【図解つき】シングルサインオン（SSO）とは？機能や仕組み、導入メリット、デメリットをわかりやすく解説！

シングルサインオン（SSO）とは

シングルサインオン（SSO：Single Sign On）とは、一度のID・パスワードによるユーザー認証を行うだけで、複数のwebサービスやアプリケーション、クラウドサービスなどにログインすることができる仕組みのことを指します。

従来、Webサービスやクラウドサービスを利用する際は、利用者を特定するため、IDとパスワードの入力をすることでユーザー認証を行い、利用を許可するといった流れが一般的でした。
しかし、シングルサインオンに対応していれば、1つのIDとパスワードで複数のサービスを利用することが可能となります。さらに、サービスごとにIDやパスワードを入力する手間が省かれるため、利用者の負担が軽減されることも魅力の一つとして注目されています。

シングルサインオン（SSO）の仕組み・方式

シングルサインオン（SSO）には、大きく分けて４つの方式があります。それぞれどのような仕組みなのか詳しくみていきましょう。

代行認証方式

代行認証方式は、利用者の代わりに専用エージェントが代行して各システムのID・パスワードを入力する方式です。

具体的には、専用エージェントがクライアントの使用する各サービスのID・パスワードなどをメモリー上に保持しPCに常駐した状態で、各サービスのログイン画面が起動するのを検知して、自動でID・パスワードを入力する仕組みとなります。

代行認証方式は、シングルサインオンの対象となるWeb、C/Sなどのシステム制限が少なく、導入しやすいのも特徴です。
なお、代行認証方式を実行するには、クライアントのPCに専用エージェントを導入することに加え、アカウント情報データベースに接続できる環境を用意する必要があります。

リバースプロキシ方式

リバースプロキシ方式は、リバースプロキシと言われる中継サーバーを介して認証を行う方式のことです。
PCからリバースプロキシサーバに対しWeb認証を実施すると、リバースプロキシサーバから認証済みのCookieが発行されます。その後、ログインしたい各サービスにおいて、リバースプロキシサーバを経由し、対象のシステムにアクセスすることでシングルサインオンを行います。

こちらの方式は、直接Webシステムにアクセスさせず、アクセスを全てリバースプロキシサーバ経由になるようネットワークの構築を検討するといった必要があります。

とはいえ、リバースプロキシ方式の場合は専用エージェントが不要となるため、導入から開始までの工数を短縮しやすいという点が特徴となっています。

エージェント方式

エージェント方式は、Webサーバやアプリケーションサーバにエージェントソフトウェアである「エージェントモジュール」を組み込む方式です。ブラウザとアプリケーションの通信間にエージェントモジュールを設け、エージェントがシングルサインオン用に利用する外部サーバ（SSOサーバ）と連携することで、サーバ側から認証やアクセス権限のチェック等が行われます。こうしたステップを介することで、エージェント方式ではシングルサインオンが実現します。

また、エージェント方式では、リバースプロキシ方式と比較するとアクセスが集中することで起こる全体への影響が少ないと言われています。既存のネットワーク環境のまま利用しやすい点は大きな魅力と言えます。

SAML認証方式

SAML（Security Assertion Markup Language）認証方式とは、2つの構成要素であるIdP（Identity Provider）とSP（Service Provider）を利用した方式です。

利用者は、対象のWebサービス（SP）へアクセスすると、認証要求（SAML）がIdPへ送信されます。その後、IdPが利用者のPCにログイン画面を表示させて認証を求める流れとなりますが、無事認証に成功すれば自動ログインが可能となります。これにより利用者は、一度ログインするだけで、SAML認証方式対応のサービスを利用することができます。

シングルサインオン（SSO）の導入メリット

次に、シングルサインオン（SSO）を導入することで、どのようなメリットが得られるのかみていきましょう。

利便性が向上する

シングルサインオンを導入するメリットとしてまず一つ目に、複数のwebサービスやアプリケーションを一度の認証でログインできるようになるため、利便性が向上するという点が挙げられます。

複数のWebサービスやアプリケーションを使用していると、それに応じてログイン認証時にID・パスワードを求められるため、管理が煩雑化するほか、サービスごとにログイン作業を行うため手間もかかってしまいます。

一方、シングルサインオンを導入すれば、複数のWebサービス・アプリケーションのログイン時のID・パスワードが一つで済みます。さらにWebサービスなどの認証も1回行うだけで対象のものにログインできるため、より便利にサービスを利用することが可能となります。

パスワード管理が楽になる

webサービスやアプリケーションをログインする際は、各サービスごとにID・パスワードの組み合わせが必要となるため、人によってはパスワードを忘れたり、アカウントロックされるケースも少なくないでしょう。
その場合、社内のIT部門や情報システム部門がアカウントの解除などの作業を行うため、どうしてもその分の手間がかかってしまいます。社員を多く抱える企業であるほどに、担当者がこうした対応に追われてしまうといった事態にもなりかねません。

一方、シングルサインオンを導入すれば、各社員がID・パスワードを管理できるようになるため、IT部門や情報システム部門などの管理者側の対応もなくなり、作業負担が軽減します。

パスワード漏洩リスクが低くなる

利用するwebサービスが増えると、複数のID・パスワードを管理しなければいけないため、付箋に書き留めてPCに貼る社員や、パスワードを忘れてしまうからと推測されやすいカンタンなものに設定する方も少なくないでしょう。しかし、これではパスワードを第三者に知られてしまったり、漏えいするリスクが高まります。

