「Office 365とBox＋α」を使う企業のSSO、簡単便利ですぐ入る構成はどれか：Office 365とBox＋αの構成なら考えておきたいシンプルSSO

業務環境の利便性を高めるSaaS。便利な一方で各種サービスのアカウント管理が新たなセキュリティリスクになる。対策としてのSSO導入は事前の検討内容次第で長期戦になりかねない。最短で決着させるためには、何が必要か。

[PR／ITmedia]

PR

　企業のクラウド利用はこの数年で一般的なものとなった。特に人的リソースが不足しがちな中堅・中小規模の企業にとって、「Microsoft Office 365」や「Box」などのSaaS（Software as a Service）は、運用が容易で安価に利用できる点で大きなメリットがある。

　ただしSaaSの利用は新たな課題も生む。その一つがID／パスワードの運用管理だ。サービスごとに異なるアカウントでログインしなければならず、それぞれのパスワードを安全に運用するのも困難だ。そこで組織の間で「シングルサインオン（SSO）」ツールへの関心があらためて高まっている。

　SaaS型SSOも多く、簡単に導入できると踏んで計画してみると意外と行き詰まり、予算執行のタイミングを逸するケースもあるようだ。実際には事前に考慮すべき項目も多く、場合によっては導入に時間がかかることもある。

　そこで本稿は、SSO製品の選定時に気を付けるべきものは何か、どうすれば短期に導入できるか、SSO導入のポイントを紹介する。

増えるSaaS利用、アカウントをどう管理するか

　働き方改革の実現や生産性向上を目的に、業務で利用するアプリケーションをクラウドサービスに切り替える企業が珍しくなくなった。「Microsoft Office 365」やクラウドストレージの「Box」などは代表例だ。SaaSアプリケーションはどこからでもアクセスできるため、例えば何らかの事情で出勤が難しくなったとしても業務を遂行できるなど、事業継続の観点でも魅力的だ。

　ここで問題になるのは、従来のアプリケーションの他にSaaSアプリケーションのアカウント管理も必要になる点だ。利用者にとっては、それぞれのアプリケーションで個別に認証が必要な状況は煩雑だ。管理者にとっても、認証情報の管理を利用者に委ねることがセキュリティリスクを高めかねない。

　複数のアカウントの管理を利用者に委ねた場合、必ずと言い切ってよいほどセキュリティレベルの低下が生じる。「パスワードの使い回しは避ける」「メモしない」などのルールを策定したところで、全員がルールを守る保証はない。

　そこで求められるのが、複数のアプリケーションを1つのID／パスワードで管理できるようにするSSOの導入だ。ルールやポリシーを順守させやすくするだけでなく、利便性も向上する。

「SaaSはIDaaSと相性がいいから導入しやすい」とは言い切れない

　しかし、SSOの採用を急ぐあまり、導入に行き詰まることがある。情報システム担当者を悩ます理由の一つがクラウド型SSO──IDaaS（IDentity as a Service）の存在だ。

　「SaaSのIDを管理するなら、SSOもクラウドサービスの方が相性が良いのではないか」「クラウドだから安価ですぐに利用を開始できる」と、短期間での導入計画を立ててしまうと、クラウドサービスならではの問題が立ちふさがることがある。

　海外発のIDaaSの中にはドキュメントが十分に日本語化されていないものもある。また、問い合わせや見積もり依頼などのやりとりが日本国内で完結せず、海外からの返事待ちに時間を取られたり、コミュニケーションがうまくいかず何度も問い合わせが必要だったりと、導入手前段階で想像以上に時間がかかるトラブルが起こり得るのだ。

　SSOの導入は、単に良さそうな製品を選び、稼働させれば完了というものではない。まずSSOを採用するに当たって、どのようなポイントに注目すべきかまとめてみよう。

シングルサインオン、3つの検討ポイント

　SSOを「まずは導入したい」と短期で導入することを考えるならば、少なくとも次の3つのポイントに注目したい。

• （1）SSOの対象とするサービスの選択
• （2）利用者とアクセス権の設計
• （3）SSOベンダーやプロバイダーのサポート

　（1）どのサービスをSSO化するかの判断は非常に重要だ。会計や人事のように、ごく一部の利用者が使うシステムも全て連携させようとすると工数がかさみ、時間がかかる可能性がある。

　（2）どの利用者をどのサービスにアクセスさせるかといった、利用者ごとのポリシー設定は事前に情報をまとめておく必要がある。時間が限られる状況での導入であっても、セキュリティポリシーやコンプライアンスを考慮して厳格に設計しておきたい。

　（3）SSOベンダーやプロバイダーから受けられるサポートのレベルは、事前にしっかり確認したい。クラウドサービスに対するSSOやアカウント管理のノウハウが十分にある場合は別だが、不慣れな場合は導入段階のアセスメントやセットアップの支援をどの程度受けられるかも確認しておきたいポイントだ。多忙な情報システム担当者にとってはこの点が一番重要かもしれない。

