詳細を見る

シングルサインオン(SSO)とは何か、なぜ重要なのか?

シングルサインオン(SSO)は、ユーザが複数のウェブサイトやアプリケーションで1セットの認証情報を使用できるようにする、ユーザ識別のためのシステムです。

従来、ユーザアカウントにサインインするには、2つのログイン認証情報が必要でした:ユーザ名とパスワードです。何十ものログイン認証情報を管理することは、人の動きを鈍らせ、リスクを増大させます。 シングルサインオン(SSO)は、ユーザが一度ログインすれば、必要なアプリやシステムにすべてアクセスできるようにすることで、この問題を解決します。

顧客や従業員は、複数のパスワードを覚えたり管理したりする必要がなく、1組のユーザ認証情報だけで重要なシステムにアクセスできます。 

なぜSSO認証が重要なのか、どのように機能するのか、どのようにSSO設定を保護するのかなど、SSO認証について知っておく必要があることをすべて学ぶには、この先をお読みください。

重要ポイント

  • シングルサインオン(SSO)により、ユーザは複数のプラットフォームやアプリケーションで1組の認証情報を使用できるようになります。
  • AIを駆使した攻撃やその他の巧妙な手口が増えるにつれ、SSOはシステムやデータのセキュリティにとってますます重要になっています。
  • 組織はその環境とシステム機能に基づいてSSO標準を選択します。
  • SSOの利点には、ユーザエクスペリエンスの向上、セキュリティの強化、ID管理の合理化などがあります。
  • MFA、パスワード衛生、その他のセキュリティ層を追加することで、SSOの有効性が高まります。
  • SSOに影響を与える可能性のある将来のトレンドには、バイオメトリクスの進歩、IDの分散化、AIを活用した脅威などがあります。

SSOの定義

シングルサインオン(SSO)は、ユーザが単一のログイン認証情報だけで、複数のアプリケーションにアクセスできるようにします。 たとえば、従業員が自分のワークステーションにログインするためにIDクレデンシャルを入力すると、SSO認証によってアプリ、ソフトウェア、システム、およびクラウドベースのリソースへのアクセスも提供されます。

SSOは、政府機関、バイオファーマ、ヘルスケアなど、個人情報や機密情報を扱う組織において、より強固なセキュリティをサポートすると同時に、異なるプラットフォームや関連機関にまたがるシームレスなユーザエクスペリエンスを提供します。 例えば、銀行の従業員は、SSOを使用して一度ログオンし、会社のCRM、電子メールアカウント、人事ポータルに移動することができます。 多要素認証(MFA)のようなセキュリティ層は、これを補完するのに役立ちます。

SSOが重要な理由は?

SSOは、単一の認証情報で複数のアプリケーションにアクセスできるようにすることで、セキュリティを強化し、運用を合理化し、ユーザエクスペリエンスを向上させるため、組織にとって不可欠です。 特にMFAと組み合わせることで、パスワードの疲労を軽減し、フィッシングやクレデンシャル漏洩のリスクを軽減することができます。 SSOはまた、ユーザのプロビジョニングとプロビジョニング解除を簡素化し、ITサポートコストを削減し、一元化されたアクセス制御とアクティビティ追跡を通じてコンプライアンスをサポートします。 IDおよびアクセス管理(IAM)およびゼロトラストモデルのコアコンポーネントとして、SSOは、企業環境全体にわたって、安全で効率的かつスケーラブルな認証を保証します。

SSOは、職場で使用されるクラウドアプリやサービスの急増を考えると、さらに重要です。 最新の推計によると、平均的な企業は約1400のクラウドベースアプリを使用しています。 従業員がSSOで使用する認証情報の数を制限することで、重大なサイバーセキュリティの脆弱性を減らすことができます。

SSOの種類/構成

すべてのSSOプロトコルは同じ一般的なプロセスに従いますが、いくつかは、ユースケースや他の要因に応じて少し異なって動作します。 最も一般的なSSO標準をいくつか挙げます:

