会員サイト構築の記事
ARTICLEシングルサインオン(SSO)の安全性は?セキュリティ観点での詳細を解説
Webサービスやアプリの利用でアカウントの登録をすると、ログイン情報の管理が必須です。シングルサインオンを活用すると負担の軽減が可能ですが、セキュリティ対策は万全といえるでしょうか?シングルサインオンの安全性について仕組みなども含めて解説します。
目次
シングルサインオン(SSO)とは?仕組みは?
Webサービスやアプリなど使うためには、アカウント登録が必要です。アカウントの数だけログイン情報を覚える・入力するなどは効率的ではありません。この手間を省略するためにシングルサインオンを活用するのです。
シングルサインオンの仕組みについて解説していきます。
シングルサインオン(SSO)は造語
シングルサインオンとは、「シングル(single)」と「サインオン(sign-on)」を組み合わせた造語です。
1回の本人(ユーザー)認証で、事前に設定した範囲のWebサービスやアプリで追加認証が不要になります。
認証連携とも呼ばれる
シングルサインオンは、1回の認証で複数のサイトやWebサービスへログイン可能となるため「認証連携」ともいいます。
認証連携(フェデレーション)とは、異なったWebサイト間でも同じサイトであるような感覚でログインが可能な仕組みを指します。
複数サービスの認証が1回だけでOKになる
シングルサインオンでは、IDやパスワード、属性情報など登録されたユーザー情報を管理する側とサービスを提供する側が存在します。この2つの間で認証用の情報を交換し互いに信頼してアクセス可能な状態にするのです。
上記の仕組みにより、1回ユーザー認証を実行すれば、連携するアプリやWebサービスに自動ログインが可能になります。
シングルサインオンシステム(SSO)とは?導入メリット、手順や注意点を解説
シングルサインオン(SSO)には複数の方式がある
シングルサインオンの認証は、どのようになされているのでしょう?
シングルサインオンの認証の仕方について解説します。
リバースプロキシ方式
シングルサインオンの認証方式の1つに「リバースプロキシ方式」があります。
リバースプロキシ方式は、リバースプロキシサーバーで認証を実行し、このサーバーから対象のWebサービスやアプリへアクセスします。
アクセスがリバースプロキシサーバー経由になるため、サーバーへのアクセスが集中して認証が遅くなる場合もあります。
リバースプロキシ方式のメリットは、エージェントなどの導入が不要で、連携する既存のシステムへの影響が少ない点です。
SAML方式
別々のインターネットドメイン間でシングルサインオンを可能にするSAML方式もあります。
SAMLは、「SP(Service Provider)」と「IdP(Identity Provider)」という2つの要素から成り立っています。
利用者がSPへアクセスしてログインを要求したとき、IdPが専用ログイン画面を表示します。このログイン画面で利用者が認証を行うと、IdPはログイン完了後に認証が完了したことをSPへ返信します。SPがこれを受けて検証を実行後に対象のサービスへ自動ログインする仕組みです。
代行認証方式とエージェント方式はどちらも代行型
シングルサインオンの認証方式には、エージェント方式と代行認証方式の2つの代行型もあります。
エージェント方式では、シングルサインオンの対象となるシステムへそれぞれエージェントの導入が必要です。エージェント方式は、それぞれにエージェントを導入するため、アクセス集中が起きにくい点がメリットです。
代行認証方式は、クライアントPCにエージェントを導入後にシングルサインオンの対象と判断されたシステムのログインを管理します。ログインするように要求がきた場合、認証情報を代わりに入力する仕組みになっており、利用者がログイン情報を入力する必要がないのです。
シングルサインオン(SSO)はセキュリティ面で安全なのか
さまざまな認証方式のあるシングルサインオンですが、セキュリティに問題はないでしょうか?
シングルサインオンのセキュリティ対策について解説します。
パスワードが漏洩すると危険
シングルサインオンで最も避けるべきは、パスワードの流出です。
パスワードが第三者に知られた場合、連携させているアプリやWebサービスのすべてにログイン可能になります。
パスワードが漏れた場合には、ログインが可能になるだけでなく、登録している個人情報まで危険に晒されるリスクがあります。
システムの障害に弱い
シングルサインオンは、システム自体がトラブルなどで停止すると連携するすべてのWebサービス・アプリの認証が不可能となります。
ただし、それぞれのWebサービスやアプリのユーザー認証でのログインは可能です。
Webサービスやアプリの登録自体をシングルサインオンで設定している場合は、ログインができないので注意しましょう。
シングルサインオン(SSO)の導入での注意点は?
シングルサインオンを導入する場合に、事前に確認が必要となる点がないのでしょうか?
シングルサインオンを導入する際の注意点を解説していきます。
導入にかかる費用
シングルサインオンの導入にあたり、最初に確認しておくことは費用についてでしょう。
シングルサインオンは、利用する認証方式によってクラウドサービスか、オンプレミス型かが決まります。
オンプレミス型の場合は、専用ソフトウエアを自社のサーバーにインストールする必要があり、初期費用がかかります。クラウドサービスの場合は初期費用はコストを抑えられますが、毎月決まった費用が必要です。
利用可能なクラウドサービスに制限
シングルサインオンを導入する際に、気をつける点は利用しているクラウドサービスやアプリケーションが連携可能であるかです。
導入後に連携不可だったという事態にならないよう事前に確認しておきましょう。
二段階認証やFIDO認証、生体認証を活用した認証機能で会員向けサイト・サービスを構築するなら
当社のご提供する 「会員管理・会員サイト構築ソリューション」は、会員向けのサイトやサービスに必要とな要素をワンストップで提供するシステムです。
会員データ管理からマイページ作成・ログインなどの基本機能から、メール配信やアンケート作成、問い合わせ、フォーム作成、決済連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。WordPressやMovableTypeを始めとした各種CMSや基幹システム等とのAPI連携も可能です。
ログイン認証機能では、通常のID・パスワードを使った認証に加えて、スマートフォンアプリ・メール・SMSなどを用いた二段階認証、指紋や虹彩等の生体情報を利用したFIDO認証(Fast IDentity Online)など、強固な認証にも対応しています。
ファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。
まとめ
シングルサインオンを利用すると、ログインに関わる煩わしさから解放されます。
ただし、利便性を向上しますが認証方式や導入にかかる費用に加え、セキュリティ対策など課題が多いです。
シングルサインオンは、SSO製品としてパッケージされたものを活用するのも1つの手です。
シングルサインオンを利用するならば、メリットを最大限に活かせる形で導入しましょう。
