シングルサインオンの調査

by user

on 28 марта 2017

Category: Documents

>> Downloads: 1

views

Report

Comments

Description

Download シングルサインオンの調査

Transcript

シングルサインオンの調査

ホワイトペーパー
アイデンティティとセキュリティソリューション
www.novell.com
シングルサインオンの調査
お客様に最適なソリューションをご選択いただくために
1
2
シングルサインオンの調査
目次 :
2 . . . . .シ
ングルサインオンは
貴社のビジネスに最適か ?
2 . . . . . 第 1 章 : シングルサインオンの
概要
6 . . . . . . 第 2 章 : 現在の製品と技術
9 . . . . . 第 3 章 : セキュリティ
13 . . . . . 第 4 章 : 維持管理経費
16 . . . . . 第 5 章 : まとめ
1
シングルサインオンは
貴社のビジネスに最適か ?
大企業では一般的に、
ログインしてパスワードなど
何らかの資格情報を入力
する必要があるアプリケー
ションやシステムは 70 を
超えています。こうした
事実は、効果的なシングル
サインオンソリューションが
必要であることを示して
います。
シングルサインオンは長い間、ログイン数の増加
とパスワード管理の課題に対応する究極のソ
リューションとうたわれてきました。システムサー
バへのログインから Web ベースのインターネット
バンキングや e メールプログラムまで、ユーザは
毎日膨大な数の異なるシステムにログインしなけ
ればならず、そのほとんどで別々のユーザ名とパ
スワードが求められます。シングルサインオンで
は、ユーザがログインするのは一度だけです。そ
の後ログインが必要になると、ユーザに代わって
コンピュータが自動的にログインを実行します。こ
れにより、異なる多数のパスワードを記憶する負
担がほとんどなくなり、ユーザの利便性が大幅に
向上して、パスワード関連のヘルプデスクへの問
い合わせが低減し、セキュリティを強化できます。
シングルサインオンはさまざまな形態で長年にわ
たって利用されてきましたが、2005 年まではこの
技術の採用は相対的に緩やかで、この年を境に
急速に採用されるようになりました。これを後押し
したのは技術の成熟と、Gartner、Forrester、
Bloor、およびその他の調査会社が発表した広範
にわたる調査で、従来のパスワードが有用性の
限界に達したことが報告されたことです。
このホワイトペーパーでは、シングルサインオン認
証技術の現状を概観し、適切な種類のシングル
サインオンソリューションから得られる利点、セキュ
リティの問題、コスト、および投資収益率（ROI）を
検討します。本書ではエンタープライズシングル
サインオン（ESSO）のみを対象とし、Web シン
グルサインオン（Web SSO）は扱いません。
ESSO は、無数の異なるレガシアプリケーションと
運用アプリケーションに対するユーザの操作を管理
2
するため、より複雑なシングルサインオン技術と
なっています。Web SSO は、純粋に Web ベース
のアプリケーション（レガシアプリケーションなどと
比較して少数）を対象とするシングルサインオン
の管理に限定されています。
第 1 章 : シングルサインオンの概要
シングルサインオンは、新しいコンセプトではあり
ません。その名前が示しているように、シングル
サインオンは、通常ユーザがさまざまなシステム
で実行する多数のログインを引き受け、ログイン
操作を 1 回に減らすことを目的としています。
理想的なシングルサインオンでは、ユーザは一度
ログインするだけで、その後の認証要求には、
ユーザではなくソフトウェアが自動的に対応しま
す。つまり、ユーザ名やパスワードなどのログイン
時に要求されるデータは、ユーザが記憶しておか
なくてもアプリケーションに入力されるということ
です。
Gartner などの調査会社が実施した調査による
と、大企業では一般的に、ログインしてパスワー
ドなど何らかの資格情報を入力する必要がある
アプリケーションやシステムは 70 を超えています。
こうした事実は、効果的なシングルサインオンソ
リューションが必要であることを示しています。
このホワイトペーパーでは、ユーザに代わって
ログインを実行するために資格情報を提示するも
のをシングルサインオンと呼びます。この意味で
は、複数のユーザパスワードを同じ値に同期する
システムはシングルサインオンに含めません。
シングルサインオンの調査
www.novell.com
シングルサインオンの基本 :
シングルサインオンの目的
は、ユーザが記憶する必要
があるログイン情報の数を
減らし、効率的で合理的な
作業環境を作り出すこと
です。
最新のシングルサインオン
製品は、ログイン資格
情報を自動的に提示する
ことでこれを実現してい
ます。
個別システム用のシングル
サインオンは、一般的に
資格情報をワークステー
ションにローカルに保存
します。
ネットワーク環境のシングル
サインオンは、一般的に
中央サーバかディレクトリ内
に資格情報を保存します。
ディレクトリベースのシス
テムは、資格情報ストレー
ジを複製することで高可用
性を実現します。
柔軟性を強化するため、
シングルサインオンアプリ
ケーションは、中央サーバ
方式とローカル方式の
両方の資格情報ストレー
ジを提供できる必要が
あります。
図1. 一般的な組織でユーザが求められる、膨大な数のパスワードとログイン
シングルサインオンの仕組み
シングルサインオンの仕組みを理解
するには、さまざまなシングルサ
インオンの方法を理解し、シングル
サインオンのプロセスが技術的にど
のように実行されるかを知ることが
大切です。
一般的なユーザは、日常的に平均
5 ∼ 10 回のログインを実行してい
ます。このため、シングルサインオン
（SSO）製品は、これらの資格情
報を記憶して保存し、必要なアプリ
ケーションに適切なユーザ権限を提
