クラウド時代に必要とされるシングルサインオン統合認証基盤 なぜ今シングルサインオンが見直されているのか?
クラウド時代における認証の仕組みの現状
現在、多くの企業は、さまざまなプラットフォームを組み合わせて利用しています。近年クラウドの台頭が著しいですが、基本的な認証の仕組みを聞くと、多くの企業内でユーザIDとパスワードの組み合わせによるシステム認証を行っています。システムが複雑になり、企業内、クラウド、Webなどといった認証手続きの回数が増えると比例してユーザの手間も増大します。
認証のパスワードが増えると、PCや机上の付箋にパスワードを書き留めるなどセキュリティ上好ましくない事態を誘発することにもつながります。また、管理する側においてもIDやパスワードの数が増えてくると、管理が複雑化していきます。これからは、高度なセキュリティを要するアプリケーションに対しては、厳格なパスワード規則が設定されることはもちろん、定期的にパスワード変更することを規則化している企業も多いかと思います。
SSOの有効性について
クラウドや外部連携を伴ったWebシステム構築を想定する際は、更に使いやすく、かつ、安全に配慮した認証基盤を考慮する必要があります。そこで見直されているのがSSO(シングル・サイン・オン)です。SSOなど認証基盤の強化は、複雑化するIT環境を整理する上で有効な手段の一つです。
一方で従来のSSOを延長したレベルのサービスでは、安全面に懸念事項が残ります。従来のSSOと安全面を考慮したSSOの違いを理解するために、もう少し考察してみましょう。SSOに関する見解を分類してみると大きく3つのカテゴリに分かれます。
- 従来のSSO型
1回の認証で異なるシステムやアプリケーションに
アクセスできる仕組みに特化した製品 - IT統制などセキュリティ強化型
セキュリティを考慮し、カード認証などを考慮したIT統制に
も利点があるSSO製品
特にクラウドなどに多く用いられるSAML対応の製品 - 統合対応型ソリューション(シングルサインオン統合認証基盤)
ポータル、SSO、IDM(ID管理)を連携し、統合的な
セキュリティを考慮した仕組み
上記1、2の違いは図1、2のようにまとめることができます。
SSO製品の違い
SAML(Security Assertion Markup Language)について
IT統制などセキュリティ強化型において、SAML(SecurityAssertion Markup Language)というキーワードが出てきました。クラウド展開を行う上で、重要なキーワードになるSAMLについて、少し抑えておきましょう。
SAMLとは標準化団体OASISによって策定された認証情報を表現するためのXML仕様のことです。SAMLに対応した認証サーバのことをSAML IDP(ID Provider)、SAMLに対応したサービスのことをSAML SP(Service Provider)と呼びます。SAMLはブラウザとIDP間のHTTPリクエスト/レスポンスのヘッダー情報の中に埋め込まれ、認証や認可に関する情報がやり取りされます。
そこにはパスワード情報は含まれず、主に、確かに本人であることの証明と属性情報(所属、役職など)が含まれ、かつ、暗号化されているため、安全なやり取りが可能となります。Google Apps、Office365、Salesforceなどメジャーなクラウドサービスを始め、世界中で3000近いサービスがSAMLに対応しています。サービスがSAMLに対応しているということは、すぐにSSOに組み込めるということを意味します。
もし社内で利用しているサービスをSAMLに対応させたい場合、SAMLのライブラリを使用して独自に実装するのは容易ではありません。一般的には以下のいずれかを選択することになるでしょう。
- SPエージェントと呼ばれるモジュールをサービスに組み込む(エージェント型)
- SAML SPをリバースプロキシサーバとして別途構築し、サービスに代行ログインする (リバースプロキシ型)
社内で利用しているサービスの全てにSPエージェントを 組み込めるなら良いですが、現在はオンプレミスのシステムとWebサービスを ハイブリッドで利用している企業がほとんどです。 WebサービスにSPエージェントを組み込むことはできないため、SSOを検討する際はリバースプロキシ型を選択するケースが多く見受けられます。現在のWebSSOはこのタイプが主流と言えるでしょう。
統合対応型ソリューション
では、SSOに気をつければ問題は解決できるのでしょうか?SSOだけで解決できる課題は下記のようにあります。
- エンドユーザの利便性
- パスワード統一によるセキュリティ強化
- サービスのパスワードポリシー、SLA、セッション管理の一元化
一方、SSOだけでは解決できない課題も下記のようにあります。
- 入社、退職、異動時の管理者のメンテナンスコスト
- 退職時のID消し忘れによる個人情報流出の危険性
- IT統制対策
SSOだけでは、エンドユーザがパスワードを気にならなくなる反面、ID管理については運用が難しくなります。これらの課題を解決するためには、ポータル、SSO、IDM(ID管理)の統合対応型ソリューションが有効です。SSOとポータルの属性管理と組み合わせることで、ポータル上では子会社、部署、役職などに合わせた情報のみを表示することができます。エンドユーザにとってはいつでもどこでも見たい情報にすぐにたどり着くことができるなど、利便性が更に向上するのはもちろん、管理者にとってもコンプライアンスの強化が見込めます。
SSOだけでなく、セキュリティも強化され、かつ、管理面も楽になるクラウド時代にあったSSOが求められています。ユニリタでは、数少ない統合対応型ソリューションを提供しています。
現在はSSO対応のみではセキュリティ対策が十分ではない企業も、将来きたるべきクラウド社会ではフロントセキュリティも重要な要素になり、SSOと一体型のWeb基盤システムを構築することができます。ユニリタでは、クラウドでのSSO提供実績も増えてきていますので、是非ご相談ください。
SSOの導入を検討する際、ユニリタには安心な サービスがあります。
SSOに興味が湧いたが、どのように進めていけば良いかまだ迷っているお客様へユニリタからおすすめ情報です。ユニリタではSSOを検討する前にアセスメントサービスを用意しています。お客様の現状を簡易調査し、推奨パターンを提案するサービス(有償)があります。
- ご利用中のシステムのSSOに関するセキュリティ診断
- ご利用中のシステムのシングルサインオン可否
- シングルサインオン導入の概算費用算出
アセスメントサービスの流れ
上記を調査し、より的確なSSOを一から始めることを支援するプログラムにより、お客様のSSO導入を支援します。是非、ご活用下さい。
