FX取引高 世界第1位 GMOクリック証券 GMO

シングルサインオン (SSO) とは何か

1.jpg

企業の情報システム部門で勤務されている方や、IT業界で勤務されている方の多くは「シングルサインオン」という言葉を聞いたことがあると思います。しかし、それ以外の方にとっては「何となく意味は分かるが、正確な意味は分からない」単語ではないでしょうか。以下では、シングルサインオン (SSO) について、改めてご説明いたします。

 

 

シングル + サインオン = シングルサインオン

2.jpg

「シングルサインオン」は、「シングル (single)」と「サインオン (sign-on)」の2つの単語・フレーズが合わさった造語です。

「シングル」はここでは「1度の」「1回の」という意味で用いられています。
次に、「サインオン」という言葉ですが、本来は「テレビ局やラジオ局で、その日の放送開始の合図をする(無音の映像や局名告知を行う)」という意味です。現在でも、英語圏の放送業界では「サインオン = 放送開始の合図」「サインオフ = 放送終了の合図」として用いられています。「開始するときの合図」という意味が転じて、「システム利用開始時の認証」という意味合いとしても用いられています。

この2つの語が合わさることで、「1度システム利用開始の認証を行うと、複数のシステムを利用開始する際に、都度認証を行う必要がないこと」、または「1度のシステム認証で複数システムに同時に認証できるようにする製品・システム・ツール」を意味するようになりました。

なお、「サインオン」という語を情報システムの文脈で利用する場合、「ログイン (login)」「ログオン (logon)」「サインイン (sign-in)」という言葉も全く同じ意味で利用されます。しかし、語の頭に「シングル」がついて利用されるのは「シングルサインオン」のみで、「シングルログイン」「シングルログオン」「シングルサインイン」という言葉はありません。

 

 

シングルサインオンの種類・技術

3.jpg 

時代と供に、利用されるシングルサインオンの技術も変化しています。ここでは、現在も利用されているシングルサインオンの種類・技術をご紹介します。

 

1.Kerberos認証

Kerberos認証は、ギリシャ神話の「3つの頭を持つ冥界の番犬」である「ケルベロス」からその名が取られています。最初のサインオン時には、ユーザーのID・パスワード情報の入力を行うと、チケットを取得します。その後、他のシステム・サービスを認証する場合にこのチケットを利用して認証を行うのがケルベロス認証の特徴です。

ID・パスワード自体をやり取りするのでなく、有効期限が設定されたチケットを暗号化された通信上でやりとりをすることで高い安全性が確保されています。

 

2.Windows統合認証

Windows 2000以後のWindows OSに導入された認証で、Kerberos認証やマイクロソフト独自の認証方式を組み合わせたものの総称となります。Windows統合認証は、Windows Serverのウェブサービス機能である IIS (Internet Information Services)、ディレクトリ機能であるActive Directoryの認証などとして提供されています。

 

3.SAML (Security Assertion Markup Language) 認証

ユーザーエージェント(ブラウザ)、IDサービスプロバイダ(シングルサインオンサービス)とサービスプロバイダ(クラウドサービス等サインオン先のサービス)の間で、認証情報を交換するXMLベースの認証方式です。主にクラウドサービスのシングルサインオンに利用されています。

例として、当社シングルサインオンサービス「SKUID」を利用した際に、SAMLを用いた認証の流れをご紹介します。

 4.PNG

ユーザー(クライアント)とサーバーの2者間の認証であるKerberos認証に対し、SAML認証は3者間の認証となっています。そして、SAML認証においては、ID・パスワード情報はユーザーとシングルサインオンサービスの間でのみやり取りを行います。ユーザーとクラウドサービスの間、またシングルサインオンサービスとクラウドサービスの間では、「SAMLリクエスト」と「リクエストに対する回答」のみを行い、ID・パスワード情報のやり取りを行いません。

・参考記事
 SKUID用語集 SAML

 

 

シングルサインオンのメリット

5.jpg

企業がシングルサインオンを利用するメリットは、以下の通りとなります。

  • 複数のシステムを利用する際に、都度パスワードを入力する手間を省略できる。
  • システム利用者のパスワード忘れ、パスワード入力ミスによるアカウントロック、パスワード再発行といった手間を削減できる。
  • システム利用者のパスワード関連の問題に対応するための人員(情報システム部のヘルプデスクなど)、コストを削減できる。
  • (SAML [security assertion markup language, 認証を行う際の規格] などを用いることで)第三者にパスワード情報を渡すことなく、第三者のシステムへのサインオンが可能となる。このため、パスワード漏洩リスクを低減することにつながる。

