シングルサインオン（SSO）の実装方式とは？導入のメリット・デメリット、事例を紹介

シングルサインオン（SSO）とは、1つのID・パスワードによって、複数のWebサービス、クラウドサービス、業務アプリケーションなどへのログインを可能にする仕組みです。多くの現場で高度なシステム化が進むなか、シングルサインオンは増え続けるID・パスワード管理の手間やリスクを軽減する有効な手段となるでしょう。

この記事では、シングルサインオンの概要をはじめ、実装方式の種類やサービス導入によるメリット・デメリットまで詳しく解説します。実際のシングルサインオン導入事例も紹介するので、シングルサインオンを検討されているご担当者様はぜひこの記事をお役立てください。

【目次】

• 1. シングルサインオン（SSO）とは？

2. シングルサインオン（SSO）5つの実装方式

∟1.代理認証方式（フォームベース認証
∟2.エージェント方式
∟3.リバースプロキシ方式
∟4.SAML認証
∟5.統合Windows認証

• 3.シングルサインオン（SSO）を導入するメリット

∟業務の効率化につながる
∟IDパスワード管理が楽になる
∟パスワードの漏洩によるセキュリティリスクが低くなる

• 4. シングルサインオン（SSO）導入のデメリットと対策

∟不正アクセスが起きた際に被害が拡大する可能性がある
∟サービスによってシングルサインオンが利用できない場合も
∟システムダウンした場合サービスが利用できなくなる

• 5. シングルサインオン（SSO）の導入事例

∟事例1：東亜建設工業株式会社
∟事例2：株式会社エイジェックグループ
∟事例3：株式会社コプロ・ホールディングス

• 6.まとめ
  
   

■シングルサインオン（SSO）とは？

シングルサインオンとは、1つのID、パスワードで、登録してある複数のWebサービス、クラウドサービス、業務アプリケーションなどへのログインを可能にする仕組みです。

パソコン、スマートフォン、タブレットなどを使い仕事をしている方は、Office365やG suite、SalesforceやChatwork、Zoomなど日々必ず何かのWebサービス、クラウドサービスなど業務ツールにログインすることがあると思います。その際にはID、パスワードが必要となりますが、このID、パスワードの管理が正しく行なえている方はどれくらいいるのでしょうか。すべて同じパスワードを使いまわしていたり、メモ書きでデスクにおいてあったりと、日々増えていく業務ツールとID、パスワードに対して、その管理は煩雑になりがちです。

また、社内の情報システム系の部署やセキュリティ担当者は社員のID、パスワードを管理する立場となります。すべての社員が使用している業務ツールを把握し、さらに入退社や部署異動などの場合もID作成や削除の対応、パスワードを忘れた社員には再発行の対応と、社員のID、パスワード管理はさまざまな対応が必要になります。

そして何よりID、パスワード管理が正しく行なわれていないと、パスワードの漏洩からの企業の情報資産への不正アクセスなどのセキュリティリスクを抱えることになります。それらすべてを解決してくれるものがシングルサインオンです。

シングルサインオンの詳細については、以下のページにもまとめていますのでご覧ください。

シングルサインオン（SSO）とは
 

■シングルサインオン（SSO）5つの実装方式

ここからは、シングルサインオンの5つの実装方式について紹介します。
 

◇1.代理認証方式（フォームベース認証）

シングルサインオンツールに、利用する業務ツールとID、パスワードをあらかじめ登録しておきます。サービス利用時にはシングルサインオンツールの画面を経由して、登録してある業務ツールのログイン画面が開かれID、パスワードをユーザーに代わりシステムが入力するという仕組みです。

◇2.エージェント方式

ユーザーの代わりに、エージェントがログイン認証を行なう方式です。代理認証方式がクライアント側にエージェントを常駐させる形なのに対し、エージェント方式はアプリケーションサーバー側にエージェントをインストールして常駐させます。

ユーザーがアプリケーションにログインしようとすると、サーバー内のエージェントがSSOサーバーにアクセスし、ログイン認証を実施します。ログイン情報はエージェントが管理するため、自身でアプリケーションサーバーを管理しなくて良いというメリットがあります。

また、初回のログイン認証時に、エージェントから認証済みcookieが発行されます。2回目以降のアクセスでは、このcookieを利用してアクセスが可能となります。また、同様の認証方式とエージェントが採用されているシステムにログインする際は、同じcookieを利用してアクセス可能です。

 

◇3.リバースプロキシ方式

リバースプロキシサーバーを介してログインする方式です。リバースプロキシ方式では、ユーザーがアプリケーションサーバーなどにアクセスする際、新たに設置するリバースプロキシサーバーを経由します。認証はリバースプロキシサーバー内で行なわれます。

