シングルサインオン(SSO)とは、1つのIDとパスワードで認証すれば、複数のシステムを利用できる認証方式のことです。この記事では、シングルサインオン製品を比較して特徴を解説するとともに、シングルサインオンの方式や製品選定のポイントについても紹介します。
シングルサインオン(SSO)とは
多数のシステム、オンプレミスとクラウドなど、複数のシステムを利用する機会は増えるばかりです。使用しているシステムが変わるたびに認証を求められると、作業効率が落ちる場合も少なくありません。
シングルサインオン製品は、この問題を解消する製品です。シングルサインオンを利用することで、1回認証を済ませれば、後は追加の認証なしで複数のシステムが使えます。シングルサインオンによってユーザーの利便性は向上し、複数システムの認証情報をメモして盗み見されるようなセキュリティ事故も防げます。
シングルサインオンの3つの機能・メリット
1、ユーザーパスワード・認証の一元管理
シングルサインオンを導入することにより、複数のシステムにおけるユーザーパスワード・認証を一元管理することができるようになります。システムごとに個別で認証が必要なのでは、ユーザーの利便性は落ちてしまいます。シングルサインオンであれば、連携したシステム間は同一のID・パスワードで認証が可能です。
2、管理者の負担軽減
ユーザーがシステムごとにIDとパスワードを管理するとなると、当然パスワード忘れやパスワード間違いによるシステムロックがつきものです。特に多くの社員とシステムを動かしている企業では、パスワードリセットやロックの解除に多くの工数がかかることも。シングルサインオンであれば、ユーザーは一つのID・パスワードを管理すればよくなるため、それに伴う管理者のパスワード対応も少なくなります。
3、ID・パスワード漏えいのリスク減少
ユーザーが複数のID・パスワードを管理することの負担は大きく、よくないことと知りつつも同じID・パスワードを使いまわす事態に陥りがちです。使いまわしたID・パスワードがシステムごとに保存されているのはセキュリティ的にリスクが高い状況になります。
特にクラウドサービスの利用が増えている昨今では、一つのクラウドサービスで漏えいしたID・パスワードから芋づる式に別のサービスに被害がおよぶことも。ID・パスワードをシステムごとに管理するよりは、シングルサインオンで一ヵ所に管理したほうがセキュリティ的な対策は行いやすくなります。
シングルサインオン(SSO)15製品を徹底比較!
複数のクラウドサービスをSSOで利用可能「SafeNet Trusted Access Premium」
タレスDIS CPLジャパン株式会社
- 参考価格:最小10ユーザー・月額820円(1ユーザー)、1000ユーザー・月額570円(1ユーザー)など
- 提供形態:クラウド / SaaS / ASP / サービス
- 対象従業員規模:100名以上
複数のクラウドサービスをシングルサインオンで利用できるようにする製品「 SafeNet Trusted Access Premium」。クラウドアプリケーションへのアクセス管理サービスを、設備投資不要なSaaSサービスとして提供しています。
きめ細かなアクセス制御や使用するクラウドサービスの認証情報を統合管理するなど基本機能は網羅。アクセスポリシーによって認証が必要と判断される場合は別途認証を求める、といった動作も可能です。アクセスポリシーには統計情報を組み込み、セキュリティと利便性のバランスをとったアクセス制御を可能としています。
オンプレミスもクラウドサービスも全て対応「CloudLink」
株式会社アイピーキューブ
- 参考価格:450,000円~(詳細は別途問い合わせ)
- 提供形態:オンプレミス / パッケージソフト
- 対象従業員規模:100名以上
「CloudLink」は、パッケージソフトとして提供されるシングルサインオン製品です。本製品の大きな特徴は、オンプレミスとクラウド両方に対してシングルサインオンが可能となる点。パッケージソフトは買い切りなので、トータルで低価格での認証統合化が可能になります。
連携できる認証システムもLDAP、Active Directory、RADIUS、RDBMSなど数多く対応。現在利用している認証システムをそのまま使うことも可能です。多要素認証や二経路認証を使った二段階認証もサポート。アクセス制限機能としてはIPアドレス制限と端末制限が可能です。