昨今、企業におけるクラウドサービスの利用が普及したため、クラウド経由で提供される第三者のサービス上に、企業の機密情報を保管することが当たり前となっています。逆に言えば、第三者のサービスに対する不正アクセスにより、企業の機密情報が漏えいする危険がこれ以上ないほど高まっています。SAMLといった規格を利用すると、そもそもクラウドサービス側にパスワードを保存させずにサインオンが行えるようになるため、セキュリティ面での利用価値が高まっています。

また、SAMLに対応していない場合においては、パスワードを第三者のクラウドサービスが保管することになります。この場合、ユーザーは各クラウドサービスごとに別な複雑なパスワードを作成する必要があります。とはいえ、それぞれ別の複雑なパスワードを記憶するのは難しいため、異なる複数のサービスで同じパスワードを利用してしまいがちです。いわゆる「パスワードの使い回し」です。

シングルサインオン製品によっては、複数のパスワードを製品上に登録しておくことが可能であるため、「複雑で使い回しではないパスワード」を「自分で記憶」ではなく「シングルサインオン製品に登録」して利用できます。これにより、別々なパスワードを何十個でも安全に扱うことができます。

 

 

シングルサインオンのデメリット

6.jpg

次に、シングルサインオンのデメリットについて理解しておきましょう。

  • シングルサインオン製品自体に不正アクセスされると、シングルサインオン製品の先にあるシステム・サービス全てに不正アクセスできてしまう。
  • 製品によって費用が高額となる。特に従業員数が多い企業にとっては、年間億単位の負担が求められる。

まず、技術的なデメリットについてですが、シングルサインオン製品自体の認証が破られると、紐づく全てのシステムにアクセスし放題となってしまうという点です。この批判はかなり昔からなされていますが、「他の認証と併用することでシングルサインオンへのセキュリティを高める」ことでほぼ解決されていると言えます。

例えば、「クライアント認証書を端末に入れ、シングルサインオン利用時には認証書の確認を行う」「シングルサインオン利用時に利用可能なIPアドレスを制限する」「シングルサインオンのパスワードを入力後に、ワンタイムパスワードの入力も合わせて求められる」「パスワードと生体認証を併用する」といったものです。仮にパスワードが破られても、他の認証が同時に破られない限りは、不正アクセスを防止できます。

なお、費用が高額であるという点は、多くのシングルサインオン製品は「従業員(ユーザー)1人あたり月額費用」という従量制の課金形態であるためです。たとえ月額4ドルのサービスであっても、従業員が1万人いると48万ドル (5457万円)、2万人いると1億円を超える年額費用が必要となります。

年間費用を抑えるには、「必要な従業員だけ利用させる」「必要なプランだけを選択する」「必要なオプションだけを追加する」「機能で比較して安価な製品を選択する」といった方法があります。無料でアプリ数、ユーザー数無制限で利用できるプランがある当社のシングルサインオン製品「SKUID」を利用するのもよいでしょう。

 

 

シングルサインオンの将来

7.jpg

クラウドやスマートフォン、BYOD(個人端末の業務利用)が普及し、企業・組織の機密情報が外部に保管されることが増加したため、認証先(クラウドサービスなど)と認証を行う端末(企業PC、個人PC、企業スマホ、個人スマホなど)が増加しています。これにより、認証が求められる場面が急増したため、シングルサインオンの必要性は高まっています。そして、シングルサインオンに求められるセキュリティも高まっていると言えます。

シングルサインオンは2つの方向性があると言えます。

 

1.パスワードを利用する多要素認証

8.jpg

1つは、「シングルサインオン時に複数の認証要素を用いてセキュリティを高める」という方向性です。一般的に「多要素認証」と呼ばれていますが、パスワード認証に加えて、クライアント証明書、ワンタイムパスワード(OTP)、スマートフォンアプリによる認証(Authenticator認証含む)、指紋や静脈などの生体認証を併用することで、シングルサインオン時のセキュリティを高めるというものです。

多要素認証では、以下の3つの認証要素があります。

  • 生体要素
    • 指紋、顔、静脈、声など本人の肉体を認証に利用する
  • 知識要素
    • パスワード、誕生日、秘密の質問など本人のみが知っている情報を認証に利用する
  • 所持情報
    • ICカード、Authenticatorの数列、物理トークンなど、物理的またはソフトウェア的に所持しているデバイス上にある情報を認証に利用する