この方式は、リバースプロキシサーバーの設置によりネットワーク構成が変更になることや、同サーバーがボトルネックになる可能性があることに注意が必要です。その一方で、エージェント方式と違ってアプリケーションサーバーに変更を加える必要がないという点では、既存システムへの影響が少なく済むメリットもあります。特に、シングルサインオン対象システムの種類が多いほど、エージェント方式と比べて導入工数の短縮化が顕著になるでしょう。

 

◇4.SAML認証

「SAML 認証」とは、Security Assertion Markup Languageの略です。ID管理と認証を行なうIdentity provider（アイデンテティプロバイダー）と呼ばれる「IdP（アイディーピー）」で保証されたユーザー認証情報を利用することで、連携している各種サービスのシングルサインオンが可能になる仕組みです。

サービスごとのID・パスワードの発行・管理が不要なため、セキュリティ向上が図れるうえ、ID管理にかかるユーザーや社内のシステム担当者の業務負担が軽減されるので、利便性向上にもつながります。また、「IdP」へアクセス制限をかければ不正アクセスのリスクを低減することができます。

 

◇5.統合Windows認証

統合Windows認証とは、Windowsのユーザーアカウント情報でブラウザ上のサービスにログインができるようになる認証方法です。Windowsにログインしたときの情報で自動的にログインされるので、ユーザーはサービスごとにログインIDやパスワードを入力する必要がなくなります。

■シングルサインオン（SSO）を導入するメリット

ここでは、シングルサインオンを導入する3つのメリットを紹介します。
 

◇業務の効率化につながる

1人の社員がパスワード入力に要する時間は利用するサービスが10以上になると1ヵ月で1時間にもなります。※パスワードを思い出すのにかかる時間、再設定に要する時間など細かい積み重ねが膨大な時間となり、知らず知らずのうちに業務効率は下がっていきます。

それを1つのID、パスワードでシングルサインオンツールにログインすることにより、クラウドサービスなどの利用に都度ID、パスワードの入力が必要なくなり、前述のパスワード入力に要する1時間／月／人が削減できます。これが仮に社員100人の企業となると100時間／月以上が削減できることとなります。
 

◇IDパスワード管理が楽になる

これは複数の業務ツールを利用する社員、また、社員のID、パスワードを管理する社内の情報システム系の部署やセキュリティ担当者の両方にあてはまります。

複数の業務ツールを利用する社員は必要なID、パスワード管理が楽になり、情報システム系の部署やセキュリティ担当者はシングルサインオンツールを通して社員のID、パスワードが一元管理できるので、入退社、部署異動の際の削除、切り替え対応が楽になります。
 

◇パスワードの漏洩によるセキュリティリスクが低くなる

シングルサインオンの代表的な認証方法であるSAML認証などを用いることで、複数の業務ツールの利用において、第三者（サービス事業者）にパスワード情報を渡すことなく、利用が可能となります。そのため、第三者（サービス事業者）が何らかID、パスワード情報を漏洩してしまった場合でも、シングルサインオン利用の場合は影響を受けることはありません。

また、覚えるID、パスワードが1つになるため、パスワードの使い回しや、デスクトップに付箋で書いておくなどの漏洩のきっかけとなる行為も防止できます。またシングルサインオンツールでアクセス制限をかけておけば、本人認証の強化につながります。
 

 

■シングルサインオン（SSO）導入のデメリットと対策

シングルサインオン導入のデメリットと対策について紹介します。
 

◇不正アクセスが起きた際に被害が拡大する可能性がある

シングルサインオンを導入すると1つのID・パスワードで複数のシステムにアクセス可能になるため、認証情報が流出すると被害が広範囲におよぶリスクがあります。そもそも流出が起こらないよう、パスワードを厳重に管理することはもちろん、定期的なパスワード変更などの対策を講じましょう。

また、重要情報資産を持つSaaSへの認証はSAML認証に限定する、ワンタイムパスワードや生体認証などによる多要素認証を用いて不正アクセスを防ぐなどの対策も有効です。
 

◇サービスによってシングルサインオンが利用できない場合も

前述のとおり、シングルサインオンには複数の方式がありますが、サービスによっては特定の方式に対応していないことがあります。

例えば、シングルサインオン対象がC/Sシステムの場合、代理認証方式は利用できますが、エージェント方式、リバースプロキシ方式、SAML認証は利用できません。オンプレミス型のWebシステムでは、一部で対象システムにエージェントモジュールを導入できないケースもあるため注意が必要です。

