シングルサインオン製品は、自社システムやクラウドアプリへのシングルサインオンを一元化してくれる便利なツールです。しかし、シングルサインオン製品にアクセスするための「ID」「パスワード」が突破されてしまった場合、多数のシステムやサービスにアクセスできてしまうというリスクもあります。
こうしたリスクを防ぐために、多要素認証に対応したシングルサインオン製品が多数登場しています。以下で比較してみたいと思います。
多要素認証対応 3製品を比較
今回は、米国企業のシングルサインオン製品である「Onelogin」「Okta」と、当社GMOグローバルサインの「トラスト・ログイン(旧 SKUID)」を比較しました。
では、以下詳しく説明していきます。
多要素認証
以下では、多要素認証の各方法についてご説明します。
ワンタイムパスワード、OTP
IDパスワードを入力後、スマートフォンなどのアプリのソフトウェア上、またはドングルなどのハードウェアに表示された数列を入力することでログイン可能となる仕組みです。
Onelogin、Okta、トラスト・ログイン(旧 SKUID)の全てがワンタイムパスワードに対応しています。
クライアント証明書
デバイスに証明書をインストールし、そのデバイスが認証を許可されたものかどうかを判別するための仕組みがクライアント証明書となります。ログイン時に、IDパスワード認証に加えて、クライアント証明書による認証も行います。証明書がインストールされていないデバイスは、IDパスワードが正しくてもログインを許可されません。
Onelogin、Oktaはクライアント証明書に対応しています。トラスト・ログイン(旧 SKUID)は対応を表明済で開発中となります。
プッシュ認証
IDパスワードを入力後、スマートフォンのアプリに「ログインがありましたが許可しますか?」と表示され、ここで「OK」をタップするとログインが可能となる仕組みです。数列を入力しないため、ワンタイムパスワードより簡単に利用することができます。
なお、Onelogin、Oktaはプッシュ認証に対応しており、トラスト・ログイン(旧 SKUID)は対応を表明しており現在開発中となります。
SMS認証
IDパスワード入力後、各ユーザーが事前に登録した携帯電話の番号にSMSが送信され、SMSに表示された数列を入力することでログイン可能となる仕組みです。原理としてはワンタイムパスワードと同じですが、登録してある携帯電話番号に数列が送られる点が特徴です。
Onelogin、OktaはSMS認証に対応しています。トラスト・ログイン(旧 SKUID)も対応を表明しており、現在開発中となります。
NFC認証
IDパスワード入力後に、事前に登録してあるNFC (FeliCaなどのICカード等)をリーダーにかざすことでログイン可能となる仕組みです。既に社員証でNFCを利用している企業、また社内のシステム認証でNFCを利用している企業にとっては、各ユーザーにNFCリーダーを配布済であることから、シングルサインオンと紐づけるハードルが低いといえます。
トラスト・ログイン(旧 SKUID)は対応を表明しており、現在開発を行っています。OneloginとOktaは対応予定はありません。
生体認証 FIDO U2F/UAF
生体認証による規格を策定している非営利団体 FIDO (Fast IDentity Online) が提唱している規格が U2F (Universal 2nd Factor) ならび UAF (Universal Authentication Network) となります。IDパスワード認証の後、FIDO規格に対応した生体認証を行うことで多要素認証としています。
Oktaは対応済、トラスト・ログイン(旧 SKUID)は対応を表明しており現在開発中となります。Oneloginは未対応となります。
製品の日本語対応
製品の日本語対応は大きく、「一般ユーザー画面の日本語対応」と「管理者画面の日本語対応」の2つに分かれます。
OneloginとOktaはともに、一般ユーザー画面は日本語表示可能ですが、管理者画面は日本語表示に対応していません。また、Oneloginは月額4ドル以上のプランを利用しないと、日本語が利用できないという制限があります。
トラスト・ログイン(旧 SKUID)は、一般ユーザー画面ならび管理者画面ともに日本語に対応しています。
日本語技術ドキュメント
製品に関する技術的な確認、または「シングルサインオン製品を利用して、自社のシステムの認証を行いたい」といった場合、各製品の技術ドキュメントを確認する必要があります。
