よくわかるMSクラウドサービスコラム第3回「シングルサインオンで より安全に、より簡単に」
目次
はじめに
突然ですが、皆さんはどれくらいのクラウドサービスをご利用でしょうか?
便利で魅力的な素晴らしいサービスがあらゆる分野で数多く提供されています。
それらのサービスを利用することで、インターネットさえ繋がっていれば場所も選ばず作業を進めることができ、専用アプリケーションをインストールすることでさらに便利に使えるサービスもあります。テレワークでもハイブリッドワークでも、もちろん今までのオフィスワークでも、あらゆる働き方に対応するためにも、クラウドサービスは様々な分野でこれからも益々充実していくことが期待されています。
そんな中、このようなサービスを活用していく上で欠かせないのが「セキュリティ対策」です。そのポイントは、「便利なサービスを利便性やセキュリティ性を犠牲にせず、いかに安全に活用していくか?」にあります。安全に活用してもらうために、各サービス事業者は少しでも安全なID、パスワード運用のために、英数字や記号を含むパスワードを必須にすることや、容易に推測できるパスワード禁止などのルールが定められているかと思います。また、アクセス元制限や多要素認証の実装などを進めているサービス事業者もあります。
しかし、多くのサービスを利用するということは、それぞれのサービスにログインしなければならず、そのログインの際にセキュリティの観点から多くのステップを踏む必要があるとなれば、それだけ労力も増えます。
また、パスワードの使い回しは高いリスクになると言うことで、サービスごとにIDやパスワードを変える運用であれば、そのサービスが増えることで管理するパスワードも増えることになり、さらに大変な労力が要求されることになります。
そこで今、注目されている機能として、シングルサインオン(以下、SSOという)というものがあります。 SSOとは1つのサービスが他のサービスとも連携し、一つのID、パスワードのみで連携したあらゆるサービスにログインできるようにする仕組みです。また一度ログインすると、他のサービスも連携してログインすることができますので、「サービスを使うたびにID/パスワードを入力してログインする」、ということが無くなり、業務を非常にスムーズに進めることができます。
SSOを導入することによるメリット(利用者側)
たくさんのID、パスワードを覚える必要がない
各サービスで利用するIDやパスワードを覚える必要がなく、基本的には1種類の組み合わせを使うだけなので、パスワード漏洩などにつながる可能性が低くなります。 利用者はSSOの仕組みなどを把握しておく必要もありません。
いちいちログインしなくていい
サービスを利用するたびにIDやパスワード、さらにはSMSでの認証など多くの要素でログインしているとそれだけで、業務が止まってしまいます。
そのため一度のログインで他のアプリケーションにも連携できればよりスムーズに業務を進めることができます。
SSOを導入することによるメリット(管理者側)
パスワード忘れなどに対しての対応が減る
パスワード忘れに対する再発行の手続きなど、対応に関する負担が少なくなります。
アカウントの管理が簡潔になる
上記のように多くのIDやパスワードを管理する必要がなくなるため、1種類の管理に集中できるというメリットがあります。そのため例えば、従業員の退職の際には1つのアカウントを解除するだけでよいため、削除忘れの防止につながります。
以上のようにSSOには非常に多くのメリットがあります。
アカウントを一元管理することで「ログインが楽になる」という見方はよくありますが、それは単に手間の軽減だけであり、真のメリットはそこではないと考えます。
管理者の立場から言うならば、真のメリットはなんといっても「退職者が出た際のアカウント停止が非常に簡潔に済む」ということではないでしょうか?
「Microsoft Azure」のSSO対応について
ところで、SSOの魅力はわかったけれども、具体的にはどのようにして実現するのでしょうか?どのようなサービスがSSOに対応しているのでしょうか?ここでは具体的に「Microsoft Azure」での対応を確認してみたいと思います。
「Microsoft Entra 管理センター(旧Azure AD 管理センター)」から、エンタープライズアプリケーションを参照すると以下のようなサービスを確認することができます。AWSやGoogle Cloud Service、Sales Forceなど多くの主要なサービスはもちろん、その他3,000以上のサービスがSSOの機能に対応しています。
もう少し詳しく説明すると、「SAML 2.0」や、「OpenID Connect」と 「OAuth」などの仕組みを用いてSSOを実現しますので、お使いのアプリケーションが国内サービス等でエンタープライズアプリケーションの一覧には含まれていない場合でも、これらのプロトコルに対応していれば快適なSSOが実現可能となります。一方、SAMLなどに対応していないアプリケーションであっても、パスワードベースのSSOを実現することも可能ですので、まずは現在自社で活用しているサービスを洗い出してみると良いでしょう。
主な「Microsoft Entra 管理センター」 SSO対応サービス
Amazon Web Services(AWS)
Google Cloud Platform
Oracle
SAP
Adobe Creative Cloud
Adobe Identity Management
ADP GlobalView
Atlassian Cloud
AWS Single-Account Access
BOX
Cisco AnyConnect
Cisco Webex
Docusign
Dropbox Business
FortiGate SSL VPN
Google Cloud / G Suite Connector by Microsoft
これら多くのサービスへのSSOが、基本的には「Microsoft Azure」のライセンス内で追加料金無く利用できるのも魅力的です(※一部機能については上位ライセンスが必要な場合があります)。
また、「Microsoft Azure」では他社サービスとの連携により、SSOのみならずアカウントの作成や権限付与なども自動化する自動ユーザープロビジョニング機能などもあるので、それぞれのサービスをさらに便利に管理・活用することができます。
SSOにもリスクはあります
ここまで見てみると、SSOは良いこと尽くめの様に見えますが、デメリットについても2つほど触れておきましょう。
デメリットというよりは、リスクとして考慮が必要な点となりますが、「Microsoft Entra ID(旧Azure AD)」のID/パスワードがすべてとなるため、それが漏洩すると連携した全てのサービスが利用されてしまう可能性もあるということです。
しかし、「Microsoft Entra ID」 によるID基盤では、前回お伝えしたような「多要素認証」や「条件付きアクセス」、さらには「リスクベース認証」などを用いることで、連携していることのリスクは大幅に軽減することができると思われます。
そして、もうひとつは、「Microsoft Entra ID」のサービスに停止等が発生すると、SSO連携している全てのサービスや、「Microsoft 365」のサービスの利用に影響が及んでしまいます。SLAは99.99% が補償されているため、他社サービスのSLAと同等かそれ以上にはなっているかと思いますが、停止する可能性がゼロではないことは、あらかじめ認識しておくことが必要かと思います(世界中のどんなサービスでもゼロではないですよね)。
いかがでしょうか?
ここまで多くのクラウドサービスをより利用しやすくし、セキュリティ効率もよくなるSSOという機能について説明してきました。
ユーザーのメリットももちろんですが、管理側にも大きなメリットがあるこの機能について、ぜひ注目してみていただければと思います。デモなどをご覧いただくことも可能ですので、ご興味のある方はお気軽にお問い合わせいただければと思います。 マイクロソフトのクラウドサービスにつきましては、ディーアイエスサービス&ソリューションにお気軽にご相談ください。
次回はMDMとMAMを中心とした「Microsoft Intune」について予定しています。 お楽しみに!
本コラムは2021年11月現在の情報を基に作成しています。
