セキュリティサービス

TOUCH THE SECURITY Powered by Security Service G

ライター別 >

ナレッジ

2024.12.17

ID管理の世界(第2回) シングルサインオンを考える

田村 宏司

こんにちは、セキュリティ本部の田村です。 ID管理の世界、第2回はシングルサインオンについてお話していきます。

身の回りの多くのデジタル機器や情報サービスを利用する際、「ユーザー認証」が必要になります。 情報にアクセスする際、多くのサービス、システムについて、それぞれのIDとパスワードで認証することを余儀なくされていると思います。

ユーザーは、アクセス対象のアプリケーション、サービス、システムが増えれば増えるほど、ID、パスワード管理が大変になります。ユーザー心理として、使いまわしてしまったり、脆弱なパスワードを設定してしまうこともあるでしょう。

また、対象サービスが多い場合、ID、パスワードが流出してしまう確率もそれだけ高まり、リスクと影響は大きくなります。 特にID、パスワードの使いまわしの脅威として、それらがフィッシングサイト等で搾取された場合、または別のサイトで、ID、パスワードの流出が発生した場合に、不正利用、不正アクセスされる可能性があります。これはどれだけ複雑なパスワードを設定していても同様です。

目次

シングルサインオン(SSO: Single-Sign On)とは

これらの解決策として、挙げられるのはシングルサインオンです。

昨今のクラウド利用の増加により、ID、パスワード情報が各方面に分散している状況の為、ますますシングルサインオンのニーズが高まっています。企業利用だけでなく、個人利用の場合でも同様でしょう。

シングルサインオン(SSO: Single-Sign On)とは、複数のアプリケーション、サービスを一元的に認証することによって、利便性と安全性を向上させる認証方式です。 ID、パスワード認証を一元化するだけでなく、認証の定義やポリシーなども統一でき、ユーザーの利便性を向上させ同時にセキュリティを強化することができます。

それでは、シングルサインオンの仕組みと実現方法を見ていきましょう。

シングルサインオンの仕組み

SSOは、信頼できるIdP(IdP: Identity Provider)に認証作業を委託して認証部分を統合し、サービス利用者が1度IdPで認証を行えば、その結果を利用して、別のサービスを利用できる仕組みになります。(IdPとは、アプリケーションやクラウドサービスへのアクセスに必要となる認証情報、ユーザー情報を提供するシステム、サービスのこと。)

一般的にはSAML(SAML: Security Assertion Markup Language)やOpenID Connectといったプロトコルで実現します。
アプリケーション、サービス、IdPの仕様、ユーザーのポリシーによって以下の アクセス方法を選択します。

  • アプリケーション、サービス側のURLにアクセスした際、IdPにリダイレクトして認証を行い、アプリケーション、サービスにアクセスする(図1、図2を参照)
”SSOの仕組み その1” ”SAMLの仕組み その1”
  • 最初にIdPにアクセス、ログインして、そこからアプリケーション、サービスにアクセスする(図3、図4を参照)
”SSOの仕組み その2” ”SAMLの仕組み その2”

シングルサインオンの実現方法

具体的には、IdPのサービスを利用して、アプリケーション、サービスとの認証の連携を実現します。
IdPとしては、オンプレミスサーバタイプのものもありますが、構築や運用、脆弱性管理に工数がかかるため、SaaS化しているIDaaS(IDaaS: IDentity as a Service)を利用するのがよいでしょう。

IDaaSの代表的なものとしては、OktaのWIC(WIC: Workforce Identity Cloud)、CIC(CIC: Customer Identity Cloud)や、MicrosoftのEntra IDなどがあげられます。
IDaaSでは、SSO機能を利用でき、その他の機能(MFA、IDライフサイクル管理、ディレクトリサービス、その他)と組み合わせて利用、連携することによってセキュアな認証基盤構築が可能です。アプリケーションやサービスとの連携実績や、コネクターが数多くあるものもあります。
SSO連携は、既存利用、または利用予定のアプリケーション、サービスとの連携のしやすさも考慮しておくことがポイントになります。
また、SAMLやOpenID Connectなどで連携できない場合は、フォーム認証(代理認証)など別の方式を選択することも可能になりますが、企業ポリシーや安全性も考慮して選択する必要があります。

SSO導入でもセキュリティ強化と利便性向上は可能ですが、1度の認証で複数のアプリケーションにアクセスできるため、そのリスク対策も検討しておくべきでしょう。

シングルサインオンの活用方法

セキュリティをさらに強化するために、第1回でお話したMFAや、別の要素技術と SSOを組み合わせて導入、利用することがポイントになります。
SSOで認証部分を最小限に統合して、MFAやパスワードレス、その他の要素を組み合わせることによって、セキュリティ強化を実現することができます。IDaaSには、MFAの機能を実装しているものが多い為、柔軟に導入ができるでしょう。

また、SSOとMFA導入で構築した認証基盤によって整理された「ID源泉」を、新規サービス導入時や、別のサービスとの連携に活用することで、効率よく導入し、セキュリティ強化が図れます。複数サービスのログ整理や可視化もしやすくなり、不具合発生時の迅速な対応も可能になります。

パスワードレス、ID源泉の活用、ログの可視化などについては、別のブログで触れたいと思います。

最後に

パーソルクロステクノロジーでは認証情報の保護、認証強化、アクセス制御など、アイデンティティに関する様々な課題解決を行っております。

記事一覧に戻る

セキュリティサービストップへ
会社案内
採用情報