  • Security Access Markup Language(SAML)SAML SSO構成は、テキストを機械語にエンコードし、ID情報を伝達するためのオープン標準です。 他の認証プロトコルが特定のセキュアアクセスユースケースのために設計されているのに対して、この認証プロトコルは広く適用できます。 Security Assertion Markup Languageもまた、SSOトークンを書くのに使われる主な標準です。
  • Open Authorization(OAuth) : OAuthは、ID情報を暗号化してアプリケーション間で送信するオープンスタンダードのプロトコルであり、これによりユーザは手動でIDを確認することなく、他のアプリケーションからデータにアクセスすることができます。しかし、認証を直接扱うということではなく、多くの場合SSOのユースケースのためにOIDCと一緒に使われます。
  • OpenID Connect(OIDC) : OAuthの拡張であるOIDCは、ユーザIDを認証し、複数のアプリケーションが1つのログインセッションを使用することを可能にします。
  • Kerberos : このネットワーク認証プロトコルは、パスワードの代わりに暗号化されたチケットを使用し、鍵配布センター(KDC)を介してSSOを可能にします。

これらのSSO標準とプロトコルは、機能とデジタル環境に応じて、異なる構成で使用されます:

  • エンタープライズグレードのSSOは、組織内の内部システムに統一されたログインエクスペリエンスを提供し、ユーザが複数のデータベース、プラットフォーム、アプリケーションにシームレスにナビゲートできるようにします。
  • Federated SSOは、異なる組織やドメイン間のIDをリンクします。
  • クラウドベースのSSOは、AWSやOffice 365など、複数のクラウドベースのサービスやアプリにまたがるSSOアクセスを提供します。
  • モバイルSSOは、ユーザが1回のログインで複数のモバイルアプリにアクセスできるようにします。
  • ソーシャルSSOは、ユーザがFacebookやLinkedInなどのソーシャルメディアアカウントを使ってアプリやプラットフォームにログインすることを可能にします。

SSOプロトコル選択する際の重要な考慮事項

SSOプロトコルを選択する際は、技術的なスペックだけでなく、組織のセキュリティ、コンプライアンス、ユーザエクスペリエンスの目標に適合しているかどうかにも注目してください:

  • セキュリティレベルと脅威モデル: プロトコルの強みを、フィッシングやクレデンシャル盗難など、最も防御が必要な攻撃のタイプに合わせましょう。
  • 規制の調整: プロトコルがGDPR、HIPAA、FedRAMPなど、満たすべきコンプライアンス基準をサポートしていることを確認してください。
  • 既存システムとの統合: コストのかかる再設計を行うことなく、現在のIDプロバイダ、アプリケーション、およびインフラストラクチャとスムーズに連携するプロトコルを探しましょう。
  • スケーラビリティとパフォーマンス: ユーザ数と統合サービス数の両方において、プロトコルがどのように成長に対応するかを検討しましょう。
  • ユーザエクスペリエンス: 従業員、パートナー、市民が迅速かつ直感的に利用できるサインオンプロセスとセキュリティのバランスをとりましょう。
  • ベンダーとコミュニティのサポート: 積極的な開発と実績のある展開パターンで十分にサポートされたプロトコルは、長期にわたるリスクを軽減します。 

適切なプロトコルを選択することは、技術的な決定であると同時にビジネス上の決定でもあります。 適切な適合は、組織を保護し、コンプライアンスを維持し、毎日それを頼りにする人々の生活を容易にします。

SAMLフロー

SSOはどのように機能しますか?

SSOはしばしば「IDフェデレーション」の機能と呼ばれます。 簡単に言えば、IDフェデレーションとは、ユーザを認証し、特定のリソースへのアクセスを承認 するために必要な情報を交換するための2者間の信頼システムです。 多くの場合、これはOpen Authorization(OAuth)の使用を伴います。OAuthは、実際のログイン情報を公開することなく、アプリケーションに安全なアクセスを許可する力を与えるフレームワークです。

一般的に、SSO認証ワークフローは迅速でシンプルなプロセスです:

