IT社員3人組によるリレーブログ

某IT企業に勤める同期3人が、日常で思ったことを記録していきます (twitter: @go_mount_blog)

One life, One password その1

Guest hase 認証

どうもhaseです。

今年日本国内進出を果たしたOPPOが、先日フラッグシップモデルFind Xの発売を発表しました。このスマホ、面白いのがインカメがスマホ前面になく、顔認証・撮影等するときにシュッと上部から飛び出してくるんです。それによって驚異の画面占有率93.8%(iPhone Xs Maxで84.4%)という、真の全画面スマホを実現しています。

ascii.jp

 

早速ベンチマークブーストの話も出てきちゃってますし、こういうギミック系が定着するイメージもあまりないんですが、単純に面白いなあ、と。発売は11月上旬以降で、価格は税抜11万1880円とのこと。皆さんいかがでしょうか。持っていれば合コンのネタくらいにはなるかもしれません。

 

さて、前振りが長くなってしまいました…。

長かった割にまさかの1ミリも関係ないんですが(笑)、今日は認証の話をします。

 

SSO 

どんどん増えるウェブサービス、社内システム。

あれ、このサイトのパスワードなんだっけ…って思ったこと1度や2度じゃないですよね。だからパスワードは紙にメモってる!とかデスクトップにメモって保存してる!って人いるんじゃないでしょうか。それ、だいぶ危険です。

f:id:go-mount:20181021134142p:plain

一つのID/PWで全てのサービスに安全にログインできたら…。

 

これを実現するのがSSO(= Single Sign On)です。

今日はこのSSOの概要・メリット/デメリットについて述べていきたいと思います。

 

SSOとは?

繰り返しになりますが、一つのIDとパスワードを入力して、複数のWebサービスやアプリケーションにログインする仕組みです。入力や管理の手間を省き、セキュリティを強化することができます。

最近何かのサイトにユーザ登録する際に、Facebookでログイン、とか出てきませんか?あれです。

f:id:go-mount:20181021192122g:plain

あとは社内にSSOを導入している企業であれば、社給パソコンにログインするIDで社内の勤怠管理システムだとか、発注システムなんかにも入れるんじゃないでしょうか。

これらがSSOと呼ばれる仕組みです。

 

SSOのメリット/デメリット

  • メリット
    何と言っても一つのID/PWでログインできるというところに尽きますが、それによる副次効果もたくさんあります。
    まず、セキュリティ面。
    IPAによる不正アクセス調査によると、不正アクセスの手口として最も多いのが利用権者のパスワードの設定・管理の甘さにつけ込んだもの(35.3%)です。
    2015年不正アクセス統計・パスワードの不備が大きな原因に|大塚商会
    例えば、上記のように紙にメモしておいたり、デスクトップに保存しておく人結構いるかと思いますが、メモをなくしたり、机の上に開いていたり、デスクトップにロックをかけずに席を立てば、簡単にパスワードが流出します。でもID/PWが一つだったら?さすがの僕でも覚えられます。例えばパソコンのログインパスワードをメモってる人ってあまりいないですよね。それを他のサービスにも使えれば、メモっておく必要はないです。
    また、複数のパスワードを設定しようとすると、結局同じパスワードを設定していたり、覚えやすいものを使ったりしませんか?これはブルートフォース攻撃(総当たり攻撃)による侵入を容易にします。それぞれのサイトにパスワードを設定する場合、パスワードが一つバレても他は大丈夫と思われがちですが、 使い回しやちょっと数字を変えただけだと簡単に侵入できてしまいます。
    また、認証情報を管理する側からもメリットがあります。一元管理されていることによって、そこだけ本気で守ればいいですし、ユーザの新規登録/削除、パスワードの再設定作業なども楽チンです。

  • デメリット
    便利さの裏返しですが、パスワードが一つばれると、全てのサービスに入られてしまいます。また、統合認証基盤が落ちてしまうと、どのサービスにも入れなくなってしまいます。ユーザに対するセキュリティ教育や、パスワードの定期的な変更、統合認証基盤の冗長化などで対応していく必要があります。

 

SSOの大きな二つの流れ

SSOを実現する仕組みはいくつかありますが、個人的には大きく2つの流れがあると思っています。

  1. BtoB系
    これは企業内の業務システムにおいて発達してきたSSOです。先ほどの例でいうと、社給パソコンへのログインID/PWで、勤怠管理等社内システムへのログインを可能にするタイプです。
    基本的にはオンプレ想定の方式が多いですが、SAMLという標準プロトコルを使用すると、クラウドサービスなどとのSSOも実現可能です。
  2. BtoC系
    こちらはFacebookでログイン、のタイプです。ソーシャルログインとも呼ばれます。Twitter社のブレイン・クック氏をはじめとした開発者が集って開発したOAuthなんかが有名ですが、初めからウェブサービス同士を連携させるという思想のもとに設計されてます。OAuthは正確には認証はしていないのですが、SSOと言って問題ないでしょう。

 

それぞれの具体的な仕組みについては、次回以降説明していきたいなと思ってます。 

 

まとめ 

複数のウェブサービスを利用するのが当たり前になっている現在、SSOはとても便利な仕組みだと思います。最近は冒頭のFindXのように(無理やり繋げました)顔認証などの生体認証が流行りですが、オンラインに生体情報を載せるのは僕はまだちょっと抵抗がある。生体情報って流出しても変えられませんしね。

ビル・ゲイツは2004年に"The password is dead"と宣言したそうですが、14年経った今でもバリバリの現役です。パスワードは完璧ではないですが、やっぱり使いやすいですからね。この傾向はまだしばらくは続くでしょう。SSOを利用して、もっと便利に安全にサービスを利用する仕組みが整えばいいなと思います。

 

 では今回はこの辺で。