シングルサインオン（SSO）とは？仕組みやメリットをわかりやすく解説

基礎と応用

現在、多くの企業でさまざまなクラウドサービスの導入が進んでいます。しかし、従業員が複数のクラウドサービスにログインするときにも、その都度認証が必要で、各クラウドサービスの認証アカウントが異なる場合には、非常に手間となり、生産性を下げてしまう場合があります。また、セキュリティリスクや管理の煩雑さも課題となっています。
こうした課題の解決策として注目されているのが、シングルサインオン（SSO）です。今回はシングルサインオン（SSO）とは何か、初心者にもわかりやすくその仕組みと導入方法を解説します。

シングルサインオン（SSO）とは？
シングルサインオン（SSO）の導入メリット
シングルサインオン（SSO）の導入デメリット
シングルサインオン（SSO）の導入デメリットを解消する方法
シングルサインオン（SSO）の導入方法
まとめ

シングルサインオン（SSO）とは？

・シングルサインオン（SSO）とは

シングルサインオン（SSO）とは、ユーザーが1セットのアカウント情報だけで複数のアプリケーションやWebサイトにログインできる仕組みのことです。

シングルサインオンは、一度ログインすれば追加の認証が必要ないことから、ネットワーク上で動作するさまざまなビジネス系ITツールを社内で利用する時などに、ユーザーの利便性を高める他、IT管理者の運用業務増加対策をする上でメリットがあります。

また、ログイン情報が多ければそれだけ紛失・漏洩リスクも高まりますが、シングルサインオンは、1セットのIDとパスワードの管理を強化すればよいので、セキュリティを高めることも可能な方法として利用されています。

・シングルサインオン（SSO）の認証と認可の違い

認証とは、本人であるかの確認を行うことです。身近な例ではパスワードの入力によるパスワード認証や、指紋認証・顔認証などの生体情報による認証、電話番号でのSMS認証といった所持情報による認証、「知識要素」「所有要素」「生体要素」の3要素のうち2つ以上の異なる要素を使用する多要素認証などの種類があります。
関連コラム：認証とは？さまざまな認証方法やおすすめ製品をご紹介
一方で認可は、権限を付与することを指します。具体的には閲覧権限、編集権限などがあります。シングルサインオン（SSO）では、認証できたユーザーに特定のサービスやシステムへのアクセス許可を与えるといった使われ方をします。

・シングルサインオン（SSO）の歴史

SSOは元々、社内のシステムにアクセスする際の認証のために作られました。当時は今のように社外ネットワークのサービスを使うことは少なかったため、社内ネットワーク内のシステムで十分でした。
しかし、コロナ禍でのテレワーク・リモートワークやWebサービス・クラウドサービスなどの普及により、社外ネットワークへのアクセスが求められるようになりました。その結果、利用する社外ネットワークが増加し、管理するIDとパスワードも増え、その管理工数を減らそうと簡易的なパスワード設定やパスワードの使いまわしなどのセキュリティリスクの高まりが問題視されるようになりました。
そのような状況に対して、外部ネットワークでもまとめて認証できる技術が開発されたことにより、一気にSSOの普及が加速しました。
関連コラム：テレワークのネットワークセキュリティ対策のポイントとは

シングルサインオン（SSO）の導入メリット

企業がシングルサインオン（SSO）を導入する場合に、どのようなメリットが得られるのか、具体的に解説します。

・ユーザーの利便性が高まる

シングルサインオン（SSO）を導入することにより、複数のクラウドサービスなどのツールを業務で利用するユーザーにとって、IDとパスワードが一つで済むようになり、入力も１回だけで対象ツールにログインできるようになります。このように、複数のツールを効率的に使うことができるので、利便性はもちろん、トータルで見た場合の作業スピードや業務効率性も向上するといったメリットも考えられます。

・情報漏洩リスクが低減される

いくつものIDとパスワードがあると、どうしても人は覚えきれなくなります。そのため、メモに残したり、パソコンに付箋を貼ったりして忘れるのを防ぐようになります。しかし、それは情報漏洩リスクを高めることにつながってしまいます。シングルサインオン（SSO）を導入することで、IDとパスワードは一つだけ覚えれば済み、情報漏洩のリスクが低減できます。

