シングルサインオン（SSO）とは？３つの導入効果を解説

デジタルトランスフォーメーション（DX）やクラウドサービスの普及に伴い、「シングルサインオン」という言葉を耳にする機会が増えました。しかし、シングルサインオンとは何か尋ねられると「何となく知っているが、なぜ必要なのかうまく説明できない」という方も多いのではないでしょうか。

本記事では、なぜ今シングルサインオンが求められるのか？そして、この仕組みを導入することで得られる効果や利用シーンはどのようなものか？どのようなソリューションがあるのか？について解説します。

シングルサインオン（SSO）とは

「シングルサインオン」とは、一つのIDとパスワードで、社内システムや外部のクラウドサービスなど、利用している複数のWebサービスへのアクセスを可能とする仕組みのことです。サービスごとに異なるIDとパスワードを入力・管理する必要がなくなるため、ユーザーの利便性が向上します。Single Sign Onの頭文字を取って、「SSO」と表記されることもあります。

シングルサインオン（SSO）が求められる背景

昨今のシングルサインオンが求められる背景の大きな要因として、Webサービスやクラウドサービスの普及が挙げられます。

社内の更なる業務効率化やデジタル化に伴う、Webアプリケーションベースでの社内システムの普及、インターネット経由の、メール管理やドキュメント管理、CRMの利用など、外部の便利なクラウドサービスを活用することは、今や当たり前の時代となりました。

その一方で、利用している複数サービスのIDとパスワードの個々の管理は煩雑になり、更にパスワードの使い回しなどセキュリティリスクの面でも課題を抱え、シングルサインオンのような便利でセキュアな仕組みが求められるようになったといえるでしょう。

また、昨今では「カスタマーサクセス」の高度化も大きな要因となっています。カスタマーサクセスとは顧客が自社のサービスを活用する中で、生じる課題に先回りしてプロアクティブなアプローチを行い、顧客がサービスの利用により成果を挙げ続けることで自社のビジネスも成功し、継続的な成功関係を目指すものです。

例えば、ある企業が顧客向けに通販サイトやポイント管理、宅配サービス、物流サービスなど様々なWebサービスを提供しているとします。これは便利な反面、複数のIDやパスワード管理は顧客にとって非常に不便な環境を作り出しているともいえます。ここでカスタマーサクセスの一環として、便利なシングルサインオンを顧客にプロアクティブに提供することで、顧客がこれからも複数のWebサービスを永続的に使ってくれるよう仕向ける取り組みが可能となります。

このようなカスタマーサクセスの更なる高度化に伴い、シングルサインオンが求められているという側面もあるでしょう。

Man in suit with cloud head and blue icons on grungy background

シングルサインオン（SSO）の認証方式・仕組み

シングルサインオンの認証方式には主に次の4つの方式があります。

エージェント方式

Webサーバやアプリケーションに専用のエージェントソフトウェアを導入し認証を行う方式です。

代理認証方式

ユーザーのデバイスに導入した専用のエージェントソフトウェアが、ユーザーの代理でIDとパスワードを入力し認証を行う方式です。デバイスに常駐したエージェントが、アプリケーションのログイン画面が起動するのを検知すると、自動的にIDとパスワードを入力する仕組みになっています。

リバースプロキシ方式

リバースプロキシがユーザー（のデバイス）とWebサービスの間を中継し認証を行う方式です。この場合、Webサーバやアプリケーションへ専用エージェントを導入する必要がないため、既存システムへの影響が少ないことが利点です。

一方で、アクセスが集中すると、リバースプロキシがボトルネックになるケースがあります。

SAML認証方式

ユーザーとサービスプロバイダー（以降、SP）、IDプロバイダー（以降、IDP）の3者で認証を行う方式です。SAML(※1)認証方式には、さらに下記2つの方式があります。

①SP initiated SSO
SPが起点となって認証を行います。ユーザーが、SPのログイン画面にてIDやパスワードを入力すると、IDPへSAML認証要求がリダイレクトされます。ユーザー認証に成功すると、IDPがSPへSAML認証応答をリダイレクトすることで、ユーザーのSPへのログインが成功します。

