今月の用語解説「シングルサインオン」

2022-09-282023-02-07

仕事で使っているソフトウェアにおいては特に、シングルサインオンの機能を利用してサービスにログインしている方は多いのではないでしょうか。

昨今のサイバーセキュリティは、攻撃側の手法や数がとても多くなり利用者それぞれが知識を持つ必要が出てきました。

個人のプライベートな場合のセキュリティ対策ももちろんですが、企業の情報に関しては被害範囲や金額が大きくなりますのでさらに厳重な対策を取る必要があります。

その中の1つが、ユーザー認証における対策です。

シングルサインオン（SSO）とは？

シングルサインオン（Single Sign On: SSO）とは、一度システムのユーザー認証を行うと、他のシステムを利用する際にも毎回認証を行う必要がないという仕組みのことです。

ユーザーとしては都度都度のログインが発生しないために便利になり、IDやパスワードといった認証情報は1つで良いので使いまわしたパスワードが漏洩して被害を受けると言ったリスクの対策にもなります。

もちろん、シングルサインオンにログインしているIDやパスワードが漏洩してしまうと、第3者によって様々なサービスにもログインされてしまうというリスクもあります。そこで、多要素認証といった、IDやパスワード以外の認証方法との組み合わせを利用した対策を取る必要が出てきていることも事実です。

シングルサインオンの有名なサービスでいうと、MicrosoftのActive Directory、Google、Okta、OneLogin、Duoなどがあります。

このシングルサインオンですがいくつかの仕組みで実現されています。ユーザーのPCにインストールした専用のエージェントがIDやパスワードを入力する代理認証方式、中継サーバーを認証サーバーとして認証を行うリバースプロキシ方式、Webアプリケーションサーバーに専用の認証を代行するエージェントを組み込むエージェント方式、そしてSAML認証（フェデレーション）方式です。

最後のSAML認証方式というのは、今後主流になってくると言われている方法で、SAMLは（Security Assertion Markup Language）のことです。IDを管理に認証を行うIdP（Identify Provider）で保証されたユーザーの認証情報を利用し、連携しているサービスのシングルサインオンを実現する仕組みです。ユーザーがWebサービス（SP（Service Provider））にアクセスすると、SPからIdPに認証要求に当たるSAMLを送信し、IdPがユーザーの画面にログイン画面を表示させます。認証が成功するとIdPがSPに対してSAMLを送信し、SPが受け取ることでログインができるようになるという仕組みです。

シングルサインオンのセキュリティを強化するセキュリティキーとは？

シングルサインオン（SSO）という仕組みについて今回説明をしてきましたが、IDやパスワードが第3者に渡ってしまうと大きなセキュリティリスクを起こしかねないことも覚えて置かなければなりません。これを対応するためにセキュリティキーという方法が利用できます。

セキュリティキーとは物理的な鍵を各ユーザーが持つことで安全にユーザー認証が実現できるというものです。

例えば、シングルサインオンのサービスにログインする際に物理的なセキュリティキーを挟むことによって、より強化した運用ができるようになります。

セキュリティキー自体は、自分のセキュリティキーを自分のPCのUSB端子に差し込む事による認証や、スマートフォンやタブレットであればかざして認証するなどの形を取る事ができます。

代表的なセキュリティキーソリューションとして、YubiKeyというものがあります。YubiKeyはFIDO/FIDO2に対応していますので安心して企業のセキュリティ向上に使うことができます。詳細については YubiKey ページをご覧ください。