「ソフテックだより」では、ソフトウェア開発に関する情報や開発現場における社員の取り組みなどを定期的にお知らせしています。
さまざまなテーマを取り上げていますので、他のソフテックだよりも、ぜひご覧下さい。
ソフテックだより(発行日順)のページへ
ソフテックだより 技術レポート(技術分野別)のページへ
ソフテックだより 現場の声(シーン別)のページへ
「ソフテックだより」では、みなさまのご意見・ご感想を募集しています。ぜひみなさまの声をお聞かせください。
私は、入社3年目の本社事業所勤務の社員で、主にWindowsアプリケーションによる業務システムの開発などを担当しています。
近年、企業内で利用されるシステムが増加し、従業員が複数のシステムに対してログインを行うことが一般的となっています。
皆さんも業務で複数のシステムを利用していると、「このシステムのパスワードは何だっただろう」と悩んだ経験はないでしょうか。私自身も、久しぶりに利用するシステムにログインできず、パスワード再発行を行ったことが何度かあります。
このように利用者は複数のパスワードを管理する負担を抱える一方で、システムにはこれまで以上に高いセキュリティが求められています。こうした課題に対応するためには、システムの規模や利用環境に応じて、適切な認証方式やユーザー管理手法を選択することが重要です。
今回の技術レポートでは、業務システムで利用される代表的な認証方式とユーザー管理手法を紹介するとともに、複数システム運用時の課題を解決する手段の一つであるSSO(Single Sign-On:シングルサインオン)についてご紹介します。
まず、混同されやすい認証と認可についてご説明します。
私自身も、業務システムの開発に携わるようになるまでは、両者の違いを十分に理解しないまま使用していました。
認証とは、利用者が誰であるのかを確認・特定するための仕組みです。英語では「Authentication」と呼ばれます。
例として、システムへのログイン時にIDやパスワードを入力するパスワード認証(知識認証)や、顔や指紋などの身体的特徴を利用する生体認証などがあります。
近年では、セキュリティ強化のために複数の認証を組み合わせる「多要素認証(MFA:Multi-Factor Authentication)」も広く利用されています。
例えば、IDとパスワードによる認証後に、SMSや認証アプリを利用したワンタイムパスワードによる追加認証を行う方式が、多要素認証の代表的な例です。
認可とは、認証された利用者に対して機能や情報へのアクセス権限を制御する仕組みです。英語では「Authorization」と呼ばれます。
例えば、業務システムを利用する際に、一般利用者はデータの閲覧のみ、管理者はデータの登録・更新・削除を行えるなど、利用者ごとに操作権限を制御します。
認可は、一般的に認証の後に行われ、認証によって利用者を特定したのち、所属や役職、付与された権限情報などに基づいて利用可能な機能やデータを判断します。
適切に認可設定を行うことで、一般利用者による機密情報の漏洩や、誤操作などを防止します。
業務システムで利用される認証・認可方式のうち代表的なものを3件ご紹介します。
独自認証は、ユーザーIDやパスワードなどを内部ファイルやデータベースなどで管理する認証方式です。
多くの業務システムで採用されており、それぞれのシステムが個別にユーザー情報を保持します。
メリットとしては、構築が容易であり、他システムに依存せず運用できる点が挙げられます。
一方、システムごとにユーザー登録や権限設定が必要となり、管理が煩雑というデメリットがあります。例えば、すべての業務システムが独自認証を採用している場合、新入社員の入社時には、システムごとにアカウント設定が必要となってしまいます。
Active Directoryとは、Windows環境においてユーザーやコンピュータの情報を一元管理するためのディレクトリサービスです。
Active Directory認証では、対象の端末をドメインに参加させ、Windowsへのログインユーザー情報を利用してシステムの認証を行います。
ユーザー情報や、パスワード変更を一元管理できるのがメリットの一つです。また、利用者は、PC起動時に認証済みとなり、業務システム起動時に再度パスワード入力を不要にできます。
一方で、利用する端末をドメインへ参加させる必要があるため、利用環境により導入が難しい場合があります。
LDAP (Lightweight Directory Access Protocol)は、ユーザー情報や組織情報などを管理するディレクトリサービスへアクセスするための仕組みです。
Active Directory認証と混同されることがありますが、Active Directoryはディレクトリサービスの一種であり、LDAPに対応しています。そのため、LDAP認証の認証先としてActive Directoryを利用することも可能です。
