シングルサインオン（SSO）とは？認証連携の仕組みやメリットをわかりやすく解説

【図1】シングルサインオン未導入と導入した場合の違い（イメージ）

シングルサインオン（SSO：Single Sign On）とは、一度のユーザー認証で複数のシステムやクラウドサービス、アプリケーションにアクセスできるようになる仕組みや環境を指します。

通常、システム等へのログイン（ユーザー認証）にはIDとパスワードの組み合わせが必要です。そのため、使用するシステムやサービスごとにIDとパスワードを設定し、ログインのたびに入力しなければなりません。IDとパスワードの組み合わせをシステムに記憶しておかなければならず、管理には手間がかかります。結果、同じパスワードを使い回したり、推測されやすい安易なパスワードを設定したりしてしまい、セキュリティリスクが増大してしまうおそれがあります。

シングルサインオンを導入することで、一つのIDとパスワードを設定すれば、連携する複数のシステムが利用できるようになります。このシングルサインオンのメリットは、以下のように多岐にわたります（詳しくは後述）。

1. パスワードの管理が簡素化でき、ユーザーの利便性が向上します。
2. 煩わしいログイン手続きを減少させ、業務効率化が可能となり、生産性を高めます。
3. セキュリティが強化され機密情報の漏洩を防ぐ手助けとなります。

近年シングルサインオンが多くの企業やサービスで導入されているのはなぜでしょうか。導入しなかった場合にどのようなリスクが考えられるのか、ここではシングルサインオンが必要な理由を３つに分けて解説します。

機密情報漏えいのリスクがある

シングルサインオンを採用しない場合、ユーザーは複数のアプリケーションやwebサービスごとに異なる認証情報（ID名とパスワード）を設定し、管理する必要があります。この多くのパスワードを人の手で管理していると、以下のようなリスクが生じます。

1. パスワードのずさんな設定によるセキュリティの脆弱化
   入力の手間の煩雑さから、ユーザーが強力なパスワードを設定しない可能性が高まり、セキュリティが脆弱化します。
2. パスワード情報の喪失、忘却
   多くのパスワードを記憶しておくことは難しいため、ユーザーがパスワードを忘れることが頻繁に発生します。
3. パスワード共有のおそれ
   ユーザーがパスワードを共有したり、安全ではない方法（メモを残すなど）で保管したりする可能性があり、結果として情報漏洩のリスクが高まります。

情報管理業務にかかる人的リソースやコストが増大する

シングルサインオンを導入しない場合、企業や組織は情報管理業務に要する人的リソースとコストが増大します。これにより、以下の問題が生じます。

1. 人的エラーの増加
   手作業でのアカウント管理にはエラーがつきもののため、セキュリティリスクを高めます。
2. コスト増大
   人的リソースの増加とサポートコストの上昇が、企業や組織に負担をかけると考えられます。例えば、ユーザーがパスワードを忘れるとユーザーからの問い合わせのコストが発生します。加えてサポートのパスワードリセットや返信のコストがかかり、さらには一定期間システムを利用できない時間のロスもあります。

業務効率が低下する

シングルサインオンを導入しない場合、ユーザーは毎回複数のアプリケーションに別々にログイン手続きを行う必要があるため、業務効率が低下します。これにより、次のような問題が発生します。

1. 作業遅延による業務効率の低下
   ログイン手続きが煩雑なため時間を浪費し、業務プロセスに遅延が生じます。
2. モチベーションの低下
   頻繁な認証要求が担当者にストレスを与え、モチベーションを低下させるおそれがあります。

シングルサインオンを導入することで、これらのリスクを回避し、セキュリティを向上させ、業務効率を高めることが可能になります。次の章で詳しく紹介します。

シングルサインオンを導入することで、上で紹介したリスクを回避でき、さまざまなメリットが期待できます。ここでは主に企業や組織の管理者から見た場合の、シングルサインオン導入のメリットについて解説します。

【メリット1】不正アクセス・機密情報漏洩などセキュリティリスクが軽減される

シングルサインオンを導入すると、複数のアプリケーションやシステムごとにパスワードを管理する必要はありません。設定した強力なパスワードを1つ、適切に管理すれば安全性は非常に高くなります。またシングルサインオンは、多要素認証（MFA）などの高度な認証方法を組み合わせて使用できるため、不正アクセスを防ぐためのセキュリティレベルが高まり、リスクを軽減します。

