企業のIT環境が多様化する中、アクセス管理やセキュリティ強化のための取り組みは中小企業のセキュリティ担当者にとっても欠かせないテーマとなっています。
その中で、効率的なアクセス管理とセキュリティ向上のためのツールとして「シングルサインオン(SSO)」の導入が注目されています。
一度の認証で複数のサービスやアプリケーションにアクセス可能になるSSOは、数多くの企業で利用されていますが、その具体的な導入事例やメリット、デメリットはどのようなものなのでしょうか。
本記事では、実際のSSOの導入事例を5つ厳選して紹介しながら、その活用のポイントや注意点を詳細に解説します。セキュリティ担当者の方々がSSOを導入を検討する際の参考情報としてお役立てください。
シングルサインオン(SSO)とは?
シングルサインオン(SSO)とは、一度の認証で、複数のシステムやアプリケーションを利用できるようになる仕組みのことを指します。
これは、ユーザーが複数のアプリケーションやウェブサイトにアクセスする際に、それぞれのサービスごとに別々に認証を行わずに、1回のログイン手続きで一括して認証を受けることができるという利便性を提供します。
例えば、オフィス内でメールシステム、ファイル共有、プロジェクト管理ツールなど、複数のサービスを利用する場合でも、一度のログインでこれら全てにアクセスできます。
SSOの市場規模
クラウドシングルサインオンやクラウドセキュリティゲートウェイ、その他クラウドセキュリティを含む国内クラウドセキュリティの市場規模は、2017年時点で前年比19.7%増の96億円となっています。
近年、クラウドサービスはビジネスや個人の利便性を向上させるだけでなく、コスト削減や柔軟性の向上といった利点ももたらしています。
企業はデータやアプリケーションをクラウドに移行し、従来よりも多様なサービスを活用して業務を行っています。そのため、複数のクラウドサービスを利用する際のログイン情報管理の煩雑さやセキュリティリスクが増大しています。
この市場規模の拡大は、クラウドセキュリティに対する需要の増加を示すものとなっており、企業や組織は自社のデータやシステムを守るため、クラウドセキュリティゲートウェイなどのソリューションを導入する傾向にあります。
参考:国内クラウドセキュリティ市場、2022年には220億円規模に–IDC Japan予測
SSOの仕組みについて
SSOの仕組みについて理解するためには、まずSSOの認証方式がいくつか存在することを知ることが重要です。
主な方式として、「代理認証方式(代行認証方式)」「リバースプロキシ方式」「エージェント方式」「フェデレーション(認証連携)方式」「透過型方式」の5つが挙げられます。
代理認証方式(代行認証方式)
この方式では、ユーザーが一度認証を行うと、SSOサーバーがその認証情報を代理で保持し、複数のシステムやアプリケーションに代行して認証を行います。ユーザーは個々のアプリケーションに対して直接認証を行わずに、SSOサーバーを通じて認証されるため、利便性が向上します。
リバースプロキシ方式
この方式では、リバースプロキシサーバーがSSOサーバーの役割を果たします。ユーザーがアプリケーションにアクセスすると、リバースプロキシサーバーがユーザーの認証情報をSSOサーバーに送信し、認証を受けます。その後、リバースプロキシサーバーがアプリケーションへのアクセスを許可します。
エージェント方式
エージェントは、各アプリケーションやシステムにインストールされるソフトウェアです。ユーザーがアプリケーションにアクセスすると、エージェントがSSOサーバーに対して認証をリクエストし、その結果を受けてアプリケーションへのアクセスを制御します。
フェデレーション(認証連携)方式
この方式では、複数の組織やドメイン間で認証情報を連携させます。異なる組織が提供するシステムやサービスに対して、1つの認証を共有して利用できるようになります。セキュリティトークンを交換することで、異なるドメイン間の信頼関係を確立します。
透過型方式
この方式では、ユーザーが認証の意識を持つ必要がありません。ネットワーク上でトークンベースの認証が行われ、ユーザーがアプリケーションにアクセスするときに自動的に認証が適用されます。ユーザーによる手動のログインが不要なため、利便性が高まります。
SSOとSAML認証の違い
SAML(Security Assertion Markup Language)は、SSOを実現するための手段の1つであり、特にフェデレーション方式で最も使われる標準プロトコルです。
