ホワイトペーパーアイデンティティとセキュリティソリューション

www.novell.com

シングルサインオンの調査お客様に最適なソリューションをご選択いただくために

Novell Logo1 The registered trademark, ®,

appears to the right and on thesame baseline as the Logo.

Minimum Size RequirementsThe Novell Logo should NOT beprinted smaller than 3 picas(0.5 inches or 12.5 mm) in width.

Clear-space Requirements2 Allow a clean visual separation

of the Logo from all other elements.The height of the "N" is themeasurement for the minimumclear-space requirements aroundthe Logo. This space is flat andunpatterned, free of other designelements and clear from the edgeof the page.

3 picas(0.5 in)

(12.5 mm)

21 3

3

1

シングルサインオンの調査

目次 : 2 . . . . . シングルサインオンは

貴社のビジネスに最適か ?

2 . . . . . 第 1章 :シングルサインオンの

概要

6 . . . . . . 第 2章 :現在の製品と技術

9 . . . . . 第 3章 :セキュリティ

13 . . . . . 第 4章 :維持管理経費

16 . . . . . 第 5章 :まとめ

2

大企業では一般的に、 ログインしてパスワードなど何らかの資格情報を入力 する必要があるアプリケーションやシステムは70を 超えています。こうした 事実は、効果的なシングルサインオンソリューションが必要であることを示して います。

シングルサインオンは長い間、ログイン数の増加とパスワード管理の課題に対応する究極のソリューションとうたわれてきました。システムサーバへのログインからWebベースのインターネットバンキングやeメールプログラムまで、ユーザは毎日膨大な数の異なるシステムにログインしなければならず、そのほとんどで別々のユーザ名とパスワードが求められます。シングルサインオンでは、ユーザがログインするのは一度だけです。その後ログインが必要になると、ユーザに代わってコンピュータが自動的にログインを実行します。これにより、異なる多数のパスワードを記憶する負担がほとんどなくなり、ユーザの利便性が大幅に向上して、パスワード関連のヘルプデスクへの問い合わせが低減し、セキュリティを強化できます。

シングルサインオンはさまざまな形態で長年にわたって利用されてきましたが、2005年まではこの技術の採用は相対的に緩やかで、この年を境に急速に採用されるようになりました。これを後押ししたのは技術の成熟と、Gartner、Forrester、Bloor、およびその他の調査会社が発表した広範にわたる調査で、従来のパスワードが有用性の 限界に達したことが報告されたことです。

このホワイトペーパーでは、シングルサインオン認証技術の現状を概観し、適切な種類のシングルサインオンソリューションから得られる利点、セキュリティの問題、コスト、および投資収益率（ROI）を検討します。本書ではエンタープライズシングルサインオン（ESSO）のみを対象とし、Webシングルサインオン（Web SSO）は扱いません。ESSOは、無数の異なるレガシアプリケーションと運用アプリケーションに対するユーザの操作を管理

するため、より複雑なシングルサインオン技術となっています。Web SSOは、純粋にWebベースのアプリケーション（レガシアプリケーションなどと比較して少数）を対象とするシングルサインオンの管理に限定されています。

第 1章 :シングルサインオンの概要シングルサインオンは、新しいコンセプトではありません。その名前が示しているように、シングルサインオンは、通常ユーザがさまざまなシステムで実行する多数のログインを引き受け、ログイン操作を1回に減らすことを目的としています。 理想的なシングルサインオンでは、ユーザは一度ログインするだけで、その後の認証要求には、ユーザではなくソフトウェアが自動的に対応します。つまり、ユーザ名やパスワードなどのログイン時に要求されるデータは、ユーザが記憶しておかなくてもアプリケーションに入力されるということです。

Gartnerなどの調査会社が実施した調査によると、大企業では一般的に、ログインしてパスワードなど何らかの資格情報を入力する必要がある アプリケーションやシステムは70を超えています。こうした事実は、効果的なシングルサインオンソリューションが必要であることを示しています。

このホワイトペーパーでは、ユーザに代わって ログインを実行するために資格情報を提示するものをシングルサインオンと呼びます。この意味では、複数のユーザパスワードを同じ値に同期するシステムはシングルサインオンに含めません。

シングルサインオンは 貴社のビジネスに最適か ?

3

シングルサインオンの調査 www.novell.com

シングルサインオンの仕組み

シングルサインオンの仕組みを理解するには、さまざまなシングルサインオンの方法を理解し、シングルサインオンのプロセスが技術的にどのように実行されるかを知ることが大切です。

一般的なユーザは、日常的に平均5～ 10回のログインを実行しています。このため、シングルサインオン（SSO）製品は、これらの資格情報を記憶して保存し、必要なアプリケーションに適切なユーザ権限を提示する必要があります。コンセプトはほとんどのシングルサインオン製品でほぼ同じですが、資格情報の保存とアクセス方法に重要な違いがあります。