示する必要があります。コンセプト
はほとんどのシングルサインオン製
品でほぼ同じですが、資格情報の
保存とアクセス方法に重要な違いが
あります。
図2. 代表的な標準ログインとシングルサインオンプロセス
3
主な注意点 :
シングルサインオンアプリ
ケーションの設計には、業界
規格との優れた互換性が
必要です。
シングルサインオンソリュー
ションは、普及しているアプ
リケーションに対応する
組み込み済みのスクリプトや
一般的な SSO 対応アプリ
ケーションへの統合ウィザー
ドを備えている必要があり
ます。
アプリケーションをシングル
サインオン環境に容易に
統合できる使いやすいインタ
フェースを備えていなけれ
ばなりません。
シングルサインオンソリュー
ションは、使用環境と互換
性がある端末エミュレータを
備えていなければなりま
せん。
シングルサインオンソリュー
ションは、バイオメトリックス
やその他の高度な認証デバ
イスと統合できる必要が
あります。
セルフサービスのパスワード
リセット技術は、パスワード
忘れやパスワードの紛失に
関連した問題やコストの
解消に有用です。
シングルサインオンソリューションは、大きく分け
て、ローカルストレージシングルサインオンとディ
レクトリストレージシングルサインオンの 2 種類が
あります。ローカルストレージソリューションでは、
資格情報は単一のワークステーションにローカル
に保存されます。このシステムは、パスワードボー
ルトとも呼ばれ、パスワードの保存に単純明快な
アプローチを取っています。ディレクトリストレージ
ソリューションでは、資格情報はネットワークベー
スのサーバに保存されます。この設計では、資格
情報を一元的に保存および管理できます。
ローカルストレージ
一見、ローカルストレージシングルサインオンソ
リューションは、ほとんどの基本的要件に対して
十分に思われます。理論的には、他の資格情報
が必要なユーザはいないため、この考えはある
程度は真実と言えます。
しかし、このアーキテクチャにはネットワーク環境
において重大な制限があります。ログインアカウン
ト情報が単一のワークステーションに保存される
ため、ユーザが業務の遂行に複数のマシンを使用
する場合、シングルサインオン機能を利用できな
いのです。資格情報を複数のコンピュータにコピー
することはできますが、ワークステーションの数が
4
あまりに増加すると、管理者の負担が許容範囲を
超えてしまいます。
また、この種類のソリューションには、運用および
管理上重大な欠点があります。それは、効果的な
一元管理や制御は事実上不可能であり、ワークス
テーション間のデータの同期が困難で、システム
全体の管理に時間がかかり非効率的である点
です。
さらに高度なローカルストレージシステムでは、
監査など制限された形態の一元管理が可能です
が、ローカルストレージをベースにしたシステム
には、ほとんどの中規模および大規模企業での
使用において限界が生じる明確な分岐点が存在
します。
ディレクトリストレージ
大規模なネットワークシステム内では、ユーザは
業務を遂行するために、移動先のどのワークス
テーションからでもログインできる機能が必要で
す。サーバまたはディレクトリベースのシングルサ
インオンシステムでは、資格情報の管理、保存、
および取得を中央サーバのリポジトリから行うこと
ができます。
シングルサインオンの調査
www.novell.com
図3. ディレクトリベースのシングルサインオン
これにより、さらに強力で効果的な一元管理機能
が得られるだけでなく、各ユーザのアクセスポート
フォリオを管理する作業が減少する場合もあり
す。この種類のシステムをベースにしているほとん
どの製品では、ユーザアクセスの詳細な設定、
ユーザアクティビティの監査、セキュリティポリシー
の実施により強力なパスワードを使用できます。
さらに、このオプションを使用すれば、組織の
既存のアイデンティティ管理インフラを利用して、
アイデンティティ管理への投資の価値を拡大でき
ます。
1 台のサーバですべてのユーザデータを保持する
と便利ですが、この方法では、単一障害点が発生
した際、ネットワークの機能が停止するという重大
なリスクを被る可能性が高くなります。ほとんどの
企業のシステムで、資格情報を複数のサーバに
分散することで高可用性を実現している主な理由
はここにあります。
結合システム
多数のリモートユーザやモバイルユーザを抱える
大規模な組織では、サーバへの接続を常に保証
することはできません。その結果、理想的なシン
グルサインオンシステムは、前述のローカルスト
レージ方式とディレクトリストレージ方式を結合し
たものとなります。このシステムでは、ユーザは
ネットワークに接続しているかどうかに関わらず、
シングルサインオンの資格情報にアクセスでき
ます。
5
主な注意点 :
シングルサインオンソリュー
ションを実装する前に、背後
のセキュリティを慎重に評価
する必要があります。
シングルサインオンソリュー
ションが、パスワードの長さ、
使用できる文字、パスワード
の有効期限などのセキュリ
ティポリシーを実施できる
ことを確認します。
業界規格の暗号化を使用し
て、資格情報を安全に保護
します。
シングルサインオンソリュー
ションが、多要素認証方式を
サポートすることを確認し
ます。
第 2 章 : 現在の製品と技術
チケットベースシステム
シングルサインオンのベンダは、ユーザがログイン
する回数を減らすために、数々のアプローチを
使用しています。最新の製品環境の要件は多岐
にわたるため、現在、シングルサインオンの問題
に対応する標準は存在しません。シングルサイン
オンに使用できる多様な技術を説明することはこ
のホワイトペーパーの目的から外れますが、次の
セクションでは、主要なアプローチに的を絞って
紹介します。
厳密にはシングルサインオンに分類されません
が、シングルサインオン機能を提供するための初
期の試行は、チケットベースシステムで行われて
いました（1990 年代初期の Kerberos は顕著な
例です）
。このネットワークは、認証サービスを提