SSOは単に一度のログインで複数のサービスにアクセスする概念を示すのに対して、SAML認証はその実現を支える具体的なプロトコルです。
SAML認証は、フェデレーション(認証連携)方式において特に有用です。異なる組織やドメイン間で信頼関係を築き、セキュリティトークンを交換することで、異なるサービス間でのユーザーの認証を連携させることができます。
一方、SSOはSAML認証だけでなく、他の方式も利用されることがあります。例えば、代理認証方式やリバースプロキシ方式、エージェント方式、透過型方式などが挙げられます。これらの方式もSSOの実現に寄与しますが、SAML認証は特に異なる組織間での認証連携において強力な役割を果たします。
SSOが実装されているサービス例
SSOは、複数のアプリケーションやサービスに対して一度のログインでアクセスする便利な仕組みです。多くの企業やウェブサイトがSSOを導入し、ユーザーに利便性を提供しています。以下は、SSOが実装されている代表的なサービスの例です。
Googleでは、SSOをさまざまなサービスに導入しています。
たとえば、Google Workspace、Google Cloud Platform、Google Adsなどです。これらのサービスにSSOを導入することで、ユーザーは一度に Google アカウントでログインして、すべてのサービスにアクセスすることができます。
FacebookもSSOを導入しているサービスの一つです。
Facebookではまずアカウントを作成する必要があります。アカウントを作成したら、SSO対応のアプリケーションにログインする際に、Facebookのアカウントを選択します。すると、Facebookのログイン画面が表示されるので、ユーザー名とパスワードを入力します。これで、SSO対応のアプリケーションにログインすることができます。
X(Twitter)
X(Twitter)は、SSOを導入しているサービスの一つです。
X(Twitter)では、Googleアカウント、Facebookアカウント、Apple ID、Yahoo! JAPAN IDなどの外部アカウントでログインすることができます。これにより、ユーザーはX(Twitter)に登録する際にパスワードを入力する必要がなくなります。
SSOのメリット
SSOは、一度のログインで複数のアプリケーションやシステムにアクセスできる仕組みであり、多くのメリットがあります。
セキュリティリスクの低減
複数のサービスで異なるIDとパスワードを管理していると、個々のサービスでの情報漏洩やパスワードの忘れによるアカウントへのアクセス問題など、セキュリティリスクが増加します。しかし、SSOを導入することで、これらのセキュリティリスクを低減することができます。
SSOは、1度のログイン手続きで複数のサービスにアクセスできる仕組みです。ユーザーは1つの認証情報(IDとパスワード)を使って、SSOを通じて複数のサービスにログインできます。これにより、以下のようなセキュリティリスクの低減が期待されます。
パスワードの管理手間の軽減
ユーザーが多数のサービスごとに異なるパスワードを設定する必要がなくなるため、パスワードの管理手間が軽減されます。複雑なパスワードを設定することが容易になり、セキュリティを向上させることができます。
パスワードの再利用防止
ユーザーが複数のサービスで同じパスワードを使うことを避けることができます。異なるサービスに同じ認証情報を使うことは、1つのサービスのセキュリティが破られた場合に他のサービスにも影響を及ぼすリスクがあるため、避けるべきです。
アクセス制御の統合
SSOを導入することで、組織はユーザーのアクセス制御を統合的に管理できます。従業員のアクセス権限の迅速な追加や削除が可能となり、不正なアクセスを防止することができます。
アカウントの一元管理ができる
通常、複数のシステムやアプリケーションを利用する際には、それぞれのシステムごとにユーザー認証が必要です。これは、各サービスに対して別々のユーザーアカウント(IDとパスワード)を作成し、管理する必要があるため、ユーザーや管理者にとって手間となることがあります。
しかし、SSOを使うことで、1つのIDとパスワードだけで複数のアカウントを一元管理することができます。
管理者は1つのアカウントを通じてユーザーのアクセス権限を一元的に管理できます。新しいユーザーのアクセス権限を迅速に設定したり、不要なアクセス権限を削除したりすることが容易になります。
IT部門のリソース削減
SSOの導入により、IT部門のリソース削減が実現されます。なぜなら、SSOの利用により、パスワード再発行や認証認可における処理業務が大幅に削減されるからです。