・管理者の負担やコストが削減される

ID・パスワードの管理者にとって日常茶飯事なのが、従業員が自分のIDとパスワードを忘れたという問い合わせです。企業で利用するクラウドサービスの数が増えれば増えるだけ、問い合わせが増えるでしょう。パスワードの忘れについては再発行などの手間やフォローが必要となり、アカウントロックというケースでは、ロック解除の作業や従業員への説明などが必要になります。
シングルサインオン（SSO）を導入すると、このような状況の対応策として、新たな仕組みを構築したり、追加人員を配置したりする必要がありません。ひとりの従業員につき一つのID・パスワードになるため、管理者の負担軽減やコスト削減が期待できるというメリットがあります。

シングルサインオン（SSO）の導入デメリット

シングルサインオン（SSO）を導入する場合に、どのようなデメリットが存在するのか、具体的に解説します。

・不正アクセス時の被害拡大に注意が必要

不正アクセスが起きてしまった場合に、複数のシステムに被害が広がる恐れがあります。そもそものパスワード管理を厳重に行い、定期的なパスワードの変更や二段階認証などのセキュリティ対策によって、問題を未然に防ぐことが求められます。

・システム停止によりログインができなくなる

シングルサインオン（SSO）のシステムが停止してしまった場合、ログインできなくなってしまいます。そのため、サービス選定時にベンダーの緊急時の対応力を確認したり、自社での対応策を考えておくのが理想的です。

・サービスによってはシングルサインオン（SSO）を利用できない

シングルサインオン（SSO）にはいくつかの認証方式の種類があるため、サービスによっては対応していない場合があります。

シングルサインオン（SSO）の導入デメリットを解消する方法

前述のとおり、シングルサインオン（SSO）導入のメリットは大きいものの、不正アクセス時の被害は拡大しやすいというデメリットもあります。しかし、デメリットを解消する方法もありますので、参考にしてみてください。

・IPアドレス制限

IPアドレス制限とは、特定のIPアドレス以外からのアクセスを制限することができるものです。重要情報が格納されているフォルダにIPアドレス制限をかけておけば、万が一パスワードが漏えいしたとしても、アクセスされるリスクは軽減されます。

・ワンタイムパスワード

ワンタイムパスワードは、一回のみ有効なパスワードのことで、不正アクセスにも有効です。ワンタイムパスワードを導入しておけば、ログイン情報が漏えいしても、不正アクセスされる可能性を減らすことができます。

シングルサインオン（SSO）の導入方法

シングルサインオン（SSO）を導入する際、実装方式は大きく4種類あります。それぞれ紹介します。

・エージェント方式

Webサーバーに専用のエージェントソフトウエアを導入し、シングルサインオン（SSO）を実現する方式です。エージェントソフトウエアは、シングルサインオン（SSO）用に用意した外部サーバーと連携することにより、認証を実施したり、アクセス権限があるかどうかのチェックを行ったりします。

・リバースプロキシ方式

リバースプロキシと呼ばれるサーバーをデバイスとクラウドサービスなどの間に中継させ、認証を行う方式です。専用のエージェントソフトウエアをリバースプロキシ上に導入して、認証を行います。

・代理認証（フォームベース）方式

専用のエージェントソフトウエアが、ユーザーの代理でID・パスワードを打ち込み、認証を行う方式です。エージェントは常駐しており、クラウドサービスやアプリケーションのログイン画面が起動するのを検知したら、自動的にID・パスワードを入力するしくみになっています。

・SAML認証（フェデレーション）方式

SAMLとは、「Security Assertion Markup Language」の頭文字をとったもので、ユーザーとSP（サービスプロバイダ）、IdP（Identity Provider／ID管理と認証を行うIDプロバイダ）の3者で行う認証方式です。まずユーザーがクラウドサービスにアクセスすると、SPがIdPへ認証を要求します。その後、IdPはユーザーのデバイスに専用のログイン画面を表示させることで、ユーザーがログインできるようになります。IDとパスワードが一致すれば、IdPは、今度はSPに対して認証応答を送ります。受け取ったSPは、自動ログインを実行します。一度、認証が成功すれば、SAML認証方式に対応する別のクラウドサービスなどへも自動でログインできます。