オンプレミス+クラウドをSSO化できる小・中規模企業向け製品「SSOcube」
株式会社ハイ・アベイラビリティ・システムズ
- 参考価格:別途問い合わせ
- 提供形態:ハードウェア / アプライアンス
- 対象従業員規模:100名以上 5,000名未満
比較的低コストでシングルサインオンを導入できる、小・中規模企業向けの「SSOcube」。代理入力方式(代理認証方式)を採用しているため、オンプレミスとクラウドサービスどちらのシステムもシングルサインオンで利用できるようになります。
多様な認証方式との連携もできるため、シングルサインオンのセキュリティ強化もできます。複雑な設定などは不要のため、運用の手間が少ない点も本製品の特徴です。手軽にシングルサインオン機能を導入したい中小企業は、導入を検討してみてはいかがでしょうか。
MicrosoftのAzure+ADと相性がいいSSO「Online Service Gate」
SBテクノロジー株式会社
- 参考価格:別途問い合わせ
- 提供形態:サービス
- 対象従業員規模:1,000名以上
「Online Service Gate」は、Office 365 や Azure Active Directory、オンプレミス上のAD(Active Directory)と連携してシングルサインオンを実現するソリューションです。
認証機能以外には、IP・端末・利用シーンによるアクセス制御や、ユーザー管理・デバイスID管理・ログ管理などの管理機能も提供しています。
認証基盤にADを利用しているオンプレミスのシステムや、各種クラウドサービスは本製品によってシングルサインオン認証が可能となります。ただし、オンプレミスのシステムでADを利用していないシステムは適用外です。
あらゆるタイプのアプリへのログインをSSO化「AccessMatrixUSO」
株式会社ハイ・アベイラビリティ・システムズ
- 参考価格:1ユーザーあたり月額330円(契約は1年ごと)
- 提供形態:オンプレミス / パッケージソフト / クラウド
- 対象従業員規模:全ての規模に対応
「AccessMatrixUSO」は、代理入力方式(代理認証方式)を採用しているシングルサインオン製品です。利用しているWebアプリケーション(サービス)やネットワークの変更は一切必要なく、オンプレミス・クラウドのあらゆるサービスへのログインをシングルサインオン化できます。
AccessMatrixの変更は、2人の管理体制でダブルチェックが可能。オンプレミスタイプの場合、USOサーバーに接続するとUSOクライアントがクライアント側へ自動的にダウンロードされる仕組みです。そのためクライアントへアプリ配布や設定の手間も省略できます。
オンプレミスとクラウド両方のSSO化が可能「infoScoop × Digital Workforce」
株式会社ユニリタ
- 参考価格:500ユーザーまで月額450,000円 ~(初期費用・ユーザー追加・オプションなどは別途問い合わせ)
- 提供形態:クラウド
- 対象従業員規模:全ての規模に対応
「infoScoop × Digital Workforce」は、社外からアクセスするリモートワークなどにおすすめのソリューションです。SSO機能もクラウドとオンプレミス両方に対応。オンプレミスとクラウドサービスの両方を使っていてどちらもSSO化したい場合に適しています。
また、豊富なセキュリティオプションを用意しており、ワンタイムパスワード認証やCookie認証などを組み合わせてセキュリティを高めることも可能です。
SaaS型のID管理・認証サービス「SeciossLink」
株式会社セシオス
- 参考価格:Standard ライセンス1 ユーザー年額 1,800 円、Enterprise ライセンス1 ユーザー年額 6,000 円など
- 提供形態:クラウド / SaaS
- 対象従業員規模:全ての規模に対応
シングルサインオンの機能と統合ID管理(IDaaS)をセットにしたSaaS型サービス「SeciossLink」。別途モジュールを導入することで、クラウドに加えてオンプレミスの社内システムもシングルサインオン認証ができるようになります。
IDaaS機能(IDの同期・シングルサインオンなど)に加えて、CASB(Cloud Access Security Broker)を搭載。CASBとはクラウドサービスを便利かつ安全に利用するための機能です。IDaaSとCASBにより、本製品は総合的なセキュリティサービスを提供しています。