供し、認証されたユーザに有効なチケットを発行
します。ユーザは、認証を求められたときにチケッ
トを提示してアクセスを取得します。このシステム
は、通常ユーザが認証の必要性を認識せずに、
シームレスに行われるため、シングルサインオン
のような印象を受けます。
図4. チケットベースアクセスの概要
Cookie
このチケットベースのコンセプトは、現在も多数のビジネスおよび企業システムで見受けられます。イン
ターネットでは、Cookie がチケットベースアプローチの好例です。Web サイトが資格情報を取得すると、
ユーザのマシンに認証チケット（Cookie）が置かれます。ユーザがサイトにアクセスすると、サイトは
Cookie の有無をチェックし、Cookie があれば、ユーザは再度ログインを求められません。ただし、
Cookie は簡単にコピーや削除ができるため、資格情報の保存元としては信頼性がありません。
PKI およびデジタル証明書
類似した考え方で定着しつつあるものに、デジタル証明書があります。これは、PKI （公開鍵インフラ）
の一部です。PKI は、複数のデジタルアイデンティティの間における信頼の基盤を確立するために設計さ
れています。PKI 内では、認証局（CA）が資格情報をチェックして、デジタル証明書を発行します。他
のシステムでは、システムにアクセスするために、ユーザのチケットまたは Cookie が盗み出されること
があります。一方、PKI では、基盤となる公開鍵が暗号化されるため、こうした行為がはるかに困難にな
ります。このようにセキュリティが強化されている点が、PKI の注目すべき主要なメリットです。
また、PKI は否認防止というコンセプトも導入しています。今日の電子商取引において非常に重要なこと
ですが、否認防止を使用すると、システムはユーザのアイデンティティを法的に保証できます。第 3 章で
詳しく説明しますが、ユーザのアイデンティティと関連したセキュリティの側面は、シングルサインオンを
実装する際に重視すべき点です。
6
シングルサインオンの調査
統合性
PKI システムの基盤となるコンセプトは有効です
が、統合に関わる困難な課題が多数発生します。
PKI システムを成功させるには、インフラを PKI
ベースのシングルサインオンシステム専用に設計
しなければなりません。これには、既存のアーキ
テクチャの大幅な変更を余儀なくされることもあり
ますし、互換性のあるアプリケーションの範囲を
狭める可能性もあります。これは、通常、この技術を
活用するには、アプリケーションが専用に設計さ
れている必要があるためです。こうした相互運用
性の問題は、統合コストが高いこととあいまって、
この技術の普及を長年にわたって妨げてきた主な
原因と見られています。
www.novell.com
アプリケーションは、人間の代わりにシングル
サインオンソフトウェアが資格情報を提示している
ことを認識しないため、自動ログインシステムは
既存の環境に容易に統合できます。そのため、
事実上あらゆる種類のアプリケーションがシングル
サインオンに対応できます。この点では、すべて
の自動ログインシステムが同じわけではありま
せん。どの資格情報が要求されているか、また
資格情報をどのように提示する必要があるかを
シングルサインオンソフトウェアが認識する方法を
理解することが大切です。シングルサインオン
ソリューションは、さまざまなアプリケーションを
シングルサインオンに対応させるために多数の
アプローチを採用しています。
しかし、Cookie 向けの RFC2109、デジタル証明
書および公開鍵暗号化標準（PKCS）向けの
X.509 など、業界標準の開発により、こうした問
題への対応が可能になりました。その結果、この
種類のシングルサインオンソリューションの採用は
増加しています。
自動ログインシステム
今日、主要なシングルサインオン技術として浮上
してきた自動ログインシステムは、アプリケー
ションに直接資格情報を提供するように設計され
ており、基盤となるインフラやアプリケーション
そのものを変更する必要がありません。
図6. 一般的な自動ログインの概要
スクリプトの作成
多くのシングルサインオン製品は、スク
リプトを使用して、エンタープライズ
リソースプラニング（ERP）や顧客管理
（CRM）などの一般的なパッケージアプ
リケーションにシングルサインオン
機能を統合しています。スクリプトは、
アプリケーションの該当するフィール
ドを資格情報にマッピングします。
さまざまなシングルサインオン製品や
アプローチを検討する場合、お使いの
アプリケーションに対応したスクリプト
がすでに存在していることを確認してく
ださい。
図5. 一般的な自動ログインの概要
7
主な注意点 :
シングルサインオンのコスト
分析には、ライセンス、イン
フラに必要な変更、統合
およびトレーニングを含め
なければなりません。
シングルサインオンの機能
セットは、ROI を最大化する
ように慎重に選択する必要
があります。
優れたシングルサインオンの実装では、ユーザの
シングルログインイベントのセキュリティを強化
するために、広範にわたる高度な認証方式
オプションが利用できます。
LDAP ディレクトリはさまざま
な分野で広く使用されている
ため、シングルサインオン
製品は、最新のインフラで
効果的に動作するように、
LDAP に対応したビルトイン
サポートを提供する必要が
あります。
さらに、必要なアプリケーションすべてをシングル
サインオンソリューションで使用できるように、
求められる作業量を慎重に検討しましょう。たと
えば、一般的な SSO 対応エンタープライズアプリ
ケーションに対するスクリプト言語の習得が管理
者に求められるソリューションもあります。こうした
ソリューションの場合は、導入時間が長くなり
ます。
すべてのシングルサインオンソリューションには、
レガシアプリケーションや自社開発アプリケー
ション、複雑なアプリケーションを統合するスクリ
プトが必要ですが、優れたシングルサインオンの
実装では、適切なログインフィールドを検出して、
入力内容に基づいて自動的にスクリプトを作成
