SSO | Single Sign On | シングルサインオン

SSO (シングルサインオン) とは

SSO_top.png

SSOとは、一度ユーザー認証 (ログイン) を行うと、以後そのユーザー認証に紐づけられているシステム・サービスを、追加の認証なしで利用できる機能を指します。これにより、利用者は各システムごとに何度もユーザー認証を行う必要がないため、利便性が高まります。それに加え、複数のID・パスワードを管理する必要がなくパスワードの使い回しが減るため、セキュリティの向上も期待できます。

 

SSOの登場と広がり (2000年代前半まで)

globe.png

そもそもSSOは、「複数のシステムに何度も認証を行うのが面倒であるため開発されたシステム・サービス」で、組織における一般ユーザーがパソコンを使い複数のシステムを利用するようになったWindows 95登場以後に急速に広がっています。

特に幅広く利用されたのは、Windows Serverの機能であるNTドメイン、そしてNTドメインが進化したActive Directoryを用いて、ログイン時のローカル認証をActive Directoryと連携できるシステムに紐づけて、SSOを実現する機能です(これは、統合認証といった言葉で呼ばれることもあります)。Active Directory以外にもSSO機能を持つディレクトリサービスやSSO単体のシステム・サービスが提供されましたが、既にWindows Serverを利用している企業であれば、Windows CAL (クライアントアクセスライセンス) といったライセンス追加費用なしでActive Directoryが利用できたため、結果Active Directoryが最も普及しています。

Active Directoryを利用する際、管理者は「ドメインコントローラー」というサーバー機能が提供する「ドメイン」という組織単位にユーザーを作成します。そして、ドメイン内のユーザーが端末からローカル認証(ログイン認証)を行う際に、ドメインコントローラーにも合わせて認証を行います。これにより、ユーザーはドメインへのログインを許可され、ドメイン内のリソースである各種サーバーに対してのシングルサインオン(承認)が可能となります。

なお、Active Directoryのユーザー認証に利用された認証方式は、米国マサチューセッツ工科大学で開発された「ケルベロス認証」です。ドメインコントローラーパソコンなどの端末(クライアント)の認証ならび通信の暗号化を行っているのが特徴です。

ちなみに、当時のSSOは、あくまで「社内ネットワーク」に閉じたSSOでした。当時はまだクラウドサービスが登場する前であったため、自社で運用するシステム・サーバーでActive DirectoryのSSOを利用できるよう設定し、社内システムのみを便利に使えるようにするのが一般的だったのです。例えば、社内のファイルサーバー、メールサーバー、ポータルサーバー、データベース、およびActive Directoryで認証できるように開発された社内アプリケーションなどです。

 

SSOとフェデレーション (2000年代後半)

federation.jpg

2000年代後半には、SSOが広がりを見せます。互いに信頼しあっているディレクトリ同士であれば、同じディレクトリ同士でなくてもSSOが利用できる「フェデレーション」というID連携技術が登場しました。それにより、例えば親会社と子会社で別々のディレクトリサービスを利用していても、お互いのディレクトリをフェデレーションすることで、親会社の社員が子会社のシステムにSSOしたり、子会社社員が親会社システムにSSOすることが可能となりました。あるいは、A社とその取引先であるB社というように、同じ会社以外でもSSOを利用することができるようになりました。

最も有名なフェデレーションサービスは、Active Directory Federation Services (ADFS) です。Windows ServerにおけるActive Directoryの一機能として提供されているため、追加費用なしでフェデレーション、SSOを使える点が評価されていました。また、Active Directoryは、LDAP (Lightweight Directory Access Protocol) と呼ばれるディレクトリの業界標準プロトコルを用いているため、Active Directory以外のLDAP準拠のディレクトリサービスともフェデレーション、SSOが可能です。

2000年代後半に注目を集めたフェデレーション技術では、「親会社ディレクトリと子会社ディレクトリのフェデレーション」、または「本社ディレクトリと海外子会社ディレクトリのフェデレーション」というレベルで導入が行われました。しかしながら、「親会社と子会社、または本社と海外子会社で管理体系が異なる」、「親会社と子会社で異なるディレクトリシステムが運用されておりフェデレーションに工数がかかる」、「親会社が子会社のディレクトリまで管理したくない」「逆に子会社が親会社にディレクトリ管理を任せたくない」といった、企業の技術的、組織的事情から、フェデレーションを導入する企業は限定的であったこともまた事実です。

 

