GMOトラスト・ログイン ブログ シングルサインオン(SSO)や
認証に関する話題

IPアドレス制限機能対応・クラウド型シングルサインオン製品比較

2018/04/24

ip_restriction.jpg

Gmail, G Suite, Office 365, Chatworkなど、多くのクラウドサービス(クラウドアプリ)に対応した、クラウド型シングルサインオン製品が多く目にするようになりました。以下では、特にニーズの高い「IPアドレス制限」に対応した、主要なクラウド型シングルサインオン製品を比較いたします。

*なお、この比較情報は2018年4月の情報を元に作成しております。為替レートも2018年4月のものです。

 

主要3製品を比較する

以下では、クラウド型シングルサインオン製品でIPアドレス制限が行える製品のうち、3製品をピックアップしてご紹介いたします。

IP_chart6.png

 

(1)開発元、開発国

ip_flags.jpg

OneloginならびOktaは米国企業で、米国にて開発が行われています。

また、Oneloginは日本法人がありますが、Oktaは日本法人がありません。両社とも、日本では各製品の販売代理店が営業・サポートの中心となっています。

トラスト・ログインの開発元は、東証一部上場企業のGMOインターネットグループ傘下の、GMOグローバルサイン株式会社となります。日本企業が日本で開発した製品となっています。

 

(2)IPアドレス制限機能

ip_restriction__1_.jpg

Onelogin、Okta、トラスト・ログインの全てで利用可能です。

具体的には、Oneloginは月額4ドル以上のプランでIPアドレス制限が利用できます。

また、Oktaは月額2ドルの有料プランでIPアドレス制限が利用できます。

トラスト・ログインは、IPアドレス制限は月額100円のオプションとして提供されています。

 

(3)IPアドレス制限機能利用時の1ユーザーあたり月額費用

ip_hiyou.jpg

Oneloginは月額4ドル (424円、2018年4月の為替レート)と最も高く、次いでOktaは月額2ドル (212円) となります。最も安価なトラスト・ログインは月額100円となります。

なお、Oktaは年間の最低金額が1500ドル以上である必要がありますので、仮に月額2ドルのプランで契約を行おうとした場合、1500ドルを2ドルで割って、62.5人、切り上げて63人以上のユーザー数が必要となります。また、人数が足りない場合は、たとえ使わない機能であったとしても、上位プランやオプションなどを契約して、年間1500ドルに何とか到達しなければなりません。

なお、Oneloginとトラスト・ログインは、Oktaのような年間利用金額制限はありません。

 

(4)製品の日本語対応

ip_japanese.jpg

OneloginとOktaは、一般ユーザーが操作する画面は日本語対応しています。しかし、管理者が操作する管理画面は日本語対応しておらず、英語となります。よって、英語に不慣れな管理者は、販売店から提供される日本語マニュアルを常に確認しながら、管理画面を操作しなければなりません。

トラスト・ログインは、一般ユーザーの画面、管理者画面ともに日本語対応しているため、一般ユーザー、管理者ともにストレスなく利用することができます。

 

(5)日本語ドキュメント

ip_document.jpg

技術ドキュメントなど、製品仕様、開発仕様を確認する際のドキュメントについてです。

Oneloginは日本法人のホームページで日本語ドキュメントを公開していますが、英語サイトで公開されているドキュメントと比べると非常に少ないのが現状です。よって、日本語で提供されていないドキュメントについては、英語の情報を調べるか、代理店に「日本語でこのような情報はありますか」と都度確認しなければなりません。

Oktaは日本語ホームページがなく、日本語のドキュメントは提供されていません。よって、全ての日本語ドキュメントを販売代理店から入手する必要があります。とはいえ、販売店はメーカーではありませんので、ドキュメントの公式な日本語訳を提供することはできません。

トラスト・ログインは日本企業が日本で開発したサービスであることから、全てのドキュメントは日本語で提供されており、その大半はホームページから即座に確認、ダウンロードすることができます。

 

(6)日本語サポート

ip_support.jpg

まず、日本法人がないOktaは、メーカーから直接日本語でサポートを受けることはできません。日本の代理店からは日本語サポートを受けることはできますが、代理店で回答できない点があれば、Okta米国本社に確認してからの回答となるため、回答まで時間がかかる可能性があります。

次に、Oneloginは日本法人がありますが、販売は代理店が主体となっているため、Onelogin日本法人から直接日本語サポート受けるのではなく、まずは日本の代理店に問い合わせることになります。日本の代理店で回答できない場合は、Onelogin日本法人に問合せ、そこでも回答できないことがあればOnelogin米国本社に問い合わせる流れとなります。こちらも、開発元にたどり着くまで時間がかかるため、回答まで時間がかかる可能性があります。

トラスト・ログインは、日本メーカーが作っている製品であり、メーカーであるGMOグローバルサインから直接日本語でサポートを受けることができます。サポートの方法は、電話、メール(問い合わせフォーム)、チャットから選択できるので、お客様の要望に合った日本語サポートを受けられます。

 