一方、シングルサインオンでは、管理するID・パスワードの組み合わせも1つだけで良いので、管理がシンプルになります。そのため、付箋などに書き残しておく必要もなくなり、パスワード漏洩のリスクを軽減することが可能となります。

▼シングルサインオンおすすめ８種の比較記事はコチラ！
シングルサインオンおすすめ8種を徹底比較！選び方のポイントは？

シングルサインオン（SSO）の導入デメリット

シングルサインオン（SSO）の導入には、メリットだけでなく、以下のようなデメリットも存在します。導入前にメリットとデメリットをしっかり理解した上で導入しましょう。

システム停止時はログインできないなど影響が大きい

シングルサインオンに関係しているシステムが停止してしまった場合、ログインができなくなります。たとえば、経営に関わるサービスのアカウントについて、シングルサインオンを利用してログインしていたら、システムが停止してしまうことで業務や経営に影響が出てくる可能性もあります。こうした場合における影響が大きいという点は、シングルサインオンのデメリットだと言えます。

万が一のリスクに備えるため、すべてのwebサービスやアプリケーションをシングルサインオンで管理せずに、重要なサービスやシステムなどのパスワードは、別途管理するようにしましょう。

パスワード漏洩時の被害規模が大きい

シングルサインオンの導入は、ID・パスワードの一元管理により利便性の向上につながる反面、それによるデメリットも存在します。万が一、シングルサインオンで利用するID・パスワードが外部へ漏えいしてしまうと、登録している複数のwebサービス・アプリケーションが不正利用され、大きな損害が出てしまうリスクがあります。

そのため、シングルサインオンを導入する際は、ワンタイムパスワードをはじめ、生体認証や二段階認証などの対策を講じておくことで、パスワード漏えい時の被害を最小限に抑えることが可能となります。

すべてのサービスで利用できない

クラウドサービスの中には、オリジナルの認証システムを持ち、標準的な認証の仕組みに対応しておらず、シングルサインオンの連携ができないケースがあります。

シングルサインオンを導入したあとに、目的のサービスが連携できないとなるとセキュリティ面や利便性にも影響してきます。社内で、クラウドサービスの導入を検討する際は、シングルサインオンの連携が可能かどうかといった視点も加えながら選別するといいでしょう。

シングルサインオン（SSO）のデメリットを解消するには？

シングルサインオン（SSO）を導入すると、ID・パスワードの管理がラクになるなどのメリットも多い反面、万が一ID・パスワードが漏えいしてしまった場合、シングルサインオンでログインしていたシステムやサービス全てに不正アクセスされてしまうといったリスクも高まります。
しかしながら、こうしたデメリットを解消する方法もいくつか存在しますので、併せてご紹介したいと思います。

IPアドレス制限を用いる

パスワード漏えいなどのセキュリティリスクを回避するためには、「IPアドレス制限」を用いる方法も効果的です。

IPアドレス制限を行うと、社内PCからアクセスしている場所のIPアドレスを判別した上で、社内など特定のIPアドレス以外からのアクセスを制限することができるため、より強固なセキュリティ環境を構築することができます。経営上の重要情報が集約されているような管理画面などにおいては、別途こうしたIP制限を設けておくことも有効な手法と言えるでしょう。

ワンタイムパスワードを採用する

「ワンタイムパスワード」を用いることも、より強固なセキュリティを実現するためにはおススメの方法です。ワンタイムパスワードとは、パスワードの認証に加え、都度変更されるワンタイムパスワードを用いて認証する仕組みのことを言います。

ワンタイムパスワードによる認証も追加することで、万が一シングルサインオンを介して各クラウドサービスにログインする際のID・パスワードが流出してしまった場合でも、第三者によるクラウドサービスへの不正なアクセスを防止することができます。

もちろんこれらの方法は、すべてのシングルサインオンのサービスで用意されているわけではなく、各シングルサインオンのサービスによって、オプションとして提供されている場合とそうでない場合があります。
今後シングルサインオンの導入を検討している方は、このようなオプションが追加できるかどうかといったことも判断材料の一つとして検討してみてもいいかもしれません。

シングルサインオン（SSO）以外の認証方式もチェック

ここまで、シングルサインオン（SSO）の認証について詳しく解説していきました。セキュリティを強化する観点からもシングルサインオンは、メリットの大きい手法です。
とはいえ、より高いセキュリティレベルを保持するためには、シングルサインオン以外の認証方式も把握しておくことが大事です。

たとえば、３つの認証要素を2つ以上組み合わせた「多要素認証」方式を採用することも有効な手段と言えます。
この方式を採用することで、仮に認証要素が１つ破られたとしても、2つめ以降の認証要素により社内のデータが保護されるので、より安全なセキュリティ環境を構築することできます。

なお、多要素認証の特徴やその他の認証方式との違いについては、こちらの記事で詳しく解説しているので、ぜひチェックしてみてくださいね！
≫多要素認証とは？二要素、二段階認証との違いやメリット、必要性をチェック

まとめ

今回は、シングルサイオン（SSO）の仕組みや導入メリット・デメリット、おススメの対策法について解説してきました。シングルサイオンは、ID・パスワードの一元管理により利便性の向上につながるほか、パスワードの漏えいリスクや管理者の負担を軽減できるなどさまざまなメリットがある一方、少なからずデメリットも存在します。
しかし、今回ご紹介したデメリットを解消する方法などを取り入れることで、より強固なセキュリティを実現することも可能となります。
シングルサインオンを導入する際は、企業に合った方法を事前にしっかり考慮した上で導入を進めるようにしましょう。