キヤノンMJ/サイバーセキュリティ情報局

ソーシャルログインとは? その仕組みとメリット・デメリット

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「ソーシャルログインとは?利便性の裏で注意すべき危険性とは」を再編集したものです。

 大手Webサービスやソーシャルメディアのアカウント情報を用いてECサイトや会員サイトにログインするソーシャルログイン。その利便性ゆえに利用するユーザーも多い一方、利用に伴う危険性も少なからず存在する。この記事では、ソーシャルログインのメリット、仕組み、そして注意すべきリスクについて解説する。

ソーシャルログインとは

 ソーシャルログインとは、その名称のとおりソーシャルメディアを用いたログイン方法のことだ。ソーシャルメディアだけでなく、Yahoo! JAPANや楽天、LINEなどのアカウントを用いるサービスも提供されている。これらのサービスが発行するアカウントIDでログインし、ECサイトなどでソーシャルログインを選択。所定の手続きを踏むことでサービスが連携される。基本的にログイン・サインインに利用するという側面から、ソーシャルサインインと呼ばれることもある。

 Webサービスを多数利用することが日常的になった昨今、ソーシャルログインが利用できるサービスはユーザーにとって利便性が高い。ソーシャルログインを利用可能なWebサービスでは原則として、ログイン画面上に、利用可能なソーシャルメディアログイン用のボタンが表示される。

 自分が利用するソーシャルメディアのロゴが表示されたボタンをクリックすると、そのソーシャルメディア上の情報を流用してWebサービスにログインできるようになる。なお、ユーザーがソーシャルメディアにログインしていない状態で利用を試みると、まずはソーシャルログインで利用するアカウント情報の入力が求められる。

 利用するアカウントによってはログインの前段階でソーシャルメディアの画面に遷移し、ログインの許可を要求される場合もある。また、Webサービスによってはログイン後に入力フォームから必要情報の入力が必要なケースもある。

 なお、ソーシャルログインに使われる主要なWebプラットフォーム・ソーシャルメディアは、パソコン向けのものとしてFacebook、Twitter、Yahoo! JAPAN、Google、Appleなどがある。スマートフォン(以下、スマホ)向けでは、これにさらにLINEなどが加わる。

 Webサービスにおいては、ユーザー数の増大がビジネス的成長を大きく左右する。ソーシャルログインは、新規ユーザーにとってはアカウント登録の負荷を最小限に抑えるだけでなく、既存のソーシャルメディアアカウントを利用することから、安全性への懸念も払拭できるというメリットがある。

 そのため、ソーシャルログインを導入しているWebサービスでは、ユーザーが新規登録する際の心理的な障壁が下がり、結果としてユーザー数の増加に寄与する。そうした背景も手伝い、ソーシャルログインを導入するWebサービスは少なくない。近年は特に、ソーシャルメディアのユーザーが全世代横断的に増加傾向にある。そうした環境もソーシャルログインの普及を後押ししていると言えるだろう。

 次に、ソーシャルログインがどのようにして実現されているのか、その仕組みを解説する。ソーシャルログインのログインプロセスは以下の図1のとおりだ。

図1:ソーシャルログインのログインプロセス

(1)ユーザーがWebサービスにアクセスし、ログイン画面上のソーシャルログインのボタンをクリックする。
(2)Webサービスがユーザーをソーシャルメディアへリダイレクトさせる。
(3)ユーザーが認証情報を入力・送信してソーシャルメディアの認証を確認する。
(4)ソーシャルメディアが認可サーバーから連携を許可される。認可情報をユーザーに送付する。
(5)上記と同じタイミングで、Webサービスへアクセストークンを発行する。
(6)以降、アクセストークンを用いてWebサービスへのログイン連携が可能となる。

 ユーザーとしては、基本的にソーシャルメディアから表示される「連携許可」に同意するだけで連携は完了する。このように、連携の手順がシンプルで煩雑な作業がほぼ不要な点がユーザーから支持を集めているのだ。

内部記事リンク:PayPalアカウントは簡単にハッキングできるのか?検証してみた
https://eset-info.canon-its.jp/malware_info/special/detail/220413.html

シングルサインオンの一種であるソーシャルログイン

 企業・組織内で複数のシステムにログインする場合、シングルサインオン(SSO)が利用されることがある。シングルサインオンを用いることで、一度のログインで複数のシステムにログイン・利用できるため、業務効率重視の傾向が高まる昨今、利用する企業は少なくない。そして、ソーシャルログインもこのシングルサインオンの一種とみなされる。

