私たちが毎日使っているクラウドサービスは多岐に渡ります。例えば、Gmail, Office 365, Salesforce, チャットワーク, サイボウズなどです。
これらにログインするときは、通常はログイン画面にIDとパスワードを入力してログインしますが、こうしたクラウドサービスに対してどのようにシングルサインオンするか、そしてクラウドへのシングルサインオン実施時にID・パスワードを社内でどのように管理すればよいかについて、以下でご説明します。
「社内」より「クラウド」のシングルサインオンの重要性が増す
はじめにシングルサインオンについて復習してみましょう。
シングルサインオン自体は、1990年代から登場しており、時代に応じて様々な製品や技術によって実現されてしてきました。かつては、業務を遂行するためのプログラムや情報は、全て社内にあることが一般的であったため、シングルサインオンとはすなわち「一度社内ネットワークへの認証を済ませると、以後社内のリソース利用時に追加のログインを不要にする」テクノロジーでした。
しかしながら、通信回線速度、通信の暗号化技術、サーバー性能の増大、ブラウザで行える処理の増加などにより、「ブラウザから、クラウド上のプログラムにアクセスして、製品サービスを利用する」ことが可能となりました。そして、2010年代に急速にクラウド化が進展し、企業が少しずつクラウド利用を進めているうちに「自社のネットワークの外であるクラウドに、企業の重要な情報情報を置く」ことへの抵抗感が一気に減少しました。そして多くの企業では、できるだけ多くのシステムをクラウド上に移行したり、自社システムのクラウドサービスへの乗り換えが進展しているのが現状です。
このような流れにおいて、「社内」にあるシステム・プログラムは激減し、「クラウド」にあるシステム・プログラム・サービスを利用して業務を進める場面のほうが多い、という企業が増加しています。よって、シングルサインオンの本命は「社内」から「クラウド」に移行しているのです。
実際のシングルサインオンの流れ
まずはじめに、シングルサインオンを使わない認証について考えてみましょう。例えば、Chromeブラウザを利用して、Office 365(クラウドサービス)に対してログインする場合です。
通常は、Office 365のログインページに行き、IDパスワードを入力するか、ブラウザに保存されているIDパスワードを呼び出してログインします。
しかし、ブラウザにIDパスワードを保存すると、ブラウザのパスワードを入力することで、ブラウザに保存されている全てのIDパスワードを閲覧できてしまいます。これは、不正にアクセスを受けた場合、ブラウザに保存されているIDパスワードを全て持ち去られてしまうリスクがあることを意味します。
・参考リンク
危険!Chromeの機能でID・パスワードを保存していませんか?
そうなると、IDパスワードを都度入力したほうが安全ですが、普段使うサービスやアプリのIDパスワードを全て記憶しておくことは不可能であるため、利便性とセキュリティの観点で、シングルサインオン製品が幅広く利用されているわけです。
次に、当社のシングルサインオン製品である「トラスト・ログイン」を利用した、実際のシングルサインオンの流れ(パスワード認証を利用)について確認してみましょう。流れについて解説したこちらの図をご覧ください。
まず、ユーザーはトラスト・ログインにあらかじめ利用するクラウドサービスのID、パスワードを登録しておきます。今回の例であれば、Office 365のID (メールアドレス) と、パスワードを登録しておきます。
次に、Office 365に実際にログインする際に、Office 365のログイン画面に行くのではなく、ブラウザのトラスト・ログインアドオンからOffice 365のアイコンをクリックします。
アイコンがクリックされると、トラスト・ログイン側でのシングルサインオン処理が始まります。トラスト・ログインに保存されているIDパスワード情報を、手入力する代わりにOffice 365に代わりに入力してくれます。
この際の通信は、SSLで暗号化されているため、IDパスワードが漏えいしてしまう危険はありません。
そして、正しいIDパスワードが登録されていれば、無事ログイン完了となります。これにより、ユーザーは毎度IDパスワードを入力する必要がなくなります。
パスワードはユーザー管理か、会社管理か、混在か?
クラウド向けシングルサインオン製品(IDaaS: Identity as a Service) で、どのようにシングルサインオンがなされるかについてご理解いただけたかと思いますが、管理者の方が一点考えておくべき点があります。
それは、「ID・パスワードの管理をユーザーに任せるか」「会社がID・パスワードを発行し全て管理するか」「ユーザー管理と会社管理を混在させるか」です。
もし、既に各自がクラウドサービスのIDを取得してパスワードを設定して利用していて、社内やお客様とのやりとりで使っている場合、これを「会社完全管理」に持って行くことは大変難しいです。社員が各自作成したクラウドサービスのパスワードを会社の管理者に渡すのは、抵抗があるからです。
こうした場合は、「完全にユーザー任せにする」か、「会社管理とユーザー管理を混在させる」かが事実上の選択肢となります。例えば、当社トラスト・ログインをご利用の、神戸市のシステム開発会社「DATA KIT」様は、ユーザー各人の管理をメインとし、一部のIDについて会社管理をするという「混在型」の管理を行っています。システム開発会社であり、社員のITリテラシーが高いため、ユーザー管理がメインという運用体系が馴染んでいるといえます。
参考リンク:DATA KIT様導入事例
逆に、社員がITに関してそこまで詳しくない、クラウドサービスをこれまで利用しておらずこれから本格利用するような場合だと、「会社側が完全に管理する」という手法が利用可能となります。管理者は全社員のID・パスワードを把握しているので、何か問題が起こったときにもすぐに対応が取れる、そして社員は自分のID・パスワードを管理することなくクラウドサービスにアクセスできる、といったメリットがあります。
当社トラスト・ログインをご利用の、京都府の税理士法人を中核とする「ビジョンナビ」様は、完全会社管理を導入して、管理者・ユーザーの両方にメリットがある管理体系としています。
参考リンク:ビジョンナビ様導入事例
このように、当社の同じクラウド型シングルサインオン製品「トラスト・ログイン」は、各企業様の状況に応じて全く異なる管理体系を適用可能です。ユーザー数無制限、アプリ数無制限で基本機能は全て無料で利用できますので、貴社のセキュリティ向上のためご評価いただければと思います。