シングルサインオン時に、パスワードのみを用いた場合、認証要素は1つとなりますが、これに別な要素を加えると認証要素は2つ、または3つとなり、セキュリティを高めることができます。なお、パスワードを利用する多要素認証シングルサインオンは、当社シングルサインオンサービス「SKUID」を含め、現在既に多くのシングルサインオンサービスで導入されています。

 

2.パスワードを利用しない多要素認証

9.jpg

もう1つは、パスワードを利用しない認証です。現在、アメリカの大手IT企業やITベンチャーを中心に「脱パスワード」の動きが出始めています。

アメリカのIT大手、マイクロソフトでは2018年5月に「Building a world without passwords (パスワードのない世界を作る)[英文ブログ]」というセキュリティブログを投稿しています。

このブログでは、パスワードの長所は「どの端末でも使える」「(記憶だけすればよいので)持ち運べる」「簡単に導入展開できる」としたうえで、「安全でない」「不便」「(安全対策なども含めると)高価」であるとしています。

10.png
引用元: Microsoft Secure:: Building a world without passwords [英文]

そのうえで、パスワードを利用しない認証(Windows Helloのような顔認証、Microsoft Authenticatorアプリ、生体認証デバイスの利用)のみを使う、という選択肢を提供しています。

なお、パスワードのない世界が既に実現されているのがスマートフォンです。スマートフォンのロックを解除は、かつては4桁の数字を入力するのが一般的でした。しかし、デバイスの進化により、現在では多くの人は指紋認証やAndroidのパターン認証(表示される9つの点を指でなぞる)を利用し、都度パスワードを入力する人は急減しています。

こうした脱パスワードの流れはシングルサインオンにも及んでおり、パスワード以外の認証方式を併用することでシングルサインオンを行うサービスを提供するベンチャー企業も登場しています。

・参考記事
 パスワードが不要な時代がやって来る?

現在のIT企業の動向を見ると、長期的にはパスワードを利用しないシングルサインオンサービスが一般的になる可能性は十分にあると考えられます。しかし、短期的・中期的にに見ると、これらのパスワードを利用しないシングルサインオンサービスは、対応しているサービスがまだ少ないため、シングルサインオンからパスワードを根絶するのは当面先になるでしょう。

シングルサインオン (SSO) とは何か

1.jpg

企業の情報システム部門で勤務されている方や、IT業界で勤務されている方の多くは「シングルサインオン」という言葉を聞いたことがあると思います。しかし、それ以外の方にとっては「何となく意味は分かるが、正確な意味は分からない」単語ではないでしょうか。以下では、シングルサインオン (SSO) について、改めてご説明いたします。

 

 

シングル + サインオン = シングルサインオン

2.jpg

「シングルサインオン」は、「シングル (single)」と「サインオン (sign-on)」の2つの単語・フレーズが合わさった造語です。

「シングル」はここでは「1度の」「1回の」という意味で用いられています。
次に、「サインオン」という言葉ですが、本来は「テレビ局やラジオ局で、その日の放送開始の合図をする(無音の映像や局名告知を行う)」という意味です。現在でも、英語圏の放送業界では「サインオン = 放送開始の合図」「サインオフ = 放送終了の合図」として用いられています。「開始するときの合図」という意味が転じて、「システム利用開始時の認証」という意味合いとしても用いられています。

この2つの語が合わさることで、「1度システム利用開始の認証を行うと、複数のシステムを利用開始する際に、都度認証を行う必要がないこと」、または「1度のシステム認証で複数システムに同時に認証できるようにする製品・システム・ツール」を意味するようになりました。

なお、「サインオン」という語を情報システムの文脈で利用する場合、「ログイン (login)」「ログオン (logon)」「サインイン (sign-in)」という言葉も全く同じ意味で利用されます。しかし、語の頭に「シングル」がついて利用されるのは「シングルサインオン」のみで、「シングルログイン」「シングルログオン」「シングルサインイン」という言葉はありません。

 

 

シングルサインオンの種類・技術

3.jpg 

時代と供に、利用されるシングルサインオンの技術も変化しています。ここでは、現在も利用されているシングルサインオンの種類・技術をご紹介します。

 

1.Kerberos認証

Kerberos認証は、ギリシャ神話の「3つの頭を持つ冥界の番犬」である「ケルベロス」からその名が取られています。最初のサインオン時には、ユーザーのID・パスワード情報の入力を行うと、チケットを取得します。その後、他のシステム・サービスを認証する場合にこのチケットを利用して認証を行うのがケルベロス認証の特徴です。

