シングルサインオン製品は、自社システムやクラウドアプリへのシングルサインオンを一元化してくれる便利なツールです。しかし、シングルサインオン製品にアクセスするための「ID」「パスワード」が突破されてしまった場合、多数のシステムやサービスにアクセスできてしまうというリスクもあります。
こうしたリスクを防ぐために、多要素認証に対応したシングルサインオン製品が多数登場しています。
多要素認証
以下では、多要素認証の各方法についてご説明します。
ワンタイムパスワード、OTP
IDパスワードを入力後、スマートフォンなどのアプリのソフトウェア上、またはドングルなどのハードウェアに表示された数列を入力することでログイン可能となる仕組みです。
クライアント証明書
デバイスに証明書をインストールし、そのデバイスが認証を許可されたものかどうかを判別するための仕組みがクライアント証明書となります。ログイン時に、IDパスワード認証に加えて、クライアント証明書による認証も行います。証明書がインストールされていないデバイスは、IDパスワードが正しくてもログインを許可されません。
プッシュ認証
IDパスワードを入力後、スマートフォンのアプリに「ログインがありましたが許可しますか?」と表示され、ここで「OK」をタップするとログインが可能となる仕組みです。数列を入力しないため、ワンタイムパスワードより簡単に利用することができます。
SMS認証
IDパスワード入力後、各ユーザーが事前に登録した携帯電話の番号にSMSが送信され、SMSに表示された数列を入力することでログイン可能となる仕組みです。原理としてはワンタイムパスワードと同じですが、登録してある携帯電話番号に数列が送られる点が特徴です。
NFC認証
IDパスワード入力後に、事前に登録してあるNFC (FeliCaなどのICカード等)をリーダーにかざすことでログイン可能となる仕組みです。既に社員証でNFCを利用している企業、また社内のシステム認証でNFCを利用している企業にとっては、各ユーザーにNFCリーダーを配布済であることから、シングルサインオンと紐づけるハードルが低いといえます。
生体認証 FIDO U2F/UAF
生体認証による規格を策定している非営利団体 FIDO (Fast IDentity Online) が提唱している規格が U2F (Universal 2nd Factor) ならび UAF (Universal Authentication Network) となります。IDパスワード認証の後、FIDO規格に対応した生体認証を行うことで多要素認証としています。
製品の日本語対応
製品の日本語対応は大きく、「一般ユーザー画面の日本語対応」と「管理者画面の日本語対応」の2つに分かれます。
GMOトラスト・ログインは、一般ユーザー画面ならび管理者画面ともに日本語に対応しています。
日本語技術ドキュメント
製品に関する技術的な確認、または「シングルサインオン製品を利用して、自社のシステムの認証を行いたい」といった場合、各製品の技術ドキュメントを確認する必要があります。
GMOトラスト・ログインは日本企業による開発製品であるため、全ての技術ドキュメントは日本語で提供されています。
日本語サポート
問題が生じた場合の問合せについてです。
GMOトラスト・ログインは東京に本社を置く日本企業(GMOインターネットグループ)であり、販売代理店ではなくメーカーが直接の顧客サポートを行っています。
秘密の質問は多要素認証にならない?
なお、クラウドサービスで「秘密の質問」を求めるサービスがいまだ多数あります。また、シングルサインオン製品でも秘密の質問の設定が可能な製品もあります。しかし、秘密の質問は認証要素の中の「知識情報(知っている情報)」となり、パスワードも同じ「知識情報」となるため、「同じ認証要素が2つ」になります。
多要素認証は「異なる認証要素を2つ以上使うこと」を意味するため、IDパスワード+秘密の質問では、多要素認証となりませんのでにお気を付けください。
また、秘密の質問の利用については、アメリカ国立標準技術研究所(NIST)により「使用すべきでない」と非推奨となっています。よって、今後認証の強化を目的として秘密の質問を導入することのないよう、ご注意ください。
GMOトラスト・ログインの価格
GMOトラスト・ログインは、シングルサインオンは基本利用料無料で、必要な多要素認証を1オプション利用するごとに、1ユーザーあたり月額100円で利用可能という柔軟な料金体系となっています。例えば、ワンタイムパスワードのみを利用したいという場合は、月額100円で済みます。
価格+日本語環境+サポートで選ぶとGMOトラスト・ログイン(旧 SKUID)
上記の表でご説明したように、多くの種類の多要素認証がありますが、現実問題としてIDパスワードに多要素認証として追加する認証は1つである場合がほとんどです。多要素認証の種類が増えるたびにユーザーが毎度ログインする際の負荷・面倒も増大するためです。
よって、「多くの種類の多要素認証を入れるのがセキュリティの観点からよい」というわけではありません。この観点で考えると、「必要な要素だけを導入できる」GMOトラスト・ログイン(旧 SKUID)の利用が最も安価となります。
また、日本語環境での利用やサポートを考えると、GMOトラスト・ログイン(旧 SKUID)に一日の長があるといえます。一般ユーザーも管理者も日本語環境を利用できること、全ての技術ドキュメントが日本語ドキュメントで提供されていること、メーカーから直接日本語でサポートを得られる点などです。
ぜひ一度貴社でご評価頂ければと思います。