シングルサインオンの基本 : シングルサインオンの目的は、ユーザが記憶する必要があるログイン情報の数を減らし、効率的で合理的な作業環境を作り出すことです。

最新のシングルサインオン製品は、ログイン資格 情報を自動的に提示する ことでこれを実現してい ます。

個別システム用のシングルサインオンは、一般的に 資格情報をワークステーションにローカルに保存 します。

ネットワーク環境のシングルサインオンは、一般的に 中央サーバかディレクトリ内に資格情報を保存します。

ディレクトリベースのシス テムは、資格情報ストレージを複製することで高可用性を実現します。

柔軟性を強化するため、シングルサインオンアプリケーションは、中央サーバ方式とローカル方式の 両方の資格情報ストレージを提供できる必要が あります。

図1. 一般的な組織でユーザが求められる、膨大な数のパスワードとログイン

図2. 代表的な標準ログインとシングルサインオンプロセス

4

主な注意点 : シングルサインオンアプリケーションの設計には、業界規格との優れた互換性が 必要です。

シングルサインオンソリューションは、普及しているアプリケーションに対応する 組み込み済みのスクリプトや一般的なSSO対応アプリケーションへの統合ウィザードを備えている必要があります。

アプリケーションをシングルサインオン環境に容易に 統合できる使いやすいインタフェースを備えていなければなりません。

シングルサインオンソリューションは、使用環境と互換性がある端末エミュレータを備えていなければなりません。

シングルサインオンソリューションは、バイオメトリックスやその他の高度な認証デバイスと統合できる必要が あります。

セルフサービスのパスワードリセット技術は、パスワード忘れやパスワードの紛失に関連した問題やコストの解消に有用です。

シングルサインオンソリューションは、大きく分けて、ローカルストレージシングルサインオンとディレクトリストレージシングルサインオンの2種類があります。ローカルストレージソリューションでは、資格情報は単一のワークステーションにローカルに保存されます。このシステムは、パスワードボールトとも呼ばれ、パスワードの保存に単純明快なアプローチを取っています。ディレクトリストレージソリューションでは、資格情報はネットワークベースのサーバに保存されます。この設計では、資格情報を一元的に保存および管理できます。

ローカルストレージ

一見、ローカルストレージシングルサインオンソリューションは、ほとんどの基本的要件に対して十分に思われます。理論的には、他の資格情報が必要なユーザはいないため、この考えはある 程度は真実と言えます。

しかし、このアーキテクチャにはネットワーク環境において重大な制限があります。ログインアカウント情報が単一のワークステーションに保存されるため、ユーザが業務の遂行に複数のマシンを使用する場合、シングルサインオン機能を利用できないのです。資格情報を複数のコンピュータにコピーすることはできますが、ワークステーションの数が

あまりに増加すると、管理者の負担が許容範囲を超えてしまいます。

また、この種類のソリューションには、運用および管理上重大な欠点があります。それは、効果的な一元管理や制御は事実上不可能であり、ワークステーション間のデータの同期が困難で、システム全体の管理に時間がかかり非効率的である点 です。

さらに高度なローカルストレージシステムでは、監査など制限された形態の一元管理が可能ですが、ローカルストレージをベースにしたシステムには、ほとんどの中規模および大規模企業での使用において限界が生じる明確な分岐点が存在します。

ディレクトリストレージ

大規模なネットワークシステム内では、ユーザは業務を遂行するために、移動先のどのワークステーションからでもログインできる機能が必要です。サーバまたはディレクトリベースのシングルサインオンシステムでは、資格情報の管理、保存、および取得を中央サーバのリポジトリから行うことができます。

5

シングルサインオンの調査 www.novell.com

これにより、さらに強力で効果的な一元管理機能が得られるだけでなく、各ユーザのアクセスポートフォリオを管理する作業が減少する場合もあり す。この種類のシステムをベースにしているほとんどの製品では、ユーザアクセスの詳細な設定、ユーザアクティビティの監査、セキュリティポリシーの実施により強力なパスワードを使用できます。さらに、このオプションを使用すれば、組織の 既存のアイデンティティ管理インフラを利用して、アイデンティティ管理への投資の価値を拡大できます。

1台のサーバですべてのユーザデータを保持すると便利ですが、この方法では、単一障害点が発生した際、ネットワークの機能が停止するという重大なリスクを被る可能性が高くなります。ほとんどの

企業のシステムで、資格情報を複数のサーバに分散することで高可用性を実現している主な理由はここにあります。

結合システム多数のリモートユーザやモバイルユーザを抱える大規模な組織では、サーバへの接続を常に保証することはできません。その結果、理想的なシングルサインオンシステムは、前述のローカルストレージ方式とディレクトリストレージ方式を結合したものとなります。このシステムでは、ユーザはネットワークに接続しているかどうかに関わらず、シングルサインオンの資格情報にアクセスでき ます。

図3. ディレクトリベースのシングルサインオン

6

主な注意点 : シングルサインオンソリューションを実装する前に、背後のセキュリティを慎重に評価する必要があります。

シングルサインオンソリューションが、パスワードの長さ、使用できる文字、パスワードの有効期限などのセキュリティポリシーを実施できる ことを確認します。

業界規格の暗号化を使用して、資格情報を安全に保護します。

シングルサインオンソリューションが、多要素認証方式をサポートすることを確認します。

第 2章 :現在の製品と技術 シングルサインオンのベンダは、ユーザがログインする回数を減らすために、数々のアプローチを 使用しています。最新の製品環境の要件は多岐にわたるため、現在、シングルサインオンの問題に対応する標準は存在しません。シングルサインオンに使用できる多様な技術を説明することはこのホワイトペーパーの目的から外れますが、次のセクションでは、主要なアプローチに的を絞って紹介します。

