シングルサインオン（SSO）とは？ 意味や仕組みをわかりやすく解説

シングルサインオンが注目されている理由

現在SSOが注目されている背景には、コロナ禍によるリモートワーク・テレワークの普及や、DXの世界的な潮流などにより、SaaSやクラウドサービスの利用が拡大している点があります。
例えばグループウェア、チャットツール、Web会議などをお使いの方も多いのではないでしょうか。また、業種によっては勤怠管理、会計管理、経費精算、名刺管理、営業案件管理などにクラウドサービスを利用するケースもあるでしょう。業務毎に複数のサービスを利用することが一般的となったわけです。
利用するサービスが増えると、自ずと管理するIDとパスワードも増えます。ところが、複雑なパスワードを複数管理するにはそれなりの手間がかかります。しかし、その手間を減らそうと簡易なパスワードを設定したり、パスワードを使いまわしたりといったことをしてしまったらセキュリティが低下してしまいます。また、IDとパスワードを覚え切れず、メモに書いてディスプレイに貼っておく、などの不適切なパスワード管理が生じる危険性もあります。
SSOには、アカウント管理の運用負担を減らすことで脆弱なパスワードの使用を回避し、情報漏えいを防止したり、サイバー攻撃に対する対策を強化するという側面もあるのです。

認証を一元化することによる業務効率の向上

SSOを利用すれば、ログイン時に1つのIDとパスワードを入力するだけで良くなるため、利便性が大幅に向上し、業務効率が向上します。シングルサインオンを利用しない場合には、それぞれのサービスに個別にログイン作業をする必要がありますが、どの程度の時間と人件費がかかっているのでしょうか。計算してみましょう。
仮にIDとパスワードの1回の入力にかかる時間を15秒とし、毎日合計で10回ログインするとします。勤務日数を245日とすると、実にログインだけで年間10時間を費やしていることになります。社員が100人なら1000時間です。令和2年版の労働白書によれば、一般労働者（正社員・正職員）の平均時給は1,976円。100人、1000時間を人件費に換算すると約200万円となり、時間とお金の大きな損失になっていることが分かります。

IDとパスワード管理のリソースやコストの削減

SSOにより、煩雑なIDやパスワードの管理から解放されることも大きなメリットです。
もちろん各ユーザーとして多くのIDやパスワードを覚えたりメモしたりする必要がなくなるというメリットがありますが、より恩恵を受けるのは社内のIT部門・情報システム部門でしょう。
社内システムのパスワードを忘れた、誤ったパスワードを複数回入力したためIDがロックされた、などの場合には主にIT部門・情報システム部門でパスワードの再設定やIDのリセットを実施します。社員数が少ない場合にはたいした手間ではありませんが、社員数が多い場合には相当なリソースおよびコスト（人件費）がかかるでしょう。
SSOを導入すればIDとパスワードを一元管理でき、各社員の個人管理も促進されるため、IT部門・情報システム部門の負担が減り、より重要なコア業務にリソースを割けるようになります。

適切なパスワード管理によるセキュリティリスクの減少

前述のように複数のサービスで簡易なパスワードを設定したり、パスワードを使いまわしたり、パスワードをメモに残したりなど適切な管理を怠ると、セキュリティが脆弱になる恐れがあります。
しかし、SSOにより1つのIDとパスワードだけでログインが完了するようになれば、英大文字、英小文字、数字、記号などを混在させた複雑で強固なパスワードを設定することもそれほど苦ではないでしょう。
IDとパスワードの漏えいは、不正アクセスや情報漏えいにつながります。強固なパスワードを適切に管理すれば、セキュリティリスクは減少します。

不正アクセス時のリスクが大きい

SSOでは認証を1度だけ行うため、SSO自体に不正アクセスされると、使用しているすべてのサービスに連鎖的にアクセスされてしまう恐れがあります。そのため、SSOに利用しているIDとパスワードは厳重に管理する必要があります。
解決策としては、スマートフォンなどへのプッシュ通知によるパスワードレスの認証方法やクライアント認証、ワンタイムパスワード、二段階認証、生体認証、IPアドレス制限などを組み合わせて利用することがあげられます。

システム停止時に各サービスにログインできない

後述しますが、SSOはWebサービス、Webアプリケーション、クラウドサービスなどのサーバーと連携して働きます。そのため、SSOのシステム自体が停止すると、関連したサービスすべてにログインできなくなり、業務が滞る恐れがあります。
解決策としては、サービスの稼働率や保証、システムが停止した際の対応フローについて、事前にSSOを提供しているメーカー / ベンダーに確認しておくことがあげられます。また、特に重要なサービスやシステムなどのログイン情報はSSOではなく別途管理するなどのリスク管理も必要となるかもしれません。

すべてのサービスに対応しているわけではない

サービスによってはSSOと連携できないものも存在します。SSOのシステムを導入したのちに連携できないサービスが発覚した場合、連携させるために追加料金が発生したり、運用開始が遅れたりといった危険性があります。
解決策としては、社内の既存のシステムに留まらず、今後導入を予定しているシステムも含めてSSOと連携可能であることを確認しておくことがあげられます。

SAML認証（フェデレーション）方式

SAML（Security Assertion Markup Language）認証方式は、IdP（Identity Provider、IDプロバイダー）を使用してSSOを行う方式です
1つめのサービスにアクセスした際、ユーザーはIdPからIDとパスワードの入力を求められます。そののち、別のサービスを利用する場合にはIdPから認証情報が送信されるため、ユーザーは自動でログインすることが可能となるわけです。

