シングルサインオン (SSO) とは?
認証の仕組み、メリット・デメリットについて解説

シングルサインオンとは、様々なサービスに一回の情報入力だけでログインできるようにする仕組みのことです。複数のクラウドサービス利用が一般化した昨今、ログイン作業の省力化の重要性が高まり、その結果シングルサインオンが注目されています。本記事では技術の基本知識やメリット・デメリット、製品選定のポイントなどを紹介します。

シングルサインオン （SSO）とは?

シングルサインオンとは、複数のアプリやウェブサービスを一回のログインのみでまとめて利用できるようにする仕組みのことです。英語のSingle Sign Onの頭文字を取ってSSO認証と呼ばれることもありますが、意味は同じです。
通常、異なるアプリやサービスを利用する場合は個別のログインとアカウントの管理が必要が、手間を不要にできるというメリットがあります。

また、似た言葉にソーシャルログインがあります。利用ユーザー数が多いSNSやGoogleなどの大手プラットフォームアカウントで、アプリやウェブサービスにログインできる仕組みのことです。外部で作成したアカウントで別のサービスにログインできるシステムで、シングルサインオンの一種に含まれます。ユーザーにとっては普段利用するサービスのアカウントでログインできるため、新規アカウント作成の手間が省けるメリットがあります。

シングルサインオンが注目を集める理由

シングルサインオンに注目が集まる背景として、DX推進やコロナ禍をきっかけとしたリモートワークの普及とそれに伴うクラウドサービスやSaaSの利用拡大などが挙げられます。時代や社会の変化に応じてオンライン会議ツールやグループウェア、クラウドを導入した企業は多いはずです。

こうした新しいサービスの導入によって業務効率化が実現する反面、管理するアカウント数（ID・パスワード）が増えたという問題も発生しています。IDとパスワードはセキュリティの強さに直結するため、サービスごとに複雑なものを作成して管理するのが望ましいです。現実的には同じパスワードの使い回しやアカウント情報のメモ書きといったセキュリティリスクが高い方法で管理されていることも少なくありません。

このようなアカウント管理の問題を解決する方法として注目を集めているのが、シングルサインオンです。一度のログイン認証で、利用する全てのサービスやツールが使用可能になるため、アカウント管理の負担が軽くなります。

シングルサインオン （SSO） の6つの認証方式・仕組みの解説

シングルサインオンには認証方式の種類があり、異なる仕組みで動作します。そのため、自社の目的や環境にあった方式を採用することが大切です。以下では認証方式ごとの仕組みやその違い、特徴を解説します。

1. 代行認証 （フォームベース） 方式

代行認証方式とは、利用端末にエージェント（ソフトウェア）をインストールする方式のことです。この方式を導入する場合、別途認証サーバーの設置が必要になります。また、この方式単体で導入されることもありますが、後述するエージェント方式やリバースプロキシ方式などと併用するケースもあります。

エージェントは、利用中の各サービスのID・パスワードを管理・保存しており、サービスのログイン画面を検知したら、代わりにその情報を自動入力する役割があります。

エージェントを使用する仕組み上、連携制限のないアプリやサービスが多く、導入しやすい点が特徴です。改修が不可能な古いアプリケーション、パッケージソフトウェアにも実装可能なメリットもあります。

2. SAML認証 （フェデレーション） 方式

SAML（Security Assertion Markup Language）認証方式とは、IdP（IDプロバイダー）やSP（サービスプロバイダー）を使用してSAML認証を行い、自動ログインを実装する方式です。フェデレーション方式とも呼び、クラウドサービスでもよく採用されています。IdPとは、ユーザー認証と認証情報の提供を担うシステムのことです。SPはユーザーがログインしたいサービスなどを指します。SAMLは認証に必要な情報を含むXMLベースの標準規格です。

認証の仕組みは以下の2種類があります。

• IdP-initiated（認証サーバー経由で認証を連携）
• SP-initiated（ブラウザ経由で認証を連携）

どちらの仕組みでも、初回にIdPでユーザー認証することにより自動ログインできるようになります。この仕組みによって、異なるドメイン間でも連携して認証情報をやり取りすることが可能です。異なるサービスやウェブアプリケーション間を横断したシングルサインオンを実現したい場合に適しています。ただし、使用するにはサービスがSAMLに対応している必要があります。

