シングルサインオン（SSO）の仕組みとは? 認証方式や導入のメリットをご紹介

シングルサインオン（SSO：Single Sign On）とは、1度ログインすれば同一のID・パスワードで連携されている複数サービスへ認証不要でログインできる機能のことです。これにより、サービスごとにID・パスワードを入力する手間が省けます。

また利用するサービスが増えれば、管理するID・パスワードも増えてしまい負担が大きくなってしまいますが、シングルサインオンを利用すれば1つのID・パスワードで複数のサービスにログインできるため、負担を軽減することができます。

必要とされる背景

近年、インターネットの普及によりクラウドサービスの利用も増えてきています。その一方で、利用サービスの増加によるログインの手間が発生し、業務効率の低下を引き起こしています。

また、パスワードが増えることで、使い回しやメモに書くなどによる情報漏洩リスクが高まっていることや、従業員のアカウント管理業務増加により、管理部門への負担が増えているのが現状です。これらの課題を解決するためにもシングルサインオンの必要性が高まっています。

1度のログインで複数サービスにアクセスできるシングルサインオンですが、仕組みは5つの認証方式に分けられています。それぞれに特徴がありますので、どの認証方式を導入しようか迷われている方はぜひ参考にしてみてください。

① フォームベース（代理）

専用の代理サーバーを設置することで、ログイン画面にてユーザーの代わりに認証を行います。つまり、代理サーバーが自動的にID・パスワードを送信してくれるため、ユーザーが自ら入力する必要はありません。

ログインしたいアプリやサービス側の変更は不要なため、導入しやすい特徴があります。また、最新のシングルサインオンに対応していないレガシーシステムにも導入が可能です。そのため、クラウドサービスや古いWebシステムを利用している企業におすすめといえるでしょう。

また、単体ではなく「エージェント方式」や「リバースプロキシ方式」と組み合わせて利用されることも多くあります。

② フェデレーション（SAML）

この方式は、ユーザーとSP、Idpの三者でやり取りが行われます。

• SP：認証情報を要求する側、つまりログインしたいアプリやサービス側のこと。
• Idp：認証情報を提供する側、つまりユーザーが認証済みであることを伝える側のこと。

ユーザーがIdpへログインすると、IdpからSPへ認証済みの情報が送られます。この伝達により、ユーザーはSPにID・パスワードを入力せずアクセスが可能です。そして、この方式に利用される主なマークアップ言語がSAMLです。

③ リバースプロキシ

ユーザーがインターネット経由でアクセスの要求を送信すると、まず仲介役であるリバースプロキシがそれを受け取ります。その後、リバースプロキシからアクセス先のWebサーバーへ要求を送信し、コンテンツの返送を受け取ります。そして、リバースプロキシが受け取ったコンテンツをサーバーへ送信するという仕組みです。

この方式はセキュリティ強化だけではなく、爆発的なアクセスによるWebサーバーの負荷を分散するためにも利用されています。

④ エージェント

ユーザーの端末側にエージェントと呼ばれるアプリケーションを導入する方法です。エージェント内にID・パスワードを事前に登録しておくことで、エージェントに1度ログインするだけで、登録してあるアプリやサービスを利用することができます。

ネットワークの設計を変更せず構築が可能で、拡張性が高いという特徴があります。また、ユーザーの利用記録が特定しやすいため、従業員の規模が大きい企業にもおすすめです。

⑤ 透過型

認証サーバーとアプリやサービスの間に監視サーバーを設置して、ユーザーがアクセスするときに認証が必要なときだけ認証情報を送信する仕組みです。アクセス経路に依存しない方式のため、オンプレミス、ブラウザ、端末、クラウド問わず利用できます。

また、エージェントのインストールが不要なため既存のネットワークへの設置も簡単で、Webシステムへの負担が少ないという特徴もあります。

アプリやサービスを利用するにあたって、シングルサインオンの導入は様々なメリットをもたらします。ここでは3つのメリットについて紹介します。

① パスワード管理の負担軽減

利用するアプリやサービスが増えれば、その分管理するID・パスワードも増えてしまいます。パスワードを忘れてしまいアカウントがロックされてしまうといったことも起こりかねません。また、そのような手間を避けるためにパスワードを使い回したり、簡略化したりすれば情報漏洩のリスクを高めることに繋がります。

シングルサインオンを導入すれば、個人だけではなく従業員全体のID・パスワードが管理可能となり、負担を軽減することができるでしょう。

② 漏洩リスクの低下

先述したようなパスワードの使い回しや簡略化は情報漏洩のリスクとなります。また、付箋にメモとしてPCに貼っておく、等誰かに見られるリスクを考慮しない行為は非常に危険です。シングルサインオンでは複数のID・パスワードを覚えておく必要がないため、このようなリスクを事前に防ぐことが可能です。

③ 利便性の向上

1度のログインで複数のアプリやサービスにアクセスできることから、ユーザーの利便性向上が期待できます。サービスごとに認証情報を入力することは、数が増えるほどに手間を感じるようになっていきます。

シングルサインオンを導入すれば、そのようなログイン時の煩わしさから解放され業務の効率化を図ることが可能です。

セキュリティ強化の強化や利便性の向上に欠かせないシングルサインオンですが、デメリットも存在します。ここでは3つのデメリットについて紹介します。しっかり把握して対策の準備ができるようにしておきましょう。

① システムへの依存

認証システムに障害が起こり停止してしまえば、連携しているサービス全体にログインできなくなるため、業務が滞ってしまう可能性があります。このような事態を避けるためにも、未然に防ぐための対策方法や復旧作業の事前計画などを立てておくと良いでしょう。

② 情報漏洩時の被害拡大

万が一、不正アクセスされてしまうと認証連携している各サービスへも不正アクセスされてしまう可能性があります。つまり一度不正アクセスが起きてしまうと、被害が拡大しやすいのです。

対策方法としては、生体認証やデバイス認証などを組み合わせた多要素認証を組み込むことをおすすめします。

③ 連携範囲が限定される

連携したいサービスがシングルサインオンに対応していなければ連携は不可能です。連携できるサービス、できないサービスとわかれてしまうことは管理を複雑にする可能性があります。

シングルサインオンを導入する際は、事前に利用しているサービスが対応しているか確認を行いましょう。

シングルサインオンはID・パスワードを一元管理して、セキュリティ強化を図るための仕組みです。ユーザーは複数のID・パスワードを覚えておく必要がなくなるため、利便性や業務の効率アップにも繋がります。

とはいえ、不正アクセスのリスクが0になるわけではありません。生体認証やデバイス認証などを組み合わせた多要素認証を組み込むなど、他の技術と合わせて導入することでよりセキュリティ強度の高いシステム導入を目指すことが必要でしょう。