ID・パスワード自体をやり取りするのでなく、有効期限が設定されたチケットを暗号化された通信上でやりとりをすることで高い安全性が確保されています。

 

2.Windows統合認証

Windows 2000以後のWindows OSに導入された認証で、Kerberos認証やマイクロソフト独自の認証方式を組み合わせたものの総称となります。Windows統合認証は、Windows Serverのウェブサービス機能である IIS (Internet Information Services)、ディレクトリ機能であるActive Directoryの認証などとして提供されています。

 

3.SAML (Security Assertion Markup Language) 認証

ユーザーエージェント(ブラウザ)、IDサービスプロバイダ(シングルサインオンサービス)とサービスプロバイダ(クラウドサービス等サインオン先のサービス)の間で、認証情報を交換するXMLベースの認証方式です。主にクラウドサービスのシングルサインオンに利用されています。

例として、当社シングルサインオンサービス「SKUID」を利用した際に、SAMLを用いた認証の流れをご紹介します。

 4.PNG

ユーザー(クライアント)とサーバーの2者間の認証であるKerberos認証に対し、SAML認証は3者間の認証となっています。そして、SAML認証においては、ID・パスワード情報はユーザーとシングルサインオンサービスの間でのみやり取りを行います。ユーザーとクラウドサービスの間、またシングルサインオンサービスとクラウドサービスの間では、「SAMLリクエスト」と「リクエストに対する回答」のみを行い、ID・パスワード情報のやり取りを行いません。

・参考記事
 SKUID用語集 SAML

 

 

シングルサインオンのメリット

5.jpg

企業がシングルサインオンを利用するメリットは、以下の通りとなります。

  • 複数のシステムを利用する際に、都度パスワードを入力する手間を省略できる。
  • システム利用者のパスワード忘れ、パスワード入力ミスによるアカウントロック、パスワード再発行といった手間を削減できる。
  • システム利用者のパスワード関連の問題に対応するための人員(情報システム部のヘルプデスクなど)、コストを削減できる。
  • (SAML [security assertion markup language, 認証を行う際の規格] などを用いることで)第三者にパスワード情報を渡すことなく、第三者のシステムへのサインオンが可能となる。このため、パスワード漏洩リスクを低減することにつながる。

昨今、企業におけるクラウドサービスの利用が普及したため、クラウド経由で提供される第三者のサービス上に、企業の機密情報を保管することが当たり前となっています。逆に言えば、第三者のサービスに対する不正アクセスにより、企業の機密情報が漏えいする危険がこれ以上ないほど高まっています。SAMLといった規格を利用すると、そもそもクラウドサービス側にパスワードを保存させずにサインオンが行えるようになるため、セキュリティ面での利用価値が高まっています。

また、SAMLに対応していない場合においては、パスワードを第三者のクラウドサービスが保管することになります。この場合、ユーザーは各クラウドサービスごとに別な複雑なパスワードを作成する必要があります。とはいえ、それぞれ別の複雑なパスワードを記憶するのは難しいため、異なる複数のサービスで同じパスワードを利用してしまいがちです。いわゆる「パスワードの使い回し」です。

シングルサインオン製品によっては、複数のパスワードを製品上に登録しておくことが可能であるため、「複雑で使い回しではないパスワード」を「自分で記憶」ではなく「シングルサインオン製品に登録」して利用できます。これにより、別々なパスワードを何十個でも安全に扱うことができます。

 

 

シングルサインオンのデメリット

6.jpg

次に、シングルサインオンのデメリットについて理解しておきましょう。

  • シングルサインオン製品自体に不正アクセスされると、シングルサインオン製品の先にあるシステム・サービス全てに不正アクセスできてしまう。
  • 製品によって費用が高額となる。特に従業員数が多い企業にとっては、年間億単位の負担が求められる。

まず、技術的なデメリットについてですが、シングルサインオン製品自体の認証が破られると、紐づく全てのシステムにアクセスし放題となってしまうという点です。この批判はかなり昔からなされていますが、「他の認証と併用することでシングルサインオンへのセキュリティを高める」ことでほぼ解決されていると言えます。

例えば、「クライアント認証書を端末に入れ、シングルサインオン利用時には認証書の確認を行う」「シングルサインオン利用時に利用可能なIPアドレスを制限する」「シングルサインオンのパスワードを入力後に、ワンタイムパスワードの入力も合わせて求められる」「パスワードと生体認証を併用する」といったものです。仮にパスワードが破られても、他の認証が同時に破られない限りは、不正アクセスを防止できます。