  1. 最初に、ウェブアプリやモバイルアプリを介して、ユーザはSSOセットアップ内のリソースへのアクセスを要求し、ログインプロセスを開始します。
  2. ホストウェブサイトなどのリソースのサービスプロバイダーは、EntrustなどのIDプロバイダーにユーザをリダイレクトします。
  3. IDプロバイダーは、いくつかのSSOプロトコルの1つを使用して資格情報をチェックすることで、ユーザのIDを検証します。
  4. ユーザの認証に成功すると、IDプロバイダーはSSOトークン(認証トークンとも呼ばれる)を生成します。 簡単に言うと、これはユーザの認証セッションを表すデジタルアセットです。
  5. IDプロバイダーは SSOトークンをサービスプロバイダーに送り返し、サービスプロバイダーはその有効性を検証します。 アプリケーション、システム、またはサービスのプロバイダーは、必要に応じて追加の認証要求を発行することにより、ユーザIDの追加の確認をすることができます。
  6. 確認されると、サービスプロバイダーはユーザにリソースやアプリケーションへのアクセスを許可します。

これでユーザは、セッションが期限切れになるか再認証が必要にならない限り、SSOセットアップで構成された他のすべてのアプリケーションを使用できます。

シングルサインオン(SSO)のイラスト

SSOの利点は何ですか?

SSOの導入は、ユーザ、企業、そして顧客にもいくつかのメリットをもたらします。 例:

より良いユーザエクスペリエンス、生産性、コスト削減

複数のパスワードを1組のユーザ認証情報にまとめることで、ログインを簡素化し、従業員が複数のアカウントを管理する必要性を減らすことができます。 これは、最も重要なアプリケーションがオンプレミスやクラウドになりつつある、ハイブリッドな作業環境では特に重要です。

最終的に、このワークフローの加速は、従業員の生産性向上につながります。 さらに良いことに、SSOやMFAのような小さな時間節約でさえ、目に見える経済的な影響を与えることができるのです。 調査によると、従業員がパスワードのリセットをするのに、平均10分かかっています。 100人規模の組織で各従業員が年に2回パスワードをリセットするだけで、33時間以上、つまりほぼ1週間分の仕事が無駄になります。

さらに、SSOソリューションは、パスワードリセットのためのITヘルプデスクへのリクエストなど、非生産的なタスクを最小限に抑えることができます。

より強固なパスワード管理によるセキュリティの向上

ある調査では、ウェブサイト全体で成功したログインの41%が、以前にデータ漏洩で流出した盗まれたパスワードに関与しています。 複数のユーザ名とパスワードの組み合わせを覚えなければならなくなると、結局、さまざまなアカウントで同じものを再利用するようになります。さらに、認証情報が盗まれたり、危険にさらされたりしていることを警告されても、パスワードを変更しようとしない場合もあります。

これは「パスワード疲れ」と呼ばれるもので、SSOが重要なもう一つの理由です: 1つのアカウントが侵害されれば、他のすべてのサービスも侵害される可能性があるため、これは大きなセキュリティリスクです。 言い換えれば、攻撃者は被害者の他のアプリケーションをハックするために同じパスワードを使うことができるということです。

SSOの導入は、すべてのログインを1つに減らすことによって、パスワードの疲労を軽減します。 たとえアカウントが侵害されたとしても、管理者は迅速にアクセスをブロックする措置を取ることができ、システムへの潜在的な損害の範囲や盗まれたデータの量を抑えることができます。

しかし、現実には必ずしもそうではありません。 そのため、追加のセキュリティ対策でSSOソリューションをサポートするのがベストですが、それについては後述します。

よりシンプルなポリシー実施とID管理

SSOはパスワードのシングルポイントエントリーを提供し、ITチームがセキュリティポリシーやルールを実施しやすくします。 例えば、定期的なパスワードのリセットは、各ユーザが変更する必要があるクレデンシャルが1つだけなので、SSOで管理する方がはるかに簡単です。

さらに重要なことは、正しく実装されていれば、統合ID管理がログイン認証情報を管理された環境に内部保存することです。 対照的に、組織は従来のユーザ名とパスワードの組み合わせを、サードパーティのアプリケーションなど、どのように管理されているかをほとんど可視化せずに外部に保存しています。 このため、データセキュリティのベストプラクティスに従ってクレデンシャルを確実に管理することが難しくなります。