3. エージェント方式

シングルサインオンを実装したい各ウェブサーバー、各アプリケーションサーバーにエージェントを組み込む方式です。この方式では、まずユーザーがログインするとき、認証サーバーとエージェント間のやり取りでアクセス権限の有無や認証チェックが行われます。認証済みの場合は自動ログイン処理される仕組みです。

ネットワーク構成の変更なしで導入できるため、サイトのURLを変えられないケースでの導入に適します。また、この方式はサーバーに負荷がかからず、就業時間などで多数の社員が同時ログインする環境にも向きます。アプリケーションを追加しやすいという意味では拡張性にも優れています。

一方、デメリットは、導入先がエージェントに対応している必要がある点と、実装対象のアプリケーションやサーバーの個別対応が必要になる点です。インストールと更新作業を個別に行う必要があるため、メンテナンスのコストも織り込んで導入しましょう。

4. 透過型方式

透過型方式は、透過型サーバーと呼ぶ監視用中継サーバーを経由する方式です。透過型サーバーは、ユーザーが利用する端末とシステム間の通信を監視しており、ユーザーがウェブアプリケーションにアクセスしたら、必要に応じて認証情報を送信する役割があります。

エージェント不要、ネットワーク構成の変更不要で導入しやすいのが特徴です。また、アクセス経路の自由度が高く、クラウドサービスを複数利用している場合や様々な端末、ブラウザに対応したい場合、オンプレミス環境、社外アクセスなどの幅広いアクセスに対応したい場合に適します。

透過型方式は新しく登場した方式であり、あまり目立ったデメリットがありません。なお、導入の際は透過型方式に対応した製品が必要です。

5. リバースプロキシ方式

リバースプロキシ方式とは、認証処理を担うサーバーであるリバースプロキシを経由する方式のことです。あらゆる認証処理は、エージェントがインストールされたこのリバースプロキシが行います。初めのログインのみ、ユーザーが端末からサーバー上でログイン情報の入力を行います。各サービスにアクセスする際はリバースプロキシが代わりに認証処理を行う仕組みです。

他方式のように個別にインストールする作業は不要のため、導入コストやメンテナンスの負担が軽く、短期間での導入が可能です。また、導入時は新規のリバースプロキシの追加のみで済み、既存システムをそのまま利用できるメリットもあります。

デメリットとしては、仕組み上、全アクセスをひとつのサーバー経由にする必要がある点と、サーバーにアクセスが集中して負荷が高まりやすい点が挙げられます。

6. ケルベロス認証方式

ケルベロス認証方式とは、KDC（鍵配送センター/Key Distribution Center）を使用する方式のことです。KDCとは、サーバーやユーザー情報を管理するデータベースを指します。この方式の代表的な使用例として、WindowsのActive Directoryが挙げられます。

ケルベロス認証方式では、ユーザーがログイン情報を入力して認証に成功すると、それを証明するチケットが認証サーバーから発行されます。そのチケットを使用することで、サーバーやサービスの利用が許可される仕組みです。

この方式を選択するメリットとして、OSを問わず利用できるため既存システムに導入しやすい点やチケットを使用する仕組みによって通信の負荷が少ない点が挙げられます。

セキュリティリスクとして、チケットの盗み見によって不正アクセスされる可能性がある点は注意すべきです。もちろん、対策として通信の暗号化が行われるほか、チケットの送信時刻とズレがある場合は認証に失敗する仕様があります。このため、基本的には安全に利用できる方式です。

以上６つの認証方式の内、よくSAPシステムで使用されているのは、ケルベロス認証方式、SAML認証（フェデレーション）方式です。認証管理の方針・要件に合わせて認証方式を決定します。

例えば、オンプミレス環境のみでSAPシステムを運用、デスクトップ版のSAPGUIクライアントソフトウェアを利用、そのようなSAPシステム利用ケースでは、一般的にケルベロス認証方式のSSOを導入していることが多いです。理由として、大半の企業では、Windows Active Directoryを導入してユーザ管理を運用しています。SSOするための追加システム導入は必要がなく、スピーディーに且つコストを抑えてSSO導入が可能です。

