ソフトウェアサービスは職場の生産性を大きく向上させますが、多数の認証情報を扱うことはセキュリティリスクや管理の手間を生じさせます。69%の人々がパスワードの管理に圧倒されていると感じており、これが社内での脆弱なパスワードの使用やパスワードの使い回しにつながる可能性があります。
脆弱なパスワードや使い回されたパスワードは侵害されやすく、データ侵害やそれに伴う評判、運用、金銭的な損害のリスクにビジネスをさらすことになります。シングルサインオン (SSO) 統合はパスワード疲れの解消に役立ち、従業員のアカウントを適切に保護し、結果として侵害のリスクを最小限に抑えます。
SSO を利用すれば、従業員は1つのログイン情報で複数のツールを使用できますが、セットアップには時間がかかります。Proton Pass は SSO をサポートし、SSO 非対応アプリの隙間を埋めるビジネス向けパスワードマネージャーですので、保護されない領域を残しません。この記事では、SSO のメリットとデメリット、そしてパスワードマネージャーがどのように強力なセキュリティポリシーをサポートするかについて解説します。
SSO 統合とは?
シングルサインオン (SSO) 統合はこの問題に対する一般的な解決策であり、従業員が1セットの認証情報で複数のツールにアクセスできるようにします。しかし、SSO の導入には多大な時間と費用がかかるため、すべての組織にとって合理的であるとは限りません。
これは2つの主要なコンポーネントによって機能します:
アイデンティティプロバイダー (IdP): ユーザーの本人確認(アイデンティティ)を検証し、認証を管理するシステムです。一般的な例には、Microsoft Entra ID(旧 Azure AD)や Okta などがあります。
サービスプロバイダー (SP): ユーザーがアクセスしたいアプリケーションのことです。例えば、Slack、Salesforce、Proton VPN、Proton Pass などがこれにあたります。
各アプリケーションに直接サインインする代わりに、ユーザーは IdP で認証を行います。その後、IdP がサービスプロバイダーに安全なトークンを送信し、ユーザーが新しく個別のパスワードを作成することなくアクセスを許可します。
SSO 統合のメリットと課題
SSO 統合は、企業の認証処理の方法を変えることができますが、同時に新たな考慮事項ももたらします。
SSO 統合のメリット
- ログインの簡素化:従業員は一度ログインするだけで、必要なすべてのアプリにアクセスできます。
- 生産性の向上:認証情報の管理やパスワードのリセットにかかる時間が減り、実際の業務に多くの時間を割けるようになります。
- セキュリティの向上:SSO 統合により、従業員が管理するパスワードの数が減るため、攻撃を受ける箇所が減少し、脆弱な認証情報や認証情報の使い回しを防ぐのに役立ちます。
- オンボーディングとオフボーディングの容易化:単一のダッシュボードからユーザーアクセスの有効化や無効化を素早く行えます。
- IT サポートの削減:IT チームは、パスワードのリセットリクエストの対応に費やす時間を減らすことができます。
SSO 統合の課題
- 単一障害点:SSO システムに障害が発生した場合、重要なアプリケーションへのアクセスが完全に失われる可能性があります。
- コスト:多くのソフトウェアベンダーは、最も高価なプランでのみ SSO 統合を提供しているため、月々のソフトウェアコストが大幅に増加する可能性があります。
- 互換性:使用しているソフトウェアが SSO ツールやプロトコルと互換性がない場合があり、実装が複雑になる可能性があります。
- カスタマイズ:すべての SSO ソリューションが、お客様のビジネス固有のニーズに合わせてカスタマイズできるわけではありません。
- 複雑な実装:SSO の導入には、すべてのアプリケーションの接続を設定およびテストするために、多大な IT リソースが必要です。
一般的な SSO 統合プロトコル
どの SSO プロトコルが自社のビジネスに最適かを理解することが、導入成功への第一歩です。プロトコルによって、最新のクラウドアプリからレガシーサーバーまで、サポートする環境が異なります。
Security Assertion Markup Language (SAML)
SAML は、IT 管理者がオンプレミスとクラウドベースのソフトウェアの両方でユーザーを安全に検証できるため、企業で好まれています。これは、IdP と SP の間で SAML アサーションと呼ばれる認証トークンを交換することによって機能します。ユーザーセッションをきめ細かく制御できるため、高セキュリティ環境の標準となっています。
SAML と SSO、および SAML と OAuth の違いについての詳細はこちらをご覧ください。
OAuth
OAuth は、ウェブ上の「…でログイン」ボタンを動かしているものです。最新のアプリのほとんどが OAuth をサポートしており、SAML と同様に、パスワードを共有することなく、あるアプリから別のアプリのデータにアクセスできるようにします。OAuth は、特定のタスクを実行する許可を与える限定的なアクセストークンを発行します。
Open ID Connect (OIDC)
