シングルサインオン（SSO）

従来、ユーザアカウントにサインインするには、2つのログイン認証情報が必要でした：ユーザ名とパスワードです。しかし現在では、何十ものアプリケーション、リソース、サービスを考慮する必要があり、安全なアクセスを提供するのはそれほど簡単ではありません。

良いニュースは？ 顧客や従業員は、複数のパスワードを覚えたり管理したりする必要がなく、1組のユーザ認証情報だけで重要なシステムにアクセスできます。 要するに、シングルサインオン（SSO）とはそういうことです。

なぜSSO認証が重要なのか、どのように機能するのか、どのようにSSO設定を保護するのかなど、SSO認証について知っておく必要があることをすべて学ぶには、この先をお読みください。

シングルサインオン（Single Sign-on） は、ユーザが単一のログイン認証情報だけで、複数のアプリケーションにアクセスできるようにする統合ID管理機能です。 たとえば、従業員が自分のワークステーションにログインするためにIDクレデンシャルを入力すると、SSO認証によってアプリ、ソフトウェア、システム、およびクラウドベースのリソースへのアクセスも提供されます。

同様に、誰かがGmailのようなGoogleのサービスにログインしたとします。 すると、SSOによって自動的に認証され、そのユーザアカウントでYouTubeやGoogle Sheetsなど他のGoogleアプリにアクセスできるようになります。 そして、これらのアプリケーションからサインアウトすると、自動的に他のアプリケーションからもログアウトされます。

SSOが重要な理由は？

その核心は、SSOソリューションは認証サービスであり、IDおよびアクセス管理（IAM）の重要な一部です。 また、暗黙の信頼に反対し、継続的なユーザ認証を必要とするフレームワークであるゼロトラストセキュリティモデルにとって、特に価値のある基盤でもあります。

これはなぜ重要なのでしょう システムがユーザやエンティティが誰であるかを知らなければ、その行動を許可したり制限したりする方法はなく、データセキュリティの大きなリスクとなります。 クラウドのアプリやサービスが急増し、それぞれが独自のユーザ認証情報を必要とすることを考えると、これはさらに問題です。

最新の推定では、平均的な企業は210の異なるコラボレーションとクラウドサービスを使用しており、平均的な従業員は業務上36のクラウドサービスを使用しています。 これは管理すべきパスワードの数であり、残念ながら、多くの組織ではそれらを適切に管理するには、ITインフラがあまりにも断片的です。

幸運なことに、そこでSSOが活躍します。 複数のパスワードを1組のログイン認証情報に減らすことは、ユーザエクスペリエンスを向上させるだけでなく、すべての人にとってより良いサイバーセキュリティ衛生を促進します。

SSOの導入は、ユーザ、企業、そして顧客にもいくつかのメリットをもたらします。 例：

より良いユーザエクスペリエンス、生産性、コスト削減

複数のパスワードを1つのユーザ認証情報にまとめることで、ログインプロセスを合理化し、従業員が可能な限り迅速にリソースを活用できるようになります。 これは、最も重要なアプリケーションがオンプレミスやクラウドになりつつある、ハイブリッドな作業環境では特に重要です。

最終的に、このワークフローの加速は、従業員の生産性向上につながります。 さらに良いことに、SSOのような小さな時間節約でさえ、目に見える経済的な影響を与えることができるのです。 調査によると、従業員の時間を3分節約することで、5,000人規模の企業では最終的に年間約150万ドルの節約になります。

さらに、SSOソリューションは、パスワードリセットのためのITヘルプデスクへのリクエストなど、非生産的なタスクを最小限に抑えることができます。

より強固なパスワード管理によるセキュリティの向上

少なくとも、情報漏えいの45％は、ログイン認証情報の漏洩が原因であり、ほとんどの場合、パスワードのセキュリティが弱いことが原因です。 複数のユーザ名とパスワードの組み合わせを覚えなければならなくなると、結局、さまざまなアカウントで同じものを再利用するようになります。

これは「パスワード疲れ」と呼ばれます。 1つのアカウントが侵害されれば、他のすべてのサービスも侵害される可能性があるため、これは大きなセキュリティリスクです。 言い換えれば、攻撃者は被害者の他のアプリケーションをハックするために同じパスワードを使うことができるということです。

SSOの導入は、すべてのログインを1つに減らすことによって、パスワードの疲労を軽減します。 悪意ある行為者は、1つのアカウントを侵害することに成功すれば、他のサービスにアクセスすることができますが、理論上は、SSOによって個人が強力なパスワードを作成し、記憶し、使用することが容易になります。

しかし、現実には必ずしもそうではありません。 そのため、追加のセキュリティ対策でSSOソリューションをサポートするのがベストですが、それについては後述します。

よりシンプルなポリシー実施とID管理

SSOはパスワードのシングルポイントエントリーを提供し、ITチームがセキュリティポリシーやルールを実施しやすくします。 例えば、定期的なパスワードのリセットは、各ユーザが変更する必要があるクレデンシャルが1つだけなので、SSOで管理する方がはるかに簡単です。

さらに重要なことは、正しく実装されていれば、統合ID管理がログイン認証情報を管理された環境に内部保存することです。 対照的に、組織は従来のユーザ名とパスワードの組み合わせを、サードパーティのアプリケーションなど、どのように管理されているかをほとんど可視化せずに外部に保存しています。 このため、データセキュリティのベストプラクティスに従ってクレデンシャルを確実に管理することが難しくなります。