②IDP initiated SSO
IDPが起点となって認証を行います。ユーザーが、IDPの認証画面にてIDやパスワードを入力(※2)し、ログインに成功すると、利用可能なアプリケーションの一覧画面(※3)に遷移します。ユーザーは表示された一覧画面から、利用したいアプリケーションを選択するだけで、再度IDやパスワードを入力することなく、アプリケーションにアクセスできます。

(※1) SAML（Security Assertion Markup Language）は、異なるインターンネットドメイン間でユーザー認証を行うためのXMLをベースにした標準規格です。

(※2) すでにIDPの認証が成功している場合は、IDやパスワードの入力は省略されます。

(※3) IDP側で専用ポータルサイトなどに利用アプリケーションを事前に登録しておく必要があります。

シングルサインオン（SSO）導入の3つのメリット

　シングルサインオンを導入することで得られる効果はどのようなものがあるでしょうか。その効果は大きく３つ挙げられます。

効果その①ユーザー利便性の向上

シングルサインオンを活用することで、ユーザーは、複数サービスのIDとパスワードの煩雑な管理から解放されます。

現在利用している全てのサービスのIDとパスワードを記憶しておかなければならない、新しいサービスの利用登録をするたびにIDとパスワードの管理が増え続ける、あるサービスはしばらく使っていなかったのでパスワードがわからなくなってしまった、パスワード再発行の手続きに時間がかかる、など多くの「手間」から解放されるでしょう。

効果その②マーケティングの高度化

Webサービスの提供事業者目線でいうと、ユーザーの行動をより高度に分析できるように、効率的なマーケティングが可能になります。

シングルサインオンできない複数のサービス・Webサイトではユーザーの行動を分析しようとしても、
ユーザーの同定を確実に行うことは難しく、1人のユーザーの一連の行動を紐付けることができません。
しかし、シングルサインオンを導入して、ユーザーの同意を得られた場合はそれが可能となり、
行動情報の分析の精度を上げることができます。

マーケティング領域のシングルサインオンニーズ

図. オムニチャネルで利用可能なIDをユーザーに提供し、収集したデータをマーケティングに活かす例
（NRIセキュアが作成）

効果その③セキュリティリスクの軽減

複数のサービスを利用しているユーザーによくありがちなケースとして、複数のIDとパスワードの管理が面倒なため、「簡単なパスワードを設定する」、「同じパスワードを複数サービスで使い回す」ことが挙げられます。

昨今のサイバー攻撃の手法は巧妙になり、第三者でも推測可能な簡単なパスワードは「ブルートフォースアタック（総当たり攻撃）」のような考えられる全てのパターンを試す方法で、安易に解読されてしまいます。だからといって、ユーザーに一つ一つのサービスに複雑なパスワードを設定してもらうことは敷居を高くしてしまい、サービスの利便性そのものも低下してしまいがちです。

また、ユーザーが同じパスワードを複数サービスで使い回している場合、ある一つのサービスの認証情報の漏えいで、利用している他のサービスにも不正アクセスされ、被害にあう可能性もあります。このことは「桶の理論」（下図参照）と言われるように、ある箇所の脆弱性が全体のセキュリティレベルを下げてしまうことを指しています。

桶の理論

図. 桶の理論（NRIセキュアが作成）

その点、シングルサインオンでは高いセキュリティレベルの認証に統一することができるのでセキュリティレベルを向上できます。

一方で、シングルサインオンに利用するIDとパスワードの情報が漏洩すると、そのIDとパスワードでアクセス可能なシステムとサービスを不正に利用されてしまうという懸念もあります。

これはIDとパスワードに加えて、ワンタイムパスワードや指紋・顔認証などの「多要素認証」を追加で実装することで、上記の課題を解決し、ユーザーとサービスを提供する側の双方にとってのセキュリティリスクを軽減できるでしょう。