また、クラウド型のWebシステムでも、クラウドサービスの種類によっては単純な認証連携ができないケースがあるなど、個々の状況によって利用可否が異なる可能性があります。そのため、シングルサインオンの導入を検討する際は、事前に対象が連携可能なサービスかどうか確認しておくことが重要です。
 

◇システムダウンした場合サービスが利用できなくなる

シングルサインオンのシステムダウンが起きた場合、連携しているサービスすべてが利用できなくなってしまいます。サインイン方法をシングルサインオンに限定していると、緊急時の損失が大きくなってしまうかもしれません。

そのため、あらかじめこのような緊急時を想定し、対策しておくことが重要です。例えば、特に重要度の高いシステムはシングルサインオン以外の方法でサインインできるようにしておくとよいでしょう。

■シングルサインオン（SSO）の導入事例

トラスト・ログインのシングルサインオン導入事例をいくつか紹介します。
 

◇事例1：東亜建設工業株式会社

総合建設業の東亜建設工業株式会社様では、DX（デジタルトランスフォーメーション）を推進するなかで、トラスト・ログインのシングルサインオンを導入いただきました。

東亜建設工業株式会社様は、一般的に「ハードワーク」、「長時間労働」というイメージを持たれがちな建設業において、現場も含めた仕事の効率化や休みの取りやすさなどを目指し、働き方改革を進めています。現場で利用できるアプリケーションなども複数展開していますが、業務システムが増えるにつれて、1人の社員が管理するパスワードが多数になっていく点を課題としていました。

トラスト・ログインのシングルサインオン導入以降は、パスワード管理の手間が大幅に軽減されたとの声が現場から上がっています。また、これまではパスワード失念などによる問い合わせ対応にもコストがかかっていましたが、シングルサインオン導入によってパスワードリセットなどの対応がなくなり、管理部門の業務効率化にもつながっています。

詳細はこちらから
 

◇事例2：株式会社エイジェックグループ

「人材の総合プロデュース企業」として、企業・官公庁・自治体などのあらゆる業務課題に対応している株式会社エイジェックグループ様にも、トラスト・ログインのシングルサインオンを導入いただいています。

エイジェックグループ様では、認証の効率化とデバイス制限の2点を実現できる対策を検討するなかで、「デバイス証明書」と「シングルサインオン」の両方を提供できるトラスト・ログインのサービス導入に至りました。トラスト・ログインが、エイジェックグループ様が必要としていたSAML認証だけではなく、フォームベース認証に対応していることも導入の決め手となっています。

従来の現場では、業務で利用するシステムやアプリケーションを個人判断で導入するケースもあり、増え続けるアカウント管理に担当者は頭を悩ませていました。一方トラスト・ログインのサービス導入後は、必ず特定の認証を通過するシステムになり、管理面でもセキュリティ面でも大きく改善されました。

詳細はこちらから

 

◇事例3：株式会社コプロ・ホールディングス

建設業に特化した人材派遣事業をメインに手がける株式会社コプロ・ホールディングス様も、トラスト・ログインのサービス導入によって業務改善を実現しています。

同社では業務において多岐にわたるシステムを利用していますが、それだけにパスワード失念などに対応する管理業務の多さが課題となっていました。特に、基幹システムのような重要なシステムについては、パスワード再発行が遅れることで業務スピードにも影響を与えてしまいます。このような問い合わせを優先することにより、管理者の通常業務に支障が出ていました。

トラスト・ログインのシングルサインオン導入により、パスワード関連の問い合わせが激減したことに加え、現場でもID・パスワードを意識する負担が軽減したと好評です。また、シンプルでわかりやすい操作性や、導入後の営業担当・チャットサポート窓口による対応についても高評価をいただいています。

詳細はこちらから

トラスト・ログインのサービス詳細については、以下のページからダウンロードできる資料で確認いただけます。シングルサインオンによる業務効率化を検討中のご担当者様は、トラスト・ログインのホームページと併せてぜひご覧ください。

GMOトラスト・ログイン資料DLページ

GMOトラスト・ログインホームページ
 

 

■まとめ

昨今は、さまざまな業種において、複数の業務ツールを利用することが一般的になっています。そのため、各種ツールのID・パスワード管理は煩雑になりがちで、ユーザーが不便に感じるだけではなく、パスワードの再発行対応など管理者の負担も無視できません。

シングルサインオン（SSO）はこのような悩みを解決し、業務効率化、パスワード漏洩に対するセキュリティ強化などを実現するツールです。シングルサインオンを導入すれば、現場で必要となるID・パスワードは1つになり、ユーザー・管理者ともに多数のパスワード管理から解放されます。

シングルサインオンの実装方法にはいくつかの種類があるので、使用しているシステムに対応している方法を選択しましょう。