SSO(シングルサインオン)の仕組みと認証方式、メリットを徹底解説

多くの企業で利用が広まるクラウドサービス。複数のクラウドサービスを利用する場合には、サービスごとに異なるログインIDを管理したり、サービスを利用するたびにログインしたりする必要があります。この煩雑さを解消するのが「SSO」です。クラウドサービスに適したSSOとはどのようなものなのか。利便性を高めながら、セキュアなクラウド活用を実現する方法とはどのようなものなのか。3つの実現方式とともに詳しく解説します。

SSOを実現する、クラウド型認証サービスガイドブック ダウンロード(無料)
目次
  1. セキュリティと利便性を両立するSSOとは?
  2. 複数のID・パスワードの管理は現実的か?
  3. クラウドサービスに適したSSOの仕組み
  4. クラウドファーストのSSOはSAMLで実現

セキュリティと利便性を両立するSSOとは?

ビジネスではさまざまなシステムを利用しますが、その都度、ログイン操作が必要になるのでは、効率的に業務を遂行することはできません。また、システムごとにID・パスワードが異なることに、煩わしさを感じるユーザも多いはずです。
「SSO」は、「一度ログインを行えば、その後のログイン操作が不要になる」仕組みです。SSOを利用すれば、ユーザの利便性を向上させることができます。
また、SSOでは複数の認証を組み合わせることで高度な認証を実現することも可能です。知識情報(パスワード)に加え、生体情報(指紋など)や所持情報(ICカード)などと組み合わせて多要素認証(MFA)を行うことで、セキュリティの向上を期待できます。
このように、ユーザの利便性の向上と、セキュリティの向上を同時に実現できるSSOは、クラウドサービスを活用する際にも不可欠の機能といってもよいかもしれません。

複数のID・パスワードの管理は現実的か?

多くの企業で利用されている、クラウドサービスでのログイン方法について考えてみましょう。複数のクラウドサービスを利用する際に、サービスごとに別々のID・パスワードを設定しておくことは、ユーザに大きな負担を強いることになります。また、システム管理者へのID・パスワードの問い合わせが激増するでしょう。
更に、ルールに従わずに同じID・パスワードを使い回すユーザが現れることは想像に難くありません。万一、使いまわしているID・パスワードが漏洩した場合、それが「蟻の一穴」となって、大規模な情報漏洩につながるリスクもあります。
そこで、クラウドサービスを利用する際にも活用したいのが、クラウドサービス向けのSSOなのです。

クラウドサービスに適したSSOの仕組み

複数のクラウドサービスに対してSSOを実現する方法には、いくつかの方式があります。ここでは、代表的な方式である「エージェント方式」「リバースプロキシ方式」「SAML方式」の3つを説明していきます。

(1)端末側にアプリケーションを置く「エージェント方式」

ユーザが使用するPCに「エージェント」と呼ばれるアプリケーションをインストールして、エージェントを介して各サービスにログインする方式です。事前に登録したID・パスワードをエージェントが各サービスとやり取りして認証することで、SSOを実現します。
ユーザはエージェントに対して1度ログインすれば、後はエージェントに登録してあるすべてのサービスを利用できるのがこの方式のメリットです。ただし、この方式では、あらかじめ端末にエージェントをインストールしておく必要があります。
ワークスタイルが多様化している中で、個々の端末管理はなるべくシンプルにしたいものですが、エージェントの配布やバージョン管理に加え、新しいサービスを追加する手間や運用など、システム管理者側の負担が大きいことが、エージェント方式のデメリットといえます。

(2)代理認証サーバを立てる「リバースプロキシ方式」

端末側でなく、サーバ側でSSOを実現するのが、「リバースプロキシ方式」です。リバースプロキシを構築し、そこでID・パスワードを預かり、各サービスとやりとりして認証することでSSOを実現します。
一般的にエージェント方式よりも対応できるサービスが広く、個々の端末にエージェントをインストールするなどの手間がありません。その一方で、リバースプロキシを構築するために、SIerに依頼したり、アプライアンス製品を購入したりする必要が生じます。
更に、対応するクラウドサービスに追加や変更が生じた際は、SIerに改修を依頼しなければなりません。この方式のデメリットは対応の柔軟性が低いことや高コストになりがちな点にあるといえるでしょう。

(3)IDaaSを利用した「SAML認証方式」

クラウド間の認証連携を提供するクラウドサービスが「IDaaS(Identity as a Service)」です。
IDaaSは一般的に、クラウドの認証連携の標準規格である「SAML(Security Assertion Markup Language)」を使ってSSOを実現します。
SAMLの特長のひとつは、ログインの許可情報をやり取りする点です。代理認証方式のようにID・パスワードのやりとりが生じないので、よりセキュアに運用できます。
IDaaSは、パスワードの複雑性や世代管理などのセキュリティ要件に対応しています。また、多要素認証なども提供しているため、ユーザの利便性を維持しつつ、より強固なセキュリティを構築できます。
ひとつ注意が必要な点は、連携するクラウドサービスがSAMLのプロトコルに対応している必要があることです。大手のクラウドベンダーはSAMLに対応していますが、グループ会社専用のクラウドサービスや地域限定のクラウドサービスの場合は事前に確認する必要があります。

クラウドファーストのSSOはSAMLで実現

ここまでクラウドサービスでSSOを実現するための3つの方式を紹介してきました。今後、クラウドファーストの潮流は加速していくと予想されます。スタートアップ企業の中には必要なシステムはすべてクラウドで賄い、オンプレミスシステムを持たない企業が珍しくなくなってきました。また、既存企業でも今後、クラウドサービスの利用が進み、複数のクラウドサービスを利用するケースが増加していくでしょう。クラウドサービスをすでに利用している場合も、これから導入する場合も、クラウドサービスのSSOを検討するよいタイミングなのかもしれません。

IIJでも「IIJ IDサービス」という「SAML認証方式」でSSOを提供するクラウド型ID管理サービス(IDaaS)を提供しています。IIJ IDサービスを利用すれば、サービスごとにユーザIDが違っていても、ひとつのID・パスワードでログインすることが可能になります。

企業が利用するクラウドサービスは、今後、ますます増加していくことが予想されます。ユーザの利便性を高めるだけでなく、システム管理者の負担を減らし、さらにセキュアにクラウドサービスを利用していくためには、クラウドサービスへのSSO導入は不可欠といえるでしょう。