企業ユースであればシングルサインオンは二要素認証(多要素認証)と併用するべき

シングルサインオンを導入するとパスワードをいちいちユーザーはすべてのアプリケーションのパスワードを覚える必要がなくなる。パスワードを一回入力しシングルサインオンにログインができるとすべてのアプリケーションが使えるようになる。

シングルサインオンにログインするパスワードをたったひとつ盗まれただけですべてのアプリケーションがログインされるようになり、ユーザーの利便性は上がったが、セキュリティに対する脅威は逆により危険になったと解釈することもできるだろう。

keyring

シングルサインオンはたとえるとキーフォルダーのようなもので不正にとられた場合悪用されることになるだろう。

そのような脅威を防ぐために複数回認証をする仕組みがあり、その方式は二要素認証とよばれる。もちろん2回だけでは足らないのでそれ以上の認証を行わせることもできそれは多要素認証と呼ばれる。

シングルサインオンとニ要素認証の組み合わせは絶対必要と言うわけではないが、導入は考えたほうがよい。

二要素認証とは

通常、システムにログインするときは一度だけパスワードを利用することが一般的である。そのパスワードの入力と何かもう一つの認証を同時に組み合わせることから二要素認証と呼ぶ。

二要素認証では一般的によく知られているのはワンタイムパスワードであるが、それ以外にもデバイス認証や生体認証がある。

またもう一度違うパスワードを入れる方法もある。

シングルサインオンにログインする前にログインする方法

実は弊社で販売しているAccessMatrix USOはMicrosoftのActiveDirectoryと連携して使うことが可能で、いちどADにログインできればそのままログインをすることが可能になる便利な機能がある。

AccessMatrix™ Universal Sign-On (USO) Microsoft Active Directory とログイン統合

このような場合いろいろな方法で2要素認証を利用することが可能である。

Windowsにログインするときにもうひとつの認証を加えることで対応する。たとえばUSBトークン、カード認証、ワンタイムパスワード、マトリックス認証などが利用できるだろう。

また実際に採用されやすい方法が上で紹介したNTMLによるAD連携をまったく採用しない方法もある。

WindowsにログインするときにID/パスワードを入力しシングルサインオンにログインするときには別のID/パスワードを入力する。日本だけでなく海外でもそのような方法が取られているようである。

Windowsと連携しない場合でも
2要素認証ができることが重要

場合によってはWindows認証と連携できないかもしれない。

一昔前はエンタープライズの用途でWindows以外の選択肢はなかったが、最近だとスマホやタブレットが一般的になりつつあり必ずしも認証サーバーがWindowsではないことが多くなってきた。

弊社で扱っているAccessMatrixシリーズは日本ではあまり実績がないが実は海外ではインターネットバンキングの2要素認証で広く使われている実績がある。

AccessMatrixではワンタイムパスワードはもちろん、カード認証、USBトークンなどはすでに対応している。

シングルサインオンこそ2要素認証が大事

最近はハッキングされやすいインターネットバンキングやオンラインゲームでワンタイムパスワードがぼちぼち使用されはじめている。私もDQXをするのにワンタイムパスワードを使っている。

一方でgoogleやfacebookもOauthなどでシングルサインオン的な使われ方をしているのでコンシューマでも2要素認証は使えるようになってきた。

コンシューマーでもそのような技術が一般的になっているので企業ユースであっても2要素認証はもっと一般的になるだろうと思う。

また、近いうちに2要素認証を中心にして記事を書くつもりである。