するウィザードも用意されています。お使いのシン
グルサインオンソリューションに、Windows*、
Web、Java*、およびエンタープライズアプリケー
ションを幅広くサポートするウィザードが搭載され
ていることを確認してください。また、使いやすい
グラフィカルユーザインタフェース（GUI）も搭載
されている必要があります。
多要素認証
これまで、シングルサインオンは、認証を単一の
検証イベントに縮小してしまうことから、システム
のセキュリティを脆弱化させるものとして認識され
てきました。このため、最初のログインの安全性を
非常に高くすることで、悪意のある者が偽りのシン
グルログインを使用して、複数のシステムへの
不正アクセスを取得できないようにする必要があ
ります。
セキュアなユーザログイン技術の進歩により、
強力な認証方式を使用して、こうした懸念を軽減
することができます。たとえば、多要素認証では、
ユーザを識別するために複数の方法を使用しま
す。通常、この方式にはユーザが所有するもの
（スマートカードまたはトークン）
、ユーザが記憶
していること（パスワードまたは PIN）
、および
8
ユーザが提示できるもの（指紋や網膜認証など
のバイオメトリックス ID）が含まれます。
優れたシングルサインオンの実装では、ユーザの
シングルログインイベントのセキュリティを強化す
るために、広範にわたる高度な認証方式オプ
ションが利用できます。
統合環境
あらゆるシングルサインオンの実装で考慮すべき
重要な点は、その製品が既存の IT インフラにどの
ように順応するかということです。あらゆる IT イン
フラに対応する画一的な製品が存在するとは思え
ませんが、さまざまなシングルサインオンソリュー
ションが異なる業界標準、ハードウェア、およびソ
フトウェアをどのようにサポートするかを評価する
ことは重要です。
特に、アイデンティティ管理とアクセス管理インフ
ラに投資している場合は、選択するシングルサ
インオンソリューションがその投資の価値を拡大
できることを確認してください。たとえば、実装と
継続管理を簡素化するため、選択するテクノロジ
は共有ディレクトリストアや管理コンソールを活用
し、一貫したユーザエクスペリエンスを実現する
ものである必要があります。
アイデンティティベースのインフラに投資していな
い場合でも、SSO ソリューションが将来的にプロ
ビジョニング、役割管理、アクセスガバナンスをサ
ポートできる柔軟性を備えていることを確認して
ください。
LDAP（Lightweight Directory Access
Protocol）
LDAP は、TCP/IP ネットワーク上で動作するディ
レクトリの更新と検索を目的として開発されまし
た。Active Directory* のマイクロソフト、Novell®
eDirectory™のノベル、Sun* ONE Directory
Server の Sun 社など、大手ベンダはどこも
LDAP をディレクトリサービスの標準として採用し
ています。
LDAP ディレクトリはさまざまな分野で広く使用さ
れているため、シングルサインオン製品は、最新
のインフラで効果的に動作するように、LDAP に
対応したビルトインサポートを提供する必要があり
ます。
シングルサインオンの調査
端末エミュレータ
メインフレームインフラのアクセスの多くは端末
セッション経由で実行されるため、シングルサイン
オンソリューションでメインフレームやその他の
テキストベースアプリケーションに適切な資格情
報を提示するのは、さらに難しくなります。前のセ
クションで、シングルサインオンソリューションは、
資格情報を提示するタイミングを認識し、これら
の詳細情報を自動的に必要なログインウィンドウに
入力することを説明しました。端末やその他のテ
キストベースの操作での問題は、ログインボック
スや［OK］ボタンなどの画面オブジェクトがない
ことです。こうした種類の環境にシングルサイン
オンを対応させるには、通常、メインフレームや
テキストベースのアプリケーションにアクセスする
ために使用する端末エミュレータとうまく統合でき
る、カスタム開発されたソフトウェアを使用する必
要があります。一般に、端末エミュレータは、アプ
リケーションに組み込まれたシングルサインオンを
サポートしており、これにより、端末セッションの
一環として、いつどのように資格情報を入力する
か認識できます。
端末アプリケーションには文字通り何百ものアプリ
ケーションがあるため、使用するシングルサイン
オンソリューションがサポートできる端末エミュ
レータの種類は慎重に検討してください。HLLAPI
メインフレーム端末エミュレータのサポートだけで
は不十分です。市場には多数の端末エミュレータ
が販売されているので、購入する前に、シングル
サインオンソリューションがお使いのメインフレー
ムとその他のテキストベースアプリケーションを
すべてサポートできることを確認する必要があり
ます。
セルフサービスのパスワードリセット
パスワード忘れやパスワードの紛失は、どの IT ヘ
ルプデスクにも共通する頭の痛い問題です。シン
グルサインオンは、記憶しておく必要があるパス
ワードの数を減らすことでこの問題に対応してい
ますが、覚えておかなければならないパスワード
が 1 つしかなくても、ユーザがパスワードを忘れ
る可能性はあります。
この問題を解消するのが、セルフサービスのパス
ワードリセットです。ユーザは、通常自分しか知らな
い一連の質問に答えることで、自分のパスワードを
www.novell.com
リセットできます。容易にアクセスできるように、
この種類のシステムの大半は、Web インタフェー
ス経由で操作できます。普及率はこれに及ばない
ものの、他にも電話でパスワードをリセットできる
音声認識システムなどがあります。しかし、こうし
た最新システムは非常に高価なことがあるため、
多くの企業では、特別なハードウェアやインフラを
追加する必要のない、単純な Web ベースのパス
ワードセルフヘルプソリューションを選択してい
ます。
シングルサインオンとセルフサービスのパスワード
