UPPER SYSTEM

今回はOneLoginというIdPを例に取ってお話します。

1.利便性の向上

ユーザーはoneloginなどのIdP(Identity Provider)をポータルとしてワンクリックで各種サービスにログインが可能です。沢山のサービスを利用しているとID・パスワードの組み合わせが増え、管理に手間がかかります。個別のログインに要する時間、パスワード管理ツールの利用、頻繁に利用しないサービスのID・パスワードの失念。様々な手間を省いてくれます。

反面、SSOシステムが停止すると関連するサービスにログインできなくなるというリスクがあります。主要なサービスについてはSSO以外でもログインできるように、業務継続性を意識した設定や運用を社内IT部門が検討します。

2.パスワード漏えいのリスク低減

パスワードを管理する対象が増えるとメモをしてしまったり（紙に貼ったり）、同じパスワードを使いまわしたり、管理が疎かになってしまいがちです。これはパスワードリスト攻撃（取得したパスワード情報をもとに他のサービスに手当たり次第ログイン試行をするサイバー攻撃）のリスクが非常に高くなりますが、SSOの実装によりこれらのリスクが低減できます。

また、パスワード入力フォームを経由しないことで、フィッシング防止にも役に立ちます（皆さんの知り合いで、偽のFacebookのID・パスワード入力画面からアカウントを乗っ取られた方がいませんでしょうか）。

逆に、onlogin自体のパスワードが漏えいすると重大なセキュリティリスクにつながりますので、onelogin自体のパスワードは強固にするようシステム制御を行うことが有効です。具体的には12桁以上の長さ、かつ半角・全角・記号を組み合わせることが必要な設定が可能です。

3.管理作業の負荷軽減・効率化

沢山のID・パスワードの組み合わせを使用すると、パスワード忘れのフォローやアカウントロックが起きた際の処理などで、社内IT部門の負荷の増大とともに、社内ユーザーの業務時間も削減されてしまいます。

また、社員の入退社のタイミングで我々はアカウントの設定、初期パスワードの設定、アカウント削除などを行いますが、oneloginで管理を一元化することで迅速で抜け漏れのない対応を行うことが可能です。よくある話として、クラウドサービスのアカウントが退職後も残っており、元社員によるデータアクセスや有料サービスの利用が起こってしまい、セキュリティ面や会社のコスト管理面で問題となることがあります。

SSOの推進

以上、説明してきた理由により、過去に契約したサービスについても、可能な限りoneloginからのSSOが行えるように設定変更やプラン変更を行うという取り組みがよく見られます。

設定変更に際してはセッションが切れてしまうこと等の業務影響、oneloginでの権限の設定・設計の見直しなどを行う必要があり、Slackで周知をしたり個別に確認を取らせていただいたり調整を進めなければなりません。

後からプランを変更、代替サービスを探すのは非常に苦労します。スタートアップでは初期にSAML認証対応のものを原則とするなど、早めにアカウント管理の設計をしておくと、後々の内部統制が楽になります。

関連ページ

絶対に使ってはいけないパスワード

セキュリティで身近な問題といえばパスワードの管理です。世の中には使ってはいけないパスワードというものがあるのです。

最強のパスワードを生成！アカウント乗取り対策に

最近のSNSのアカウント乗っ取り事件の原因とされるリスト攻撃に備えて強固なパスワードを設定しましょう。一番のネックである複数種類のパスワードの管理方法をご紹介します。

SNSハッキングのリスク

Facebook, Instagram, LINE。日常生活に欠かせないサービスのハッキングの主な手法とその対策、どんな危険性があるのかをご紹介いたします。

多要素認証とは何か？なぜ大切なのか？

二要素認証や多要素認証って聞いたこと有るけど理解していない方はいませんか？今の時代パスワードだけじゃ駄目です。重要なセキュリティの概念である多要素認証について説明します。

偽警告/フェイクアラートとは何か？

「ウィルスに感染しています！」といったポップアップ表示に驚いた経験はありませんでしょうか。どういったことが起こっていて、どんな対応をスレばよいのでしょうか。