クラウド・SaaSの登場とIDaaS (2010年代)

idaas.png

SSOを取り巻く環境は、2010年代には一変しました。それまでは、必要なシステムがあればソフトウェアを購入し、ハードウェアを調達し、構築作業を行い、社内ネットワーク上において利用する、というのが典型的なシステム・サービスの利用方法でした。これが、クラウドの登場により、何かしらのシステム・サービスを利用する際、自社で構築することはほとんどなくなりました。代わりに、月額費用を払ってSaaS (Software as a Service: クラウド型のシステム・サービス) をインターネット経由で利用する、あるいは、自社で構築する場合であっても、物理サーバではなくクラウド上でプラットフォームを構築するのが一般的となりました。

これをSSOの観点からみると、認証先の大半が社内システムではなくインターネット上の他社のクラウドサービス、クラウド基盤となったことが、最も大きな変化です(この変化により、SSOに関してはActive Directoryの重要性が相対的に下がったと言えます)。そして、クラウドまで含めたSSOを効率的に行うために登場したのがIDaaS (クラウド型ID・パスワード管理サービス) です。

TrustLogin_SSO.png
弊社IDaaS「トラスト・ログイン(旧 SKUID)」によるシングルサインオンの流れ

IDaaSでは、主なSaaSの認証をあらかじめ網羅しているため、各SaaSとの連携をその都度作り込む必要なくSSOが実現できます。そして、社内システムに関しても設定を行うことで利用が可能となります。IDaaSでは複数の認証方式・規格を利用できますが、そのなかで最も普及しているのはSAML (Security Assertion Markup Language) です。

SaaSを含めたクラウドサービスの利用が急増する中、IDaaSの市場も急成長していることから、今後SSOを利用する組織の多くがIDaaSによるSSOにシフトすることが考えられています。

 

シングルサインオンのメリット

ここで、シングルサインオンの3つのメリットについて改めて理解しましょう。
 

1.パスワード漏えいリスクの減少

passwordprotection.jpg
 
ログインが必要な社内外のリソース・サービスが増加するたびに、そのそれぞれに対してパスワードの作成が求められます。現在、多くのシステム管理者やサービス提供者は「8文字以上のパスワードで、大文字、小文字、数字、記号を全て含むもの。辞書にある単語の使用は不可」といった要件をパスワードに課しています。そのため、パスワードを作成する際に、要件に準拠したハッキングされない強固なパスワードを設定しようとすればするほど、パスワードは覚えにくくなっていくのです。

強固なパスワードを多数作成した結果、パスワードを記憶ではなく紙やExcelなどに「記録」して管理する、という低いセキュリティでの運用を余儀なくされる場合がほとんどです。紙であれば当然、紙自体の盗難リスクや紛失リスクが発生し、また紙自体がなくならなくても、パスワードを見られてしまうリスクがあります。いっぽうExcelであれば、ファイル自体を誤って受け渡ししてしまうリスク、パソコン廃棄時にHDDを消去しなかったためにパスワードを含むファイルが解読されてしまうリスク、ネットワークで攻撃されて端末への侵入を許した際にパスワードが記載されたファイルが持ち去られてしまうリスクなどが存在します。

つまり、「強いパスワードを作ったために、脆弱な方法で管理せざるを得なくなった」という皮肉のような事態が生じてしまうのです。

シングルサインオンを用いると、これらの問題によるリスクを高い確率で防ぐことが可能です。仮に、社内システムで5個、社外のクラウドサービスで10個、合計15個のパスワードを管理している場合を想定しましょう。複雑なパスワードを15個記憶するのはほぼ不可能ですが、必要なパスワードが1つであれば、紙やExcelに記録しなくても記憶できます。そのため、紙やExcelに記入するという脆弱な管理が不要となります。
 
 

2.ITヘルプデスク負荷の減少・コスト削減

helpdesk.jpg
 
パスワードに関連するトラブルが減少する、ということは「ITヘルプデスクに対する問合せ数」も同時に減少するということを意味します。現在、パスワードリセットなど、パスワードに関するITヘルプデスクに対する問合せ数は、全問合せの30%を占めています。
 
シングルサインオンを導入すると、ユーザーが管理すべきパスワードの数が減少するため、パスワードに関するトラブルも当然減少します。これは、ITヘルプデスク担当者の作業負荷を軽減することにつながると同時に、「多数のパスワードリセットを見越して多くのヘルプデスクスタッフを採用」している企業にとっては、ヘルプデスクスタッフの削減が可能であることも意味します。負荷の削減によるITヘルプデスク人員削減、すなわちスタッフ人件費の削減が実現できます。
 
 