リセットは相互に補完するものですが、シングル
サインオンとパスワードリセットアプリケーションの
互換性を考慮することは重要です。この種類のソ
リューションを統合することを検討している場合、
最大の互換性、簡素化、および低コストを実現す
るために両方の技術を提供しているベンダを探す
必要があります。
第 3 章 : セキュリティ
ネットワーク化されたワークステーションとサーバ
のセキュリティはこれまでも重視されてきました
が、コンピュータネットワークが拡大し、システム
への依存性が高まるにつれて、さらに優れたセ
キュリティが求められるようになっています。
最新の大規模ビジネスネットワークの多くに見られ
る複雑さは、セキュリティの観点からは恐るべき
ものです。標準的なインターネットへのオープン
接続では、ほとんどの企業が、さまざまなレベル
においてシステムを保護しなければならないとい
う問題に直面しています。このため、概ねユーザ
は各エリアに対して別々に認証される必要があり
ます。
アクセス制御は IT セキュリティシステムの主要コン
ポーネントであり、最新技術や実績のある技術を
使用して、外部からの攻撃やアクセスから機密情
報を保護する必要があります。
認証システムは概して変化しておらず、ユーザ名
とパスワード /PIN の標準的なログインは、適切な
人が適切な情報にアクセスし、それ以外にはアク
セスできないようにするために使用されている
最も一般的な方法の 1 つです。
9
端末アプリケーションには
文字通り何百ものアプリケー
ションがあるため、使用する
シングルサインオンソリュー
ションがサポートできる端末
エミュレータの種類は慎重に
検討してください。
ユーザは記憶するパスワードの
数が少ないほど、セキュアな
パスワードを選択することが
わかりました。パスワードの
数を減らすと、紙に書き留め
たくなる誘惑も少なくなります。
パスワードの廃止 : 利点と欠点
シングルサインオンには、労力を費やして設定
したセキュリティを部分的に排除してしまうという
反対意見が常につきまとってきました。シングル
サインオンで最終的に 1 つになるなら、なぜわざ
わざ異なる認証レイヤを6 つも設定するのかという
ことです。
この疑問に答えるには、6 回のログインが実際に
システムのセキュリティを高めているのか、効率
的なワークフローを妨げているだけなのかを考慮
する必要があります。ユーザは本当にパスワー
ドを記憶していたのでしょうか ? それともどこかに
書き留めていたのでしょうか ? パスワードを記憶
するために、「1111」や「abcd」などの推測され
やすい値を選択している場合、これらのパスワー
ドはどの程度安全でしょうか ?
調査では、ユーザが記憶できるパスワードは 3 つ
までであるにも関わらず、一般に 6 つ以上のパス
ワードを記憶しなければならないことが示されて
います。最近では、イギリスのハッカーによって、
National Health Service から数万人の患者の記
録が盗まれました。この盗難事件は、医療記録に
アクセスするパスワードがコンピュータの横に貼り
付けられていたために発生しました。
ユーザは記憶するパスワードの数が少ないほど、
セキュアなパスワードを選択することがわかりまし
た。パスワードの数を減らすと、紙に書き留めたく
なる誘惑も少なくなります。つまり、記憶しなけれ
ばならないパスワードの数を減らすことは、実際
には多くの点で、システムのセキュリティを高める
ことになります。
セキュリティポリシー
各セキュリティレベルの要件はアプリケーションに
よって異なるため、すべての企業がセキュリティポ
リシーを作成して、あらゆるシステムとアプリケー
ションでセキュリティを定義し、実施しています。
そこで、シングルサインオンソリューションについ
て、さらに考慮すべき重要な点が生まれます。
企業のセキュリティポリシーすべてをサポートして
強化する、柔軟性を備えたソリューションが必要
だということです。シングルサインオンの実装は、
パスワードの長さの定義と実施、許可する文字の
10
指定、パスワードの有効期限管理など、高度な
パスワードポリシーに対応できるものでなければ
なりません。これにより、他の方法ではパスワード
が設定できないアプリケーションにセキュリティポ
リシーを拡張できるようになります。
システムのセキュリティ
シングルサインオンの実装が参照する情報の種類
は、サーバまたはローカルワークステーションの
どこかに保存されたログインアカウント情報で、
機密性の高い情報になります。このため、悪意の
ある者が機密データにアクセスできないように、
資格情報のストレージソリューションのセキュリ
ティを慎重に検討する必要があります。
資格情報の保管
ほとんどの OS には、もともと脆弱性が存在する
ため、機密データへの不正アクセスを防ぐには、
暗号化が実行可能かつ効果的な唯一の方法とな
ります。
暗号化とは、与えられたアルゴリズムとキーの値を
使用して数学的にデータを変更するプロセスで
す。使用可能なアルゴリズムの幅が非常に広く、
最善の選択は、実行する必要がある暗号化の
種類によって決まります。データ保護の目的での
実装ではトリプル DES （Triple Data Encryption
Standard）や AES （Advanced Encryption
Standard）などの業界規格のアルゴリズムを使用
します。
アルゴリズムの選択と同様に、暗号化のキーの
長さは重要です。キーの長さには「ビット」が適
用され、キーの値が何桁かが示されます。一般的
なガイドラインとして、「ビット」長が高いほどキー
は長く、暗号化から得られるセキュリティは強力に
なります。
資格情報が暗号化されているというだけで、外部
からの攻撃に対して安全であると考えることはで
きません。データの暗号化と復号化で使用する
キーのセキュリティも考慮する必要があります。一
般的に、キーの値に関する情報を取得されると、
キーで保護されているすべての資格情報が侵害さ
れます。
シングルサインオンの調査
結果として、どのようなシングルサインオンソ