従来の多くのシステムやアプリケーションでは、各々の認証情報(IDとパスワード)を持つため、ユーザーがパスワードを忘れたり、期限切れになった場合には再発行が必要となります。
また、新しいアカウントが作成されたり、権限の変更があった場合にも、それぞれのシステムで処理が必要です。これらの処理業務はIT部門の負担となり、時間と労力を要します。
しかし、SSOを導入することで、これらの認証関連の業務が劇的に簡素化されます。ユーザーは1つのIDとパスワードで複数のサービスにアクセスできるため、パスワード再発行の手続きが不要になります。
また、アクセス権限の管理も中央で一元化されるため、ユーザーアカウントの作成や削除、権限の変更などが迅速かつ効率的に行えます。
SSOのデメリット
SSOは便利で効率的な認証方式ですが、一方でいくつかのデメリットも存在します。
不正アクセス時の被害が大きくなる恐れがある
SSOでは1つの認証情報で複数のサービスにアクセスできるため、もし不正アクセスが行われた場合、被害が拡大する可能性があります。
1つの認証情報が漏洩した場合、そのアカウントに関連する全てのサービスが危険にさらされるため、被害の拡大が懸念されます。
システム障害時の影響範囲が広い
SSOを導入している場合、認証サービスの障害が発生すると、影響範囲が広範囲に及ぶ可能性があります。
正常に動作している他のサービスにもアクセスできなくなるため、利用者全体に影響が出る可能性があります。
SSOの実装事例
SSOは、様々な企業や組織で導入され、効果的な認証方式として活用されています。
1.株式会社講談社
株式会社講談社は、多様な業務システム毎に認証機能が存在していたという課題を抱えていました。また、社内には既にポータルが存在していましたが、社外からのアクセスは行えず、社内の全ての業務システムがポータルに集約されていないといった課題がありました。
そこで、講談社はどこからでもアクセスできる情報共有環境を構築するため、パブリッククラウドを活用したポータル環境の導入を実施しました。以下のような効果が得られました。
個別認証不要でのアクセス
SSOの導入により、社内各システムへの個別認証が不要となりました。社員は1つのIDとパスワードでポータルにログインするだけで、複数の業務システムへアクセスできるようになりました。これにより、ユーザービリティが向上し、業務の効率性が高まりました。
セキュリティ面での統制が容易
ポータル環境によって、利用可能なアプリケーション制限やパスワード変更・管理などが集中管理できるようになりました。これにより、セキュリティ面での統制が容易になり、情報漏洩や不正アクセスなどのリスクを低減できました。
どこからでもアクセス可能な情報共有環境の実現
パブリッククラウドを活用したポータル環境の導入により、社外からでもどこからでもアクセス可能な情報共有環境が実現されました。社員はオフィス内だけでなく、外出先やリモートワーク時にも業務にアクセスできるようになり、柔軟な働き方が促進されました。
参考:OpenAMを活用したシングルサインオン・認証セキュリティの強化の事例・システム構築例(株式会社講談社様) | オージス総研
2.株式会社沖縄銀行
株式会社沖縄銀行は、個人情報保護法の設立により、金融機関に求められるコンプライアンスが厳しくなったことから、新たな個人認証システムの導入が必要でした。
しかし、当時の沖縄銀行ではシステムにログオンする際に部署ごとに共有のIDを利用しており、100以上のシステムがあり、各システムごとに異なるID・パスワードを発行していました。
そこで、沖縄銀行はアクセスログを取得するために、約1,500人の従業員それぞれにIDを付与し認証する仕組みが必要であり、SSOとアクセス制御システムを核とした個人認証システムを構築することを決定しました。結果として以下のような効果を得ることができました。
業務効率の向上と運用管理負担の軽減
個人認証システムの導入により、複数のIDやパスワードを覚える必要がなくなりました。従業員は1つのIDとパスワードでSSOを使用してシステムにアクセスできるようになり、業務効率が向上しました。また、運用管理も統合的に行えるため、管理の負担が軽減されました。
セキュリティの向上
SSOとアクセス制御システムにより、厳格な個人認証が行われるようになり、不正アクセスや情報漏洩などのリスクを低減しました。個人情報の保護に対するコンプライアンス要件も満たされ、セキュリティレベルの向上が図られました。
参考:株式会社沖縄銀行様 | 導入事例 | NTTテクノクロス株式会社
