G Suite 導入に合わせて SSO を検討する際の忘れがちなポイント

G Suite や Office 365 などのグループウェアをはじめ、Salesforce などのクラウドサービスの利用を開始するにあたって、アクセス制御を検討されるケースは以前と変わらず多いです。最近はクラウドサービスを複数利用するケースも増えており、パスワード管理等のセキュリティ面、ユーザ利便性等の観点から、アクセス制御に加えてシングルサインオンについてもしっかりと検討されるケースが多くなってきています。

弊社が提供する Gluegent Gate には、アクセス制御・シングルサインオン・ID統合管理の機能があり、上記のようなご相談を多数頂いております。ここでは、アクセス制御・シングルサインオンサービスを検討する際に忘れてはいけないポイントをご紹介させていただきます。

できる限り G Suite や Office 365と同時に導入する

現在、G Suite や Office 365 等のクラウドグループウェアの導入を検討されているのであれば、同じタイミングでシングルサインオンのサービスを導入するのが理想的です。

ポイントとしては3点あります。 ひとつ目はセキュリティ面からの懸念です。これらのクラウドサービスは、モバイル向けのアプリケーションを提供していますが、アプリケーションのほとんどが、一度認証したらその後は認証なしで永続的にサービスを利用できるようになっています。技術的な言葉で言うと、アプリケーションがAPIアクセスの認可を持ってしまっている状態になります。この状態になると、あとからアクセス制御を導入しても、各アプリケーションの認可の取消をするまでは自由に使えてしまいます。

この認可の取消の手間等を考えると、最初から制御しておくことが望ましいです。 ふたつ目は、ID/PWの再配布の手間の問題です。通常、グループウェアから「現在のパスワード」を抽出することはできないため、後からシングルサインオンを導入する場合には、グループウェアとは異なるPWを配布する必要性が出てきます。会社の規模等にもよりますが、管理者・ユーザ含めるとそれなりの手間(コスト)がかかる結果となります。

最後は、ユーザから見た場合の評価の問題です。いくらよりセキュアに・より安全にするためにとはいえ、以前使えていたものが使えなくなるというのは利便性の低下と受け止められます。場合によっては安全面を犠牲にして利便性のみに偏った声に押されてしまい、セキュリティ面での課題を抱えたまま利用を続けてしまうようなケースも出て来てしまいます。 このようなポイントから、クラウドの利用を開始するタイミング、特にグループウェア等の全社的に利用するサービスを導入するタイミングに合わせて、アクセス制御・シングルサインオンを導入するのが望ましいです。

シングルサインオンの対象となるサービスは必ず増える

シングルサインオンシステムの導入により、管理者サイドにもメリットがあります。

今後シングルサインオンの対象となるサービスは必ず増えることを念頭に置く必要があります。この視点を忘れると、いざ対象とするサービスを増やそうとした場合に、思わぬ課題が出て来てしまいます。シングルサインオン対象のサービスの追加は柔軟にできるのか、その際に必要となるコストはどの程度か、この辺りをきちんと整理して理解しておく必要があります。