 シングルサインオンの実装方法にはいくつかの方式が存在する。そのうち、外部の認証サーバーを利用するのがフェデレーション方式だ。大別すると、ソーシャルログインはこのフェデレーション方式に該当する。ほかにも、シングルサインオンの実装方式として、リバースプロキシ方式や代行認証方式などがある。また、代行認証方式とリバースプロキシ方式が融合した、エージェント方式も存在する。

内部記事リンク:シングルサインオンの仕組みと導入のメリット・デメリット
https://eset-info.canon-its.jp/malware_info/special/detail/220322.html

SAMLとOAuth

 ソーシャルログインを実装しているWebサービスでは、多くの場合で権限認可のためのシステムを利用する。「SAML」、「OAuth」と呼ばれる権限認証・認可システムは、ソーシャルログインにおいて重要な役割を果たしている。これらシステムはシングルサインオンにおける「認証」、「認可」の役割を受け持ち、サービス間の相互連携を実現している。

・SAMLとは
 「Security Assertion Markup Language」の頭文字をとったSAMLは、XMLをベースとした認証の仕組みで標準規格だ。標準化団体のOASISによって策定され、認証のためのユーザー情報をやり取りするために用いられる。

図2:SAML認証要求のプロセス

 SAMLが担う「認証(Authentication)」とは、「ユーザーが何者か?」 を確認することだ。例えば、指紋認証や顔認証での本人確認が登録情報と合致していること、あるいはメールアドレスとパスワードが合致していることなどをもって、登録されたユーザーであるかを確認する。

 そうした認証の際に用いられるデータ形式について、XMLをベースに定めている。このような点から、SAMLはプロトコルの1つとして、この認証プロセスにおけるルールを取り決めるものとみなせるだろう。

・OAuthとは
 OAuth(オーオース)はWebサービス連携における、権限の「認可(Authorization)」を行うための規格だ。Webサービスをユーザーが利用する際に、別サービスのデータを連携する必要があるような場合、このOAuthを用いることで、連携のプロセスが簡便で安全性も高まる。

図3:OAuth認証のプロセス

OAuthでは「アクセストークン」と呼ばれる一時的なキーを発行し、他システムと権限を連携する仕組みとなっている。このアクセストークンを利用することで、ユーザーにアカウント情報を入力する手間をかけず、サービス連携が可能となる。

 近年、ソーシャルログインではOAuthを拡張したOpenID  Connectを採用していることが多いが、OAuthの技術も同時に用いられている。

内部記事リンク: ケルベロス認証?シングルサインオンの認証方式の定番と新技術はどう違う?
https://eset-info.canon-its.jp/malware_info/special/detail/230131.html

ソーシャルログインの危険性

 ソーシャルログインはユーザーにとって安全性を確保しながらの利便性がメリットだが、以下のようなデメリットも存在する。

・過剰にデータを収集される可能性
 ソーシャルログインを利用する場合、Webサービスやアプリ側からどのような情報を取得するかが最初に提示される。中には過剰にデータを取得しようとするWebサービスもある。Webサービスによって取得するデータは異なるため、ソーシャルログインでの連携時に表示される通知は必ず確認しておきしたい。

・ソーシャルメディアのパスワード漏えい時のリスク
 ソーシャルログインの利用に際して、特に注意を払うべきは連携アカウントの保護だ。ソーシャルログインはユーザーにとって簡単かつ手軽な反面、仮にログイン情報が仮に漏えいしてしまうと、甚大な被害につながりかねない。TwitterやFacebookのアカウントが不正使用されたために、連携した各サービスも悪用されてしまうような事態に陥ってしまうのだ。

 近年、ソーシャルメディアやWebプラットフォームでは、例えばスマホのSMSやGoogle Authenticatorなどのアプリを用いた二段階認証を利用できるサービスも少なくない。こうした安全策を事前に講じることで、アカウント自体の安全性が高まるだろう。

 ソーシャルログインは、その利便性から今後もますます普及していくことが見込まれる。そのため、アカウントの適切な管理はより一層重要となる。インターネットを安全かつ快適に利用するためにも、二段階認証の利用といった基本的な機能をはじめ、フィッシング対策や不正アクセスへの対策など、総合的に対策を講じるようにしてほしい。

内部記事リンク:Facebookが乗っ取られたらどのような被害を受ける可能性があるのか?
https://eset-info.canon-its.jp/malware_info/special/detail/220804.html