Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。

SSOとパスワード管理機能ソリューションの比較: 知っておくべきすべてのこと

パスワード管理機能ソリューションとシングルサインオン(SSO)の目的は確かに同じです。つまり、両者の目的は、さまざまなアプリケーションでのユーザのログインを容易にすることです。いずれの手法でも、ユーザは単一のログインを使用して、複数のWebサイトやアプリケーションへのアクセスをロック解除することができます。このように類似しているため、SSOとパスワード管理機能が同一のものと見なされることが頻繁にあります。

実際には同じではありません。いずれの手法も複数のアプリケーションへのログインをサポートしていますが、基本的には方法が異なります。この記事では、これらの手法について詳細に説明し、お客様の組織に適したソリューションの選択をお手伝いします。

パスワードベースの管理ソリューション

従来のパスワード管理機能ソリューションでは、ユーザパスワードを安全なボールトに保存しています。パスワード管理機能へのアクセスはマスターパスワードによって保護されています。ユーザは、1日の始まりにマスターパスワードを使用してパスワード管理機能にログインします。その後、パスワード管理機能が、認証されたすべてのアプリケーションとWebサイトへのユーザのパスワードを自動的に入力します。

単一のログインでお気に入りのすべてのアプリケーションとWebサイトにアクセスできるため、このログインプロセスはユーザにとって便利です。また、複雑なパスワードを使用する動機付けにもなります。作成し、覚えるパスワードが1つだけであるため、より安全で推測が難しいものにするようになります。

パスワード管理機能ツールの問題

ただし、パスワード管理機能にはパスワードという1つの本質的な問題があります。パスワードは、複雑で推測が不可能なように見えても、ソーシャルエンジニアリング、フィッシング、ブルートフォース攻撃などの影響を本質的に受けやすいものです。このため、すべてのデータ漏洩の81 %は、セキュリティが不十分なパスワードが原因で発生しています。

マスターパスワードの漏洩により、サイバー犯罪者は、ユーザがアクセスできるすべてのアプリケーションとシステムにアクセスできるようになります。この結果、本質的に単一障害点が作成されます。

信頼の上に構築されるSSO

一方、SSOは単なるパスワードを使用した認証ではありません。信頼に基づいてアクセスを許可します。SSOでは異なるアプリケーションの間で信頼関係を確立し、それを使用してユーザにアクセスを許可するかどうかを決定します。

ユーザのID属性(ユーザ名/パスワード、デバイスID、地理的位置情報など)が保存され、ログインの際にチェックされます(別名: フェデレーションID)。これらの属性は、他の信頼されているアプリケーションやシステムとの間でも共有されます。これは、ユーザが1つのシステムで信頼されている場合、その特定のシステムと信頼関係がある他のシステムにも自動的に信頼されることを意味します。複数のパスワードを管理する必要はありません。

最新のSSOアプリケーションでは、SAML 2.0やOpenID Connectなどのプロトコルを使用してIDフェデレーションを達成しています。SSOの最も優れた点は、IDフェデレーションをサポートするあらゆるシステムと相互接続できることです。例えば、VPN、ファイアウォール、スマートフォンアプリケーション、クラウド、オンプレミスリソースと統合することができます。同レベルの相互運用性はパスワード管理機能では得られません。

SSOによるログインコンテキストの抽出

最新のSSOアプリケーションにより、管理者は、ログイン要求のさまざまな属性(IPアドレス、デバイスID、要求されたリソース、ブラウザなど)を収集し、これらを使用してログインコンテキストを確立することができます。次に、このコンテキストを使用して、カスタマイズされたアクセスポリシーを作成することができます。

例えば、不明なデバイスから社内リソースへのアクセスがあったときには、提供された資格情報が正しい場合でも要求を拒否する必要があります。または、ユーザのIPアドレスが設定されているIPの範囲外の場合は、そのユーザを多要素認証(MFA)画面にリダイレクトする必要があります。

パスワード管理機能を使用する長所

  • ユーザは1つのマスターパスワードだけを覚えればよい
  • パスワードを自動的に生成し、リセットできる
  • ユーザは1つのパスワードだけを覚えればよいため、できる限り複雑なものにする可能性が高くなる

パスワード管理機能を使用する短所

  • パスワードはフィッシング、ソーシャルエンジニアリング、辞書攻撃に対して脆弱である
  • すべての機密データを一箇所にまとめておくのは決して良い考えではない
  • IT部門ではログインプロセスの管理に制限があり、カスタマイズされた認証ポリシーを作成できない
  • マスターパスワードを忘れるとすべてにアクセスできなくなり、マスターパスワードのリセットには時間がかかる

SSOを使用する長所

  • 高いレベルのセキュリティを確保しながらユーザに単一ログインの利便性を提供できる
  • 複数のパスワードの代わりに、信頼関係がアプリケーション間で使用される
  • IT部門がログインコンテキストを評価し、適切なアクセスポリシーを作成できる
  • 資格情報が漏洩しても、異常検出ポリシーが機能してアクセスを拒否できる
  • IDフェデレーションをサポートするあらゆるアプリケーションが統合される
  • SAML 2.0やOpenID Connectなどの標準化されたプロトコルを使用して、機密性の高いユーザの詳細情報の送信を保護できる

SSOを使用する短所

  • SSOソリューションは導入と設定に時間がかかることがある
  • レガシーポリシーとの統合が困難な場合がある

組織に最適なソリューションの選択

ほとんどの場合、パスワードベースの管理ソリューションよりもSSOを選択する方が合理的です。SSOは最新のアプローチです。パスワードへの依存を減らし、カスタマイズされたアクセスポリシーを有効にし、相互運用性を拡張します。ただし、決してパスワード管理機能を検討してはならないという意味ではありません。

特定の状況では、SSOよりもパスワード管理機能の方が正しい選択肢となる場合があります。例えば、SAMLと互換性のない複数のレガシーアプリケーションがある場合は、パスワード管理機能が確実に理想的な選択肢となります。

重要なのは、選択する前にいくつかのオプションを適切に比較することです。個々の手法の長所と短所を理解する必要があります。それぞれがビジネスのニーズをどのようにサポートするかを確認し、入念に考慮して決定してください。