(7)データ保管場所

ipaddress_dc.png

「クラウド型シングルサインオン製品」は、クラウド経由でサービスが提供されていますが、設定情報やアカウント情報などは全てデータセンターに保管されています。

データセンターがどこにあるかを普段は意識することはありませんが、データセンターが所在する国の法律が適用され、データの提出を求められたり、調査のためにサーバーを差し押さえられるといったリスクがあります。経済産業省でも、以下のようなガイダンスを出して警鐘を鳴らしています。

meti_1.png

(出典 http://www.meti.go.jp/committee/sankoushin/jouhoukeizai/jinzai/002_02_03d.pdf)

OneloginとOktaは米国企業であるため、データセンター所在地は海外となるため、海外法が適用されることによるサービス停止リスクやデータ移動制限がある可能性があります。

これに対して、トラスト・ログインは日本国内のデータセンターに情報を保管しているため、日本の法律が適用されます。米国やEUのようなリスクや制限はありません。

 

 

金額・日本語での利用を考えるとトラスト・ログインが優位

ip_skuid.jpg

3製品の比較を見ると、1ユーザーあたりの金額についてはOneloginが4ドル (424円) と最も高く、次いでOktaが2ドル (212円)、最も安価なトラスト・ログインは100円となっています。

なお、Oktaは年間1500ドル以上の支払いが必要となります。2ドルのプランを利用する事を考えると、最低63ユーザーが必要となります。ユーザー数が足りない場合は、たとえ使わない機能であったとしても、上位プランを契約、またはオプションを追加するなどして、1500ドルに到達せねばなりません。

Oneloginやトラスト・ログインは、こうした月額金額の制限はありません。

次に製品の日本語対応ですが、Onelogin、Okta、そしてトラスト・ログインともに日本語対応されているので、この点については差はありません。

最後に技術資料、マニュアル、よくある質問といった日本語ドキュメントについてです。

Oktaは日本法人がなく、また日本語ホームページがないため、こうした情報を日本語で入手することはできません。

次にOneloginですが、日本法人があり、日本語のホームページもありますが、日本語ホームページでの情報発信や提供されている資料数は、英語ホームページから得られる情報に比べると非常に少ないのが現状です。極めて基本的な情報は入手できるが、少し詳しい内容になると都度英語で確認するか、メーカーまたは代理店に問合せしなければならないのが実情といえそうです。

最後にトラスト・ログインですが、日本企業が日本で開発しているため、全てのドキュメントが日本語で提供されています。日本企業が、日本語で利用するには最も利用しやすいのがトラスト・ログインと言ってよさそうです。

最後にサポートですが、Oktaは日本に代理店があるため日本語サポートは受けられます。ただ、ここで問題が解決されない場合は代理店からOkta米国本社への問合せとなるため、回答まで時間がかかる可能性があります。

また、Oneloginは日本に代理店があり、Onelogin日本法人もありますが、サポートは代理店経由となります。日本代理店で回答できないことはOnelogin日本法人、そこで回答できなければOnelogin米国本社となるため、回答まで時間がかかる可能性があります。

トラスト・ログインは、メーカーである日本企業、GMOグローバルサインが直接サポートしていますので、伝言ゲームでサポート回答まで時間がかかることはありません。サポート方法も、電話、メール(問合せフォーム)、チャットが提供されています。

最後に、データが海外で保管され、海外法の適用によるのリスクがあるOneloginやOktaと異なり、トラスト・ログインは日本国内のデータセンターにてデータが保管されています。

 

IPアドレス制限オプションを必要なユーザーにだけ購入すればよいトラスト・ログイン

ip_skuid2.jpg
最後に、各プランの金額比較からは見えにくい点についてご紹介します。

例えば従業員が1,000人いる会社の場合、社員全員にIPアドレス制限が必要とは限りません。例えば、「ノートパソコンを持って外出し、様々なネットワークからシングルサインオンするユーザー」であったり、「リモートワークを許可されているユーザー」に対しては、IPアドレス制限を行う必要がありません。仮に制限を行ってしまうと、スマートフォンのテザリングや自宅の光回線などから、シングルサインオンが利用できなくなってしまいます。

逆に「会社のネットワーク以外からのアクセスする必要のない(または許可していない)ユーザー」の場合、IPアドレス制限を行うことでセキュリティを高めることができます。

仮に、とある企業の従業員1,000人のうち、「IPアドレス制限が必要なユーザー500人」「IPアドレス制限が不要なユーザー500人」であったとします。この場合、OneloginもOktaもシングルサインオンを利用する場合は、IPアドレス制限が不要であっても全員が有料プランに登録する必要があります。

もう少し細かく説明すると、Oneloginの場合は無料プランはありますが、登録できるシングルサインオンアプリ数、ならびユーザー数の制限が厳しいために無料プランで実運用するのは極めて困難といってよいでしょう。また、Oktaの場合はそもそも無料プランがありませんし、「年間1500ドル縛り」があります。

しかし、トラスト・ログインの場合はシングルサインオンの基本機能は無料で提供されており、アプリ数やユーザー数の制限はありません。よって、「IPアドレス制限が必要なユーザー500人」「IPアドレス制限が不要なユーザー500人」である場合、IPアドレス制限が必要な500人分だけ有料オプションを購入すればよいのです。

このように、無料プラン部分と、有料オプションを組み合わせて、最も低コストの運用を行うという点において、トラスト・ログインはOneloginやOktaを上回っています。ぜひ一度ご評価いただき、貴社で最も低コストでシングルサインオンを運用する方法について、ご検討いただければ幸いです。

カテゴリー
記事一覧