新型コロナウイルス感染症対策として、多くの企業で在宅勤務を取り入れている状況になっています。今までとは環境が変わり、フリーランスやクリエイターなど特定の職種の方のみならず、一般企業でもいわゆるテレワーク/リモートワークの普及につながっています。
ここでまず考慮したいのが、セキュリティ対策です。全ての環境をセキュアにするためには時間やコストがかかりますが、ちょっとした考慮をするだけで、安全にできます。その一つが Google Workspace(旧 G Suite)が提供しているシングルサインオン(SSO)機能です。すべてのプランにおいてサービスのセキュリティを強化に対応しています。
シングルサインオン(SSO)とは?
シングルサインオンとは「1度のログイン作業で複数のサービスやアプリケーションをアクティブにする」という機能です。一般的にはユーザーの利便性を向上するための機能ですがセキュリティ強化にもなります。
現代ビジネスパーソンは仕事の中で複数のサービスやアプリケーションを使用するのが当たり前であり、サービスごとにアカウントIDとパスワードを設定します。そのため複数のアカウントID・パスワード管理が必要になるのですが、これを面倒と感じて同一アカウントIDをパスワードを設定するケースが多々あります。
そうした管理下では不正アクセスが発生する可能性が高く、個人情報漏えいなど重大なセキュリティ事件に発展するおそれもあります。そこにシングルサインオンがあれば、ユーザーは複数のアカウントID・パスワード管理から解放されて、たった1つのアカウントIDとパスワードを入力するだけになります。
そのため複雑なパスワードを設定してもシングルサイン用のアカウントIDとパスワードさえ管理できていれば問題ないため、ログイン特有の課題を解決できます。本稿ではそんなシングルサインオンの設定方法についてご紹介します。
Google Workspace(旧 G Suite) のシングルサインオンを設定する手順
Google Workspace(旧 G Suite) のシングルサインオンを設定するにはいくつかの方法がありますが、本稿ではカスタマSMALアプリケーションの設定を行いシングルサインオンのIDプロバイダーとして Google Workspace(旧 G Suite) を使用する場合の設定方法は以下の通りです。
- Google Workspace(旧 G Suite) に管理者アカウントでログインして管理コンソールに移動します
- 管理コンソールのホームページより[アプリ]>[SMALアプリ]にアクセスします
- 画面右下に表示されている「+」アイコンをクリックします
- [SMALアプリケーションでSSOを有効にする]画面が表示されるので[カスタムアプリをセットアップ]をクリックします
- [Google IdP情報]画面が表示され[SSOのURL]と[エンティティID]が自動的に入力されるので、次のいずれかの方法でサービスプロバイダの設定情報を収集します
- [オプション1]に表示されている[SSOのURL]と[エンティティID]の値をコピーして証明書をダウンロードし、サービスプロバイダ側の設定にある適切な欄にこれらの値を張り付けてから管理コンソールに戻って[次へ]をクリックします
- [オプション2]に表示されている[IDPメタデータ]をダウンロードして、サービスプロバイダ側の設定にある適切な欄にアップロードしてから管理コンソールに戻って[次へ]をクリックします
- [カスタムアプリの基本情報]画面が表示されるので[アプリケーション名]には適当な名前を(半角英数のみ)、[説明]にはアプリケーションに関する説明を入力し[次へ]をクリックします
- [サービスプロバイダの詳細」画面で[ACSのURL]と[エンティティID][開始URL]を入力します(これらの情報はSSOを設定するクラウドサービスを開発したサービスプロバイダ側から提供されています)
- [属性のマッピング]画面が表示されるので[新しいマッピングを追加]をクリックしてサービスプロバイダ側の属性と Google Workspace(旧 G Suite) 側の属性のマッピングを行い、[完了]をクリックします
- サービスプロバイダのユーザー名と Google Workspace(旧 G Suite) のユーザー名をマッピングする場合、サービスプロバイダ側でのユーザー名を確認し、情報を入力します
例 サービスプロバイダでのユーザー名が[User. FirstName」という属性名の場合は、[User. FirstName」と Google Workspace(旧 G Suite) の基本情報の「名」をマッピングします
- サービスプロバイダのユーザー名と Google Workspace(旧 G Suite) のユーザー名をマッピングする場合、サービスプロバイダ側でのユーザー名を確認し、情報を入力します
- カスタムアプリの登録が完了したら該当アプリの設定画面を開きシングルサインオンの「オン」と「オフ」または「一部の組織に対してオンにする」のいずれかを設定します
以上でGoogle Workspace(旧 G Suite)でのシングルサインオンの設定は完了です。あとは実際にシングルサインオンが可能になっているかどうかを確認しましょう。
シングルサインオンのメリット
Google Workspace(旧 G Suite) のシングルサインオン機能を使用する最大のメリットはやはり「セキュリティ強化」です。システム管理者の皆さんは、アカウントIDとパスワードの管理においてどれくらいの危険があるかをご存知でしょうか?