チケットベースシステム

厳密にはシングルサインオンに分類されませんが、シングルサインオン機能を提供するための初期の試行は、チケットベースシステムで行われていました （1990年代初期のKerberosは顕著な例です）。このネットワークは、認証サービスを提供し、認証されたユーザに有効なチケットを発行します。ユーザは、認証を求められたときにチケットを提示してアクセスを取得します。このシステムは、通常ユーザが認証の必要性を認識せずに、シームレスに行われるため、シングルサインオンのような印象を受けます。

図4. チケットベースアクセスの概要

Cookieこのチケットベースのコンセプトは、現在も多数のビジネスおよび企業システムで見受けられます。インターネットでは、Cookieがチケットベースアプローチの好例です。Webサイトが資格情報を取得すると、ユーザのマシンに認証チケット（Cookie）が置かれます。ユーザがサイトにアクセスすると、サイトはCookieの有無をチェックし、Cookieがあれば、ユーザは再度ログインを求められません。ただし、Cookieは簡単にコピーや削除ができるため、資格情報の保存元としては信頼性がありません。

PKIおよびデジタル証明書類似した考え方で定着しつつあるものに、デジタル証明書があります。これは、PKI（公開鍵インフラ）の一部です。PKIは、複数のデジタルアイデンティティの間における信頼の基盤を確立するために設計されています。PKI内では、認証局（CA）が資格情報をチェックして、デジタル証明書を発行します。他のシステムでは、システムにアクセスするために、ユーザのチケットまたはCookieが盗み出されることがあります。一方、PKIでは、基盤となる公開鍵が暗号化されるため、こうした行為がはるかに困難になります。このようにセキュリティが強化されている点が、PKIの注目すべき主要なメリットです。

また、PKIは否認防止というコンセプトも導入しています。今日の電子商取引において非常に重要なことですが、否認防止を使用すると、システムはユーザのアイデンティティを法的に保証できます。第3章で詳しく説明しますが、ユーザのアイデンティティと関連したセキュリティの側面は、シングルサインオンを実装する際に重視すべき点です。

7

シングルサインオンの調査 www.novell.com

統合性PKIシステムの基盤となるコンセプトは有効ですが、統合に関わる困難な課題が多数発生します。PKIシステムを成功させるには、インフラをPKIベースのシングルサインオンシステム専用に設計しなければなりません。これには、既存のアーキテクチャの大幅な変更を余儀なくされることもありますし、互換性のあるアプリケーションの範囲を 狭める可能性もあります。これは、通常、この技術を活用するには、アプリケーションが専用に設計されている必要があるためです。こうした相互運用性の問題は、統合コストが高いこととあいまって、この技術の普及を長年にわたって妨げてきた主な原因と見られています。

しかし、Cookie向けのRFC2109、デジタル証明書および公開鍵暗号化標準（PKCS）向けのX.509など、業界標準の開発により、こうした問題への対応が可能になりました。その結果、この種類のシングルサインオンソリューションの採用は増加しています。

自動ログインシステム

今日、主要なシングルサインオン技術として浮上してきた自動ログインシステムは、アプリケーションに直接資格情報を提供するように設計されており、基盤となるインフラやアプリケーション そのものを変更する必要がありません。

アプリケーションは、人間の代わりにシングル サインオンソフトウェアが資格情報を提示していることを認識しないため、自動ログインシステムは既存の環境に容易に統合できます。そのため、事実上あらゆる種類のアプリケーションがシングルサインオンに対応できます。この点では、すべての自動ログインシステムが同じわけではありません。どの資格情報が要求されているか、また 資格情報をどのように提示する必要があるかをシングルサインオンソフトウェアが認識する方法を理解することが大切です。シングルサインオン ソリューションは、さまざまなアプリケーションをシングルサインオンに対応させるために多数の アプローチを採用しています。

主な注意点 : シングルサインオンのコスト分析には、ライセンス、インフラに必要な変更、統合 およびトレーニングを含めなければなりません。

シングルサインオンの機能セットは、ROIを最大化するように慎重に選択する必要があります。

図5. 一般的な自動ログインの概要

図6. 一般的な自動ログインの概要

スクリプトの作成多くのシングルサインオン製品は、スクリプトを使用して、エンタープライズ リソースプラニング（ERP）や顧客管理（CRM）などの一般的なパッケージアプリケーションにシングルサインオン 機能を統合しています。スクリプトは、アプリケーションの該当するフィールドを資格情報にマッピングします。

さまざまなシングルサインオン製品や アプローチを検討する場合、お使いのアプリケーションに対応したスクリプトがすでに存在していることを確認してください。

8

LDAPディレクトリはさまざまな分野で広く使用されているため、シングルサインオン 製品は、最新のインフラで 効果的に動作するように、LDAPに対応したビルトインサポートを提供する必要が あります。

さらに、必要なアプリケーションすべてをシングルサインオンソリューションで使用できるように、 求められる作業量を慎重に検討しましょう。たとえば、一般的なSSO対応エンタープライズアプリケーションに対するスクリプト言語の習得が管理者に求められるソリューションもあります。こうしたソリューションの場合は、導入時間が長くなり ます。

すべてのシングルサインオンソリューションには、レガシアプリケーションや自社開発アプリケーション、複雑なアプリケーションを統合するスクリプトが必要ですが、優れたシングルサインオンの実装では、適切なログインフィールドを検出して、入力内容に基づいて自動的にスクリプトを作成 するウィザードも用意されています。お使いのシングルサインオンソリューションに、Windows*、Web、Java*、およびエンタープライズアプリケーションを幅広くサポートするウィザードが搭載されていることを確認してください。また、使いやすいグラフィカルユーザインタフェース（GUI）も搭載されている必要があります。

