HOME»情報処理安全確保支援士掲示板»シングルサインオン(SSO)について
投稿する
はい。この点はSSOを利用しているかぎり避けて通れない問題です。
そのため、パスワードといった記憶要素の認証以外に
・所有要素:スマートフォン・ワンタイムトークンなど
・生体要素:指紋・光彩など
などで多要素認証を実現し、別の角度からシステムへの不正侵入を防御します。
シングルサインオン(SSO)について [1200]
初受験さん(No.1)
質問させてください。
シングルサインオンのメリットについて、入力の手間を省く利便性等のメリットがあるのは理解したのですが、セキュリティの観点ではメリットがいまいちわかりません。
例えば全てのシステムに対して同じID&パスワードを設定した場合は、1つ漏洩した場合全てのシステムに対して被害が発生するというのは同じではないでしょうか?
管理の手間も変わらないですよね?
上記の場合と比べてどのようなメリットがあるのか教えて欲しいです。
よろしくお願いいたします。
シングルサインオンのメリットについて、入力の手間を省く利便性等のメリットがあるのは理解したのですが、セキュリティの観点ではメリットがいまいちわかりません。
例えば全てのシステムに対して同じID&パスワードを設定した場合は、1つ漏洩した場合全てのシステムに対して被害が発生するというのは同じではないでしょうか?
管理の手間も変わらないですよね?
上記の場合と比べてどのようなメリットがあるのか教えて欲しいです。
よろしくお願いいたします。
2023.09.02 17:48
pixさん(No.2)
★SC ダイヤモンドマイスター
少々観点が違うと思われます。
利便性もありますが、セキュリティの観点でも多いに意味があります。
まず、SSOがない場合を考えてみます。
例えば10システム稼働しており、10システムそれぞれのサーバでID管理をしていると
仮定します。
・全システムすべてでID・パスワードを漏えいから守るためのセキュリティ、
仕組みを導入する必要がある。
・人間心理として、システムが違っても同じIDとパスワードを設定してしまう
ことが考えられる。そのため、1システムからの漏えいで、他システムにログイン
されてしまうリスクが発生してしまう。
・利用者が定期的にパスワード変更が必要な場合、全システムのパスワードを
変更する手間がかかってしまう。
・管理者がIDを作成・削除する場合、全システムのIDを作成・削除するという
手間がかかってしまう。
以上のようなデメリットが考えられます。
SSOを導入することにより、ID・パスワード漏えいの対策としてID管理システム
1システムのみのセキュリティを堅牢にすればよくなります。パスワード変更・
IDの作成・削除の手間も1回で済むようになります。
それにより、上のようなリスク・作業負担を軽減することが可能になります。
利便性もありますが、セキュリティの観点でも多いに意味があります。
まず、SSOがない場合を考えてみます。
例えば10システム稼働しており、10システムそれぞれのサーバでID管理をしていると
仮定します。
・全システムすべてでID・パスワードを漏えいから守るためのセキュリティ、
仕組みを導入する必要がある。
・人間心理として、システムが違っても同じIDとパスワードを設定してしまう
ことが考えられる。そのため、1システムからの漏えいで、他システムにログイン
されてしまうリスクが発生してしまう。
・利用者が定期的にパスワード変更が必要な場合、全システムのパスワードを
変更する手間がかかってしまう。
・管理者がIDを作成・削除する場合、全システムのIDを作成・削除するという
手間がかかってしまう。
以上のようなデメリットが考えられます。
SSOを導入することにより、ID・パスワード漏えいの対策としてID管理システム
1システムのみのセキュリティを堅牢にすればよくなります。パスワード変更・
IDの作成・削除の手間も1回で済むようになります。
それにより、上のようなリスク・作業負担を軽減することが可能になります。
2023.09.02 19:15
初受験さん(No.3)
返信ありがとうございます。
コスト面等様々なメリットがあることがわかりました。
確認させていただきたいのですが、
・各システムのパスワードを覚えきれない⇒そのため簡単なパスワードを設定したりメモに残す等でパスワード漏洩の可能性が高まる。⇒漏洩したパスワードで使い回している(覚えきれないため)他システムにログインされる
に対してシングルサインオンは1システムのセキュリティを強固にして漏洩自体をさせにくくするが、漏洩してしまった場合のリスクに関しては大きくなる可能性が高い(変更の手間は少ない)。という認識でよろしいでしょうか?
コスト面等様々なメリットがあることがわかりました。
確認させていただきたいのですが、
・各システムのパスワードを覚えきれない⇒そのため簡単なパスワードを設定したりメモに残す等でパスワード漏洩の可能性が高まる。⇒漏洩したパスワードで使い回している(覚えきれないため)他システムにログインされる
に対してシングルサインオンは1システムのセキュリティを強固にして漏洩自体をさせにくくするが、漏洩してしまった場合のリスクに関しては大きくなる可能性が高い(変更の手間は少ない)。という認識でよろしいでしょうか?
2023.09.02 20:40
pixさん(No.4)
★SC ダイヤモンドマイスター
>シングルサインオンは1システムのセキュリティを強固にして漏洩自体を
>させにくくするが、漏洩してしまった場合のリスクに関しては大きくなる
>可能性が高い(変更の手間は少ない)。という認識でよろしいでしょうか?
はい。この点はSSOを利用しているかぎり避けて通れない問題です。
そのため、パスワードといった記憶要素の認証以外に
・所有要素:スマートフォン・ワンタイムトークンなど
・生体要素:指紋・光彩など
などで多要素認証を実現し、別の角度からシステムへの不正侵入を防御します。
2023.09.02 20:59