IPA(独立行政法人情報処理推進機構)が2016年12月に公開した報告書「2016年度情報セキュリティに対する意識調査」報告書について」では、パソコン利用者5,000名を対象にセキュリティに対する意識調査の実施結果を記載しています。
これによると自分で管理しているアカウントの数は「2種類以上」が64.1%で最も多く、「1種類」が27.1%、「ゼロ」が8.8%と言った割合になります。
そしてサービスごとに異なるパスワードを設定している割合は「21種類以上」が45.3%、「8種類以上」が43.2%、「16~20種類」が43.1%、「11~15種類」が40.4%と続きます。また、「管理しているID(アカウント)が「2種類以上」の回答者のうち、「32.4%」がサービス毎に異なるパスワードを設定していると回答しています。これは全体の2割程度に留まり、サービス毎に異なるパスワードを設定している割合は決して高いとは言えません。
これはビジネスシーンでも同様のことが言えるでしょう。情報セキュリティ担当者が「アプリケーションごとに異なるパスワードを設定するように」と呼びかけても、ユーザーが自分自身の利便性を優先するため同一パスワードを使いまわすケースが多々あります。そうした状況の中で情報セキュリティ担当者がユーザーごとに個別対応することも難しいので、同一パスワードの使いまわしが横行してしまうのです。
Google Workspace(旧 G Suite) のシングルサインオン機能を使用するとこの問題を解消し、アプリケーションごとに異なる複雑なパスワードを設定しても、たった1回のログインですべてのアプリケーションをアクティブにするため、セキュリティ強化に繋がります。
シングルサインオンの課題
複数アプリケーション間での利便性を劇的に向上し、セキュリティ強化にもなるシングルサインオンですが課題もあります。すべてのアプリケーションのログインパスワードを一元管理し、1回のログインですべてのアプリケーションをアクティブ化する機能を提供するといっても、マスターパスワードが漏えいしてしまえば元も子もありません。
不正利用されれば一元管理しているすべてのアプリケーションへ不正アクセスされてしまうため、むしろ漏えい時のダメージは大きくなります。そのため異なるパスワード管理の負担から解放されたのに伴って、マスターパスワードの管理を強化しなければいけません。
パスワードは英数字と記号が混ざった10文字以上のものに設定したり、パスワードにライフサイクルを設けて1ヵ月ごとに変更したり、今まで以上にパスワード管理に対する意識を高める必要があります。
シングルサイオンでもセキュリティに不安があるというユーザーは、Google Workspace(旧 G Suite)の2段階認証プロセスの使用をおすすめします。これは通常のログイン作業とは別に、スマートフォンに送信されたセキュリティコードを毎回入力させることで、不正ログインを効果的に防ぐという方法です。セキュリティコードは毎回変更されますし、特定のスマートフォンにしか送信されないため、たとえマスターパスワードが漏えいしたとしても不正アクセスを防止できます。
このように、Google Workspace(旧 G Suite) には堅牢なセキュリティ機能が揃っているのです。
[RELATED_POSTS]Google Workspace(旧 G Suite) のセキュリティ強化に向けて
シングルサインオン機能は Google Workspace(旧 G Suite) のすべてのプランで使用できるため必ず設定しておきましょう。2段階認証プロセスに関しては使用できるプランが限定されているため、必要に応じてプランをアップグレードしてセキュリティを強化していただきたいと思います。
電算システムでは、Google Workspace(旧 G Suite) をよりセキュアに利用できる各種オプションをご用意しています。是非この機会にGoogle Workspace(旧 G Suite) 関連オプションもご検討ください。
Google Workspace(旧 G Suite)オプションページ
https://www.dsk-cloud.com/solution/g-suite/options
- カテゴリ:
- Google Workspace
- キーワード:
- Google Workspace(旧 G Suite)