多要素認証

これまで、シングルサインオンは、認証を単一の検証イベントに縮小してしまうことから、システムのセキュリティを脆弱化させるものとして認識されてきました。このため、最初のログインの安全性を非常に高くすることで、悪意のある者が偽りのシングルログインを使用して、複数のシステムへの 不正アクセスを取得できないようにする必要があります。

セキュアなユーザログイン技術の進歩により、 強力な認証方式を使用して、こうした懸念を軽減することができます。たとえば、多要素認証では、ユーザを識別するために複数の方法を使用します。通常、この方式にはユーザが所有するもの （スマートカードまたはトークン）、ユーザが記憶 していること（パスワードまたはPIN）、および

ユーザが提示できるもの（指紋や網膜認証などのバイオメトリックス ID）が含まれます。優れたシングルサインオンの実装では、ユーザのシングルログインイベントのセキュリティを強化するために、広範にわたる高度な認証方式オプションが利用できます。

統合環境あらゆるシングルサインオンの実装で考慮すべき重要な点は、その製品が既存の ITインフラにどのように順応するかということです。あらゆるITインフラに対応する画一的な製品が存在するとは思えませんが、さまざまなシングルサインオンソリューションが異なる業界標準、ハードウェア、およびソフトウェアをどのようにサポートするかを評価することは重要です。

特に、アイデンティティ管理とアクセス管理インフラに投資している場合は、選択するシングルサインオンソリューションがその投資の価値を拡大できることを確認してください。たとえば、実装と継続管理を簡素化するため、選択するテクノロジは共有ディレクトリストアや管理コンソールを活用し、一貫したユーザエクスペリエンスを実現するものである必要があります。

アイデンティティベースのインフラに投資していない場合でも、SSOソリューションが将来的にプロビジョニング、役割管理、アクセスガバナンスをサポートできる柔軟性を備えていることを確認してください。

LDAP（Lightweight Directory Access Protocol）LDAPは、TCP/IPネットワーク上で動作するディレクトリの更新と検索を目的として開発されました。Active Directory*のマイクロソフト、Novell® eDirectory™のノベル、Sun* ONE Directory ServerのSun社など、大手ベンダはどこもLDAPをディレクトリサービスの標準として採用しています。

LDAPディレクトリはさまざまな分野で広く使用されているため、シングルサインオン製品は、最新のインフラで効果的に動作するように、LDAPに対応したビルトインサポートを提供する必要があります。

優れたシングルサインオンの実装では、ユーザのシングルログインイベントのセキュリティを強化 するために、広範にわたる高度な認証方式 オプションが利用できます。

9

シングルサインオンの調査 www.novell.com

端末エミュレータメインフレームインフラのアクセスの多くは端末セッション経由で実行されるため、シングルサインオンソリューションでメインフレームやその他の テキストベースアプリケーションに適切な資格情報を提示するのは、さらに難しくなります。前のセクションで、シングルサインオンソリューションは、資格情報を提示するタイミングを認識し、これらの詳細情報を自動的に必要なログインウィンドウに入力することを説明しました。端末やその他のテキストベースの操作での問題は、ログインボックスや［OK］ボタンなどの画面オブジェクトがないことです。こうした種類の環境にシングルサインオンを対応させるには、通常、メインフレームや テキストベースのアプリケーションにアクセスするために使用する端末エミュレータとうまく統合できる、カスタム開発されたソフトウェアを使用する必要があります。一般に、端末エミュレータは、アプリケーションに組み込まれたシングルサインオンをサポートしており、これにより、端末セッションの一環として、いつどのように資格情報を入力するか認識できます。

端末アプリケーションには文字通り何百ものアプリケーションがあるため、使用するシングルサインオンソリューションがサポートできる端末エミュレータの種類は慎重に検討してください。HLLAPIメインフレーム端末エミュレータのサポートだけでは不十分です。市場には多数の端末エミュレータが販売されているので、購入する前に、シングルサインオンソリューションがお使いのメインフレームとその他のテキストベースアプリケーションを すべてサポートできることを確認する必要があり ます。

セルフサービスのパスワードリセットパスワード忘れやパスワードの紛失は、どの ITヘルプデスクにも共通する頭の痛い問題です。シングルサインオンは、記憶しておく必要があるパスワードの数を減らすことでこの問題に対応していますが、覚えておかなければならないパスワードが1つしかなくても、ユーザがパスワードを忘れる可能性はあります。

この問題を解消するのが、セルフサービスのパスワードリセットです。ユーザは、通常自分しか知らない一連の質問に答えることで、自分のパスワードを

リセットできます。容易にアクセスできるように、この種類のシステムの大半は、Webインタフェース経由で操作できます。普及率はこれに及ばないものの、他にも電話でパスワードをリセットできる音声認識システムなどがあります。しかし、こうした最新システムは非常に高価なことがあるため、多くの企業では、特別なハードウェアやインフラを追加する必要のない、単純なWebベースのパスワードセルフヘルプソリューションを選択してい ます。

シングルサインオンとセルフサービスのパスワードリセットは相互に補完するものですが、シングルサインオンとパスワードリセットアプリケーションの互換性を考慮することは重要です。この種類のソリューションを統合することを検討している場合、最大の互換性、簡素化、および低コストを実現するために両方の技術を提供しているベンダを探す必要があります。

