インターネットの使用頻度が増え、2020年には新型コロナウイルスの感染症の影響によって、急速に在宅ワークやリモートワークが増えていることもあり、使用場所を選ばない、セキュリティリスクを軽減したログイン方式が求められてきています。
一人ひとりが使用するWebサービスがどんどん増えていく中、パスワードの管理に頭を悩ませている企業のセキュリティ担当者の方も多いでしょう。また、昨今話題になっているゼロトラストセキュリティの実現のためにも、個々のユーザーの認証処理は非常に重要な要素になります。
シングルサインオンはそういった悩みを解決することのできるログインの仕組みとなっています。また、シングルサインオンを導入する事で認証強度を上げることが可能です。
そこで本稿では、Webサービスのログインの形式において注目されている、シングルサインオンについてご紹介します。
シングルサインオンとは?
覚えるべきパスワードの数が膨大で覚えきれず、メモに書いたり簡単なフレーズ設定したり、同じパスワードを使いまわしたりしている人も多いのではないでしょうか。これらの場合、総当たり攻撃やリスト型攻撃による情報漏えいのリスクが高まってしまいます。
シングルサインオンは、「シングル」と「サインオン」を組み合わせた造語です。
1つの認証手順を利用して、複数の異なるアプリケーションやサービスにログインして認証を行う仕組みを指します。
では、企業がシングルサインオンを導入するメリットやデメリットはどういった点になるのでしょうか。
シングルサインオンを導入するメリットについて
ユーザーの利便性が向上する
クラウドサービスが普及している背景などもあり、Webサービスを使う数が増えれば増えるほど、認証に利用するID・パスワードの組み合わせも同時に増えてしまいます。また、各サービスを利用する際に、毎回のようにログイン作業をしなくてはなりません。
Webサービスやアプリケーションがシングルサインオンの仕組みに対応していれば、認証手順を共通化することができるため、パスワードの使い回しや、異なるポリシーで設定する必要がなくなります。
パスワード漏洩のリスクが低くなる
ID・パスワードの組み合わせが増えれば増えるほど、管理がおろそかになります。例えば複数のサービスで同じID・パスワードを使い回したり、付箋に書いてパソコンに貼ったりして管理している方も多いのではないでしょうか。
シングルサインオンであれば、複数のサービスを使っていても共通の認証手順を使用するため、アクセスするサービスの数だけパスワードを設定する必要はありません。
セキュアな認証手段で統一できる
アプリケーションやサービスごとに認証手順が異なると、ユーザーの手間ばかりでなく、認証強度にもばらつきが出てしまいます。
制限する文字数のルールが異なってしまい、パスワード改定ルールなどもサービスごとに設定することになるなど、ルールの統一が難しくなります。
シングルサインオンを利用することで認証手順を共通化できると、共通化された手順のなかで、パスワードの変更サイクルを定義することができ、多要素認証として生体認証を追加することで、より強固な認証手順としてアップグレードするといった対応が可能となります。
シングルサインオンを導入するデメリット
セキュリティリスクにつながる
シングルサインオンで利用する手順(ID・パスワードなど)が万が一何かしらの原因で漏洩してしまうと、その認証手順を採用している全てのサービスが不正に利用されてしまうリスクにさらされることになります。
被害が1か所に留まるか、多くのサービスも同時に被害に遭うかの違いというわけです。
認証基盤がダウンするとログインできなくなる
シングルサインオンは、特定のシステムによって認証情報が管理されています。そのため、認証情報を管理するシステムが何かしらの原因でダウンした場合、他のサービスが使用できなくなる可能性があります。
そのため、冗長化構成にするなど、堅牢なシステムやサービスを利用することが望まれます。
シングルサインオンの認証方式と仕組み
シングルサインオンの認証方式には以下の3つがあります。
フェデレーション方式
フェデレーション方式とは、ネットワークドメインをまたいでID情報を交換する仕組みで、Webアプリケーションのシングルサインオンで利用されている方式となります。様々な仕様がありますが、現在主流として使われている仕様としてSAMLがあります。「SAML」とは、Security Assertion Markup Languageの略です。
SAMLを利用することで、複数のサービスへのシングルサインオンを実現します。ユーザーは認証サーバーに1回ログインするだけで、SAML対応しているサービスを利用することができるようになるのです。
代理認証方式
代理認証方式は、システムがユーザーの代わりにフォーム認証やBasic認証を実装しているWebアプリケーションにIDとパスワードを代理入力することでログインする仕組みです。
ヘッダ認証方式
ヘッダ認証方式はIDをHTTPヘッダに記載しサーバーに送信することでログインする仕組みです。 最もシンプルに導入が出来る認証方法となります。
シングルサインオンの範囲と方法
かつてシングルサインオンは、「企業の社内ネットワークの中」でのみ行われるものでした。個人がたくさんのパスワードを持つことが稀であったこと、また、企業が利用するシステムは基本的に全て社内ネットワークの中にあったことがその理由です。
現在、手間・コストの削減と、セキュリティの向上を両立させる方法として、利用が進んでいるのがSAMLです。多く認証をサービス化したIDaaS(Identity as a Service)がSAML対応を進めていますが、その理由は「認証情報はやり取りするが、パスワードはやり取りしない」というSAMLの設計のため、安全性が高められるためです。現時点で大手企業が提供するクラウドサービスは、ほぼSAML対応が完了しています。
なりすましなどを防ぐために、IDaaS側でよりセキュリティ強度を高めることも可能です。認証時にワンタイムパスワードや利用できるIPアドレスの制限、証明書が必要になるといったパスワード以外の複数の認証手段を用いる多要素認証を導入することで、自動化された攻撃をほぼ防ぐことができます。また、最近ではFIDO(Fast Identity Online)という新しい規格を用いてパスワードレスで認証できる仕組みも整ってきており、セキュリティ強度だけでなく利便性を高めることもできるようになってきています。
シングルサインオンの将来
クラウドやスマートフォン、BYOD(個人端末の業務利用)が普及し、企業・組織の機密情報が外部に保管されたり、外部からアクセスされることが増加しました。そのため、認証先のアプリケーションと認証を行う端末が増加し、認証が求められる場面が急増したため、シングルサインオンの必要性は高まっています。そして、シングルサインオンに求められるセキュリティレベルも高まっていると言えます。
また、2020年の新型コロナウイルスの拡大により、自宅からの勤務とその環境整備がますます重要な課題となっています。利用するネットワークに依らず、安全性と利便性を両立させる必要があります。ゼロトラストセキュリティでは、これまでのようにファイアーウォールやオフィス内での利用という物理的な壁がなくなった状態ですべてのアクセスの安全性を確保することが必要となりますが、認証はその入り口を担う非常に重要な役割を担うことになります。
まとめ
今回の記事では、シングルサインオンについてご紹介してきました。
多くの企業でクラウドサービスの利用や、社内インフラもデータセンターで運用するなど、インターネットを経由した利用が当たり前になってきています。
そのため、アプリケーションやサービスごとに、毎回異なるIDやパスワードを設定することはほぼ不可能になっており、複数のサービス間を1つの認証手順でログインできるシングルサインオンの仕組みは、ユーザーにとって極めて便利な上、認証手順の強化を図るシステム管理部門にとっても、非常に役立つ仕組みとなっています。
スマートフォンの普及などにより生体認証など最新のテクノロジーも利用することができ、シングルサインオンの仕組み自体も常に進歩しています。