リューションの背後にあるセキュリティでも、キー
情報を安全に保護する設計が必要となります。
極めて安全性の高い方法には、次のようなものが
あります。
キーをスマートカードなど、別のセキュアなデバ
イスに保存する。
キーはいかなる方法でも保存せず、PIN やパス
ワードを使用して、ユーザがログインするたび
にキーの値を派生させる。
最も大切なのは、攻撃者が簡単に発見する可能
性があるため、ワークステーションにはキーの値を
保存しないようにすることです。
資格情報の転送
資格情報の保管を保護することはもちろん、サー
バとワークステーションの間での資格情報データ
の転送を保護することも重要です。ネットワークの
異なるノード間の通信回線は、通常、盗聴やトラ
フィックの監視などの攻撃から保護されていま
せん。
転送中に資格情報のセキュリティを保持するには、
ネットワークで通信内容を送信するときに、シング
ルサインオンアプリケーションがデータの暗号化を
維持する必要があります。
www.novell.com
高度な認証方式
すべてのセキュリティシステムには弱点がありま
す。シングルサインオンでは、1 つの弱いパスワー
ドや PIN が残りのシステム全体を侵害する可能性
があるため、最初のユーザ認証に最大の弱点が
あります。優れたシングルサインオン製品は、ある
程度の強さのパスワードを施行する機能がありま
すが、高セキュリティ環境ではこれでも十分とは
いえないでしょう。この問題に対応するために、
信頼できるシングルサインオンベンダの多くは、
認証トークン、スマートカードまたはバイオメト
リックスデバイスと製品を統合して、セキュリティを
強化しています。
認証トークン
トークンは、パスワードの代替として非常に広く
普及しています。トークンとは、液晶ディスプレイ
でワンタイムパスワードを発行する小型デバイス
です。ワンタイムパスワードは、日時とトークンの
秘密のシリアル番号を組み合わせる内部の数学的
アルゴリズムにより計算されて作成される、8 桁ま
たは 10 桁のパスワードで、ユーザ ID と共にシン
グルサインオンソリューションへのログインに使用
できます。ワンタイムパスワードは 1、2 分程度で
無効になるため、ハッカーが傍受して後から再利
用することは困難です。
図7. ネットワークでのセキュアな転送例
11
信頼できるシングルサイン
オンベンダの多くは、認証
トークン、スマートカード
またはバイオメトリックス
デバイスと製品を統合して、
セキュリティを強化してい
ます。
選択するシングルサインオン製品は、少なくとも
1 つのスマートカードおよび 1 つの認証トークン
製品と統合されているのが理想です。
パスワードなどの一要素認証と比較すると、二要
素認証ソリューションを盗み出すことはかなり困難
です。ほとんどのハッカーやサイバー犯罪者は完
全にネットワーク上で活動しているため、物理的
なスマートカードを取得できないようにすることで
さらに高度なトークンでは、PIN 入力と内部イベン
阻止できます。さらに、PIN は、スマートカードと
トカウンタを使用して、ワンタイムパスワードを計
高度に保護された PCソフトウェアの間でのみ交換
算します。PIN の追加は、トークンをオンライン取
されます。PIN がネットワーク経由で送信されるこ
引のデジタル署名に使用することがある銀行で普
とはありません。また、スマートカードを貸し出し
及しています。イベントカウンタは、ワンタイムパ
スワードが認証サーバに送信された回数を単純に
数えるものです。イベントカウンタのワンタイムパ
スワードは、パスワードを使用した瞬間に有効期
限が終了し、ワンタイムパスワードが有効な 1、2
分の時間はなくなります。このアプローチは、銀
行、小売業、およびオンラインの証券取引会社で
広く採用されています。時間ベースのトークンも
時間 /PIN/ イベントトークンも比較的低コストで導
入できます。
スマートカード
多くのベンダがスマートカードを販売しており、
この技術は、どの企業でも採用できるほど十分に
成熟しています。スマートカードには、ワンタイム
パスワードの生成、PKI 資格情報の管理、e メー
ルの暗号化、取引の署名、デジタル署名、および
ビルに入る際の従業員バッジなど多数の用途が
あります。
ワンタイムパスワードや PKI 資格情報は、カードを
スマートカードリーダーに挿入して、ユーザの秘
密の PIN を入力することでアクセスできます。ま
ている間はシステムを使用できないため、ユーザ
は他人に自分のスマートカードを貸したがりま
せん。
選択するシングルサインオン製品は、少なくとも
1 つのスマートカードおよび 1 つの認証トークン
製品と統合されているのが理想です。
生体認識
バイオメトリックスデバイスの範囲は拡大してい
ますが、ソリューションを選択する場合は注意が
必要です。ほとんどの場合、バイオメトリックス
方式は、スワイプやスマートカードなどを追加して、
多要素認証とすることで強化されます。
バイオメトリックスの世界では、デバイスの精度に
十分な注意を払う必要があります。バイオメトリッ
クスリーダーでは、通常次の条件で性能を測定し
ます。
他人誤認率（FAR）: 不正ユーザが誤ってシス
テムに受け入れられる確率を示します。
た、シングルサインオン製品にログインする際に、
本人拒否率（FRR）: 正しいユーザがシステム
通常使用されるユーザ ID やパスワードの代わりに
に拒否される確率を示します。
使用できます。スマートカードがなければ PIN は
役に立たず、スマートカードは PIN がなければ役
に立たないため、この組み合わせは一般的に、
「二要素認証」または「強力な認証」と呼ばれて
います。
12
信頼できるメーカーは、FAR および FRR の数値を
公開します。さまざまなバイオメトリックス製品を
調査する際は、可能な限りFAR および FRR の数
値が低いものを探してください。
シングルサインオンの調査
指紋認識
指紋認識のコンセプトはかなり昔にさかのぼりま
すが、技術の発達により、信頼して使用および実
装できるようになったのはごく最近のことです。こ