【銀行・金融機関】シングルサインオンの導入事例を紹介【SSO導入GUIDE】
3.株式会社JALホテルズ
株式会社JALホテルズは、従来のメールシステムやグループウェアではリモートアクセスに手間がかかり、容量制限が厳しく、図面のCADデータやパワーポイントなどの情報共有がスムーズに行えていないという課題を抱えていました。
この課題を解決するために、JALホテルズはGoogleが提供するメール、カレンダー、文書作成、表計算などのクラウド型アプリケーションパック「Google Apps for Work™」を導入しました。導入結果として以下のような運用を実現できたのです。
場所やデバイスを選ばずに機能が利用可能に
Google Apps for Work™の導入により、従業員は場所やデバイスを選ばずにメール、カレンダー、文書作成、表計算などの機能を利用できるようになりました。これにより、リモートワークや出張先でも業務がスムーズに行えるようになり、働き方の柔軟性が向上しました。
容量制限を気にせずに利用可能に
従来のメールシステムやグループウェアでは容量制限によって情報共有が制約されていましたが、Google Apps for Work™では容量制限を気にせずにファイルを共有できるようになりました。これにより、大容量の図面のCADデータやパワーポイントなどもスムーズに共有できるようになり、業務効率が向上しました。
多様なファイルの情報共有が容易に
Google Apps for Work™の導入により、多様なファイルをそのまま情報共有できるようになりました。これにより、従業員は使い慣れたアプリケーションを用いて情報を共有できるため、自発的な動きが増え、業務の効率化が進みました。
4.大阪ガス株式会社
大阪ガス株式会社は、商用パッケージを用いてSSO環境を構築していましたが、SSO対象のシステムが増えるにつれてライセンスや保守の追加購入が必要となり、またパッケージの制約によりSSO連携が行えないアプリケーションが存在していました。
これらの課題を解決するために、大阪ガスはオープンソース・ソフトウェアであるOpenAMをベースとしたSSO環境を構築することを決定しました。
大幅なコスト削減
商用パッケージに依存するSSO環境では、ユーザー数やシステム数に応じてライセンスや保守の費用が発生していました。しかし、オープンソース・ソフトウェアであるOpenAMを採用することで、ライセンスや保守にかかる費用が発生しなくなりました。結果的に、約50%のコストダウンが実現されました。
システムの拡張性と柔軟性の向上
OpenAMをベースとしたSSO環境は柔軟なカスタマイズが可能であり、既存のシステムに制約されることなく、SSO連携が行えなかったアプリケーションも統合できるようになりました。これにより、システムの拡張性と柔軟性が向上し、新しいサービスの導入やシステムのアップデートがスムーズに行えるようになりました。
参考:ID管理・シングルサインオン導入事例 大阪ガス株式会社様 | オージス総研
5.株式会社ウエディングパーク
株式会社ウエディングパークは、業務において主にクラウドサービスを利用していましたが、会社の成長に伴いセキュリティ強化やパスワード運用の煩雑さなどが課題となっていました。
これらの課題を解決するため、ウエディングパークは段階的に全社導入を行ったSSOのCloudGate UNOを採用しました。
認証の便利さと負荷の軽減
従来は、タイプミスなどにより認証が失敗することやパスワードを忘れることがあり、社員の作業負荷や情シスの手間が増えていました。しかし、SSOの導入により、顔認証や指紋認証などの生体認証を利用することで、煩雑なパスワード入力が不要となり、認証の手続きがスムーズになりました。これにより、社員の負担が軽減され、業務効率が向上しました。
情シスの負担軽減
以前はパスワードリセットなどの作業が頻繁に発生していたため、情シス部門の負担が高かったですが、SSOの導入によりその工数が減少しました。SSOによって一元管理された認証システムは、情シス部門の作業を効率化し、セキュリティ面でも一元管理が容易になりました。
参考:株式会社ウエディングパーク様 |導入事例|CloudGate クラウドゲート
まとめ
企業におけるIT環境の多様化に伴い、セキュリティ強化とアクセス管理の効率化が重要な課題となっています。本記事では、シングルサインオン(SSO)の導入事例を通じて、その効果やメリット、注意点を解説しました。
各企業の事例を参考に、貴社のニーズに合ったSSOの導入を検討し、セキュリティと業務効率の両面で効果を実感していただければ幸いです。
コメント