代理認証（フォームベース）方式

代理認証（フォームベース）方式は、使用する端末に「エージェント」と呼ばれるソフトウェアをインストールしてSSOを行う方式です。
エージェントは各サービスのIDとパスワードを保持してPCに常駐しています。そして各サービスのログイン画面が起動したことを検知すると、ユーザーの代わりにログイン情報を自動入力してくれます。
代理認証には対象となるサービスの制限が比較的少なく、導入しやすいというメリットがあります。

リバースプロキシ方式

リバースプロキシ方式は、リバースプロキシと呼ばれる中継サーバーを介してSSOを行う方式です。
ユーザーはまずリバースプロキシサーバーにIDとパスワードを入力します。そののちはリバースプロキシサーバーを経由して各サービスにアクセスすることで、リバースプロキシサーバーがユーザーの代わりに認証を行います。
アクセスをすべてリバースプロキシサーバー経由になるようネットワークを構築する必要があるためアクセス集中が発生する可能性はありますが、エージェントが不要なため短期間で導入できるというメリットがあります。

エージェント方式

エージェント方式は、対象のWebサーバーやアプリケーションサーバーに「エージェント」と呼ばれるソフトウェアを組み込んでSSOを行う方式です。
ユーザーがサービスにアクセスすると、エージェントはSSO用に用意された「認証サーバー」に認証済であるかを問い合わせます。すでにほかのサービスで認証済みであれば自動でログインできる仕組みです。
ネットワーク構成を変更せず導入できるというメリットがある一方、エージェントのインストールやアップデートが必要というデメリットがあります。アクセス集中についてはリバースプロキシ方式と比較すると影響が少ないとされています。

透過型方式

透過型方式は、透過型サーバーと呼ばれる中継サーバーを介してSSOを行う方式です。
透過型サーバーはユーザーがWebアプリにアクセスした際、必要に応じてログイン情報を送付することでSSOを実現しています。
透過型方式は様々な端末やブラウザーに対応し、さらに社外からのアクセスも可能です。また、オンプレミス環境にも対応しているため、複雑なシステム環境下でも導入できるという特長があります。

ケルベロス方式

ケルベロス方式は、KDC（Key Distribution Center、鍵配送センター）を使用したSSOで、Windows®のActive Directoryに代表される認証方式です。使用する端末とサーバーとの間で身元確認のために利用されます。
一度認証を受けると端末には「チケット」と呼ばれるファイルが発行され、以降はそのチケットを使用することで認証なしにほかのサービスを利用することができるという仕組みです。

※Windowsは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。

自社の課題を解決するか

まずはどのような目的でSSOを導入するのか、SSOの導入により解決したい自社の課題は何かを明確にしておきます。
さらにSSO導入による自社へのメリットとデメリットについても検討しましょう。

自社の既存・導入予定システムとの連携が可能か

対応するWebサービスやアプリケーションの確認も重要です。自社で使用しているシステムやこれから導入しようと思っているシステムと連携が可能かどうか把握しておきましょう。
また、システムによっては連携対象が順次拡大しているものもあります。メーカーの対応予定も確認しておきましょう。

スマホなど多様なデバイスに対応可能か

クラウドサービスの普及にともない、近年ではビジネスワークにおいてもスマートフォン、タブレットを使用して各サービスにアクセスする機会が増えています。
デバイスに依存しない認証環境が構築を目指すのであれば、マルチデバイスに対応していることを確認しておきましょう。

十分なセキュリティ機能があるか

SSO導入のメリットのひとつはセキュリティ強化です。そのためSSOシステム自体のセキュリティが脆弱であっては本末転倒となります。
アクセスコントロールや多要素認証の機能が用意されているかを確認しましょう。さらにクラウドからの情報漏えい対策までをカバーした製品を選択すれば安心です。

費用対効果は妥当か

各SSOシステムには多種多様な料金プランがあります。アカウントにかぎってみても、1アカウント毎に課金が発生するのか、100アカウントなど複数アカウント毎に課金されるのかなどの違いがあります。
金額だけではなく、プラン、機能、セキュリティ面などを総合的に判断し、自社にとって費用対効果が妥当なシステムを選択しましょう。少なくとも導入コストと毎月発生するコストは把握しておく必要があります。

オンプレミスかクラウドか

SSOにはオンプレミスのみ、クラウドのみ、オンプレミス・クラウドの両方に対応、という3種類の提供形態があります。
オンプレミス型はカスタマイズ性が高い、セキュリティリスクが低いといったメリットがある一方で、初期料金や維持費が高い、運用管理には専門知識を持った人員が必要、などのデメリットもあります。
クラウド型は初期料金や維持費が低い、環境構築が早い、拡張性があるなどのメリットがある一方で、既存システムとの統合や連携の自由度が低い、オンプレミスと比較してカスタマイズ性は高くないなどのデメリットもあります。
自社にとってどちらがふさわしいか、よく検討しましょう。

導入、運用面で問題はないか

多機能なシステムを選択したとしても、導入時の設定や運用管理が煩雑であれば人的、コスト的にも余計なリソースが必要となります。
自社のスタッフによりスムーズにシステム移行が可能か、運用管理に割く人的リソースは十分かを事前に確認しておく必要があります。

サポート体制は充実しているか

システムの停止は業務に多大な影響を与えるため、サポート体制は重要なポイントです。日本語で24時間問い合わせ対応が可能か、問い合わせ手段はメールか、チャットか、電話かなどを事前に確認しておきましょう。また、万一SSOシステムが停止した場合や不具合が発生した際には、どのような範囲まで、どのような対応が期待できるのかも確認します。
特に導入直後には予期せぬトラブルが発生する可能性が高いため、サポート体制については必ず導入前に押さえておきましょう。