コンプライアンスに対するサポート

SSOは、HIPAA、GDPR、SOC 2で義務付けられているような重要なコンプライアンス基準を満たすために、規制の厳しい業界の組織を支援する上で重要な役割を果たしています。

一元化されたアクセス管理は、接続されたアプリケーションを含む技術インフラ全体で、一貫したセキュリティポリシーの実施をサポートします。 統一されたセキュリティルールのセットにより、ユーザ権限も簡素化され、コンプライアンス要件に従って機密データやリソースにアクセスできるユーザの制御が容易になります。

SSOによるアクセス管理は、最小特権の原則の実施にも役立ち、ユーザが職務に必要なツールやシステムにのみログインできるようにします。 このような制限を設けることで、違反があった場合の損害を抑えることができます。 

最後に、SSOソリューションは、ユーザの活動を追跡する詳細な監査ログを提供し、これは監視と報告のためのコンプライアンス要件を満たすため、または調査のために使用することができます。

SSOは安全ですか?

SSOは安全ですが、効果的に実装されなければなりません。 SSO認証が、複数のアプリケーションの多要素認証なしに単一のパスワードで構成されている場合、ユーザの生産性は向上しますが、リスクは増大します。 例えば、悪意者がSSOアカウントを侵害した場合、同じコンフィギュレーション内の他のアプリケーションに自由にアクセスできる可能性があります。

MFAが実装されていても、ユーザは「プッシュ疲れ」を起こし、ハッカーからの偽のプッシュ要求を注意深く評価することなく承認してしまう可能性があります。 

SSOやアプリの統合の設定を誤ると、特に組織がこの種のセキュリティリスクを監視していない場合、脆弱性が広がる可能性があります。

その可能性を軽減するために、組織はSSOを追加のセキュリティ層で補完するのがベストです。 Entrustは以下のような機能でSSOを強化します:

  • 誰かが未知のデバイスまたは管理されていないデバイスからログインしようとした場合など、システムがコンテキストデータから異常なアクセスや行動を検出した場合、トークンの失効と再認証を行います。
  • クレデンシャルベースのパスワードレス認証で、従来のパスワードをバイオメトリクスやトークンに置き換え、高速で摩擦のないアクセスを実現する。 最大の利点は パスワードがなければ、盗むものもなく、防御を突破する方法もありません。
  • セッションの有効期間を一元管理できるため、セキュリティ管理者は、ユーザがMFAで再認証するまでの認証セッションの有効期間を設定し、強制することができます。

SSO認証はどのように実装するのですか?

SSOは生産性に大きな恩恵をもたらしますが、リスクも伴います。 そこで、SSOの実装が可能な限り安全であることを保証するために、以下のベストプラクティスを検討してください:

  1. アプリケーションの計画を立てる : どのソフトウェア、システム、アプリ、サービスをSSO構成に含めるべきかを特定します。
  2. 認証プロトコルを選択する。 既存のシステムと互換性があり、プラットフォームやアプリケーション全体で要求される標準を満たすSSO標準を選択しましょう。
  3. IDプロバイダーを選択する: プラットフォームにとらわれず、すべてのブラウザーと互換性のある柔軟なSSOソリューションを探しましょう。 さらに重要なことは、IDプロバイダーが複数のセキュリティ機能を提供し、配備が十分に保護されていることを保証することです。
  4. ユーザ権限を確認する : ゼロトラストフレームワークの精神に則り、「最小特権アクセス」のコンセプトに基づいてアクセス制御を決定します。 この考え方は、各ユーザが職責を果たすために必要な最小限の権限だけを受け取るというものです。 そうすれば、アカウントのコントロールを失っても、ハッカーは特定のアプリケーションを使うことができません。
  5. テストとモニター。 配備前にシステム全体でSSOをテストし、意図したとおりに動作することを確認しましょう。 導入後は、リスク、脆弱性、異常な行動や活動を継続的に監視してください。

