キヤノンMJ/サイバーセキュリティ情報局
シングルサインオンを実現する技術と導入のメリット/デメリット
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「シングルサインオンの仕組みと導入のメリット・デメリット」を再編集したものです。
複数のクラウドサービスが業務で利用される場面が増えるのに伴い、従業員や管理者にとっても、パスワード管理の煩雑化が問題となっている。認証手続きを簡潔にするシングルサインオンを用いることで、利便性・安全性の向上が期待されている。この記事では、シングルサインオンを導入するメリット・デメリットとともに、それを実現する技術について解説する。
時代に応じて進化するシングルサインオンの概念
シングルサインオン(Single Sign-On)とは、一度の認証手続きで複数のシステムにログインできる仕組みのこと。業務でのパソコンの利用が一般化し、複数のシステムが導入されるようになる中で、ログインを簡素化するために利用されるようになった経緯がある。それぞれのシステムで異なるIDとパスワードを記憶する必要がなくなる点が大きなメリットだ。シングルサインオンの頭文字をとって「SSO」と呼ばれることもあるが、この記事ではシングルサインオンとして記載する。
もともとは企業内のシステム間で用いられていたシングルサインオンだが、2000年代後半には一部のウェブサイトでも同様の仕組みが導入されるようになった。その背景として、アカウント情報の登録を前提とした会員制ウェブサービスが多数登場してきたことが挙げられる。具体的には、FacebookやTwitterなどがサービスを開始した時期でもあり、「Web2.0」という言葉が取り沙汰されていた頃だ。
これらSNSをはじめとする主要ウェブサービスのアカウント情報を用いてのシングルサインオンの仕組みはソーシャルログインと呼ばれ、OpenIDやOAuthに代表される標準化技術によって実現されている。煩雑になりつつあった、ユーザーの負担を減らす仕組みとして利用が進んだ。
最近では、企業内のクラウド活用の進展に伴い、シングルサインオンの概念も変化してきた。テレワークなどの影響もあり、従業員の業務環境においても社内外の境界が曖昧になりつつあるからだ。社外で働く人が社内のシステムを使ったり、社内のユーザーが社外のクラウドサービスを利用したりするシーンが増えている。
こうした環境の変化を受け、近年のシングルサインオンはソーシャルログインの技術を応用しながら、クラウドサービスへの認証にも拡張されている。利便性と安全性を両立できるよう、シングルサインオンを利用する企業が増えている。
シングルサインオンの概念を理解するために覚えておきたいのが、認証と認可といったそれぞれの考え方だ。シングルサインオンは認証と認可を混同しやすいため、適切に把握しておきたい。
1)認証とは
簡潔に述べると、「ユーザーの本人確認を行なう手続き」であり、現実世界で言えば、身分証明書を用いた本人確認が例として挙げられる。デジタルの世界では、黎明期から用いられてきたパスワードによる認証を筆頭に、最近では生体認証と呼ばれる、指紋認証や顔認証が用いられることも増えてきている。本人へのなりすましを防ぎ、アクセスしてきているユーザーが誰かを特定する。
2)認可とは
特定の作業を利用可能にする権限を付与する手続きのこと。現実世界で例えると、レンタルサイクルでは物理的なカギを借用することで、一時的な利用権限を有することとなる。同様に、デジタルの世界では、認証に成功し、ログインしたユーザーにサービスの利用権限を供する。こうしたプロセスをもって認可とし、サービスで定められたルールの範囲内でユーザーはそのサービスを利用することができる。
一般的に、認証が成功した段階で自動的に認可を得られるため、ユーザーとしては同一に考えがちだが、シングルサインオンの場合は基本的に認証を一元化し、その認証をもって連携するサービスの利用を認可するという仕組みとなっている。そのため、ユーザーとしては一度の認証に成功すれば、それぞれ認証の手続きを経ることなく、連携するサービスを利用できるというメリットがあるのだ。
シングルサインオンのメリット、デメリット
シングルサインオンは従業員にとって利便性向上が期待できるだけでなく、管理者側のメリットも大きい。以下に、管理者視点のメリットとデメリットを挙げていく。
1)シングルサインオンのメリット
・不正アクセス、機密情報漏えいのリスク軽減
多数の業務システムが運用されている現代において、認証情報やパスワードは増える一方で、その管理が従業員の負担となっている。その結果、パスワードをメモに残す、単純なものに設定するといったように、管理が雑になりがちだ。しかし、適切な管理を怠ったことでパスワードが漏えいしてしまうと、不正アクセスや機密情報漏えいという被害を招きかねない。しかし、シングルサインオンであれば、複雑なパスワードをひとつ管理するだけで済むため、そのパスワードを厳格に管理できれば安全性が高まる。
・IT部門の負担軽減
複数の業務システムにとどまらず、先述のように最近ではクラウドサービスを業務で活用するケースも増えている。それらを個別に管理し、パスワード紛失などにその都度対応していると、IT部門での管理業務は煩雑になってしまう。シングルサインオンであれば、複数のサービスのアカウント情報を個別に管理する必要がなくなるため、アカウント管理のプロセスを簡素化できる。
2)シングルサインオンのデメリット
・不正アクセス時の被害拡大