SSO・アクセス制御ソフトウェア「Secioss Access Manager Enterprise」
株式会社セシオス
- 参考価格:500ユーザーまで年額720,000 円~、50,000ユーザーまで年額2,100,000 円など
- 提供形態:パッケージソフト
- 対象従業員規模:全ての規模に対応
「Secioss Access Manager Enterprise」は、LINUX上で動作するパッケージソフトとして提供されているシングルサインオン・アクセス管理ソフトウェアです。
同じくパッケージソフトの「Secioss Identity Manager Enterprise」とセットで利用することで、同社のSaaS型サービス「SeciossLink」と同様の機能をオンプレミスで実現します。本製品によって、様々なサービスをシングルサインオンで利用可能です。
認証方式は、標準的なID・パスワードだけでなく、証明書認証やアプリケーション端末認証などにも対応可能です。
統合ID管理ソフトウェア「Secioss Identity Manager Enterprise」
株式会社セシオス
- 参考価格:500ユーザーまで年額480,000 円~、50,000ユーザーまで年額1,500,000 円など
- 提供形態:パッケージソフト
- 対象従業員規模:全ての規模に対応
「Secioss Identity Manager Enterprise」は、認証情報や権限情報を連携するシステムに伝える統合ID管理ソフトウェアです。「Secioss Access Manager Enterprise」と同じくLINUX上で動作します。
認証情報や権限情報は、1回の更新で連携先へ。クラウドサービスや認証システム、データベースなど様々なシステムに伝えられます。本製品自身にはシングルサインオン機能はありません。本製品と「Secioss Access Manager Enterprise」を使用することで、あらゆるシステムへのシングルサインオンが可能となります。
クライアントエージェント型でどんなシステムもSSO化「EVIDIAN Enterprise SSO」
株式会社NSD
- 参考価格:別途問い合わせ
- 提供形態:オンプレミス / パッケージソフト
- 対象従業員規模:500名以上
「EVIDIAN Enterprise SSO」は、サーバー・クライアント型のシングルサインオンシステムです。クライアントのパソコンにエージェントをインストールする手間はかかりますが、あらゆるタイプのシステムをシングルサインオンで利用できます。
アクセス制御や監査機能など、シングルサインオン以外にもセキュリティを強化する機能があり、ユーザーはこれまで以上に利便性の高い社内システムを利用できます。クラウド型ではないため社外では使えませんが、社内システムの利便性向上とセキュリティ強化を目的とする場合、検討したい製品です。
コストパフォーマンスに優れたSSO「トラストログイン」
GMOグローバルサイン株式会社
- 参考価格:1IDあたり月額330円(全機能のPROプラン)
- 提供形態:クラウド / SaaS / サービス
- 対象従業員規模:100名以上
トラストログインは企業規模を問わず導入がしやすいコストパフォーマンスに優れたシングルサインオンサービスです。基本プランは無料で利用できるため、導入企業のフェーズにあわせて柔軟にオプション追加ができます。
全機能が利用可能なPROプランも1IDあたり月額330円とお得なため、さまざまなオプションを追加するのであればPROプランを利用するのがおすすめ。そのコストパフォーマンスの高さから、業界・業種を問わずさまざまな企業で導入されている信頼のあるサービスです。
豊富な導入実績「IceWall SSO」
日本ヒューレット・パッカード合同会社
- 参考価格:通常ライセンス100ユーザー 300,000円~(認証サーバー)
- 提供形態:オンプレミス / パッケージソフト
- 対象従業員規模:全ての規模に対応
IceWall SSOは豊富な導入実績を誇る高機能なシングルサインオン製品です。オンプレミス型の製品のため、月額制のクラウドサービスよりも割高に見えますが、充実した連携機能や信頼できる保守サービスにより多くの企業で導入されています。
特に認証データベースと各業務システムの連携が煩雑になっている大企業におすすめの製品です。IceWall SSOを利用することで、手間や技術的な課題がつきまとう認証データベースと各業務システムの相互運用問題を解消できるでしょう。
