Ask The Expert【Q＆A】シングルサインオンでセキュリティは強化できるか

質問：会社でシングルサインオン（SSO）の採用を検討しています。どのような状況であれば、SSOによってセキュリティが大幅に強化できるのでしょうか。

[Joel Dubin，TechTarget]

　シングルサインオン（SSO）は諸刃の剣だ。SSOそのものでセキュリティが強化されるわけではなく、適切に実装されなければセキュリティが低下する可能性もある。SSOはむしろ、ユーザーの利便性のために使われる。

　会社が複数のシステムを導入し、それぞれにパスワードが必要な場合、個々のシステムにいちいちログオンする手間はSSOによって軽減される。入力するパスワードが少なくなれば、パスワードを危険にさらす機会も減る。しかし同時に、もしSSOが破られれば、すべてのパスワードがまとめて悪質なユーザーの手に渡ってしまう。

　従って、SSOそれ自体がセキュリティ面で万能だとは言えないが、企業の情報セキュリティプログラムにとってプラスに働くことはある。その理由は以下に述べる通りだ。

　SSOシステムは、IBM Tivoliのような複雑なシステム管理アプリケーションや、Imprivataの製品のようなハードウェアアプライアンスがベースになっていることが多い。その結果、SSOシステムでは特定のサーバに認証を一極集中させることが可能になる。これにはSSOモジュールの専用サーバを利用する。こうしたサーバはSSOの門番役を果たす。すべての認証情報がまずSSOサーバを通過し、その後SSOシステムに登録された特定アプリケーションの認証用に保存された情報が受け渡される。このように集中化したシステムでは、単一の認証システムよりも念入りな不正アクセス防止のための計画、調整、監査が必要になる。

　しかも、SSOシステムに保存された認証情報と暗号鍵の方が一般的にセキュリティが強固なため、クラッキングはそれだけ難しくなる。また、こうしたデータは通常、ITアーキテクチャの奥深い場所にあり、複数のファイアウォールに守られているものだ。

　こうした状況では、監査や規制当局を喜ばせる大量の文書が必要になる。つまり、コンプライアンスとセキュリティは必ずしも直結しないが、コンプライアンスのために余分な手続きが発生することでセキュリティが強化される可能性はある。サーベンス・オクスリー（SOX）法の404条ではコントロールの文書化が義務付けられており、SSOシステムもこの条項の対象となる。

　規定文書にはユーザーアカウントのログ記録と監視が含まれる。ユーザー動向の継続的な把握、使われなくなった退職者のアカウント削除、不審な行動の監視はすべてSSOの一環であり、組織のITセキュリティ強化につながる可能性がある。

関連ホワイトペーパー

認証 | パスワード | コンプライアンス | ID管理