第 3章 :セキュリティネットワーク化されたワークステーションとサーバのセキュリティはこれまでも重視されてきましたが、コンピュータネットワークが拡大し、システムへの依存性が高まるにつれて、さらに優れたセキュリティが求められるようになっています。

最新の大規模ビジネスネットワークの多くに見られる複雑さは、セキュリティの観点からは恐るべき ものです。標準的なインターネットへのオープン接続では、ほとんどの企業が、さまざまなレベルにおいてシステムを保護しなければならないという問題に直面しています。このため、概ねユーザは各エリアに対して別 に々認証される必要があります。

アクセス制御は ITセキュリティシステムの主要コンポーネントであり、最新技術や実績のある技術を使用して、外部からの攻撃やアクセスから機密情報を保護する必要があります。

認証システムは概して変化しておらず、ユーザ名とパスワード/PINの標準的なログインは、適切な人が適切な情報にアクセスし、それ以外にはアクセスできないようにするために使用されている 最も一般的な方法の1つです。

端末アプリケーションには 文字通り何百ものアプリケーションがあるため、使用するシングルサインオンソリューションがサポートできる端末 エミュレータの種類は慎重に検討してください。

10

ユーザは記憶するパスワードの数が少ないほど、セキュアなパスワードを選択することがわかりました。パスワードの数を減らすと、紙に書き留めたくなる誘惑も少なくなります。

パスワードの廃止 :利点と欠点

シングルサインオンには、労力を費やして設定 したセキュリティを部分的に排除してしまうという反対意見が常につきまとってきました。シングルサインオンで最終的に1つになるなら、なぜわざわざ異なる認証レイヤを6つも設定するのかということです。

この疑問に答えるには、6回のログインが実際にシステムのセキュリティを高めているのか、効率的なワークフローを妨げているだけなのかを考慮する必要があります。ユーザは本当にパスワードを記憶していたのでしょうか? それともどこかに書き留めていたのでしょうか? パスワードを記憶するために、「1111」や「abcd」などの推測されやすい値を選択している場合、これらのパスワードはどの程度安全でしょうか?

調査では、ユーザが記憶できるパスワードは3つまでであるにも関わらず、一般に6つ以上のパスワードを記憶しなければならないことが示されています。最近では、イギリスのハッカーによって、National Health Serviceから数万人の患者の記録が盗まれました。この盗難事件は、医療記録にアクセスするパスワードがコンピュータの横に貼り付けられていたために発生しました。

ユーザは記憶するパスワードの数が少ないほど、セキュアなパスワードを選択することがわかりました。パスワードの数を減らすと、紙に書き留めたくなる誘惑も少なくなります。つまり、記憶しなければならないパスワードの数を減らすことは、実際には多くの点で、システムのセキュリティを高めることになります。

セキュリティポリシー各セキュリティレベルの要件はアプリケーションによって異なるため、すべての企業がセキュリティポリシーを作成して、あらゆるシステムとアプリケーションでセキュリティを定義し、実施しています。そこで、シングルサインオンソリューションについて、さらに考慮すべき重要な点が生まれます。 企業のセキュリティポリシーすべてをサポートして強化する、柔軟性を備えたソリューションが必要だということです。シングルサインオンの実装は、パスワードの長さの定義と実施、許可する文字の

指定、パスワードの有効期限管理など、高度な パスワードポリシーに対応できるものでなければなりません。これにより、他の方法ではパスワードが設定できないアプリケーションにセキュリティポリシーを拡張できるようになります。

システムのセキュリティ

シングルサインオンの実装が参照する情報の種類は、サーバまたはローカルワークステーションの どこかに保存されたログインアカウント情報で、 機密性の高い情報になります。このため、悪意のある者が機密データにアクセスできないように、 資格情報のストレージソリューションのセキュリティを慎重に検討する必要があります。

資格情報の保管ほとんどのOSには、もともと脆弱性が存在するため、機密データへの不正アクセスを防ぐには、暗号化が実行可能かつ効果的な唯一の方法となります。

暗号化とは、与えられたアルゴリズムとキーの値を使用して数学的にデータを変更するプロセスです。使用可能なアルゴリズムの幅が非常に広く、最善の選択は、実行する必要がある暗号化の 種類によって決まります。データ保護の目的での実装ではトリプルDES（Triple Data Encryption Standard）やAES（Advanced Encryption Standard）などの業界規格のアルゴリズムを使用します。

アルゴリズムの選択と同様に、暗号化のキーの 長さは重要です。キーの長さには「ビット」が適用され、キーの値が何桁かが示されます。一般的なガイドラインとして、「ビット」長が高いほどキーは長く、暗号化から得られるセキュリティは強力になります。

資格情報が暗号化されているというだけで、外部からの攻撃に対して安全であると考えることはできません。データの暗号化と復号化で使用するキーのセキュリティも考慮する必要があります。一般的に、キーの値に関する情報を取得されると、キーで保護されているすべての資格情報が侵害されます。

11

シングルサインオンの調査 www.novell.com

結果として、どのようなシングルサインオンソリューションの背後にあるセキュリティでも、キー情報を安全に保護する設計が必要となります。 極めて安全性の高い方法には、次のようなものがあります。