サービスごとのアクセス制限でセキュアな認証「CloudGate UNO」
株式会社インターナショナルシステムリサーチ
- 参考価格:1ユーザーあたり月額200円~
- 提供形態:クラウド / SaaS / サービス
- 対象従業員規模:全ての規模に対応
CloudGate Unoはシングルサインオンのセキュリティ性を重視した製品です。シングルサインオンは一度の認証でさまざまなサービスが利用できる半面、一ヵ所から情報が漏れると他のサービスにまで影響が及ぶリスクを抱えています。
その点、CloudGate Unoは「すべてのアクセスを信用しない」ゼロトラストの考えのもと、クラウドサービスごとにアクセス制限を実施可能です。サイバー攻撃が増加する昨今、不正アクセスから身を守りやすいアーキテクチャを備えたシングルサインオン製品と言えるでしょう。
SSOもメールもオールインワンのセキュリティ機能「HENNGE One」
HENNGE株式会社
- 参考価格:1ユーザーあたり月額400円~
- 提供形態:クラウド / SaaS / サービス
- 対象従業員規模:全ての規模に対応
HENNGE ONEは豊富な認証機能に加え、ブラウジングやメールのセキュリティ機能が搭載されていることが特徴の製品です。シングルサインオンを利用する社員が安心して利用でき、個々の力を発揮しやすい環境づくりに貢献してくれるでしょう。
ブラウジングではアクセス先URLを予め登録できる機能、管理者による承認・停止ができる機能が備わっています。また、メールでは送信の一時保留やドメインの正当性を確認するDKIMが付与され、メールの誤送信・不審メール対策が可能です。
業界トップクラスの低コスト「ネクストセット・シングルサインオン」
株式会社ネクストセット
- 参考価格:1ユーザーあたり月額100円~/b>
- 提供形態:クラウド / SaaS / サービス
- 対象従業員規模:全ての規模に対応
ネクストセット・シングルサインオンは業界トップクラスの低コストが魅力のシングルサインオンサービスです。1ユーザーあたり月額100円からとクラウド型のサービスのなかでも低コストで導入ができます。
もちろんAD連携やSAML認証といった基本機能はしっかり備わっており、適宜アドオンを追加してのカスタマイズも可能です。お試しの無償版も用意されていますので、まずは小規模でシングルサインオンを試してみたいという企業におすすめのサービスです。
シングルサインオン(SSO)を実現する方式5つ
シングルサインオンには5つの実現方式があります。自社で利用しているWebアプリケーション(サービス)により利用できる方式は異なります。ここではそれぞれの方式と仕組みを解説します。
1、エージェント方式
対象のWebアプリケーションサーバーにエージェント型ソフトをインストールする方式。1つのアプリケーションにログインすると認証サーバーに認証情報が保存され、同一のエージェントがインストールされているWebアプリケーションに認証なしでログインができます。シンプルですが、Webアプリケーションサーバー全てにインストールするので運用が負担になります。
2、リバースプロキシ方式
Webアプリケーションと認証サーバーの間にリバースプロキシサーバーを設置する方式。リバースプロキシサーバーにインストールされたエージェントが認証情報を取得し、リバースプロキシサーバーを経由するWebアプリケーションに認証なしでログインができます。エージェントはリバースプロキシサーバーのみにインストールするので、メンテナンスの手間が軽減できます。
3、代理認証方式
ユーザーの代わりにシステムが認証情報を入力する方式。クライアント端末にエージェントをインストールし、アカウント情報DBと連携させることで、エージェントが自動で代理認証を行います。別途アカウント情報DBエージェント用のサーバーを立てるか、IDaas(Identity as a Service)などを導入する必要があります。
4、フェデレーション方式
クラウドサービスと認証情報を提供するIdP(Identity Provider)の間で認証トークン(チケット情報)をやり取りする方式。IdPに対して認証を行うことで、IdPから各SP(Service Provider)に認可情報が送られ、認証なしでログインができます。やりとりされるのはあくまで認可情報(認証の成否)のため、認証情報が漏えいするリスクも少ない方式です。SAMLというプロトコルを利用したフェデレーション方式が現在のシングルサインオンの主流となっています。オンプレミスのシステムでは使えません。