3.ユーザーの利便性・業務効率向上

usability.jpg
 
管理するパスワードが増えれば増えるほど、ユーザーはパスワードを紙やExcelに記録したり、同じパスワードを使い回すというリスクの高い行動に走ってしまいがちです。しかし、シングルサインオンの導入によりパスワードが1つで済む、または相当数減少すれば、パスワードを記憶することが現実的になります。

ユーザーも、パスワードを記録したくしてしているわけではなく、パスワード設定ポリシーに正しく従おうとすると記憶できないから、仕方なく記録しているのが実情です。パスワード数が減り、記憶できるようになれば、その都度記録したパスワードを確認する手間が減るため、工数の削減につながります。

また、管理するパスワードが1つまたは少数になるため、パスワード紛失・パスワード忘れによるパスワードリセットも起こりにくくなります。パスワードリセットが起こると、ユーザーは業務をとめてITヘルプデスクに連絡せねばならず、ユーザー側の負担も少なくありません。シングルサインオンを導入することで、こうしたリスクが減るため、ユーザーがITヘルプデスクに連絡する必要性も減少します。そのため、パスワードにわずらわされることなく業務に集中ができるようになります。
 
 

シングルサインオンのコスト

cost.jpg
 
現在シングルサインオンには、「クラウドサービスへのシングルサインオンを含めたクラウド型ID管理サービス (IDaaS: Identity as a Service)」として提供されている場合と、「ディレクトリサービスの一機能」として提供されている場合の両方があります。

いずれも場合も、ユーザー人数当たりの課金形態となっています。 シングルサインオン先のシステム・クラウドサービス数(アプリ数)に制限に設けない場合、月額数百円台中盤から後半程度となるのが一般的ですが、製品によっては1ユーザーあたりの月額費用が1,000円を超えるものもあります。各シングルサインオン製品では、無料のトライアル期間を設けているものがほとんどであるため、機能、ユーザー側の利用しやすさ、管理者側の利用しやすさ、料金などを総合して判断することが必要となります。

なお、当社GMOグローバルサインが提供するトラスト・ログイン(旧 SKUID)は、シングルサインオン先のアプリ数の制限なし、またユーザー制限なしで、基本料金無料で提供しております。一部オプションを除いてコストが無料であり、他の有償製品と比べて圧倒的なコストメリットがありますので、貴社のトライアル対象製品にぜひ加えて頂ければ幸いです。
 
 

SSO | Single Sign On | シングルサインオン

SSO (シングルサインオン) とは

SSO_top.png

SSOとは、一度ユーザー認証 (ログイン) を行うと、以後そのユーザー認証に紐づけられているシステム・サービスを、追加の認証なしで利用できる機能を指します。これにより、利用者は各システムごとに何度もユーザー認証を行う必要がないため、利便性が高まります。それに加え、複数のID・パスワードを管理する必要がなくパスワードの使い回しが減るため、セキュリティの向上も期待できます。

 

SSOの登場と広がり (2000年代前半まで)

globe.png

そもそもSSOは、「複数のシステムに何度も認証を行うのが面倒であるため開発されたシステム・サービス」で、組織における一般ユーザーがパソコンを使い複数のシステムを利用するようになったWindows 95登場以後に急速に広がっています。

特に幅広く利用されたのは、Windows Serverの機能であるNTドメイン、そしてNTドメインが進化したActive Directoryを用いて、ログイン時のローカル認証をActive Directoryと連携できるシステムに紐づけて、SSOを実現する機能です(これは、統合認証といった言葉で呼ばれることもあります)。Active Directory以外にもSSO機能を持つディレクトリサービスやSSO単体のシステム・サービスが提供されましたが、既にWindows Serverを利用している企業であれば、Windows CAL (クライアントアクセスライセンス) といったライセンス追加費用なしでActive Directoryが利用できたため、結果Active Directoryが最も普及しています。

Active Directoryを利用する際、管理者は「ドメインコントローラー」というサーバー機能が提供する「ドメイン」という組織単位にユーザーを作成します。そして、ドメイン内のユーザーが端末からローカル認証(ログイン認証)を行う際に、ドメインコントローラーにも合わせて認証を行います。これにより、ユーザーはドメインへのログインを許可され、ドメイン内のリソースである各種サーバーに対してのシングルサインオン(承認)が可能となります。

なお、Active Directoryのユーザー認証に利用された認証方式は、米国マサチューセッツ工科大学で開発された「ケルベロス認証」です。ドメインコントローラーパソコンなどの端末(クライアント)の認証ならび通信の暗号化を行っているのが特徴です。