但し、昨今では、オンプミレスとクラウドを連携したSAPシステムの利用ケースが増えていることもあり、
SAPシステムだけではなく、非SAP、クラウドサービス等の認証を一元管理したい要求が増えています。
そのようなニーズに対応するため、今後のSAPシステムではSAML認証方式のSSOが中心になると考えられます。

シングルサインオン （SSO） の導入で得られる3つのメリット

システムの導入によって、主に管理コストの軽減やセキュリティ、利便性が向上するメリットがあります。詳細は以下で解説します。

1. セキュリティが向上する

シングルサインオンの導入でアカウント管理が容易になることで、推測が容易なパスワードの設定、パスワードの使い回しやメモ書きといった不適切な管理を防止できます。導入する製品によっては、複雑なパスワードの自動生成と保存、多要素認証の実装が可能です。

複雑なパスワードをいくつも管理するのは大変ですが、ひとつだけならそれほど手間がかかりません。定期的なパスワードの変更もしやすくなります。また、適切な管理が行われることでアカウント情報の漏えい防止、不正アクセス対策にも繋がり、セキュリティリスクの低減も実現できます。

2. 認証情報の管理コストを削減できる

シングルサインオンの仕組みによって、一度だけIDとパスワードを入力すれば、利用している複数のアプリやサービスにまとめてログインできるようになります。これにより、サービスごとにIDとパスワードを管理するコストを削減することが可能です。

通常なら、導入サービスが増えるごとに管理アカウント数も増えていきます。しかし、シングルサインオンで管理アカウント数を減らすことで、情報システム部門やIT部門の負担を軽減できます。具体的にはアカウントロックの解除やパスワード再発行の問い合わせ件数を減らす効果が見込めます。これにより、ヘルプ業務に割くリソースの削減が可能です。

3. 利便性・業務効率が向上する

シングルサインオンでアカウント情報が一本化されることは、利用ユーザーの視点から見てもメリットがあります。IDとパスワードが多いと覚えるのが大変ですが、一本化すればひとつだけで済むため覚える負担が少なくなります。また、複数回ログインする手間やパスワードの誤入力、アカウントロックの回数が減少し、時間短縮・業務効率化・利便性の向上も見込めます。

特に従業員数が多い場合や利用中のウェブアプリケーション、クラウドサービスが多い企業ほど、ログインする機会や割いている時間が多いため、ログイン処理を省力化したときのメリットを実感しやすくなります。

シングルサインオン （SSO） の導入で懸念される3つのデメリット

導入する際の主なデメリットとして、セキュリティやシステム障害のリスク、既存システムとの対応可否があります。詳細は以下で解説します。

1. 不正アクセス発生時の被害が大きい

シングルサインオンで管理するIDとパスワードをひとつにまとめられますが、漏えいすると複数のサービスの不正利用が起きるリスクがあります。一度流出すると大きな被害になる恐れがあるため、アカウント情報の管理は厳重にしましょう。

また、管理の仕方を注意する以外の対策として、以下のような二段階認証（多要素認証）を活用する方法があります。

• ワンタイムパスワード
• クライアント認証
• 生体認証
• プッシュ通知などのパスワードレス認証

上記以外ではIPアドレス制限などのシステム側でできるセキュリティ対策もあります。複数の認証機能や対策を組み合わせることで不正アクセスなどの被害に遭うリスクを抑えることが可能です。

2. システム停止中はサービスにログインできない

シングルサインオン用のサーバーやシステムが停止した場合、ユーザー認証ができなくなります。業務で使用するサービスとシングルサインオンは連携状態にあるため、トラブルでシステムが停止すると、業務で使うアプリやサービスにログインできません。よって、システムダウン中は業務が停滞する恐れがあります。

対策として、シングルサインオン製品を提供する事業者に問い合わせるか、もしくは公式サイトでサービスの稼働率や保証制度、システム停止時の対応策、サポート体制を確認しておくことが挙げられます。また、企業側でもシステム停止時を想定して対策を考えておきましょう。