SSOの今後の動向

リスクが進化し変化するにつれ、SSOもそれに合わせて進化し続けるでしょう。 今後の使い方に影響を与えそうな発展やトレンドには、以下のようなものがあります:

  • MFAの強化。 SSOは、認証をサポートするために、網膜スキャン、顔認識、指紋などと組み合わせて使用することができます。 アダプティブMFAは、行動、場所、デバイス、その他の信号などの要因に基づいた追加チェックを行います。
  • 分散型ID。 ブロックチェーンやその他の新たな技術は、一元的に保存されたクレデンシャルへの依存を減らし、リスクをさらに最小化し、ユーザのプライバシーを強化します。
  • トークンとセッションセキュリティ。 攻撃者が、マルウェアや傍受によって、SSOが使用する認証トークンを標的にするようになっているため、ベストプラクティスは、より頻繁なトークンのローテーションとより短い検証期間を組み込むように進化しています。 トークンが侵害された兆候を積極的に監視するのも良いアイデアです。
  • クラウドおよびハイブリッド環境向けの修正。 現代の組織技術の複雑さは、SSOプラットフォームに、プラットフォーム間のシームレスなスケーリング、ユーザプロビジョニングのようなタスクの自動化、一貫したセキュリティポリシーの適用など、これまで以上の機能を要求しています。

Entrust SSOの特徴は何ですか?

堅牢なSSOシステムにより、ユーザはフィッシングなどの攻撃から保護されながら、1回のログインで複数のプラットフォームやアプリに素早く簡単にアクセスできるようになります。 SSOは、多要素認証のような特別なセキュリティ機能を含み、関連するデータプライバシーおよびセキュリティ要件に準拠している必要があります。

ユーザが簡単に操作できるようにしながら、ITチームは一元化されたダッシュボードからアクティビティや設定、その他の機能を監視して、問題を事前に特定し、セキュリティの脅威に迅速に対応できるようにする必要があります。

EntrustのSSOソリューションにより、クラウド、オンプレ、レガシーのアプリケーションごとに認証情報を個別に管理する必要がなくなります。 さらに、ゼロトラストアーキテクチャを実現するために必要な、以下のようなあらゆる中核機能を提供します:

  • 多要素認証
  • パスワードレスアクセス
  • 展開の柔軟性
  • シームレスな統合
  • 一元的な管理

SSOによるID認証は、最新のIDおよびアクセス管理ソリューションの重要な機能であり、フィッシング攻撃や脆弱性から組織を保護する上でますます重要な役割を果たしています。 企業が自社のデータとユーザの安全を守るために採用しているID中心のセキュリティ戦略についての詳細をご確認ください

よくある質問

SSOとは何の略ですか?

SSOとはシングルサインオンの略です。 これは、複数のプラットフォームやアプリケーションにログインするのに、1組の認証情報しか必要としないセキュリティ戦略のことです。 これにより、ユーザにとってソリューション間の移動が容易になるだけでなく、ユーザが管理しなければならないパスワードやアカウントの数が減るため、セキュリティも強化されます。 その結果、攻撃者が認証情報を盗む機会は最小限に抑えられ、ユーザの認証情報が漏洩した場合、組織はデータやシステムへのアクセスを迅速に制限することができます。

シングルサインオンを無効化するには?

SSOを無効にすることは一般的には推奨されませんが、必要な場合もあります。 SSOを無効にするには、SAML、OAuth、OpenIDのいずれかの統合をオフにします。 また、ユーザー認証設定をリセットして、代わりにユーザ名/パスワードによるログインを許可する必要があるかもしれません。 他の認証情報がないとシステムにアクセスできなくなる可能性があるため、ユーザには、この変更についてアラートを出すべきです。 これらの変更を行う前に、必ず設定をバックアップしてください。

セクションを確認する

セクションを確認する

安全なシングルサインオンソリューションでユーザアクセスを簡素化する
アイデンティティアクセスソリューションを詳しく見る

ライフサイクル全体を通じたIDの保護へのEntrustの取り組みが、ガートナー社のアクセス管理マジック・クアドラントでチャレンジャーとして評価された理由をご紹介します。

ダウンロード