うした種類のハードウェアを販売するプロバイダの
数の増加により、指紋認識方式は、コスト効率の
最も高いバイオメトリックス方式となりました。
通常、指紋の精度は、指紋リーダーが抽出する特
徴点の数で測定されます。こうした指紋認識に関
連したセキュリティおよび信頼性が、認識に使用
するハードウェアの品質に大きく依存していること
は明らかです。この種類のアプローチを検討する
場合、問題なく効果的に操作できるように、必要
があります。
掌形認識
ユーザの掌の認識は、手の大きさ、指の長さ、厚
さ、曲がり、関節間の距離と関節の形状、および
全体的な骨格に基づいて測定されます。
精度に疑問が呈されることもありますが、メーカー
は、FAR も FRR も平均 0.1%、つまり 1,000 に
1 つであると主張しています。掌形認識用スキャ
ナを実装するコストは、通常、指紋認識より高くな
ります。掌形認識用スキャナは、さまざまな政府
機関で広く使用されています。この方式の主なメ
リットは、認識が迅速で簡単なことです。
眼球認識
人間の眼球は存命中変化しないため、依然とし
て生体アイデンティティ認識の最良の情報源の 1
つとみなされています。この技術は、虹彩認識と
網膜認識に分類されます。いずれも、ビデオベー
スのシステムであり、ユーザの眼球を撮影して、
さまざまな特徴を測定します。
このシステムのメリットはエラー率が極めて低い
ことであり、このため、セキュリティが最高度の
www.novell.com
施設で眼球スキャナが見られます。必要なハード
ウェアが非常に複雑であり、限られた数量しか製
造されていないため、虹彩スキャナも網膜スキャ
ナも、莫大なコストがかかります。
第 4 章 : 維持管理経費
インフラにどのような種類の変更や追加を行う場
合も、それによる維持管理経費を慎重に検討して
ください。
統合コスト
実装するシングルサインオンソリューションの種類
に応じて、次に挙げる多数の重要なコスト要素を
入念に検討する必要があります。
購入とライセンス
インフラの変更
アプリケーションの統合
ユーザビリティとトレーニング
購入とライセンス
シングルサインオンの初期投資は、主にシステム
が対応するユーザ数に左右されます。企業および
ボリュームライセンスディスカウントのほかに、
考慮すべき点は、技術サポート契約などの継続的
コストです。優良なシングルサインオンベンダは、
一般的に製品の統合をサポートし、24 時間グロー
バルテクニカルサポートを提供しています。
インフラの変更
選択するシングルサインオンの実装により、新し
いシステムを受け入れるためにインフラを大幅に
変更しなければならない可能性があります。これ
は、特殊な認証サービスへの接続が必要なシス
テムに対応する場合に多く、特に PKI ソリュー
ションやバイオメトリックス用のハードウェアがあて
はまります。
13
優良なシングルサインオン
ベンダは、一般的に製品の
統合をサポートし、24 時間
グローバルテクニカル
サポートを提供しています。
中規模から大規模の統合では、
クライアントワークステーション
への配信が集中管理されたサー
バから自動化され、実行できる
ことを必ず確認してください。
シングルサインオンを統合するソリューションは、
既存のアプリケーションやハードウェアを大幅に
変更する必要がないのが理想です。最高のシン
グルサインオン製品は、柔軟性に優れ、ニーズに
応じて設定できるので、ほとんどの既存環境に
統合できます。
アプリケーションの統合
統合作業の規模は、シングルサインオンに対応
させる必要があるアプリケーションの数に応じて
変化します。組織の規模が大きくなるにつれて、
アプリケーション数も増加していきます。こうした
状況では、完全で効果的なシングルサインオン
ソリューションを設計し、実装するには、多大な
作業が必要になります。
中規模から大規模の統合では、クライアントワー
クステーションへの配信が集中管理されたサーバ
から自動化され、実行できることを必ず確認して
ください。ほとんどのサーバアーキテクチャは、
自動インストール戦略およびツール（Novell
ZENworks ®、SMS、およびその他のソフトウェ
ア配信パッケージ）をサポートしています。ソ
リューションの導入にかかる時間とコストを最小
限に抑えられるよう、使用するツールの互換性を
確認してください。
図 8 が示しているように、シングルサインオンを各
ワークステーションに手動で統合するのは、少数
のユーザには適している場合もありますが、ユー
ザ数が増加すると、一般的には、自動化がコスト
削減に直結します。
図8. アプリケーションの手動による統合と自動的な統合のコスト
14
シングルサインオンの調査
第 2 章で扱った主要なポイントは、シングルサイン
オンが、広く普及しているさまざまなアプリケー
ションにビルトインサポートを提供する必要がある
ということでした。これは統合の観点から重要な
ことで、レガシアプリケーションを新しい環境に統
合するために再設計しなければならないような事
態を回避できます。
www.novell.com
図 9 が示すように、シングルサインオンに適切な
機能セットは、システムがサポートする必要があ
るユーザ数に応じて大きく変化します。
ユーザビリティとトレーニング
新しい技術は、常にトレーニングという課題を伴
います。シングルサインオンソリューションによる
ユーザや IT システム担当者への影響は、最小限
に抑えるようにしてください。シングルサインオン
により、透過的な操作と一元管理が実現します。
製品は、高価なトレーニングを最小限に抑えられ
るか、そういったトレーニングが一切不要なほど、
簡単に使い方をマスターできるものでなければな
りません。
投資収益率
シングルサインオンソリューションを最終的に評価
するのは、企業が得られる投資収益率（ROI）
です。シングルサインオンは、生産性を強化する
よう設計されているため、アプリケーション全体で
堅実な ROI の数字を示す必要があります。不適
切な種類のシングルサインオンソリューションは、