ちなみに、当時のSSOは、あくまで「社内ネットワーク」に閉じたSSOでした。当時はまだクラウドサービスが登場する前であったため、自社で運用するシステム・サーバーでActive DirectoryのSSOを利用できるよう設定し、社内システムのみを便利に使えるようにするのが一般的だったのです。例えば、社内のファイルサーバー、メールサーバー、ポータルサーバー、データベース、およびActive Directoryで認証できるように開発された社内アプリケーションなどです。

 

SSOとフェデレーション (2000年代後半)

federation.jpg

2000年代後半には、SSOが広がりを見せます。互いに信頼しあっているディレクトリ同士であれば、同じディレクトリ同士でなくてもSSOが利用できる「フェデレーション」というID連携技術が登場しました。それにより、例えば親会社と子会社で別々のディレクトリサービスを利用していても、お互いのディレクトリをフェデレーションすることで、親会社の社員が子会社のシステムにSSOしたり、子会社社員が親会社システムにSSOすることが可能となりました。あるいは、A社とその取引先であるB社というように、同じ会社以外でもSSOを利用することができるようになりました。

最も有名なフェデレーションサービスは、Active Directory Federation Services (ADFS) です。Windows ServerにおけるActive Directoryの一機能として提供されているため、追加費用なしでフェデレーション、SSOを使える点が評価されていました。また、Active Directoryは、LDAP (Lightweight Directory Access Protocol) と呼ばれるディレクトリの業界標準プロトコルを用いているため、Active Directory以外のLDAP準拠のディレクトリサービスともフェデレーション、SSOが可能です。

2000年代後半に注目を集めたフェデレーション技術では、「親会社ディレクトリと子会社ディレクトリのフェデレーション」、または「本社ディレクトリと海外子会社ディレクトリのフェデレーション」というレベルで導入が行われました。しかしながら、「親会社と子会社、または本社と海外子会社で管理体系が異なる」、「親会社と子会社で異なるディレクトリシステムが運用されておりフェデレーションに工数がかかる」、「親会社が子会社のディレクトリまで管理したくない」「逆に子会社が親会社にディレクトリ管理を任せたくない」といった、企業の技術的、組織的事情から、フェデレーションを導入する企業は限定的であったこともまた事実です。

 

クラウド・SaaSの登場とIDaaS (2010年代)

idaas.png

SSOを取り巻く環境は、2010年代には一変しました。それまでは、必要なシステムがあればソフトウェアを購入し、ハードウェアを調達し、構築作業を行い、社内ネットワーク上において利用する、というのが典型的なシステム・サービスの利用方法でした。これが、クラウドの登場により、何かしらのシステム・サービスを利用する際、自社で構築することはほとんどなくなりました。代わりに、月額費用を払ってSaaS (Software as a Service: クラウド型のシステム・サービス) をインターネット経由で利用する、あるいは、自社で構築する場合であっても、物理サーバではなくクラウド上でプラットフォームを構築するのが一般的となりました。

これをSSOの観点からみると、認証先の大半が社内システムではなくインターネット上の他社のクラウドサービス、クラウド基盤となったことが、最も大きな変化です(この変化により、SSOに関してはActive Directoryの重要性が相対的に下がったと言えます)。そして、クラウドまで含めたSSOを効率的に行うために登場したのがIDaaS (クラウド型ID・パスワード管理サービス) です。

TrustLogin_SSO.png
弊社IDaaS「トラスト・ログイン(旧 SKUID)」によるシングルサインオンの流れ

IDaaSでは、主なSaaSの認証をあらかじめ網羅しているため、各SaaSとの連携をその都度作り込む必要なくSSOが実現できます。そして、社内システムに関しても設定を行うことで利用が可能となります。IDaaSでは複数の認証方式・規格を利用できますが、そのなかで最も普及しているのはSAML (Security Assertion Markup Language) です。

SaaSを含めたクラウドサービスの利用が急増する中、IDaaSの市場も急成長していることから、今後SSOを利用する組織の多くがIDaaSによるSSOにシフトすることが考えられています。

 

シングルサインオンのメリット

ここで、シングルサインオンの3つのメリットについて改めて理解しましょう。
 

1.パスワード漏えいリスクの減少

passwordprotection.jpg
 
ログインが必要な社内外のリソース・サービスが増加するたびに、そのそれぞれに対してパスワードの作成が求められます。現在、多くのシステム管理者やサービス提供者は「8文字以上のパスワードで、大文字、小文字、数字、記号を全て含むもの。辞書にある単語の使用は不可」といった要件をパスワードに課しています。そのため、パスワードを作成する際に、要件に準拠したハッキングされない強固なパスワードを設定しようとすればするほど、パスワードは覚えにくくなっていくのです。

