シングルサインオン(SSO) の考慮事項トップ 5
シングル サインオン(SSO)を使うべき理由
今日のワークフォースは多くのアプリケーションを利用しています。従業員は平均35 のアプリケーションにアクセスしているほか、数百のアプリケーションを管理している企業もあります。Software as a Service(SaaS)アプリケーションの普及に伴い、組織の大小を問わず、複数のユーザー名とパスワードを管理する必要も生じています。従業員や IT チームにとっては労力や手間が増えているのです。
数千人規模の IT プロフェッショナルとエンドユーザーを対象に Duo が最近実施したグローバル調査では、エンドユーザーの51% が毎週パスワード忘れやリセットを経験し、57% が複数のサイトでパスワードを再利用し、78% が古いパスワードの最後に数字や記号を追加して新しいパスワードを作成していることが判明しています。Verizon 社の『Data Breach Investigations Report』によれば、このようなパスワードに関わる課題はどれもログイン情報の漏洩というセキュリティリスクを悪化させる可能性があるほか、セキュリティ侵害の主な原因にもなっています。
ユーザーと IT チームの負担を減らし生産性を高めるために役立つのがSSO です。複数のパスワードを作成して管理するというエンドユーザーの負担を軽減できるだけでなく、すべての業務アプリケーションのパスワードを保存。リセットが必要になる事態を防げます。SSO により、パスワード関連の労力を低減できるのです。
組織のメールアドレスとパスワードなどの一組のログイン情報を SSO ポータルで一度入力すれば、セッションが切れるまでの間は、ポリシーに応じて複数の社内アプリケーションにアクセスできます。セキュリティ管理者は、あらゆるアプリケーションに対して柔軟なセキュリティポリシーを作成できます。ヘルプデスクチームは、多くのアプリケーションでユーザーがパスワードのリセットに費やす時間を大幅に削減できます。これにより IT 部門は時間とコストを削減し、他の優先順位の高い業務に集中できます。
SSO ソリューションに求められる 5 つのポイント
シングルサインオン・ソリューションを調査・評価するには、5 つの重要な要素を考慮する必要があります。
集中型セキュリティ
SSO は、ユーザのログインエクスペリエンスを容易にするだけでなく、セキュリティポリシー適用の中心的な役割も担います。まずシンプルで直感的な管理者向けダッシュボードが用意されており、ユーザーグループ、場所、デバイスの信頼性(デバイスが管理対象か非管理対象か、特定のセキュリティ機能が有効か無効かなど)に基づいて、アプリケーション アクセスポリシーを構築・適用できるべきです。異常なユーザー行動について分析し、レポートを作成できることも必要です。さらに、エンドユーザー向けのSSO アプリケーションダッシュボードは多要素認証(MFA)で保護され、フィッシング攻撃や成り済まし攻撃によりログイン情報が漏洩するリスクを軽減できるべきです。
迅速で容易な導入、運用、管理
SSO は、生産性向上とコスト削減のメリットを組織が迅速かつ継続的に享受できるよう、短期間で容易に導入できなくてはなりません。ユーザーが複数のパスワードを管理し、再設定する必要性をなくすことで、問合せの回数や業務時間といった面でヘルプデスクへの負担を軽減できるべきです。つまり SSO はヘルプデスクのコスト削減にも貢献します。SSO は新しいアプリケーションが導入される際に簡単に管理できるほか、Active Directory(AD)などのパスワードをリセットできるセルフサービスを提供するため、時間を節約して管理業務を軽減します。
さまざまな ID プロバイダーやアプリケーションとの連携ができます
SSO に合わせて組織が ID プロバイダー(IdP)を変更することはほとんどありません。そのため SSO サービスは、Microsoft、Okta、Ping といった既存の IdP とシームレスに連携できる必要があります。
多くの組織には、独立した複数のユーザーディレクトリ(フォレストとも呼ばれる)が環境内で共存しています。その理由は合併や買収など、さまざまです。
SSO ソリューションは、組織がセキュリティポスチャーを改善しながらすべてのユーザーに SSO を展開できるように、複数の信頼できないフォレストに対応可能である必要があります。
今日のワークフォースは、多くの異なる Web アプリケーション(Microsoft 365、Google Workspace、Workday、Box、Salesforceなど)、自社開発や顧客のアプリケーション、オンプレミスアプリケーション、仮想デスクトップに依存しています。そこでSSO は、ネイティブ統合または管理者によるカスタム構成のいずれかによって各アプリケーションと連携する必要があります。特にセキュリティ アサーションマークアップ言語(SAML)は、IdP からアプリケーション サービスプロバイダーへのフェデレーテッドSSO を実行する上で最も広く採用されているプロトコルの一つです。理想的な SSO ソリューションは、SAML バージョン2.0 標準や OpenID 接続などに準拠したアプリケーションをすべてサポートします。
業界屈指のユーザーエクスペリエンスとカスタマイゼーションを提供します
SSO は使いやすくあるべきです。一元化されたダッシュボード(Web ベースのポータル)にアプリケーションがアイコンと名前で表示されていれば操作がしやすくなるため、個々の Web サイトのリンクを覚えたり検索したりする無駄な時間を節約できます。さらにSSO はリモートアクセスソリューションとの統合を通して、機密性の高い社内アプリケーションへのセキュアなアクセスを簡素化できる必要もあります。
エンドユーザー(従業員、契約社員、ベンダー)は、自社のウェブサイト、社内アプリケーションやサービス、ウェブポータルなどの複数の場所に対して、いつもの慣れ親しんだルックアンドフィールを常に期待します。そのため SSO ソリューションでは、ユーザーが見る SSO ログインページに加えて、アプリケーションダッシュボードも管理者がカスタマイズできる必要があります。
未来への架け橋
SSO ソリューションも新しいサイバー脅威の出現と攻撃手口の進化に対応する必要があります。つまり、アプリケーションを SSO に移行しても、サポートと機能アップロードは継続的に提供されるべきなのです。
SaaS の目的は、きめ細かいアクセスポリシー、適応型で完全なパスワードレス認証により、統合先のアプリケーションを簡単かつシームレスに利用できるようにし、価値を高めることにあります。
シンプルでセキュアなシングルサインオン
2015 年に Duo が発表したオンプレミス SSO ソリューションの Duo Access Gateway は、現在数千もの組織に利用されており、オンプレミス / クラウドベースのアプリケーションへのセキュアなアクセスを可能にしています。
2020 年には、クラウドホスト型 SAML ID プロバイダー(IdP)であるDuo Single Sign-On(SSO)も登場。オンプレミスかクラウドベースかを問わず、あらゆるアプリケーションに簡単にアクセスできる一括ログインを実現しています。Duo SSO は簡単な設定と管理が特徴です。MFA で保護された専用ダッシュボードDuo Central にログインするだけで、すべてのアプリケーションにアクセス可能になります。
Duo SSO は、オンプレミスの社内アプリケーションにゼロトラストでアクセスできる VPN を利用しないソリューション Duo Network Gateway とシームレスに統合されており、世界中の何千もの大小の組織で使用されています。