効果的な収益率を劇的に減少させる場合がある
ことを覚えておきましょう。
図9. 投資収益率の概要
また、質的な ROI の測定には、シングルサインオン
の導入が影響する外部の要因も含める必要があり
ます。パスワード管理の問題はビジネスの多くの
領域に影響を及ぼし、このために企業は毎年、
膨大な時間とコストを費やしている可能性があり
ます。
500 人
1,000 人
5,000 人
10,000 人
ヘルプデスクへの年間平均問い合わせ件数
8,100 件
16,200 件
81,000 件
162,000 件
ヘルプデスクが実行した年間のパスワードリセット回数
2,025 回
4,050 回
20,250 回
40,500 回
パスワードのリセットにかかる年間コスト
42,525ドル
85,050ドル
425,250ドル 850,500ドル
シングルサインオンを使用した場合の、パスワードに関連する
問い合わせの年間コスト
8,505ドル
17,010ドル
85,050ドル
パスワードリセットにおけるコスト削減
34,020ドル
68,040ドル
340,200ドル 680,400ドル
毎年すべてのユーザのログインにかかる平均コスト
14,375ドル
28,750ドル
143,750ドル 287,500ドル
シングルサインオンを使用した場合の、毎年すべてのユーザの
ログインにかかる平均コスト
4,313ドル
8,625ドル
43,125ドル
生産性向上による年間のコスト削減の概算
10,063ドル
20,125ドル
100,625ドル 201,250ドル
年間総コスト削減額
44,083ドル
88,165ドル
440,825ドル 881,650ドル
損益分岐点までの月数
13.8
11.1
10.2
ユーザ数
170,100ドル
86,250ドル
10.1
表1. シングルサインオンによるコスト削減とROIのまとめ（すべてUS ドル表示）
15
不適切な種類のシングルサ
インオンソリューションを選択
すると、得られる効果が大幅に
縮小される場合があることを
認識してください。
シングルサインオンの各種
オプションは、それぞれの
環境の状況に合わせて慎重に
評価する必要があります。
第 5 章 : まとめ
シングルサインオンは、ほぼどの環境でも利点が
得られることを証明しました。技術の進歩により、
また、管理やセキュリティも強化できます。
シングルサインオンを適用できるインフラは多岐
にわたるため、平均的な IT システムに最適の
ソリューションについて普遍的なアドバイスをする
ことはほぼ不可能です。多様なシングルサイン
オンのオプションは、それぞれの環境の状況に
合わせて慎重に評価しなければなりません。基本
的に、成功するシングルサインオンシステムは、
次の点を備えています。
大規模組織の変化するニーズに対応。新しい
ソフトウェアをシングルサインオン用に容易に
インストールして設定できる必要があります。
業界規格とオープンアーキテクチャの採用。
シングルサインオンシステムには、既存のほ
とんどのソフトウェアとの互換性が必要です。
モバイルユーザに容易に対応。リモートユーザ
やローミングユーザがシングルサインオンの資格
情報にアクセスでき、必要に応じて更新できな
ければなりません。
容易な管理、迅速な導入、および高可用性。
シングルサインオンシステムは、効率的に稼働
し、ユーザが簡単に操作でき、管理者が容易
に制御および保守できる必要があります。
16
ユーザに対してシームレス。ユーザがアプリケー
ションに 2 回目にログインしたときには、1 回目
と同じように見える必要があります。また、ログ
イン後にアプリケーションを開くときには、ユーザ
の認証操作は不要でなければなりません。
セキュアである。パスワードの保存および再生
メカニズムに、秘密を盗み出す余地があること
は許されません。ユーザ名およびパスワード
は、暗号化され、セキュアなデータベースに
保存する必要があります。
高いコスト効率。シングルサインオンシステム
は、コストを削減し、維持管理経費を低減する
必要があります。
既存の投資の価値を拡大。シングルサインオン
システムは、別のアプリケーションサイロとして
機能するのではなく、インフラ上に構築できる
必要があります。
強力な認証方式をサポート。シングルサイン
オンシステムは、スマートカード、認証トークン、
およびバイオメトリックスを容易に追加できなけ
ればなりません。
シングルサインオンは長い間、ログイン数の増加
とパスワード管理の課題に対応する究極のソリュー
ションとうたわれてきました。技術の成熟により、
使いやすさ、コスト削減、パスワードセキュリティ
の強化が得られれば、シングルサインオンは、
ついに長年のうたい文句を現実のものにすること
になります。
シングルサインオンの調査
www.novell.com
17
www.novell.com
お近くのノベルソリューション
プロバイダ、または
ノベルまでお問い合わせください。
オーストラリア
1-800-668-355
中国
（N）10-800-713-1244
（S）10-800-130-1205
香港
852-2588-5288
インド
91-80-4002-2300
日本
0120-948-059
マレーシア
60-3-7722-6100
ニュージーランド
0800-441-671
シンガポール
65-6395-6888
韓国
82-11-3131-464
台湾
8862-2737-0946
ノベル株式会社
〒 141-8551
東京都品川区西五反田 3-6-21
住友不動産西五反田ビル
http://www.novell.com/ja-jp/
462-JA2014-002 | 10/09 | © 2009 Novell, Inc. All rights reserved. Novell、Novell ロゴ、N ロゴ、および ZENworks は、Novell, Inc. の米国および
その他の国における登録商標です。eDirectory は、Novell, Inc. の米国およびその他の国における商標です。
* 全ての第三者の商標は、それぞれの商標権者に帰属します。
1
2