが万全であることも重要です。
ユーザーや権限のメンテナンスを適切に行う
SSOではユーザーや権限のメンテナンスを行い、常に適切な状態に保つことが重要です。権限の無い者がSSOでログインできてしまうと、社内のさまざまなシステムにアクセスできてしまうためです。悪意ある者によるログインを許すと、さまざまな被害を招きかねません。入社や退社、転籍といった従業員の異動があれば、遅滞なく登録や削除、権限の変更を行うことが重要です。
SSOの採用で、利便性とセキュリティの両方を向上できる
SSOの採用により、利便性とセキュリティの向上を実現できます。利用者は個々のサービスやシステムごとにIDとパスワードを覚える負担から解放されます。一方で認証を行う箇所を一箇所にまとめ、集中して高いセキュリティ対策を施すことにより、セキュリティの向上も実現できます。システム管理の負担も軽減できるでしょう。
SSOの実現には、事前の調査とシステム導入の計画が必要です。基幹システム更新などの機会をとらえて、SSOの導入を検討してみてはいかがでしょうか。