認証が一度で済むということは、悪意のある攻撃者によって、その認証手続きが突破された場合、すべてのシステムへアクセスできてしまうことを意味する。すなわち、不正アクセスを受けた場合には被害範囲が広がりやすいことを意味する。シングルサインオンにおける認証パスワードを厳格に管理することは当然ではあるが、二段階認証の導入など、管理工数を抑制しながらも安全性を高める効果的な対策を講じておく必要がある。
・認証システムへの依存
万一、シングルサインオンの認証システムが停止した場合、すべてのシステムへログインができなくなる。その場合、業務が停滞してしまい、事業によってはその継続性に影響を及ぼしかねない。管理者は、そうした事態を事前に想定し、トラブル時の可用性や事業継続性について検討しなければならない。
・シングルサインオンへの対応可否
導入しているシステムによっては、シングルサインオンに対応していないものも存在する。シングルサインオン対応に追加の費用を要するシステムやウェブサービスもある。多数のシステムを扱っている場合は、認証を一度にまとめることにこだわらず、少しでも認証の回数を減らせるよう試みる考え方もある。コスト、省力化や利便性という視点を持って総合的に検討することが望ましい。
シングルサインオンを実現する技術
シングルサインオンを実現する認証方式は、技術の進化に伴い、いくつか提唱されてきた。社内での認証を想定したものや、社外のクラウドサービスにも対応したものなど、方式によって利用方法が異なる。以下に、その認証方式の概要を解説する。
1)ケルベロス方式
WindowsのActive Directoryに代表される認証方式であり、ドメイン内にある複数のサーバー間でのシングルサインオンを実現する。認証が成功したユーザーにはチケットが発行され、各サーバーはそのチケットを参照してアクセスを許可する。
2)エージェント方式
ウェブアプリケーションサーバーに認証処理を担当する「エージェント」のソフトウェアを導入する。ユーザーが認証に成功すると、認証サーバーからエージェントに対し認証済みとのCookieが発行される。
Cookieを削除するとどうなるのか?
https://eset-info.canon-its.jp/malware_info/special/detail/210921.html
3)リバースプロキシ方式
対象サーバーへのアクセスを、すべてリバースプロキシと呼ばれる中継サーバーを介するようにし、認証処理を担当させる。リバースプロキシで認証が成功すると、連携先サーバーへ認証情報が送られ、ユーザーのログイン状態が維持される。
リバースプロキシとプロキシの違いとは?それぞれのサーバーの仕組みは?
https://eset-info.canon-its.jp/malware_info/special/detail/201021.html
4)代理認証方式
端末側にエージェントを導入し、対象システムへアクセスした際に認証手続きを行なう。複数のサーバーにアクセスする際は、ユーザーの代わりにエージェントが認証手続きを代行する。
5)フェデレーション方式
システムやウェブサービスの提供元の事業者が、横断的に連携するためのプロトコルやデータ規格を標準化してシングルサインオンを実現することをフェデレーションと呼ぶ。フェデレーション方式では、IDプロバイダーで認証を行なうことで発行される認証情報により、対象サーバーへのアクセスが許可される。SAMLやOpenID Connectといったプロトコルが開発され、多くのクラウドサービスが対応するようになった。
SAML(Security Assertion Markup Language)は異なるドメイン間で認証するための標準規格である。SAMLで一度ログインすると、ユーザー認証とともに属性情報が付与され、アクセス制御も実現できるのがメリットだ。
SAML認証は以下のような流れで実現される。
・ユーザーがクラウドサービスにアクセスすると、IDプロバイダーへリダイレクトされ、認証情報が要求される。
・ユーザーはIDプロバイダーに対し、ID・パスワードを使って認証を行なう。
・ログインに成功すると、IDプロバイダーは認証・認可の情報をクラウドサービスへ送る。
・ユーザーはクラウドサービスへログインが許可される。
OpenID Connectとは、認証のためのOpenIDと、認可のためのOAuthを拡張させたプロトコルであり、このプロトコルを用いたフェデレーションサービスもさまざまな事業者からソリューションとして提供されている。
新しいシングルサインオンの技術として期待されるIDaaSとは?
クラウド時代における新しいシングルサインオンの技術として、最近ではIDaaS(Identity as a service)にも注目が集まっている。社内の業務システムと社外のクラウドサービスが混在した環境を採用している企業は多く、ID管理が煩雑になっている。社内外のID管理をクラウド上で一元的に行なえるのがIDaaSの特長だ。
一般的に、IDaaSには多要素認証やアクセス権の管理、オンプレミスとクラウドの連携といった機能が含まれる。IT部門にとってもID管理が容易になったり、ログを分析できたりとメリットが大きい。テレワークの導入で生じた、社外におけるエンドポイントのセキュリティ強化のニーズにも応える。
シングルサインオンを導入する際には、その適用範囲、対応可否、運用方法について総合的に検討する必要がある。特に、予算や人員が限られる中小企業では、システム管理およびID管理の煩雑さについても考慮するべきだろう。
増加し続けるパスワードの問題は、あらゆる組織に共通するものであり、もはや対応は必須と言える状況だ。従業員、IT部門の双方にとって利便性・効率性を高めるためにも、メリット・デメリットを理解した上で、シングルサインオンの導入を検討してほしい。