SSOはしばしば「IDフェデレーション」の機能と呼ばれます。 簡単に言えば、IDフェデレーションとは、ユーザを認証し、特定のリソースへのアクセスを承認 するために必要な情報を交換するための2者間の信頼システムです。 多くの場合、これはOpen Authorization（OAuth）の使用を伴います。OAuthは、実際のログイン情報を公開することなく、アプリケーションに安全なアクセスを許可する力を与えるフレームワークです。

一般的に、SSO認証ワークフローは迅速でシンプルなプロセスです：

1. 最初に、ユーザはSSOセットアップ内のリソースへのアクセスを要求し、ログインプロセスを開始します。
2. ホストウェブサイトなどのリソースのサービスプロバイダーは、EntrustなどのIDプロバイダーにユーザをリダイレクトします。
3. IDプロバイダーは、いくつかのSSOプロトコルの1つを使用して資格情報をチェックすることで、ユーザのIDを検証します。
4. ユーザの認証に成功すると、IDプロバイダーはSSOトークン（認証トークンとも呼ばれる）を生成します。 簡単に言うと、これはユーザの認証セッションを表すデジタルアセットです。
5. IDプロバイダーは SSOトークンをサービスプロバイダーに送り返し、サービスプロバイダーはその有効性を検証します。 アプリケーション、システム、またはサービスのプロバイダーは、必要に応じて追加の認証要求を発行することにより、ユーザIDの追加の確認をすることができます。
6. 確認されると、サービスプロバイダーはユーザにリソースやアプリケーションへのアクセスを許可します。

これで、ユーザはSSOセットアップで構成された他のすべてのアプリケーションを使用できるようになります。 アクティブなセッションがあれば、SSOソリューションは同じ認証トークンを使ってアクセスを許可します。

はい、様々なSSOプロトコルと標準があります。 各SSOコンフィギュレーションの動作は少し異なりますが、すべて同じ一般的なプロセスに従います。 最も一般的なものをいくつか挙げます：

• Security Access Markup Language（SAML） ： SAML SSO構成は、テキストを機械語にエンコードし、ID情報を伝達するためのオープン標準です。 他の認証プロトコルが特定のセキュアアクセスユースケースのために設計されているのに対して、この認証プロトコルは広く適用できます。 Security Assertion Markup Languageもまた、SSOトークンを書くのに使われる主な標準です。
• Open Authorization（OAuth） ： OAuthは、ID情報を暗号化してアプリケーション間で送信するオープンスタンダードのプロトコルであり、これによりユーザは手動でIDを確認することなく、他のアプリケーションからデータにアクセスすることができます。
• OpenID Connect（OIDC） ： OAuthの拡張であるOIDCは、複数のアプリケーションが1つのログインセッションを使用することを可能にします。 よくある例として、多くのサービスでは、ユーザ認証情報の代わりにフFacebookやGoogleのアカウントを使ってログインすることができる。

シングルサインオンは素晴らしいユーザエクスペリエンスを提供するかもしれませんが、それ自体が完璧なソリューションというわけではありません。 アクセスコントロールとパスワードポリシーが十分でない場合には、ハッカーはSSOの利便性を利用することができます。

SSO認証が、複数のアプリケーションの多要素認証なしに単一のパスワードで構成されている場合、ユーザの生産性は向上しますが、リスクは増大します。 例えば、悪意者がSSOアカウントを侵害した場合、同じコンフィギュレーション内の他のアプリケーションに自由にアクセスできる可能性があります。

リスクを軽減するために、組織はSSOを以下のような追加のセキュリティ層で補完するのがベストです：

• リスクベースの適応型認証で、コンテキストデータが潜在的な脅威を示す場合に、ステップアップチャレンジを提供する。 未知のデバイスや管理されていないデバイスからログインしようとする場合、認証スキームは、ワンタイムパスコードなどの追加情報の提供を求めます。
• クレデンシャルベースのパスワードレス認証で、従来のパスワードをバイオメトリクスやトークンに置き換え、高速で摩擦のないアクセスを実現する。 最大の利点は パスワードがなければ、盗むものもなく、防御を突破する方法もありません。

SSOは生産性に大きな恩恵をもたらしますが、リスクも伴います。 そこで、SSOの実装が可能な限り安全であることを保証するために、以下のベストプラクティスを検討してください：

1. アプリケーションの計画を立てる ： どのソフトウェア、システム、アプリ、サービスをSSO構成に含めるべきかを特定します。
2. IDプロバイダーを選択する： プラットフォームにとらわれず、すべてのブラウザーと互換性のある柔軟なSSOソリューションを探しましょう。 さらに重要なことは、IDプロバイダーが複数のセキュリティ機能を提供し、配備が十分に保護されていることを保証することです。
3. ユーザ権限を確認する ： ゼロトラストフレームワークの精神に則り、「最小特権アクセス」のコンセプトに基づいてアクセス制御を決定します。 この考え方は、各ユーザが職責を果たすために必要な最小限の権限だけを受け取るというものです。 そうすれば、アカウントのコントロールを失っても、ハッカーは特定のアプリケーションを使うことができません。

当社のIAMプラットフォームであるEntrust IdentityがサポートするSSOによって、ユーザは、一意のクラウド、オンプレミス、およびレガシーアプリケーションごとに資格情報を管理する代わりに、1つの強固な資格情報ですべてのアプリケーションにアクセスできます。 さらに、ゼロトラストアーキテクチャを実現するために必要な、以下のようなあらゆる中核機能を提供します：

• 多要素認証
• パスワードレスアクセス
• 展開の柔軟性
• シームレスな統合
• 一元的な管理

何よりも、ガートナーは、2023年マジック・クアドラント™アクセス管理において、Entrustをチャレンジャーとして認め、当社の実行能力とビジョンの完全性を強調しました。