CYBERNET

重要なお知らせ 新型コロナウイルス感染拡大にともなう電話問い合わせについて

パスワード管理の無駄な時間はこれで解消!
クラウド時代だからこそ必要なシングルサインオン

お役立ち

業務で使用するクラウドサービスのパスワード管理は、ユーザーにとって悩みの種。安全性を維持しながら管理負担を軽減するには、どうすればいいのでしょうか。答えはシングルサインオン(SSO)の導入です。SSOが必要な理由とその実現方法を解説します。

攻撃への脆弱性を生み出す不適切なパスワード管理

近年ではビジネスシーンでも活用が広がっている、インターネット上のクラウドサービスやWebアプリケーション。1ユーザーが使用するサービスの数も、急速に増えています。ここで大きな問題になるのが、パスワード管理をどのように行うかです。使用するサービスの数が増えれば、当然ながら管理すべきパスワードの数も増えていくからです。再ログイン時にパスワードが思い出せず、パスワードを書きつけたメモなどを探し回るといったことは、多くの方が経験しているはずです。このような時間は間違いなく、生産性を低下させる無駄な時間だと言えます。

「サービス毎に個別のパスワードを設定すると憶えきれないから、全てのサービスで同じパスワードを設定している」という方もいるかもしれません。しかしこれはとても危険な方法です。このようなパスワードの使い回しは、「パスワードリスト攻撃」の格好の餌食になる可能性が高いからです。パスワードリスト攻撃とは、あるオンラインサービスから漏洩したパスワードを使用し、別のオンラインサービスで不正ログインを試みるという攻撃手法です。最近ではこの攻撃が多発しており、被害も増大しているのです。

短くて憶えやすいパスワードを使う、というのも危険です。このようなパスワードは、パスワードとして使用されることの多い単語や人名を組み合わせ、繰り返しログインを試行する「辞書攻撃」のターゲットになるからです。辞書攻撃用の「辞書」は様々な形で配布されており、有償版の中には4000万を超える単語が登録されているものも存在します。

それでは、安全性を維持しながらパスワード管理の負担を軽減するには、どうすればいいのでしょうか。

安全なSSOを可能にするSAMLの活用

その方法として有効なのが、シングルサインオン(SSO)の導入です。これは、ユーザーが一度ポータル画面等でログインしてしまえば、その後のサービス利用はログインせずに行えるようにする、という仕組みです。

Microsoft Active Directoryを導入している企業であれば、すでに社内でSSOが実現されているはずです。自分のPCのWindowsにログインすれば、そのPCが参加しているドメインに含まれるファイルサーバーやメールサーバー等に、そのままアクセスできるようになっているのではないでしょうか。これと同じことをインターネット上のサービスでも実現できれば、サービス毎にパスワードを憶えることなく、安全な利用が可能になります。

インターネット上のサービスでのSSOを実現する手法として、現在主流になっているのが「SAML(Security Assertion Markup Language)」の活用です。これは異なるインターネットドメイン間で、ユーザー認証に関する情報をやり取りするための標準規格です。XMLをベースに2002年に策定され、2005年にバージョン2.0が公開されています。

SAMLでは、認証情報を提供する側を「Identity Provider(IdP)」、認証情報を利用する側を「Service Provider(SP)」と呼びます。ユーザーがSPにアクセスすると、SPはそのリクエストをSAML認証要求と共に、IdPへとリダイレクトします。IdPはこの認証要求に基づき、ユーザーの認証処理を実行します。IdPでのユーザー認証が成功すると、IdPはSPに対して認証情報やユーザーや属性、アクセス権限等の情報を発行します。これらの情報を「アサーション」といい、SPはこのアサーションを元に、アクセス制御を行います。両者の間ではパスワードのやり取りが行われないため、非常に安全な方法だと言えます。

IdSとして機能するOneLogin、4,000以上のサービスに対応可能

このSAMLに対応したSSOの仕組みを、SaaSの形で提供しているのが「OneLogin」です。OneLoginはIdPとして動作し、事前にOneLoginへのログインを行っていれば、各サービスへのSAML認証応答(アサーション)が、自動的に生成されるようになっています。

またSAMLによる認証連携だけではなく、BASIC認証やフォーム認証の入力代行によるSSOも可能です。このような仕組みを併用することで、OneLoginは4,000以上のクラウドサービスやWebアプリケーションへの対応を実現しています。さらに社内開発のWebアプリケーション向けに「SAML Toolkit」も用意。これを利用することで既存アプリケーションをSAML対応にすることも可能です。

多様なクラウドサービスを使うのが当たり前になった現在、社員の生産性を高めるには、このような仕組みの導入は必須条件だと言えるのではないでしょうか。