「一度ログインすれば、その後はログインせずに複数のサービスを利用できる」シングルサインオンですが、 Office365やGmail、Salesforceなどのクラウドサービスに対してもシングルサインオンできるサービスが登場しています。以下でご紹介します。
クラウド登場以前、シングルサインオンとは「社内ネットワーク内にあるサービスにアクセスする際、一度ログインしておけば以後のログインは不要」という意味で用いられてきました。 クラウド登場以前に利用されてきた、最も有名なシングルサインオンのサービスは、マイクロソフトが提供するActive Directory (以下AD)です。 ADは、社内のユーザーや端末を管理する「ディレクトリサービス」ですが、これに付帯した「シングルサインオン機能」も広く利用されてきました。
シングルサインオン機能で管理しているユーザーまたは端末は、ログインした後は、 同じ社内ネットワーク内にある「ファイルサーバ」「プリンタ」「メールサーバ」「対応した各種システムやサービス」などにアクセスする際、都度ID・パスワードを入力する必要がありません。 この利便性から、1990年代後半から2000年代にかけて大手企業を中心に数多く導入されてきました。
こうしたシングルサインオンに変化が求められるようになった理由は、クラウドを利用したサービスの登場です。 これまで多くの企業は、自社で物理サーバをセットアップし、各種システムを構築してきましたが、クラウドサービスを利用すれば、 月額費用を払うだけで、さまざまなシステムをメンテナンスフリーで利用できるようになりました。
2010年前後は、「企業の重要な情報を、社内ネットワークや自社データセンタ以外の場所に置くことは危険」という論調がありました。しかし、2010年代中盤にもなると、 クラウドを導入した際のコストメリットが大きいこと、そしてクラウドサービス事業者の信頼性向上における対策が受け入れられ、特にセキュリティに厳しい金融業界でさえもクラウド導入を推進するようになりました。
「クラウド(雲)」という言葉通り、サーバやデータは自社ではなく、各クラウドサービス事業者が管理するデータセンタにあり、顧客はインターネット経由でそこにアクセスしています。 そのため、「CRMサービスA」「メールサービスB」「人事サービスC」というクラウドサービスを利用していた場合、 社内ネットワーク内にあるサービスのためのシングルサインオン機能では、これらのクラウドサービスに対してインターネット経由でのシングルサインオンが行えないのです。
既存の社内ネットワーク用のシングルサインオン機能では対応できない、各種クラウドサービスへのシングルサインオンを行うために登場したのが「IDaaS」と呼ばれるサービスです。 IDaaSは「SaaS (Software as a Service)」「PaaS (Platform as a Service」など、クラウド経由で提供されるサービスの一形態で「Identity as a Service」を意味します。 なお、IDaaSはActive Directoryとは違い、ディレクトリ機能は提供しません。
IDaaSを利用するには、まず企業で利用している各種クラウドサービス(Office 365、Gmail、Salesforce,Chatworkなど)のIDとパスワードを、IDaaSに全て預けます。 そして、各種クラウドサービスへログインする際に、「通常のログイン画面」からではなく、「IDaaSの管理画面」または「IDaaSが提供するブラウザプラグイン」からログインを行います。
これにより、例えば従業員が10個のクラウドサービスを利用している場合でも、 「IDaaSにログインする際のIDとパスワード」だけ覚えておけば、そこから10個のクラウドサービスへワンクリックでログインができる、ということになります。
各種クラウドサービスのパスワードをまとめて管理し、シングルサインオンを可能にするIDaaSは非常に便利なサービスですが、検討に際して注意すべき点を三つご紹介します。
最も重要な点です。「企業が利用しているクラウドサービスのパスワードを全て預ける」ことになるため、 「信頼できる企業が提供しているか」、そして「データを安全に守る取り組みを行っているか」が極めて重要です。 安全性や信頼性をチェックするには以下の項目を確認するのが良いでしょう。
もし社内で10個のクラウドサービスを利用している場合、IDaaSがこの10個全てに対応していることが望ましいです。 各IDaaSともに、Office365、Gmail、Salesforceなどの有名なクラウドサービスには対応していることが多いですが、サービスによっては対応していない場合があります。 導入前に評価を行い、必要なクラウドサービス全てに対応しているかを確認しましょう。
もし、対応していないクラウドサービスがある場合、「導入したいが、〇〇のサービスに対応していないため導入できない。ぜひ対応してほしい」 とリクエストを出して、対応可能かの確認もおすすめします。
IDaaSは、1ユーザーあたり月額数百円で提供されていることが多いです。例えば、「基本プランは4ドルで、オプションを使いたい場合は8ドル」といった具合です。 ただ、1ユーザーあたりの月額費用が4ドルだとしても、年間費用は1ユーザー48ドル (約5400円) となります。従業員100人だと54万円、1,000人だと540万円というように、決して安くはないのが実情です。
よって、「従業員全てに一律にIDaaSを導入する」のではなく、「必要な部署やユーザーだけ導入する」「必要最小限のプランにする」など、コストを抑え効果を見極めるための工夫が必要となります。
IDaaSとは何か、そして導入前に気を付けるべき点についてご理解いただけたかと思います。 最後に、IDaaSを単なるシングルサインオンツールとするのではなく、セキュリティ強化ツールとして活用する方法をご紹介します。
各IDaaS製品は、基本機能またはオプション機能で「多要素認証」を提供しています。 多要素認証とは、パスワード認証に加えて、もう一種類別の方法で認証を求めるもので、クラッカーが「ブルートフォースアタック、日本語ではパスワード総当たり攻撃という、 考えられるパスワードを繰り返し入力して不正アクセスを試みる攻撃」を行ってきた際に特に有効です。
以下では、主な多要素認証の方法についてご紹介します。
パスワード入力後に、別の方法で提供される1回限り有効なトークン(6桁程度の数列)を入力し、送信する方法。 トークンの提供方法には「スマホアプリ」「SMS」「メール」「ドングル」など複数の方法で提供されます。
パスワード入力後に、あらかじめスマートフォンにインストールされているアプリで「ログインを許可する」ボタンにタッチする方法。
パスワード入力後に、生体情報を入力、送信する方法。例えば、「パソコンの指紋リーダー」「スマートフォンの指紋リーダー」などが用いられます。
パスワード入力後に、パソコンまたはスマートフォンに「クライアント証明書」と呼ばれる証明書が入っている端末のみにログインを許可する方法。証明書は別途用意する必要があります。
IDaaSの導入を検討する際には、多要素認証の利用も合わせて検討することで、セキュリティの向上も実現することができます。 クラウドサービスの発展により、シングルサインオンの形も変化してきています。 IDaaSの利用によって従業員の利便性やセキュリティの向上が期待できるのではないでしょうか。