　これら3つのポイントに加え、そもそも情報システム担当者が多忙な業務を抱えながら煩雑な導入手続きをこなせるかどうかという問題もある。

　「利用者の利便性を高めるために、一部でもいいからSSO化して業務負荷を減らしたい」と考えたときに、多くのSSOサービスは高度なドキュメントを読み解いて利用する必要があるなど負担が大きく、短期間での導入には不向きなのだ。もっと、シンプルに考えられる答えが必要だ。

　エイチ・シー・ネットワークスの「OneID@Adapter」は、SSOおよびアカウントを管理・運用する専用製品で、アプライアンスまたは仮想化基盤で動作する仮想アプライアンスで提供される。特に仮想アプライアンス版は仮想化基盤で運用できることから、モノの管理を減らしたい企業にも人気が高い。同社は国内で万全なサポート体制を整えていて、いざというときにすぐに駆け付けられるのが特長だ。

シングルサインオンとアカウント管理の一元化で運用効率もアップ

　OneID@Adapterは、SSOだけでなくユーザープロビジョニング、アカウント管理、アクセス管理といった、情報システム担当者が必要とする機能も提供する。

　SSO機能を使えば、利用者は専用Webポータルにログインするだけで各種クラウドサービスにアクセスできる。既存の「Active Directory」とも連携できる。国内クラウドサービスとの連携対応が柔軟で、海外製品と比較して対応が早い点も特長の一つだ。OneID@Adapter導入前であっても、要望があれば対応リストにないクラウドサービスとの連携に向けて調査・検証する。

OneID@AdapterのSSO機能概要《クリックで拡大》

　ユーザープロビジョニングは、OneID@Adapterが連携するクラウドサービスのアカウント発行や削除などを一元化する機能だ。例えば人事異動が発生するたびに各サービスのアカウント作成や削除作業が必要となるが、OneID@Adapterならばアカウント操作に関わる作業負荷を軽減できる。一度アカウントを設定すれば新規導入するクラウドサービスにも設定を流用できるので自動化しやすく、業務効率が向上する。現在は最も利用者からのニーズが多いOffice 365とBoxに対応している。今後も利用者のニーズに合わせて対応するSaaSを拡充する方針だ。

　アカウント管理とアクセス管理は、利用者ごとにアクセスできるサービスを設定し、一元的にID／パスワードを管理する機能だ。「アカウント棚卸し」機能は、利用状況をチェックし、長期間使用していないアカウントを削除することでライセンスを最適化できる。アカウント登録／削除を事業部門側に委任する「申請ワークフロー」機能を組み合わせれば、組織改編や人材の流動性が高まったとしても、情報システム担当者の負担を抑え、運用が破綻しにくい体制を整えられる。

業務への影響が大きい導入はベンダーサポートを重視しよう

　SSOはサービスの利用者全てに影響が及ぶため導入には慎重な手順を踏む必要があり、万一の際の対応も検証しなければならない。導入時だけでなく、導入後もさまざまな設定が必要で、細かな運用が求められる。トラブルの影響も大きいため、ベンダーサポートが非常に重要なシステムの一つだ。

　エイチ・シー・ネットワークスは、SSOに不慣れな情報システム担当者でも簡単に運用作業ができるように日本語のマニュアルやガイドを用意している。また、利用中のSaaSの対応状況を調査するアセスメントから導入形態などの設計、実機によるPoC（概念検証）まで、無償で提供している。上述したように国内サポート体制は万全のため、万が一の際にも心強い。導入サポートもオプションで提供されるので、「短期決戦」での導入が必須の場合は相談したいところだ。

　SSO製品は提供機能の組み合わせによって3種類程度のライセンス体系を持ち、利用する機能や設定に応じて使い分けるものが一般的だ。OneID@Adapterはシンプルで、全ての機能を1つのライセンスで利用できる。検討材料が少なくて済み、スピーディーに選定できる点もメリットになるだろう。

OneID@Adapterが持つ4つの機能。導入形態は物理アプライアンスあるいは仮想アプライアンスの選択が可能《クリックで拡大》

　同社は利用者のリクエストにも積極的に応えていて、要望があった機能を随時開発している。現在はSSO対応サービスの追加、プロビジョニング機能の拡張、サービスごとの細かなプロファイルの操作、Active Directory管理機能の強化などが進んでいる。

　なお、上記の追加機能も同じライセンスでそのまま利用できる予定だ。「短期決戦」でのSSO導入だからといって将来必要となる機能を我慢する「引き算」ではなく、将来のアカウント管理の高度化を視野に入れた構成を維持できる点も魅力的だ。

※本記事はキーマンズネットからの転載です。

OneID@Adapterの詳しい情報は……

　本稿で紹介したOneID@Adapterの詳しい製品情報は下記Webサイトでご確認いただけます。

• OneID@Adapter（エイチ・シー・ネットワークス）　https://www.hcnet.co.jp/products/security/single/oneidadapter.html