どのような場所にいてもインターネットにつなぐことができるようになってきた昨今、企業では様々な場面でクラウドサービスが利用されるようになってきています。Webメールはもちろんのこと、ドキュメントファイルの閲覧・編集ができる「Googleドキュメント」や「Office365」、データの保管庫である「Dropbox」など、枚挙にいとまがありません。
その一方で、ログインするサービスの数だけ、IDとパスワードを管理する必要があります。多くのクラウドサービスを利用している結果、同じパスワードを流用し、惰性で管理を続けてしまうことは残念ながらよく聞く話です。
そのような悩みを解決するのが「シングルサインオン」です。
今回は、この手法について解説いたします。
複数のサービスを一つのID/パスワードで管理する「シングルサインオン」とは?
「どんなサービスにも統一された一つのサービスのID/パスワードでログインできるようにする」という手法が「シングルサインオン」です。
簡単に言うと、複数のサービスのログイン情報を保存した基本システムに、一つのID/パスワードでログインすることで、基本システム側がクラウドに保存されているそれぞれのサービスのID/パスワードを自動的に適用してくれるというもの。これによって、それぞれのサービスを使うたびにログインしなくても、一度のログインでサービスを利用することができます。
例えば現在多くのクラウドサービスのログイン時にはFacebookアカウントやGoogleアカウント、Twitterアカウントなど様々な他のサービスのIDでログインすることができます。
なぜなら、各種Webサービスが、様々な手法で「そのアカウントがその人であることの証明」を受け付けるようになったからです。具体的な手法としては、「証明書認証」や「SAML」「OpenID」「OAuth」などがあります。仕組みについて今回は割愛いたしますが、このような技術により、一つのサービスのID/パスワードを利用して複数のサービスへログインすることが可能になっているのです。
ユーザーは基本システムに入るためのID/パスワードさえ覚えておけば他サービスのID/パスワードが不要なので、情報を管理することが非常に容易となります。さらに昨今は「パスワードの定期的な変更」よりも「必要十分に複雑なパスワード」が推奨されていることもあり、パスワードの定期的な変更は必須ではなくなってきました。その結果、シングルサインオンの利便性はますます高まってきています。
シングルサインオンを利用するメリット/デメリットとは
管理する側に取ってみれば実に快適な環境を構築できるシングルサインオン。利用する上でいったいどんなメリットがあるのでしょうか。
まず最大のメリットは、クラウドサービスに対するセキュリティの向上です。使用するID/パスワードが減るので、パスワードの使い回しを避けることが以前と比べると容易になります。また、それぞれのサービスを利用するためにパスワードを入力する必要がないため、たとえ何十桁もあるパスワードを設定しても手間になりません。
ユーザーから見ても一つのID/パスワードでログインした後はアクセスするだけで他のサービスが使用できる状態になりますから、業務効率が上がることは間違いないでしょう。
シングルサインオンでは、管理側が注意すればパスワードの使い回しを避けられるのはもちろん、外部サービスのパスワードがどんなに複雑でも、管理する側やユーザーが入力する必要がありませんから、標準的に見てセキュリティが向上することは言うまでもありません。
一方でデメリットも存在しています。シングルサインオンでは1つのID/パスワードですべてのサービスにログインが可能なため、そのID/パスワードが外部に漏れてしまうと、すべてのサービスのID/パスワードが流出したのと同じことになってしまいます。それぞれのユーザーが保管しているID/パスワードに対しては、これまで以上に気をつける必要があると言えるでしょう。
また、シングルサインオンを提供している基本サービス自体が停止してしまうと、すべてのサービスに対してログインができなくなってしまいます。サービスを選択する際のSLA(サービス品質保証)の確認は重要です。
法人でも活用できるシングルサインオンサービス
「シングルサインオン」はIDaaSと呼ばれる統合サービスの1つの機能として提供されています。IDaaSが提供している機能は主に、以下の要素から成り立っています。
- シングルサインオン
- ID管理/連携
- アクセス権の設定・認定
- 監査機能(ログ関連の機能を含む)
ここで代表的なIDaaSサービスを紹介いたします。
・Azure Active Directory
マイクロソフト社が提供しているサービスです。Azureのサービスの一環として提供されている機能で、Azureのサブスクリプションサービスを利用していれば無料で利用することも可能です。Office 365などを活用していれば追加で月額を支払うことでも利用でき、特にOffice系をはじめとするマイクロソフトのサービスとの親和性が非常に高くできています(もちろんマイクロソフト外のサービスとの連携も問題ありません)企業で必要となる機能を充足したBASICアカウントでは、月額112円/ユーザーとなっています。
・OneLogin
米国OneLogin社が提供しているサービスですが、日本国内の代理店が数多く存在しています。また、ユーザーインターフェイスもわかりやすいということで活用されているIDaaSです。月額4ドル/ユーザーから十分な機能が使用可能です。
・TrustLogin
GMO系列の会社が提供しているシングルサインオンサービスです。国内開発ということもありサポートの品質が優秀なのが特徴です。無料プランもあるものの、標準価格は月額300円/ユーザー。オプションとして自社専用のシングルサインオン機能もありますが、一部機能は開発中となっています。
・Okta
IDaaSサービスを紹介する上では避けては通れない、米国のIDaaSの中では最大手のサービスです。日本語化はされていませんが、機能の充足度は間違いなく一歩先を進んでいます。こちらは年間で約30万円/100ユーザーからと、少々ハードルが高くなっています。
シングルサインオンは良策ではあるが、何もしなくていいわけではない
シングルサインオンの仕組みから、IDaaSの紹介まで説明させていただきましたが、これらの施策は万能の解決策ではありません。各種サービスに対してのパスワード設定運用ルールの策定、ユーザーに対するログイン時のルール(特に外出先でのアクセスルール)の徹底や、各個人の利用するコンピュータに対してのセキュリティソフトの導入など、しっかりとしたセキュリティ施策の上で設定することで、個人の業務効率を上げることや管理体制の簡略化ができるようになります。
シングルサインオンを、簡略化するためだけのツールではなく、セキュリティ体制を一歩上に上げるためのツールと認識し、万全な体制を作り上げましょう。