多要素認証とは？パスワードだけでは守りきれないクラウドのセキュリティ

シングルサインオン（SSO）の利用シーンの具体例を
紹介

ここでは、イメージしやすいように２つの利用シーンを例に挙げます。

社内利用の視点：従業員が社内の複数システムを利用している例

企業内のDXの推進もあり、現在では当たり前のように社内システムはWebシステムとして提供されています。例えば、勤怠入力は勤怠管理システム、給与明細の確認は給与管理システム、経費精算は経費精算システムへのアクセスがそれぞれ必要です。他にも売上や営業活動の管理はSFAやCRM、経理業務は会計システムへのログインが必要など、従業員は複数のシステムへログインするためにそれぞれIDやパスワードを入力・管理する必要があります。

このようなシーンで社内の共通統一基盤としてシングルサインオンを導入すれば、従業員の業務の効率化が図れ、更に多要素認証などを活用することで、セキュリティリスクが軽減されコンプライアンス面でも改善することができるでしょう。

サービス運営側の視点：顧客が複数の通販サイトやWebサービスを利用している例

クラウドサービスの普及やカスタマーサクセスの高度化に伴い、現在では当たり前のように顧客の囲い込み戦略のため通販サイトや会員ポータル、メールやドキュメント管理、ストレージサービスなど、複数のWebサービスを各社が提供しています。

このようなシーンでユーザーの更なる利便性やセキュリティリスクを軽減するためにシングルサインオンを提供すれば、ユーザーは、IDとパスワードの入力・管理の手間から解放され、新規登録や永続的な利用の促進が可能となるでしょう。

また、重要な機密情報や決済情報を扱っているサービスでは、サービスそのものの安全性を訴えるためにも、多要素認証などのセキュアな認証基盤を提供することで、既存顧客の離反を防ぐことも可能となるでしょう。

Online banking against tablets and smartphone

顧客向けWebサービスのSSOソリューションなら「Uni-ID Libra」

クラウドサービスの普及などを背景に、シングルサインオンが求められていること、またその効果や利用シーンを解説しました。前述のとおり、IDとパスワードを複数使用しなくても各システムやサービスにアクセスでき、しかもセキュリティリスクを軽減できるのがシングルサインオンの利点です。導入を検討している方向けに、弊社が提供しているシングルサインオンのサービスをご紹介します。

ECサイトなど顧客向けWebサービスは様々なチャネルやデバイスから利用され、複数IDやパスワードを持つユーザーも少なくありません。
Uni-ID Libraは、顧客IDとアクセスの統合管理（Consumer Identity and Access Management＝CIAM）ソリューションです。
時間とコストを要していた顧客IDの統合や（多要素）認証、API連携・認可、GDPRなどのプライバシー保護対応をパッケージでご提供します。短期間かつ低コストでこれらを実現します。
カスタマーエクスペリエンスを向上させ、デジタル時代に競争力のあるサービスの創出を可能にします。

Uni-ID　Libraで実現できること
ユーザビリティを向上。マルチチャネルの促進。安全と利便性を両立させたセキュリティ対策の実現。コンプライアンス・法規制への対応。マーケティング活用、など。

ソリューションの詳しい内容については、下記サイトを参照ください。

顧客向けWebサービスのID・アクセス管理ソリューション　Uni-ID Libra
https://www.nri-secure.co.jp/service/solution/uni-id_libra

さいごに

シングルサインオンは、「一つのIDとパスワードで認証を行い、複数のシステムやWebサービスへのアクセスを可能にする仕組み」のこと
シングルサインオンが求められる背景には、「DXの推進」、「クラウドサービスの普及」、「カスタマーサクセスの高度化」などの要因が挙げられる
シングルサインオンを導入することで得られるのは「ユーザーの利便性の向上」と「セキュリティリスクの軽減」
社内の共通統一基盤としてシングルサインオンを導入すれば、「業務の効率化」が図れ、多要素認証の活用で、よりセキュリティが強化され「コンプライアンス面も改善」される
顧客向けに通販サイトやWebサービス、クラウドサービスを提供しているWebサイト運営側の視点でも、シングルサインオンを導入することで、ユーザーの新規登録や利用をより促進することができる

シングルサインオン（SSO）とは？３つの導入効果を解説