5、透過型方式
ユーザーがWebアプリにアクセスした際、必要に応じてログイン情報を送付する方式。エージェントやサーバーが利用者のアクセス通信を監視し、対象のWebアプリケーションを開く都度、認証情報をWebサーバーに送信します。オンプレミス・クラウドどちらにも使え、Webサーバーにエージェントをインストールしなくても使えます。ただし本方式に対応したサーバーやエージェントを別途立てる必要あります。
シングルサインオン(SSO)製品選定のポイント3つ
ユーザーの利便性を高めるために、シングルサインオンを導入する企業も増えてきました。ここでは、シングルサインオン製品を選定する際確認したいポイント3点解説します。
1、利用用途の違い
まずはシングルサインオンをどのような利用用途で導入するのかを明確にしましょう。社内システムのみにシングルサインオン製品を使う場合は、シンプルにシングルサインオンの機能がある製品を選べば問題ありません。しかし、シングルサインオンの方式で解説した通り、シングルサインオンの実装方法は多数あります。すべての社内システムが同一の実装方法をとれるとは限りません。どの社内システムをシングルサインオンに組み込むのか、クラウドサービスを利用するのかを確認し、導入できる実装方法を確認しましょう。
一気にすべての社内システムをシングルサインオンにするのではなく、段階的に導入を進めるのがおすすめです。また、クラウドサービスを利用する場合は、クラウドサービス連携対応の製品を選びましょう。特にクラウドサービスは今後も需要が伸びていくことが予想されます。現状でクラウドサービスの利用がない場合でも、クラウドサービス連携対応の製品を選んでおけばスムーズに導入ができるでしょう。また、スマートフォンやタブレットからのアクセスも必要とする場合は、マルチデバイス対応かどうかも確認してください。
2、提供形態とコストの違い
検討している製品の提供形態がオンプレミスかクラウドかを確認しましょう。提供形態によって、初期および運用コストに違いがでます。
一般的に、クラウドサービスであれば初期費用は無料もしくは少額で、月額費用のみの支払いとなります。初期コストを抑えたいのであれば、オンプレミスよりもクラウドサービスを利用すると良いでしょう。ただしユーザー数や連携システムが増えると運用コストが膨らみ続けてしまう可能性があります。
一方で、オンプレミスは物理的な機器を設置する分、一般的に初期コストがクラウドサービスより高めです。しかし、ユーザー数や連携システムが増えても運用コストを抑えることができます。また、連携におけるカスタマイズもクラウドサービスよりも柔軟に対応が可能です。
小規模で少ないシステムにシングルサインオンを導入する場合はクラウドサービス、大規模で複数のシステムに導入する場合はオンプレミスというように検討を行うと良いでしょう。シングルサインオンは長期的に利用するもののため、今後のユーザー・システム増を見越して製品を検討する視点も重要です。
3、自社に必要な機能を備えているか
自社に必要な機能があるかどうかも要チェックです。基本の認証機能だけでなく、セキュリティ強化機能、ユーザーのID管理機能等も確認してください。
シングルサインオンは同一の認証情報で複数のシステムにログインができるため、一度情報漏えいが発生すると複数のシステムに被害がおよぶ可能性があります。IPアドレス制限やサービスごとのアクセス制限など、セキュリティ機能が充実した製品を選ぶようにしましょう。
また、ユーザー数が多くなるほど、ユーザーのID管理が煩雑になります。ID管理がおろそかになると、本来ログインを許可したくないIDがログイン可能なまま放置される事態にも陥りかねません。ID管理の負担を軽減するために、ID管理機能が搭載されている製品や、クラウドのID管理システムであるIDaaS(Identity as a Service)の導入も検討するとよいでしょう。
シングルサインオン(SSO)製品選びは利用用途と自社環境が重要
シングルサインオンとは、1回ログインすれば、続けて複数のシステムを利用しても認証を求められない便利な機能を持つソフトウェアです。製品選びは利用用途と自社環境の事前確認が重要となります。シングルサインオン選定に迷っている方は、ぜひ製品情報を取り寄せてご活用ください。