LDAP認証の場合は、端末のドメイン参加は必須ではありません。
ユーザー情報をディレクトリサービスで一元管理できるため、複数のシステムで同じユーザー情報を利用できます。例えば、新しいシステムを導入する場合でも、LDAPと連携することで既存のユーザー情報を利用できます。
ただし、LDAP認証ではユーザー情報を共有できても、利用者は各システムでログインを行う必要があります。
冒頭で述べたように、企業内で利用されるシステムが増加するにつれて、利用者は複数のIDやパスワードを管理する必要があります。
また、パスワード忘れによる問い合わせ対応や、従業員の入退職などによるアカウント管理など利用者だけでなく管理者にとっても負担となります。
このように、様々な認証方法のシステムを多数扱う現場では、利用システムが増えるほど運用負荷も大きくなります。
このような課題を解決する方法の1つがSSOです。
SSOとは、一度の認証で複数のシステムを利用できる仕組みです。
利用者は、システムごとに認証情報を入力する必要がなくなり、利便性が向上します。
また、パスワード管理の負担軽減や、認証基盤の統一によるセキュリティ向上も期待できます。
SSOについては、過去のソフテックだより第489号技術レポート「SSO(シングルサインオン)と生体認証によるパスワードレス化」でも紹介しておりますので、併せてご覧ください。
SSOを実現するソリューションの一例として、「Evidian Enterprise SSO (Evidian ESSO)」があります。
Evidian ESSOでは、複数のシステムで利用するIDやパスワードを一元管理し、ログイン時には認証画面へ自動的に入力を行うことでSSOを実現します。
そのため、利用者はシステムごとにIDやパスワードを入力する必要がありません。
また、認証方法としてRFIDカードなども利用でき、利用者はカードをかざすだけで、複数システムのパスワードを個別に覚える必要なくシステムを利用できるようになります。
他にも例えば、製薬企業ではセキュリティ対策として数か月ごとのパスワード変更が求められる場合があります。(近年では、パスワード流出などの事実がない場合、定期的なパスワード変更は不要とする考え方もあります。頻繁な変更は、利用者による単純なパスワードの設定や使い回しを招く可能性があるためです。)また、英字・数字・記号を組み合わせた一定文字数以上の複雑なパスワードを設定しなければなりません。
そのため、現場では「パスワードを覚えられない」「似たようなパスワードを使い回してしまう」といった声が聞こえてくることがあります。
Evidian ESSOでは、システムの要件に応じた複雑なパスワードを自動的に生成・設定できるため、利用者が個別のパスワードを意識することなく、利便性とセキュリティを両立することができます。
実際にEvidian ESSOを導入した現場では、「複数のパスワードを覚える必要がなくなった」「ログインにかかる手間が減り、日々の業務が効率化された」といった評価をいただくこともあります。
このように、Evidian ESSOは利用者の利便性向上だけでなく、パスワード管理の負担軽減やセキュリティ強化にも役立つソリューションです。
ここまで、業務システムで利用される代表的な認証方式を紹介しました。
今回紹介した他にも、様々な認証方式があり、システムの利用環境や運用方針に応じて適切な方式を選択することが重要です。
私自身も、複数のシステムを利用する中でパスワード管理の煩雑さを感じることがありますが、システム開発に携わるようになり、その背景には認証方式やユーザー管理の仕組みが大きく関わっていることやSSOの有用性を学びました。利用者や管理者の利便性とシステムのセキュリティを両立したシステムを実現できるよう、今後も認証技術やユーザー管理について学びを深めていきたいと思います。
今回の技術レポートが、認証方式やユーザー管理について考えるきっかけとなれば幸いです。
(M.N.)
Active Directory Domain Service overview | Microsoft Learn
(
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview)
Enterprise SSO (Single Sign-On) - Evidian
(https://www.evidian.com/products/enterprise-sso/.)
関連ページへのリンク
関連するソフテックだより
「ソフテックだより」では、みなさまのご意見・ご感想を募集しています。ぜひみなさまの声をお聞かせください。