OpenID Connectは、ユーザーが誰であるかを検証することで、OAuthの上にユーザー情報レイヤーを追加します。アクセストークンに加えて、OIDCはIDトークンを発行します。これはデジタルパスポートに似ています。OIDCは、iOS、Android、Windows、および主要なクラウドプラットフォームを含む、多くの最新のオペレーティングシステムやIDプロバイダーによってサポートされています。
Lightweight Directory Access Protocol (LDAP)
LDAP は古いプロトコル標準ですが、現在でも頻繁に使用されています。ビジネスが新しい SSO 標準と互換性のないレガシーソフトウェアソリューションに依存している場合は、コンプライアンスとセキュリティを確保するために LDAP を使用してください。
アイデンティティプロバイダーとディレクトリ
多くの企業は、Microsoft Active Directory や Entra ID などのアイデンティティプロバイダーも使用しており、これらは SSO を有効にするためにこれらの基盤となるプロトコルに依存しています。
SSO 統合のベストプラクティス
ビジネスへの SSO 統合を検討している場合は、安全で成功する実装のために以下の手順に従ってください。
信頼できる SSO プロバイダーを選ぶ
SSO ソリューションは、アプリケーションへの唯一のゲートウェイとなります。セキュリティの実績が豊富で、稼働率保証のあるアイデンティティプロバイダーを選びましょう。その他の考慮すべき要素には、カスタマーサポート、スケーラビリティ、互換性、価格などがあります。ソリューションの正当性に疑問がある場合は、避けるのが最善です。
互換性を確認する
チームが使用しているアプリケーションやソフトウェアを監査します。すべてのツールが SSO と互換性があるわけではなく、一部のツールでは SSO 機能がペイウォールの後ろに隠されている場合があります。互換性を確認することで、環境に合った SSO ソリューションを選択し、実装に追加のツールが必要かどうかを特定するのに役立ちます。
適切に予算を組む
サブスクリプション費用以外にも、SSO には既存のソフトウェアやライセンスのアップグレードが必要になる場合があります。SSO の設定、互換性のあるツールへの移行、従業員のトレーニングに費やす時間もコストに追加されます。
ユーザーに変更への準備をさせる
SSO はログインを簡素化しますが、それは従業員がそれを受け入れた場合に限ります。新しいプロセスをチームに明確に説明し、アカウントへのアクセスに問題がある場合の連絡先を周知させてください。
段階的なロールアウトを行う
SSO 統合を段階的に展開することで、完全なロールアウトの前にアプリケーションが適切に設定されていることをテストし、バグを解決できます。段階的な実装により、何か問題が発生した場合でも混乱を抑えることができます。
バックアッププランを用意する
時には問題が発生し、SSO ソリューションがダウンすることがあります。バックアップアクセスプランを用意しておけば、停止中でも全員が必要なサービスにアクセスできるようになります。
Proton Pass は SSO がカバーできない隙間を保護します
SSO 統合の目的は、複数のログインの手間をかけずに、チームが必要なツールに安全にアクセスできるようにすることです。しかし実際には、ほとんどの組織がハイブリッド環境で運営されています。SSO はチームが必要とするログインの数を減らしますが、ほとんどの企業は依然として SSO をサポートしていないツールを使用しています。
Proton Pass のようなビジネス向けパスワードマネージャーを使用すれば、ネイティブな SSO サポートと、SSO が届かないアプリのための安全な認証情報管理の両方が得られます。つまり、SSO 非対応アプリの認証情報を安全に保存し、既存の SSO セットアップで保護することができます。
Proton Pass は SSO セットアップの隙間を埋め、認証情報を安全かつ管理しやすく保ちます。
よくある質問
SSO とパスワードマネージャーの違いは何ですか?
SSO は互換性のあるアプリを1つの中央ログインにリンクしますが、パスワードマネージャーはそれ以外のすべてのための独自の認証情報を保存します。両者を併用するのが最適です。
SSO はパスワードマネージャーの代わりになりますか?
いいえ。SSO はそれをサポートするアプリでのみ機能します。ほとんどの企業は依然として SSO を提供していない多くのツールを使用しています。Proton Pass は、それらの残りのアカウントへのアクセスを保護するのに役立ちます。
Proton Pass は SSO とどのように連携しますか?
Proton Pass は SSO ログインをサポートしているため、チームは他の SSO 対応ツールにアクセスするのと同じ方法でアクセスできます。サインインすると、SSO を使用しない残りのアカウントの認証情報を管理するために使用できます。
小規模なチームにとって SSO は価値がありますか?
それは使用するツールによります。SSO はアクセスを簡素化しセキュリティを向上させることができますが、セットアップの時間と、多くの場合より上位のソフトウェアプランが必要です。小規模なチームであれば、まずはパスワードマネージャーから始め、ニーズが増えるにつれて後から SSO を追加するのが良いかもしれません。