強固なパスワードを多数作成した結果、パスワードを記憶ではなく紙やExcelなどに「記録」して管理する、という低いセキュリティでの運用を余儀なくされる場合がほとんどです。紙であれば当然、紙自体の盗難リスクや紛失リスクが発生し、また紙自体がなくならなくても、パスワードを見られてしまうリスクがあります。いっぽうExcelであれば、ファイル自体を誤って受け渡ししてしまうリスク、パソコン廃棄時にHDDを消去しなかったためにパスワードを含むファイルが解読されてしまうリスク、ネットワークで攻撃されて端末への侵入を許した際にパスワードが記載されたファイルが持ち去られてしまうリスクなどが存在します。

つまり、「強いパスワードを作ったために、脆弱な方法で管理せざるを得なくなった」という皮肉のような事態が生じてしまうのです。

シングルサインオンを用いると、これらの問題によるリスクを高い確率で防ぐことが可能です。仮に、社内システムで5個、社外のクラウドサービスで10個、合計15個のパスワードを管理している場合を想定しましょう。複雑なパスワードを15個記憶するのはほぼ不可能ですが、必要なパスワードが1つであれば、紙やExcelに記録しなくても記憶できます。そのため、紙やExcelに記入するという脆弱な管理が不要となります。
 
 

2.ITヘルプデスク負荷の減少・コスト削減

helpdesk.jpg
 
パスワードに関連するトラブルが減少する、ということは「ITヘルプデスクに対する問合せ数」も同時に減少するということを意味します。現在、パスワードリセットなど、パスワードに関するITヘルプデスクに対する問合せ数は、全問合せの30%を占めています。
 
シングルサインオンを導入すると、ユーザーが管理すべきパスワードの数が減少するため、パスワードに関するトラブルも当然減少します。これは、ITヘルプデスク担当者の作業負荷を軽減することにつながると同時に、「多数のパスワードリセットを見越して多くのヘルプデスクスタッフを採用」している企業にとっては、ヘルプデスクスタッフの削減が可能であることも意味します。負荷の削減によるITヘルプデスク人員削減、すなわちスタッフ人件費の削減が実現できます。
 
 

3.ユーザーの利便性・業務効率向上

usability.jpg
 
管理するパスワードが増えれば増えるほど、ユーザーはパスワードを紙やExcelに記録したり、同じパスワードを使い回すというリスクの高い行動に走ってしまいがちです。しかし、シングルサインオンの導入によりパスワードが1つで済む、または相当数減少すれば、パスワードを記憶することが現実的になります。

ユーザーも、パスワードを記録したくしてしているわけではなく、パスワード設定ポリシーに正しく従おうとすると記憶できないから、仕方なく記録しているのが実情です。パスワード数が減り、記憶できるようになれば、その都度記録したパスワードを確認する手間が減るため、工数の削減につながります。

また、管理するパスワードが1つまたは少数になるため、パスワード紛失・パスワード忘れによるパスワードリセットも起こりにくくなります。パスワードリセットが起こると、ユーザーは業務をとめてITヘルプデスクに連絡せねばならず、ユーザー側の負担も少なくありません。シングルサインオンを導入することで、こうしたリスクが減るため、ユーザーがITヘルプデスクに連絡する必要性も減少します。そのため、パスワードにわずらわされることなく業務に集中ができるようになります。
 
 

シングルサインオンのコスト

cost.jpg
 
現在シングルサインオンには、「クラウドサービスへのシングルサインオンを含めたクラウド型ID管理サービス (IDaaS: Identity as a Service)」として提供されている場合と、「ディレクトリサービスの一機能」として提供されている場合の両方があります。

いずれも場合も、ユーザー人数当たりの課金形態となっています。 シングルサインオン先のシステム・クラウドサービス数(アプリ数)に制限に設けない場合、月額数百円台中盤から後半程度となるのが一般的ですが、製品によっては1ユーザーあたりの月額費用が1,000円を超えるものもあります。各シングルサインオン製品では、無料のトライアル期間を設けているものがほとんどであるため、機能、ユーザー側の利用しやすさ、管理者側の利用しやすさ、料金などを総合して判断することが必要となります。

なお、当社GMOグローバルサインが提供するトラスト・ログイン(旧 SKUID)は、シングルサインオン先のアプリ数の制限なし、またユーザー制限なしで、基本料金無料で提供しております。一部オプションを除いてコストが無料であり、他の有償製品と比べて圧倒的なコストメリットがありますので、貴社のトライアル対象製品にぜひ加えて頂ければ幸いです。