今回の記事では、SSOとはどのような仕組みなのか、代表的なSSOを紹介しながら詳しく解説します。
クラウドサービスが全盛の現在、業務で利用するシステムもクラウドへ移行するケースが増えています。
また、リモートワークが一般化してきた状況の中、企業にとって新たな課題として認識されているのが、IDやパスワードといったアカウント情報の適切な管理です。
アカウント情報が漏洩してしまうと、社内の機密情報や個人情報が外部へ流出する可能性もあり、企業にとっては極めて重大な損失につながります。
そこで、このようなリスクから守るために注目されているのがSSO(シングルサインオン)です。
SSO(シングルサインオン)とは
SSO(シングルサインオン)とは、1組のアカウント情報(ID・パスワード)を入力するだけで複数のWebサービスやシステムにログインできる仕組みのことです。
デジタル化やICT化が進んだ現在、IT系の職種以外でもさまざまなシステムが日常業務で活用されています。
たとえば、営業支援システムや勤怠管理システム、経費精算システムなどがあれば、それらに対応したアカウント情報をユーザー自身が管理しなければなりません。
しかし、アカウント情報の管理が煩わしいからと、複数のWebサービスで共通のID・パスワードを設定しているとセキュリティ上の問題が発生します。
そこで、アカウント管理の手間を省くと同時にセキュリティ問題をクリアする方法として、SSOが注目されています。
SSOを導入することで、エンドユーザーが複数のID・パスワードを覚えておく必要がなく、万が一パスワードを紛失した際も再発行の手間がなく、管理部門の業務効率化にも貢献できます。
DXへの取り組みが加速し、クラウドシステムを活用する機会も増えた現在、複数のシステムを使い分け、効率的に業務を遂行するためにもSSOは重要な役割を果たします。
SSOの主な機能
SSOは大きく分けて3つの機能が存在します。
それぞれの機能について詳細を解説しましょう。
認証機能
ID・パスワードをもとにWebサービスやシステムへログインすることを認証機能といいます。
認証機能は大きく分けて4つの方式に分類され、利用するシステムによっても対応方式は異なります。
それぞれの認証機能にはどのような違いがあるのか、解説していきます。
代理認証方式
代理認証方式とは、クライアントPCに専用エージェントを常駐させ、Webサービスごとに対応したID・パスワードを専用エージェントが自動入力する方式です。
クライアントPCのメモリ内にID・パスワードが保存されるため、別途サーバーを立ち上げる手間がかかりません。
リバースプロキシ方式
リバースプロキシ方式とは、クライアントPCとWebサービスおよびシステムとの間にリバースプロキシサーバーを立て、サーバー経由でアクセスする方式です。
クライアントPCから直接Webサービスへアクセスするのではなく、あくまでリバースプロキシサーバーを経由する点が大きな特徴です。
エージェント方式
エージェント方式とは、Webサービスやシステムごとにサーバーへエージェントとインストールし、アカウント情報の認証を行う方式です。
各サーバーごとにエージェントをインストールする手間はありますが、アクセス集中によって障害が発生するリバースプロキシ方式のデメリットを克服できます。
SAML方式
SAML方式とは、「Security Assertion Markup Language」の略称で、IdP(Identity Provider)およびSP(Service Provider)によって認証を行う方式です。
SPとはWebサービスのことを指し、ログイン時にIdPに対して認証要求(SMAL)を送信します。
ユーザー認証はIdP側で行われ、認証に成功するとSPであるWebサービスへリダイレクトし自動ログインされます。
セキュリティ対策
SSOにとって認証機能は基本的な要素ですが、それだけでは安全性が確保できません。
セキュリティ対策には二重三重の要素が求められ、たとえば以下のような機能を提供するSSOも存在します。
アクセス制御
アクセス制御とは、Webサービスやシステムごとにアクセスできるユーザーを制限する機能です。
たとえば、機密情報や個人情報は、社員に無条件に閲覧を許可するのではなく、業務内容に応じて閲覧可能な担当者を絞り込む必要があります。
どの情報にどの社員がアクセスできる権限を付与するかを定義し、ルールやポリシーに沿って閲覧者を制限するのがアクセス制御です。
多要素認証
多要素認証とは、IDやパスワードに加えて指紋や顔などの生体認証、IC付き社員証など、複数の要素を組み合わせて本人確認を行う認証方式です。
IDやパスワードがSSOによって厳重に認証されていても、第三者が不正にアカウント情報を取得してしまえば、悪意あるユーザーが本人に成りすましてログインが可能です。
そこで、このような成りすましによる不正アクセスが行われないよう、2つ以上の要素を組み合わせて初めてログインできる仕組みが多要素認証です。
ID管理機能
SSOを導入していない場合、Webサービスやシステムごとにアカウント情報を個別に管理しなければなりません。
入退職など人事異動が多い時季になると、それぞれのシステムを管理する部署で個別にID管理をしなければならず、非効率的な作業といえます。
しかし、ID管理機能に対応したSSOを導入すれば、社員ごとのアカウント情報を一元管理できるため、無駄な業務を削減できます。
おすすめSSOサービス5選の比較表
クラウドサービスの普及とともにSSOの需要は急拡大し、さまざまなSSOが提供されています。
そこで、おすすめのSSOをご紹介するとともに、それぞれの特徴や違いについて詳しく解説していきます。
スクロールできます→
| サービス名 | 特徴 | 費用 | 無料プラン |
|---|---|---|---|
| HENNGE One | 多要素認証やメールのセキュリティ対策、大容量ファイルの送受信といった機能が豊富なSAML方式のSSO |
|
なし |
| トラスト・ログイン | SAML方式の認証のみであれば無料で利用可能 |
|
あり |