3. 全てのサービスで利用できるわけではない

シングルサインオンに対応できないこともあります。対応できない理由として、そもそも対応を想定していないサービスであったり、自社が採用したい方式には非対応な場合もあったりします。クラウドサービスが独自の認証システムを採用している場合は連携するのが困難です。

あとから非対応の事実が発覚すると、特定のサービスのみ個別の認証作業が必要になったり、連携対応のための追加費用が発生したりすることもあります。こうした非対応のケースも想定し、導入を進める前に利用しているサービスの対応可否を確認しておくようにしましょう。また、連携しやすい方式を選択すること、認証の一本化にこだわりすぎないことも大切です。

シングルサインオン・システムを選ぶ際の4つのポイント

シングルサインオンの導入には機能を実現する専用の製品を選ぶ必要があります。以下では選ぶ際のポイントを四つ紹介します。

1. オンプレミス版・クラウド版の確認

システムにはオンプレミス版とクラウド版があります。自社の環境や導入目的と合う形態の製品を選択しましょう。

オンプレミス版は自社の環境に応じてカスタマイズしやすく、セキュリティリスクに強いです。デメリットとしては導入コストやランニングコストがネックになる点があります。

クラウド版は安価なコストで迅速な導入が可能な点がメリットです。反面、既存システムとの連携・統合、カスタマイズ性の低さなどがデメリットとして挙げられます。

また、両方の形態に対応できるハイブリッドなタイプもあります。クラウドとオンプレミス環境が混在している場合はハイブリッドの製品を選択することで、既存のシステムを大きく変更しない導入を検討できます。

2. 既存システム・導入予定のシステムとの連携

導入予定の製品と既存システムが連携可能かどうかを確認しましょう。デメリットの解説でも触れたように、シングルサインオンの連携が不可能なサービスもあるためです。また、将来的に追加する予定があるシステムやアプリケーションとの連携可否もチェックしましょう。試用が可能な場合は、実際に利用して使用感を確認してから導入した方が失敗しにくくなります。

アカウントの一元管理のためにActive Directoryや社内で構築したデータベースを使用している場合は、シングルサインオンの製品と連携して管理データを活かせるかどうかも確認しましょう。

3. SSOを利用できる端末

リモートワークやクラウドサービスの普及に伴い、モバイル端末でサービスにアクセスする機会が増加しています。営業や出張などで社外からアクセスするケースを想定している場合は、スマートフォンやタブレットなどのマルチデバイスに対応した製品を選ぶようにしましょう。また、社外から安全にアクセスできるようなセキュリティ対策機能が搭載されている製品を選択すると情報漏えいなどのリスクが抑えられて安心です。

4. セキュリティの堅牢性

シングルサインオンの導入により、不適切なアカウント情報の管理を防止する効果が期待できますが、一本化したIDとパスワードが流出すると大きな被害に繋がる弱点も持っています。そのため、製品に備わるセキュリティ機能が十分かどうかは重要なポイントです。

利用できるセキュリティ機能は製品によって異なります。よくある機能としては、IPアドレス制限、多要素認証などが挙げられます。また、必要に応じてアクセスコントロール機能、ブラウザ制限、端末管理、パスワードレス認証、生体認証、リスクベース認証、ワンタイムパスワードなど、セキュリティ機能が充実した製品を選定し、セキュアな環境を構築しましょう。

多要素認証について詳しく知りたい方は、以下の関連記事もご覧ください。

関連記事：二要素認証とは？SAPのセキュリティを高めるシングルサインオン

まとめ

シングルサインオンには複数の方式があり、自社の目的や状況と相性のよいものを選択することが重要です。利用中のサービスによっては選択した方式と連携できない場合があるため、事前によく確認する必要があります。

導入メリットとして、ログイン作業の省力化、ID・パスワードの一本化による業務効率化が期待できます。ただし、一本化するデメリットとして、アカウント情報が漏えいした際の被害が大きくなりやすいため、厳重なセキュリティ対策も必要です。

シングルサインオンをセキュアに運用する際には、適切なID管理が欠かせません。SAP認定を受けたQUEST社のID管理ソフトウェアOIM（One Identity Manager）の利用も併せてご検討ください。

ID管理ソフトウェア「One Identity Manager」