【メリット2】管理リソースやコストの削減が可能になる

社内システムだけでなく外部のクラウドサービスの活用も増えています。複数の別々のシステムやクラウド、アプリケーションを使用する場合、IDとパスワードの数が増え、紛失や喪失などが起きやすくなり、管理するIT部門の負担が増大します。シングルサインオンは、従業員が使う複数のサービスにおけるアカウント情報を一元管理するため、サポート対応の手間が大きく軽減されます。またライセンス管理も効率化されるため、ライセンスの不要な重複が起こりにくくなり、コスト削減につながります。

【メリット3】利便性や業務効率の向上、従業員のモチベーション向上に役立つ

一度の認証で複数のアプリケーション等にアクセスできるため、煩雑なログインの必要がありません。これにより、システム等を活用する従業員にとっても利便性が高まり、業務効率が向上します。またこれらの煩雑な業務が軽減されることから、業務へのモチベーションアップにつながることも期待できます。

シングルサインオンの認証には複数の方式があり、それぞれ認証の仕組みが異なります。方式の分類については定説があるわけではありませんが、おおむね４つ～5つ程度に分類されることが多いようです。ここでは以下の５つについて解説します。

（1）リバースプロキシ方式

リバースプロキシ方式は、リバースプロキシと呼ばれる中継サーバを介してクライアントとサービス間の通信を制御し、認証する方式です。ユーザーがアプリケーションにアクセスすると、リバースプロキシが認証情報を確認し、認証済のcookieが発行されアクセスを許可します。

この方式は、アクセスをすべてリバースプロキシサーバ経由で行うため、それに最適なネットワーク構築が必要になります。メリットとしては専用エージェント（後述）が不要のため、導入のハードルが低く運用開始までの工数を短縮しやすいとされています。

（2）SAML認証方式

SAML（Security Assertion Markup language）認証方式は、IdP（Identity Provider）またはSP（Service Provider）を利用した方式です。SAMLは異なるセキュリティドメインの間で信頼性の高い方式を用い、認証情報を共有するXML（マークアップ言語）をベースにした標準規格です。サービスによってはフェデレーション方式と呼ばれることもあります。

SAML認証では、ユーザー認証に加えてユーザーの属性情報も認証できるため、アクセス範囲も制限できるメリットがあります。またクラウドサービスにおけるシングルサインオンが簡単にできることなどがメリットです。一方、プロトコルに対応していないとシングルサインオンの導入は難しく、既存システムを利用する場合にプロトコル対応のための改修が必要になるケースもあります。

（3）代理（代行）認証方式

ユーザーがアプリケーションに直接認証情報を提供せず、使用する端末にエージェントをインストールします。ユーザーがアプリケーションにアクセスすると、ログイン画面を検知して代行サーバが認証情報を確認し、許可された場合に自動で入力、アプリケーションにアクセス権を付与します。単体で用いられるだけでなく、他のシングルサインオン方式（リバースプロキシ方式、エージェント方式）と組み合わせたり、IDaaSではフェデレーション方式と併用されることもあります。

代理認証方式では、エージェント方式では不可能なレガシーシステムにも対応できることや、アプリケーションサーバに専用の構築や改修が不要な点がメリットです。一方、エージェントの導入が必須であることや、ID情報管理について専用サーバとアプリケーション側、両方で一致させなければならない点がデメリットといえます。

（4）エージェント方式

エージェント方式は、webシステムやアプリケーションのサーバにエージェントソフトウェア（エージェントモジュール）を組み込む方式です。ユーザーがアプリケーションにアクセスする際、ブラウザとアプリケーションの通信間に設けられたエージェントは、シングルサインオン用の外部サーバと連携してサーバ側から認証情報を管理し、アクセスを許可または拒否します。