Oktaは日本法人がなく、日本語のホームページもないため、メーカー公式の日本語ドキュメントは提供されていません。Oneloginは日本法人があり、日本語のドキュメントもありますが、日本語に翻訳・提供されているドキュメントは少ないのが現状です。
トラスト・ログイン(旧 SKUID)は日本企業による開発製品であるため、全ての技術ドキュメントは日本語で提供されています。
日本語サポート
問題が生じた場合の問合せについてです。
まず、Oktaは日本法人がなく、日本国内にはわずかな販売代理店があります。問合せ先はこの販売代理店となります。
Oneloginは日本法人がありますが、営業は販売代理店が主体です。よって問い合わせ先は販売代理店となります。
トラスト・ログイン(旧 SKUID)は東京に本社を置く日本企業(GMOインターネットグループ)であり、販売代理店ではなくメーカーが直接の顧客サポートを行っています。
データ保管場所
Onelogin、Okta、トラスト・ログイン(旧 SKUID)はいずれもクラウド経由でシングルサインオンサービスを提供する製品となります。オンプレミスの製品ではないため、データはクラウド上(データセンター)に保管されることになります。
Onelogin、Oktaは日本国内にデータセンターを有しておりません。よって契約した日本企業の情報は全て海外データセンターに保管されることになります。もし、データが保管されている場所が両者が本社を構えるアメリカである場合は、米国愛国者法の適用対象となり、政府機関が強力な捜査権限を持っていることを意味します。このため、同じデータセンターを利用する別企業が操作された場合に、シングルサインオン利用に影響が出る可能性があります。
トラスト・ログイン(旧 SKUID)は日本国内のデータセンターを利用しているため、OneloginやOktaのような問題は発生しません。
秘密の質問は多要素認証にならない?
なお、クラウドサービスで「秘密の質問」を求めるサービスがいまだ多数あります。また、シングルサインオン製品でも秘密の質問の設定が可能な製品もあります。しかし、秘密の質問は認証要素の中の「知識情報(知っている情報)」となり、パスワードも同じ「知識情報」となるため、「同じ認証要素が2つ」になります。
多要素認証は「異なる認証要素を2つ以上使うこと」を意味するため、IDパスワード+秘密の質問では、多要素認証となりませんのでにお気を付けください。
また、秘密の質問の利用については、アメリカ国立標準技術研究所(NIST)により「使用すべきでない」と非推奨となっています。よって、今後認証の強化を目的として秘密の質問を導入することのないよう、ご注意ください。
多要素認証+シングルサインオンの価格比較
まず、Oneloginですが、シングルサインオンと多要素認証を利用するには1ユーザーあたり月額4ドル (440円) のプランに加入する必要があります。
次にOktaですが、シングルサインオン利用が2ドル、多要素認証利用が3ドル、合計で1ユーザーあたり月額5ドルとなります。なお、Oktaは年間の利用額が1,500ドル以上の支払いが必要という制限があります。例えば、シングルサインオンと多要素認証で1ユーザーあたり月額5ドルの場合、1年間で1,500ドルに達するには25名以上の利用が必要となります (5ドル x 25人 x 12カ月 = 1,500ドル)。小企業やテスト利用では1,500ドルへの到達が難しい点は注意が必要です。
最後にトラスト・ログイン(旧 SKUID)ですが、シングルサインオンは基本利用料無料で、必要な多要素認証を1オプション利用するごとに、1ユーザーあたり月額100円で利用可能という柔軟な料金体系となっています。例えば、ワンタイムパスワードのみを利用したいという場合は、月額100円で済みます。
価格+日本語環境+サポートで選ぶとトラスト・ログイン(旧 SKUID)
上記の表でご説明したように、多くの種類の多要素認証がありますが、現実問題としてIDパスワードに多要素認証として追加する認証は1つである場合がほとんどです。多要素認証の種類が増えるたびにユーザーが毎度ログインする際の負荷・面倒も増大するためです。
よって、「多くの種類の多要素認証を入れるのがセキュリティの観点からよい」というわけではありません。この観点で考えると、「必要な要素だけを導入できる」トラスト・ログイン(旧 SKUID)の利用が最も安価となります。
また、日本語環境での利用やサポートを考えると、トラスト・ログイン(旧 SKUID)に一日の長があるといえます。一般ユーザーも管理者も日本語環境を利用できること、全ての技術ドキュメントが日本語ドキュメントで提供されていること、メーカーから直接日本語でサポートを得られる点などです。
ぜひ一度貴社でご評価頂ければと思います。