なお、費用が高額であるという点は、多くのシングルサインオン製品は「従業員(ユーザー)1人あたり月額費用」という従量制の課金形態であるためです。たとえ月額4ドルのサービスであっても、従業員が1万人いると48万ドル (5457万円)、2万人いると1億円を超える年額費用が必要となります。

年間費用を抑えるには、「必要な従業員だけ利用させる」「必要なプランだけを選択する」「必要なオプションだけを追加する」「機能で比較して安価な製品を選択する」といった方法があります。無料でアプリ数、ユーザー数無制限で利用できるプランがある当社のシングルサインオン製品「SKUID」を利用するのもよいでしょう。

 

 

シングルサインオンの将来

7.jpg

クラウドやスマートフォン、BYOD(個人端末の業務利用)が普及し、企業・組織の機密情報が外部に保管されることが増加したため、認証先(クラウドサービスなど)と認証を行う端末(企業PC、個人PC、企業スマホ、個人スマホなど)が増加しています。これにより、認証が求められる場面が急増したため、シングルサインオンの必要性は高まっています。そして、シングルサインオンに求められるセキュリティも高まっていると言えます。

シングルサインオンは2つの方向性があると言えます。

 

1.パスワードを利用する多要素認証

8.jpg

1つは、「シングルサインオン時に複数の認証要素を用いてセキュリティを高める」という方向性です。一般的に「多要素認証」と呼ばれていますが、パスワード認証に加えて、クライアント証明書、ワンタイムパスワード(OTP)、スマートフォンアプリによる認証(Authenticator認証含む)、指紋や静脈などの生体認証を併用することで、シングルサインオン時のセキュリティを高めるというものです。

多要素認証では、以下の3つの認証要素があります。

  • 生体要素
    • 指紋、顔、静脈、声など本人の肉体を認証に利用する
  • 知識要素
    • パスワード、誕生日、秘密の質問など本人のみが知っている情報を認証に利用する
  • 所持情報
    • ICカード、Authenticatorの数列、物理トークンなど、物理的またはソフトウェア的に所持しているデバイス上にある情報を認証に利用する

シングルサインオン時に、パスワードのみを用いた場合、認証要素は1つとなりますが、これに別な要素を加えると認証要素は2つ、または3つとなり、セキュリティを高めることができます。なお、パスワードを利用する多要素認証シングルサインオンは、当社シングルサインオンサービス「SKUID」を含め、現在既に多くのシングルサインオンサービスで導入されています。

 

2.パスワードを利用しない多要素認証

9.jpg

もう1つは、パスワードを利用しない認証です。現在、アメリカの大手IT企業やITベンチャーを中心に「脱パスワード」の動きが出始めています。

アメリカのIT大手、マイクロソフトでは2018年5月に「Building a world without passwords (パスワードのない世界を作る)[英文ブログ]」というセキュリティブログを投稿しています。

このブログでは、パスワードの長所は「どの端末でも使える」「(記憶だけすればよいので)持ち運べる」「簡単に導入展開できる」としたうえで、「安全でない」「不便」「(安全対策なども含めると)高価」であるとしています。

10.png
引用元: Microsoft Secure:: Building a world without passwords [英文]

そのうえで、パスワードを利用しない認証(Windows Helloのような顔認証、Microsoft Authenticatorアプリ、生体認証デバイスの利用)のみを使う、という選択肢を提供しています。

なお、パスワードのない世界が既に実現されているのがスマートフォンです。スマートフォンのロックを解除は、かつては4桁の数字を入力するのが一般的でした。しかし、デバイスの進化により、現在では多くの人は指紋認証やAndroidのパターン認証(表示される9つの点を指でなぞる)を利用し、都度パスワードを入力する人は急減しています。

こうした脱パスワードの流れはシングルサインオンにも及んでおり、パスワード以外の認証方式を併用することでシングルサインオンを行うサービスを提供するベンチャー企業も登場しています。

・参考記事
 パスワードが不要な時代がやって来る?

現在のIT企業の動向を見ると、長期的にはパスワードを利用しないシングルサインオンサービスが一般的になる可能性は十分にあると考えられます。しかし、短期的・中期的にに見ると、これらのパスワードを利用しないシングルサインオンサービスは、対応しているサービスがまだ少ないため、シングルサインオンからパスワードを根絶するのは当面先になるでしょう。