エージェント方式はリバースプロキシ方式と比較して、専用のネットワーク環境を構築せず既存のネットワーク環境のままシングルサインオンを実現しやすい点がメリットとされています。またエージェントモジュールを組み込めば拡張が可能な点もメリットといえるでしょう。一方、エージェントモジュールを対象システムのサーバすべてにインストールしなければならない点、レガシーシステムには対応できない場合がある点がデメリットです。

（5）透過型方式

透過型方式とは端末とWebシステムの間に透過モードを設定し、ユーザーがWebシステムやアプリケーションにアクセスする際、その通信を監視する方式を指します。端末とWebシステムの間に監視用のシングルサインオン製品を導入し、ユーザーが必要なときに都度、認証情報を送信します。エージェントモジュールのインストールやネットワーク構成の変更が不要な点がメリットといえる、比較的新しい方式といえます。

シングルサインオンによりこれまで紹介したような多くのメリットが期待できます。一方で導入に際しては、デメリットともいえる注意点を念頭に置く必要があります。ここではシングルサインオン導入の注意点と、問題が発生した場合の対策について解説します。

【注意点1】パスワード情報漏洩や不正アクセスが発生した際の被害が大きい

シングルサインオンを導入すると、一つの認証情報で複数のシステムにアクセスできるため利便性が上がることは前述のとおりです。ただし、認証のための情報が少ないということは、パスワード情報等の漏洩や不正アクセスが発生した場合のリスクも大きくなります。認証手続きが突破されると、その認証でアクセスできるすべてのシステムが脅威にさらされることになるため、被害範囲が大きくなります。パスワードの管理体制の徹底は当然ながら、以下のような対策も必要です。

【対策】①ワンタイムパスワードを採用する

ワンタイムパスワードとは、一度だけ使用可能な使い捨てのパスワードのことです。近年は銀行口座やクレジットカードの不正利用防止など、日常的にワンタイムパスワードを使うアプリやサービスが増えています。シングルサインオンでもワンタイムパスワードを採用することで、パスワードの再利用や盗難リスクを軽減できます。

【対策】②IPアドレス制限対応の製品を用いる

IPアドレス制限は、特定のIPアドレスからのアクセスのみを許可するセキュリティ対策です。シングルサインオン製品の中には、IPアドレス制限に対応したものもあります。不審なIPアドレスからのアクセスを防ぎ、例えば企業の内部ネットワークやVPNからのアクセスのみを許可することでセキュリティをさらに強固にでき、パスワード漏洩時の被害を最小限に抑えることが可能です。

【対策】③生体認証を含めた多要素認証を導入する

現在トレンドとなっている認証方法です。ここでいう多要素認証とは、「知識情報（パスワード、秘密の質問など）」「所持情報（キャッシュカードなど）」「生体情報（指紋、声紋など）」のうち２つ以上を組み合わせることを指します。

例えば、ワンタイムパスワードは所持情報なので、ID/PW（知識情報）と合わせて2要素認証になります。一方、ID/PWと秘密の質問はいずれも「知識情報」のため「2段階認証」となります。多要素認証については、導入に一定のハードルがあるケースもあり、サービス内容やベンダーの実績、コストなどがポイントになります（後述）。

【注意点2】システム停止時に影響が大きい

もしもシングルサインオンシステムが停止してしまうと、利用しているすべてのサービスへのログインが不可能になり、アクセスが妨げられます。この場合、業務に大きな影響を及ぼす可能性があります。業務遅延・停滞のほか、売り上げの減少、顧客への対応にもリソースを割くことになります。最悪の場合は顧客からの信頼を失うなど事業の継続が危うくなるおそれもあります。

【対策】

IT部門や管理担当者は前もってこのような事態を想定しておき、万が一発生した場合の対応についての備えが必須となります。

シングルサインオンシステムの高可用性（システムが利用可能である状態が保ちやすいこと）の確保には、定期的にシステムのバックアップを取り、問題が発生した場合は迅速に復旧できるようにすることが重要です。またシステムの監視を継続して行い、問題が発生した場合にすぐに対応できるようにすることも必要です。

【注意点3】シングルサインオンに対応しない機器・システムがある

現在は多くの企業が、複数のシステムやサービスを併用しています。それらのシステムの中には、シングルサインオンに対応していないものもあります。

【対策】導入前の確認や追加サービス導入の検討が必要

シングルサインオンの製品やサービスを導入する前に、まずは自社の既存システムに対応しているかどうか確認が必要です。これについては多数のシステムを取り扱う企業の場合、契約ベンダーに相談することをおすすめします。