キーをスマートカードなど、別のセキュアなデバイスに保存する。

キーはいかなる方法でも保存せず、PINやパスワードを使用して、ユーザがログインするたびにキーの値を派生させる。

最も大切なのは、攻撃者が簡単に発見する可能性があるため、ワークステーションにはキーの値を保存しないようにすることです。

資格情報の転送資格情報の保管を保護することはもちろん、サーバとワークステーションの間での資格情報データの転送を保護することも重要です。ネットワークの異なるノード間の通信回線は、通常、盗聴やトラフィックの監視などの攻撃から保護されていません。

転送中に資格情報のセキュリティを保持するには、ネットワークで通信内容を送信するときに、シングルサインオンアプリケーションがデータの暗号化を維持する必要があります。

高度な認証方式

すべてのセキュリティシステムには弱点があります。シングルサインオンでは、1つの弱いパスワードやPINが残りのシステム全体を侵害する可能性があるため、最初のユーザ認証に最大の弱点があります。優れたシングルサインオン製品は、ある程度の強さのパスワードを施行する機能がありますが、高セキュリティ環境ではこれでも十分とはいえないでしょう。この問題に対応するために、信頼できるシングルサインオンベンダの多くは、認証トークン、スマートカードまたはバイオメト リックスデバイスと製品を統合して、セキュリティを強化しています。

認証トークン トークンは、パスワードの代替として非常に広く 普及しています。トークンとは、液晶ディスプレイでワンタイムパスワードを発行する小型デバイスです。ワンタイムパスワードは、日時とトークンの秘密のシリアル番号を組み合わせる内部の数学的アルゴリズムにより計算されて作成される、8桁または10桁のパスワードで、ユーザ IDと共にシングルサインオンソリューションへのログインに使用できます。ワンタイムパスワードは1、2分程度で無効になるため、ハッカーが傍受して後から再利用することは困難です。

信頼できるシングルサインオンベンダの多くは、認証 トークン、スマートカード またはバイオメトリックス デバイスと製品を統合して、 セキュリティを強化してい ます。

図7. ネットワークでのセキュアな転送例

12

さらに高度なトークンでは、PIN入力と内部イベントカウンタを使用して、ワンタイムパスワードを計算します。PINの追加は、トークンをオンライン取引のデジタル署名に使用することがある銀行で普及しています。イベントカウンタは、ワンタイムパスワードが認証サーバに送信された回数を単純に数えるものです。イベントカウンタのワンタイムパスワードは、パスワードを使用した瞬間に有効期限が終了し、ワンタイムパスワードが有効な1、2分の時間はなくなります。このアプローチは、銀行、小売業、およびオンラインの証券取引会社で広く採用されています。時間ベースのトークンも時間 /PIN/イベントトークンも比較的低コストで導入できます。

スマートカード多くのベンダがスマートカードを販売しており、 この技術は、どの企業でも採用できるほど十分に成熟しています。スマートカードには、ワンタイムパスワードの生成、PKI資格情報の管理、eメールの暗号化、取引の署名、デジタル署名、およびビルに入る際の従業員バッジなど多数の用途が あります。

ワンタイムパスワードやPKI資格情報は、カードをスマートカードリーダーに挿入して、ユーザの秘密のPINを入力することでアクセスできます。また、シングルサインオン製品にログインする際に、通常使用されるユーザ IDやパスワードの代わりに使用できます。スマートカードがなければPINは役に立たず、スマートカードはPINがなければ役に立たないため、この組み合わせは一般的に、「二要素認証」または「強力な認証」と呼ばれています。

パスワードなどの一要素認証と比較すると、二要素認証ソリューションを盗み出すことはかなり困難です。ほとんどのハッカーやサイバー犯罪者は完全にネットワーク上で活動しているため、物理的なスマートカードを取得できないようにすることで 阻止できます。さらに、PINは、スマートカードと高度に保護されたPCソフトウェアの間でのみ交換されます。PINがネットワーク経由で送信されることはありません。また、スマートカードを貸し出している間はシステムを使用できないため、ユーザは他人に自分のスマートカードを貸したがりません。

選択するシングルサインオン製品は、少なくとも1つのスマートカードおよび1つの認証トークン製品と統合されているのが理想です。

生体認識

バイオメトリックスデバイスの範囲は拡大してい ますが、ソリューションを選択する場合は注意が 必要です。ほとんどの場合、バイオメトリックス 方式は、スワイプやスマートカードなどを追加して、多要素認証とすることで強化されます。

バイオメトリックスの世界では、デバイスの精度に十分な注意を払う必要があります。バイオメトリックスリーダーでは、通常次の条件で性能を測定します。

他人誤認率（FAR）: 不正ユーザが誤ってシステムに受け入れられる確率を示します。

本人拒否率（FRR）: 正しいユーザがシステムに拒否される確率を示します。

信頼できるメーカーは、FARおよびFRRの数値を公開します。さまざまなバイオメトリックス製品を調査する際は、可能な限りFARおよびFRRの数値が低いものを探してください。

選択するシングルサインオン製品は、少なくとも1つのスマートカードおよび1つの認証トークン 製品と統合されているのが理想です。

13

シングルサインオンの調査 www.novell.com

指紋認識指紋認識のコンセプトはかなり昔にさかのぼりますが、技術の発達により、信頼して使用および実装できるようになったのはごく最近のことです。こうした種類のハードウェアを販売するプロバイダの数の増加により、指紋認識方式は、コスト効率の最も高いバイオメトリックス方式となりました。