| CloudLink | 代理認証方式とSAML方式の両方に対応 |
|
なし |
| SSOcube | 代理認証方式で独自のWebサービス向けSSOにも対応 |
|
なし |
| Online Service Gate | 10年に以上にわたるSSO開発のノウハウ |
|
あり (30日間トライアル) |
HENNGE One
HENNGE Oneは、AWSやSlack、Microsoft365など、大手SaaSに対応したSAML方式のSSOサービスです。
HENNGE Oneとは以下を総称したもので、プランに応じて対応する機能は異なります。
| HENNGE Access Control | アクセス制御機能を提供 |
|---|---|
| HENNGE Lock | 多要素認証を提供 |
| HENNGE Secure Transfer | 大容量ファイルを安全に送受信 |
| HENNGE Email DLP HENNGE Email Archive |
メールのセキュリティ対策に有効 |
もっとも安価な「HENNGE One Secure Access」は1ユーザーあたり月額400円で、200ライセンスから提供可能です。
認証機能やアクセス制御といったSSOに求められる基本的な機能で十分という場合には「HENNGE One Secure Access」がおすすめです。
その他、メール誤送信対策を含めたスタンダードプラン「HENNGE One Standard」は月額500円。
デバイス証明書発行機能を追加したエンタープライズ向けのプラン「HENNGE One Business」は月額750円で利用可能です。
トラスト・ログイン
トラスト・ログインは、ID管理や多要素認証、複数のWebシステム間のID連携機能も含めたSSOサービスです。
SAML方式による認証やSlack、Zoom連携が可能なプランはユーザー数無制限で無料で利用でき、SSOの導入が初めての場合でも安心です。
さらに、多要素認証やMicrosoft365との連携、GoogleWorkspaceなどの外部連携、アクセス制限機能が利用できる有料プランは1ユーザーあたり月額330円で利用できます(最少利用ユーザー数は30名)。
無料版と有料版の違いは他にも、ログ保管期間やサポートの手厚さが挙げられます。
無料版のログ保管期間は1年間のみで、1年ごとにアカウント情報の登録をし直す必要がありますが、有料版になるとログ保管期間は5年間のため、ID管理の手間が大幅に削減できます。
また、無料版のサポートはメールまたはチャットのみですが、有料版では電話による問い合わせにも対応しています。
特にSSOを初めて導入する企業では、サポートが充実した有料版のほうが安心して導入できるでしょう。
CloudLink
CloudLinkは、SAML方式および代理認証方式に対応したSSOサービスです。
社内で独自運用しているシステムをSSOに対応させたい場合、システム側のサーバーがSAML方式に対応していないとSSOを利用できません。
しかしCloudLinkはSAML方式以外にも、代理認証方式にも対応しているため、社外のシステムはもちろん社内の独自システムにおいてもSSOが利用可能です。
認証機能以外にも、IPアドレスやデバイスごとのアクセス制御機能、「AuthWay」と組み合わせることでワンタイムパスワードを利用した多要素認証にも対応可能です。
導入にあたっては、事前に問い合わせフォームから個別に見積もりを取得する必要があり、その際にサポート料金や初期費用なども含めて確認しましょう。
SSOcube
SSOcubeは、代理認証方式に対応したSSOサービスです。
大手のSSOサービスは安全性の高いSAML方式ですが、アプリケーションやWebサービスごとにAPIを開発しなければならず、技術的なノウハウや資金力が乏しい中小企業にとってはハードルが高いものです。
API開発の予算が確保できないなどの理由でSSOの導入を断念せざるを得ないケースもありますが、そのような企業にとって代理認証方式に対応した「SSOcube」は最適な選択肢といえるでしょう。
また、代理認証以外にも、生体認証やワンタイムパスワードによる多要素認証、ユーザー権限に応じたアクセス制御にも対応し、強固なセキュリティ対策を実現します。
ソフトウェアをインストールしたサーバーをハードウェアとして提供する「ハードウェアアプライアンス版」と、クラウドサービスとして提供する「仮想アプライアンス版」から選択でき、ユーザー数に応じて中小企業向けから大企業向けまで幅広くラインナップされています。
Online Service Gate
Online Service Gateは、Microsoft365をはじめとした幅広いクラウドサービスに対応するSSOサービスです。
ソフトバンクグループであるSBテクノロジーのソリューションで、10年以上前からOffice365(現Microsoft365)に対応したSSOの開発を手掛けてきたノウハウが活かされています。
IPアドレスやデバイスごとのアクセス制御、アクセスログの収集、メールの誤送信防止や自動暗号化など、様々なセキュリティ対策機能を実装しており、ビジネスシーンに欠かせないSSOサービスといえるでしょう。
価格は導入ライセンス数に応じて変動し、個別に問い合わせが必要ですが、本契約前に30日間の無料トライアルの利用が可能です。
SSOはリモートワークの環境構築にも役立つサービス
新たな働き方としてリモートワークが一般化する中、Webサービスやシステムに対応したアカウント情報の適切な管理は大きな課題です。
セキュリティ意識の高い社員ばかりとは限らず、中には複数システムで共通パスワードを設定していることも考えられます。
社員個人にセキュリティ対策の重要性を理解してもらうことも重要ですが、それ以上に組織として適切なセキュリティ対策を講じることが求められます。
SSOの導入はまさにこのような問題を解決するために最適なツールといえるでしょう。
導入コストも安価で1ユーザーあたり数百円程度から利用できるサービスもあるため、ぜひ導入を検討してみてください。
