複数のサービスへのログイン作業を簡略化することで、業務効率の向上やアカウント管理の負担を削減するシングルサインオンは、多くの企業で導入が進んでいます。
しかし、シングルサインオンの特性を理解しないまま導入を進めると、期待した効果を得られず導入コストがかさんだだけ、といった結果にもなりかねません。
この記事では、シングルサインオンを導入するにあたりメリットやデメリット、弱点を補うために考えられる対策を解説します。
シングルサインオン(SSO)を導入する前に
システム導入の前に利用方法や目的を明確にすることで、シングルサインオンの効果を最大限に発揮することに繋がります。
※この記事では、以下の本文中でシングルサインオンを「SSO」と表記します。
シングルサインオン(SSO)に対応させたいシステムの明確化
SSOを検討しているのであれば、ログインの手間やアカウントの管理に課題を感じているケースがほとんどでしょう。
SSOでログインを行えるようにするシステムを明確にリストアップすることで、ログイン作業やアカウント管理工数をどの程度削減できるのかの見通しを立てることができます。
利用しているシステムが少ない場合は、パスワード管理システムなど別のアプローチを検討した方が費用対効果を高められるケースもあるため、事前に検討することが大切です。
サービスの提供形態
現在の主流はクラウドサービスですが、オンプレミスの社内システムをSSOに対応させる目的であればオンプレミスのSSOサービスや、Active Directoryによるケルベロス認証が適しているケースもあるでしょう。
価格やネームバリューだけではなく、自組織のシステムとマッチした方法を検討する必要があります。
シングルサインオン(SSO)の方式を検討
SSOにはSAML方式やエージェント方式、リバースプロキシ方式など、いくつかの方式が存在します。
「ログイン作業の手間を削減する」という目的は統一されていますが、仕組みや管理者が理解するべき仕様は異なり、環境によって適さないケースもあるため、導入前にチェックすることが大切です。
導入した結果、求めていた効果が出ないといった状況を避けるために、入念な検討を行ないましょう。
シングルサインオン(SSO)のメリット
SSOを導入することで得られるメリットを紹介します。
ログイン作業の回数が削減される
SSOに対応しているサービスやシステムであれば、一度のログイン作業でそれぞれの機能を利用することができます。
これによりログインの手間を削減できるほか、入力間違いによるロックやアカウント忘れなどのトラブルの防止にも繋がります。
管理するアカウント数の削減
SSO用のアカウントがあれば複数のサービスを利用可能です。
SSOを導入することで管理するべきアカウント自体が削減されるため、システム利用者の負担が削減されます。
IT管理者の負担軽減
前述のように、SSOによりアカウント数やアカウントロックなどのトラブルが減少することを期待できます。
そのため、IT管理者によるアカウントロック対応回数の削減や、組織が保有するアカウント情報の管理負担の削減にも繋がるでしょう。
工数や負担の軽減が、SSOによる主なメリットと言えます。
シングルサインオン(SSO)のデメリット
SSOには多くのメリットがありますが、注意点も存在します。
全てのシステムが対応できるわけではない
SSO自体や特定の方式に対応していないサービスも存在します。
利用するサービスをSSO対応させればログインの手間は削減できますが、特定のサービスだけは手動でのログインが必要など、利用者にとって分かりづらい環境となる可能性は理解しておく必要があるでしょう。
導入コスト
SSOは、ログイン作業やアカウント管理の負担を軽減することが主な目的のひとつです。
そのため、利用しているサービスが少なく、従業員にとってそれほど大きな負担が発生していない場合は費用対効果が薄くなることが考えられます。
導入コストと削減できる従業員の負担を比較し、メリットの大きい選択をすることが大切です。
不正アクセス発生時の被害範囲
1度の認証で複数サービスへログインが行えるということは、不正にSSOによるログインが行なわれた場合に被害を受けるサービスが増加することを意味します。
不正アクセスや情報漏洩といったセキュリティ事故は組織へ大きな被害をもたらし、今後のビジネスに影響することも珍しくありません。
そのため、厳重なログイン情報の管理や強固な認証方式の検討も必要です。
メリットはもちろん、デメリットについても十分に理解することが大切です。
シングルサインオン(SSO)のデメリットを補うためには
不正アクセスに関しては、別のセキュリティと組み合わせることで一定の対策が可能です。
認証方法をより強固な方法にする
SSOによりログイン作業やアカウント管理の負担を削減しつつ、必要な1度のログイン作業を強固な方式にするアプローチです。
IDとパスワードの組み合わせだけではなく、ワンタイムパスワードの発行や生体認証の導入が考えられます。
近年のPCでは、ハードウェアに生体認証用のセンサーが搭載されているため、比較的導入はしやすいと言えるでしょう。
顔認証システムもPCやサービスへのログインに対応しており、顔を向けるだけで認証完了するスムーズなログイン作業を実現します。
入退室管理や勤怠管理とも連携できる応用力があるため、組織全体のセキュリティ向上を狙う際には検討するとよいでしょう。
影響を抑制するゼロトラスト
現在主流の境界型防御では、近年のビジネス環境における脅威を防ぎきれないという考えが広がっています。
クラウドやスマホなど、境界型防御で守っているオフィス内ネットワークの外に機密情報が保存されるため、防御の範囲が曖昧になってしまうことが大きな理由のひとつです。
ゼロトラストはそのような課題を解決できるセキュリティの概念として注目されています。
クラウド上の通信やユーザーの振るまい、ステータスを常に検証し、不審な挙動を検知した場合はアクセスの遮断や追加の認証を求めることで、不正行為を遮断することが可能です。
SSOを提供するクラウドサービスは、ゼロトラストを意識しているものが多くあります。選定の際は意識するとよいでしょう。
生体認証やゼロトラストは、シングルサインオンに限らずセキュリティを強化するために有効な対策です。
弱点を補い、安全性と効率の両立を目指そう
SSOは業務の手間や負担を削減し、複数のサービスをシームレスに利用できる便利な仕組みです。
しかし、デメリットは存在しており、特に不正アクセスの被害に遭ってしまった場合は大きなダメージを被る恐れもあるでしょう。
このデメリットを解消するためには、一回のログインを強固な方法で行なうことが有効なアプローチのひとつと言えます。
顔認証システムであれば、ログインの安全性を向上させ、他システムとの連携も視野に入れた効率化を実現できます。
シングルサインオンと併せて、認証システムの検討も行なってみてはいかがでしょうか。