通常、指紋の精度は、指紋リーダーが抽出する特徴点の数で測定されます。こうした指紋認識に関連したセキュリティおよび信頼性が、認識に使用するハードウェアの品質に大きく依存していることは明らかです。この種類のアプローチを検討する場合、問題なく効果的に操作できるように、必要があります。

掌形認識 ユーザの掌の認識は、手の大きさ、指の長さ、厚さ、曲がり、関節間の距離と関節の形状、および全体的な骨格に基づいて測定されます。

精度に疑問が呈されることもありますが、メーカーは、FARもFRRも平均 0.1%、つまり1,000に 1つであると主張しています。掌形認識用スキャナを実装するコストは、通常、指紋認識より高くなります。掌形認識用スキャナは、さまざまな政府機関で広く使用されています。この方式の主なメリットは、認識が迅速で簡単なことです。

眼球認識 人間の眼球は存命中変化しないため、依然として生体アイデンティティ認識の最良の情報源の1つとみなされています。この技術は、虹彩認識と網膜認識に分類されます。いずれも、ビデオベースのシステムであり、ユーザの眼球を撮影して、さまざまな特徴を測定します。

このシステムのメリットはエラー率が極めて低いことであり、このため、セキュリティが最高度の

施設で眼球スキャナが見られます。必要なハードウェアが非常に複雑であり、限られた数量しか製造されていないため、虹彩スキャナも網膜スキャナも、莫大なコストがかかります。

第 4章 :維持管理経費インフラにどのような種類の変更や追加を行う場合も、それによる維持管理経費を慎重に検討してください。

統合コスト

実装するシングルサインオンソリューションの種類に応じて、次に挙げる多数の重要なコスト要素を入念に検討する必要があります。

購入とライセンス インフラの変更 アプリケーションの統合 ユーザビリティとトレーニング

購入とライセンスシングルサインオンの初期投資は、主にシステムが対応するユーザ数に左右されます。企業およびボリュームライセンスディスカウントのほかに、 考慮すべき点は、技術サポート契約などの継続的コストです。優良なシングルサインオンベンダは、一般的に製品の統合をサポートし、24時間グローバルテクニカルサポートを提供しています。

インフラの変更選択するシングルサインオンの実装により、新しいシステムを受け入れるためにインフラを大幅に変更しなければならない可能性があります。これは、特殊な認証サービスへの接続が必要なシステムに対応する場合に多く、特にPKIソリューションやバイオメトリックス用のハードウェアがあてはまります。

優良なシングルサインオンベンダは、一般的に製品の 統合をサポートし、24時間 グローバルテクニカル サポートを提供しています。

14

中規模から大規模の統合では、クライアントワークステーションへの配信が集中管理されたサーバから自動化され、実行できることを必ず確認してください。

シングルサインオンを統合するソリューションは、既存のアプリケーションやハードウェアを大幅に 変更する必要がないのが理想です。最高のシングルサインオン製品は、柔軟性に優れ、ニーズに応じて設定できるので、ほとんどの既存環境に 統合できます。

アプリケーションの統合統合作業の規模は、シングルサインオンに対応 させる必要があるアプリケーションの数に応じて 変化します。組織の規模が大きくなるにつれて、アプリケーション数も増加していきます。こうした状況では、完全で効果的なシングルサインオン ソリューションを設計し、実装するには、多大な 作業が必要になります。

中規模から大規模の統合では、クライアントワークステーションへの配信が集中管理されたサーバから自動化され、実行できることを必ず確認してください。ほとんどのサーバアーキテクチャは、自動インストール戦略およびツール（Novell ZENworks®、SMS、およびその他のソフトウェア配信パッケージ）をサポートしています。ソリューションの導入にかかる時間とコストを最小限に抑えられるよう、使用するツールの互換性を確認してください。

図8が示しているように、シングルサインオンを各ワークステーションに手動で統合するのは、少数のユーザには適している場合もありますが、ユーザ数が増加すると、一般的には、自動化がコスト削減に直結します。

図8. アプリケーションの手動による統合と自動的な統合のコスト

15

シングルサインオンの調査 www.novell.com

第2章で扱った主要なポイントは、シングルサインオンが、広く普及しているさまざまなアプリケーションにビルトインサポートを提供する必要があるということでした。これは統合の観点から重要なことで、レガシアプリケーションを新しい環境に統合するために再設計しなければならないような事態を回避できます。

ユーザビリティとトレーニング新しい技術は、常にトレーニングという課題を伴います。シングルサインオンソリューションによるユーザや ITシステム担当者への影響は、最小限に抑えるようにしてください。シングルサインオンにより、透過的な操作と一元管理が実現します。製品は、高価なトレーニングを最小限に抑えられるか、そういったトレーニングが一切不要なほど、簡単に使い方をマスターできるものでなければなりません。

投資収益率

シングルサインオンソリューションを最終的に評価するのは、企業が得られる投資収益率（ROI） です。シングルサインオンは、生産性を強化するよう設計されているため、アプリケーション全体で堅実なROIの数字を示す必要があります。不適切な種類のシングルサインオンソリューションは、効果的な収益率を劇的に減少させる場合がある ことを覚えておきましょう。

図9が示すように、シングルサインオンに適切な機能セットは、システムがサポートする必要があるユーザ数に応じて大きく変化します。

また、質的なROIの測定には、シングルサインオンの導入が影響する外部の要因も含める必要があります。パスワード管理の問題はビジネスの多くの領域に影響を及ぼし、このために企業は毎年、 膨大な時間とコストを費やしている可能性があります。

