シングルサインオン（SSO）とは？仕組みやメリット・デメリットを解説

近年、ITの進歩やネットワーク回線の高速化を背景に、企業内で使用されるアプリケーションやクラウドサービスが増加の一途を辿っています。これまで手作業で行っていた作業がシステム化されることで利便性は増しましたが、一方でサービスごとに入力を求められるIDやパスワードに煩雑さを覚えるケースも少なくありません。

ここでは、複雑化したIDやパスワードの管理を容易にする仕組みとして生まれた「シングルサインオン（SSO）」の概要や特徴、メリット・デメリットについて解説します。

【目次】

・すべてのサービスと連携できるわけではない

・導入コストが発生する

■シングルサインオンサービスを導入する際のポイント

・導入する必要性を検討する

・システム連携が行えるかを確認する

■シングルサインオン実装後も油断は禁物

■増え続ける認証にはシングルサインオンで対応しよう

シングルサインオン（SSO）とは？

シングルサインオン（Single Sign On、SSO）とは、1つのIDとパスワードを入力するだけで、複数のアプリケーションやクラウドサービスなどにログインできる仕組みのことです。シングルサインオンを導入することで、サービスごとに認証を行う必要がなくなります。

一般的に社内では、メールやグループウェア、社内ポータル、Officeソフト、Googleのサービス、業務用アプリケーションなど多くのシステムやサービスを利用しています。

これらのサービスごとに別々のID/パスワードを設定すると、ログインの度に異なるID/パスワードの入力を求められる、パスワードを忘れた際の再設定作業に手間がかかるなどの問題がありました。

また、ユーザーが忘れるのを防ぐために簡単なパスワードを使い回したり、パスワードをメモ書きしたりする行為を助長する要因にもなり、情報漏洩のリスクが高まります。

シングルサインオンの導入によって、サービスごとにログインし直したり複数のID/パスワードを管理したりする必要がなくなります。

シングルサインオンの仕組みの種類

シングルサインオンは、その仕組みによっていくつかの種類に分類できます。ここでは代表的な4つの仕組みと、それぞれの特徴についてご紹介します。

SAML認証方式

SAML（Security Assertion Markup Language）とは、異なるインターネットドメイン間でユーザー認証を行うための規格を指します。

SAMLを使った認証では、IdP（Identity Provider）と呼ばれる事業者が、SP（Service Provider）に認証情報を提供することでシングルサインオンを実現しています。SPとはログインされるサービス、つまり各クラウドサービスのことです。

SAML認証方式では、まずユーザーがSPにアクセスすると、SPはSAML認証要求を生成してIdPに送信します。IdPは受け取ったSAML認証を解析してユーザー認証を行い、認証応答をSPへ返します。そしてSPは受け取った認証応答をもとに、ユーザーのログインを許可あるいは拒否するというのが、認証までの流れです。

IdPは専用のログイン画面をユーザーに表示してID/パスワードを入力させ、認証が成功すれば各SPが自動ログインを実施するため、SPごとにログインする必要がありません。

代行認証方式

代行認証方式とは、ユーザー自身がログインを行うのではなく、パソコンにインストールした「エージェント」と呼ばれるシステムが、ユーザーの代わりにID/パスワードを入力するという方式です。パソコンに常駐したエージェントは、アプリケーションのログイン画面が起動するとそれを検知し、ID/パスワードを自動入力する機能を持っています。

代行認証方式を利用するには、パソコンにエージェントをインストールする必要があるので、パソコン台数が多くなるほどインストールの手間が増します。

リバースプロキシ方式

リバースプロキシ方式とは、「リバースプロキシ」と呼ばれる中継サーバー上で認証を行う方式です。

リバースプロキシ内でユーザー認証を行い、以後はリバースプロキシ経由で対象のサービスにアクセスするのが特徴です。

この方式では、各サービスへのアクセスがすべてリバースプロキシ経由となるので、アクセス集中による遅延が発生する恐れがあります。

エージェント方式

エージェント方式とは、Webサーバー上にエージェントを組み込み、ログイン情報を管理させる方式です。

ID/パスワードの認証に成功するとユーザー情報がサーバーに格納され、認証済みのcookieがユーザーに返されます。以後は認証済みのcookieを使用することで、他のサービスにもログインが可能です。

シングルサインオンによるメリット

シングルサインオンを導入することで、企業にどのようなメリットが生まれるのでしょうか。代表的なメリットについてご紹介します。

利便性の向上

多くのアプリケーションやクラウドサービスを使用していると、認証の際に使用するID/パスワードの量が増え、ユーザーへの負荷が増大します。

シングルサインオンを導入すれば、1つのIDとパスワードで各種アプリケーションやクラウドサービスにログインできるようになるため、多くのパスワードを覚える必要がありません。各サービスを使う度に入力する手間も省けるため、業務効率の向上が見込まれます。

パスワード漏洩のリスクが下がる

ID/パスワードが1つの組み合わせで済むため、ある程度複雑なパスワードを設定したとしても覚えやすくなります。単純なパスワードを設定するよりもクラッキングされる恐れが低くなり、不正ログインのリスクを軽減することが可能です。

また、各パスワードをメモ書きして貼り付けておくといった管理を行う必要もなくなるので、パスワード漏洩のリスクも下げられます。

管理者の負担が減る

パスワードの管理が簡単になることで、ユーザーのパスワード忘れや誤入力によるアカウントロックなどの問題が起こりづらくなります。それらの問題解決にかかる時間が減るため、情報システム部門やIT部門など管理者の負担軽減にもつながるでしょう。

新しいサービスを導入する際は従来使っていたパスワードが設定できるので、新たにシステムを構築する必要がない点もメリットです。

シングルサインオンのデメリット

ユーザーにとっても管理者にとってもメリットの多いシングルサインオンですが、デメリットも存在します。情報漏洩などのセキュリティリスクを最小限に抑えるためにも、デメリットを把握しておくことが大切です。

不正アクセスされた際のリスクが大きい

シングルサインオンではID/パスワードを1つしか使用しません。便利である反面、ID/パスワードが漏洩した際にすべてのサービスに侵入される恐れがあり、不正アクセスされた際のリスクが非常に大きいです。

ワンタイムパスワードや2段階認証といった多要素認証を採用し、セキュリティを強化しておく必要があるでしょう。

管理システムに依存する

シングルサインオンは特定のシステムによって認証情報が管理されるため、システムが停止すると、シングルサインオンでログインできるサービスがすべて利用できなくなる恐れがあります。

またシングルサインオンの仕組みによっては、アクセスが集中することで認証に遅延が生じる可能性もある点もデメリットです。

すべてのサービスと連携できるわけではない

アプリケーションやクラウドサービスによっては、シングルサインオンと連携できないものもあります。連携できないサービスがある場合は、シングルサインオンを導入したとしても、個別にID/パスワードを設定しなければいけません。

導入に際しては、あらかじめ使用しているサービスがシングルサインオンに対応しているかどうかを確認しておくことが重要です。

導入コストが発生する

シングルサインオンを導入する際は、自社サーバーにソフトをインストールするオンプレミス型と、専用のクラウドサービスを活用するクラウド型の2パターンがあります。オンプレミス型の場合は初期費用やサーバー管理のコストがかかり、クラウド型の場合は初期コストこそ低い場合が多いですが、年間または月額でサービス利用料が発生します。

また、社員1人あたりいくらという従量課金のサービスが多いため、社員数が多い企業ほど導入コストがかかりやすいです。