シングルサインオンに対応していないシステムでは、対応に追加費用を要するものもあります。このようなシステムが複数ある企業の場合は、すべてのシステムを一つの認証に対応させようとすると、かえってコストや人的リソースがかかることもあります。

シングルサインオンの目的は、認証の回数を減らし業務効率を上げること、そして情報漏洩のリスクを最大限減らすことにあります。よって、「一つだけにまとめる」ことが目的ではありません。「認証回数をできるだけ減らしてセキュリティ向上、省力化、利便性を目指す」という観点で、導入する製品やサービスを選ぶことがポイントです。

シングルサインオンの導入を検討する場合にはいくつかのポイントがあります。ここでは自社に最適なシングルサインオン製品・サービスの導入のためにおさえておきたいポイントについて解説します。

【ポイント1】オンプレミス型かクラウド型か

シングルサインオン製品・サービスにはオンプレミス型とクラウド型があります。オンプレミス型は企業の内部ネットワーク上に設置・運用する形式のため、企業内で完結しており、制御や運用も企業内で進めることができる点がメリットです。しかし、初期導入費用や運用コスト、保守・管理に専門スタッフが必要となる（IT人材の採用）といった課題があります。

一方、クラウド型はサービスプロバイダが管理・運用する形式のため、初期コストや導入の手間を大幅に削減できます。また、リモートワーカーや複数拠点への対応が容易であるため、コロナ禍依頼の職場の分散環境にも適しています。ただし、基本的な運用は外部委託となるため、データのセキュリティやプライバシーについての配慮が必要です。

【ポイント2】既存システム・導入を検討しているシステムと連携できるか

シングルサインオンシステムは、既存のシステムや将来導入を検討しているシステムとの互換性が必要となります。ユーザー認証用のデータベースやアプリケーション、クラウドサービスなど、多様なシステムとの連携が可能なシングルサインオン製品・サービスを選ぶことで、業務効率化とセキュリティ強化を両立できます。どのシングルサインオン製品・サービスならば自社のシステムに適合し連携できるかは、契約ベンダーなど外部の専門企業に問い合わせることをおすすめします。

【ポイント3】運用・管理しやすいか

手間をかけず運用・管理ができるシングルサインオンシステムが望ましいといえるでしょう。管理担当者が効率良く運用できる機能が充実しているか、導入前に確認することが重要です。その他、システムの更新・アップグレードが容易であるか、セキュリティが常に最新の状態を保てるかなども重要な判断基準となります。

【ポイント4】導入前・後のサポート体制が充実しているか

シングルサインオンシステムを導入する際には、提供ベンダーのサポート体制を確認することも重要です。導入前のコンサルティングの密度、従業員へのトレーニングや導入支援が充実しているかどうか確認しましょう。また、導入後に問題が発生した場合、迅速に対応してくれるサポート体制が整っているか、またそれに対してコストが発生するかどうかを見極めることが大切です。実際の導入支援実績などを参考に、信頼できるサポート企業を選んでください。

この記事では、シングルサインオンの方式と仕組み、メリットや導入の際の注意点と対策について解説しました。シングルサインオンを導入することで、複数のシステムやアプリケーションへ一度の認証でアクセスでき、IDとパスワードの一元管理も可能になります。これにより情報漏洩などのリスクが軽減され、より強固なセキュリティが実現できます。また煩雑なパスワード管理が不要になり利便性が向上するため、業務効率が上がることも期待できるでしょう。

シングルサインオンにはさまざまな方式があり、オンプレミス・クラウドなどタイプの違いもあります。企業は自社に導入する際、既存のシステムや使用しているサービスと連携できる、最適なシングルサインオン製品・サービスを導入する必要があります。導入に際してはシングルサインオンの導入に詳しい、実績ある外部ベンダーへ依頼することをおすすめします。

国内No.1（※）のWeb SSO製品「HPE Ice Wall」

オンプレ型SSOアプライアンス「OneID Adapter」