不適切な種類のシングルサインオンソリューションを選択すると、得られる効果が大幅に縮小される場合があることを認識してください。

ユーザ数 500人 1,000人 5,000人 10,000人

ヘルプデスクへの年間平均問い合わせ件数 8,100件 16,200件 81,000件 162,000件

ヘルプデスクが実行した年間のパスワードリセット回数 2,025回 4,050回 20,250回 40,500回

パスワードのリセットにかかる年間コスト 42,525ドル 85,050ドル 425,250ドル 850,500ドル

シングルサインオンを使用した場合の、パスワードに関連する 問い合わせの年間コスト

8,505ドル 17,010ドル 85,050ドル 170,100ドル

パスワードリセットにおけるコスト削減 34,020ドル 68,040ドル 340,200ドル 680,400ドル

毎年すべてのユーザのログインにかかる平均コスト 14,375ドル 28,750ドル 143,750ドル 287,500ドル

シングルサインオンを使用した場合の、毎年すべてのユーザの ログインにかかる平均コスト

4,313ドル 8,625ドル 43,125ドル 86,250ドル

生産性向上による年間のコスト削減の概算 10,063ドル 20,125ドル 100,625ドル 201,250ドル

年間総コスト削減額 44,083ドル 88,165ドル 440,825ドル 881,650ドル

損益分岐点までの月数 13.8 11.1 10.2 10.1

図9. 投資収益率の概要

表1. シングルサインオンによるコスト削減とROIのまとめ（すべてUS ドル表示）

16

シングルサインオンの各種 オプションは、それぞれの 環境の状況に合わせて慎重に評価する必要があります。

第 5章 :まとめシングルサインオンは、ほぼどの環境でも利点が得られることを証明しました。技術の進歩により、また、管理やセキュリティも強化できます。

シングルサインオンを適用できるインフラは多岐にわたるため、平均的な ITシステムに最適の ソリューションについて普遍的なアドバイスをすることはほぼ不可能です。多様なシングルサインオンのオプションは、それぞれの環境の状況に 合わせて慎重に評価しなければなりません。基本的に、成功するシングルサインオンシステムは、次の点を備えています。

大規模組織の変化するニーズに対応。新しい ソフトウェアをシングルサインオン用に容易にインストールして設定できる必要があります。

業界規格とオープンアーキテクチャの採用。シングルサインオンシステムには、既存のほとんどのソフトウェアとの互換性が必要です。

モバイルユーザに容易に対応。リモートユーザやローミングユーザがシングルサインオンの資格情報にアクセスでき、必要に応じて更新できなければなりません。

容易な管理、迅速な導入、および高可用性。シングルサインオンシステムは、効率的に稼働し、ユーザが簡単に操作でき、管理者が容易に制御および保守できる必要があります。

ユーザに対してシームレス。ユーザがアプリケーションに2回目にログインしたときには、1回目と同じように見える必要があります。また、ログイン後にアプリケーションを開くときには、ユーザの認証操作は不要でなければなりません。

セキュアである。パスワードの保存および再生メカニズムに、秘密を盗み出す余地があることは許されません。ユーザ名およびパスワードは、暗号化され、セキュアなデータベースに 保存する必要があります。

高いコスト効率。シングルサインオンシステムは、コストを削減し、維持管理経費を低減する必要があります。

既存の投資の価値を拡大。シングルサインオンシステムは、別のアプリケーションサイロとして機能するのではなく、インフラ上に構築できる必要があります。

強力な認証方式をサポート。シングルサインオンシステムは、スマートカード、認証トークン、およびバイオメトリックスを容易に追加できなければなりません。

シングルサインオンは長い間、ログイン数の増加とパスワード管理の課題に対応する究極のソリューションとうたわれてきました。技術の成熟により、使いやすさ、コスト削減、パスワードセキュリティの強化が得られれば、シングルサインオンは、 ついに長年のうたい文句を現実のものにすることになります。

17

シングルサインオンの調査 www.novell.com

www.novell.com

お近くのノベルソリューション プロバイダ、または ノベルまでお問い合わせください。

オーストラリア1-800-668-355

中国（N）10-800-713-1244（S）10-800-130-1205

香港852-2588-5288

インド91-80-4002-2300

日本0120-948-059

マレーシア60-3-7722-6100

ニュージーランド0800-441-671

シンガポール65-6395-6888

韓国82-11-3131-464

台湾8862-2737-0946

ノベル株式会社〒141-8551東京都品川区西五反田3-6-21住友不動産西五反田ビルhttp://www.novell.com/ja-jp/

462-JA2014-002 | 10/09 | © 2009 Novell, Inc. All rights reserved. Novell、Novellロゴ、Nロゴ、およびZENworksは、Novell, Inc.の米国および その他の国における登録商標です。eDirectoryは、Novell, Inc.の米国およびその他の国における商標です。

*全ての第三者の商標は、それぞれの商標権者に帰属します。

Novell Logo1 The registered trademark, ®,

appears to the right and on thesame baseline as the Logo.

Minimum Size RequirementsThe Novell Logo should NOT beprinted smaller than 3 picas(0.5 inches or 12.5 mm) in width.

Clear-space Requirements2 Allow a clean visual separation

of the Logo from all other elements.The height of the "N" is themeasurement for the minimumclear-space requirements aroundthe Logo. This space is flat andunpatterned, free of other designelements and clear from the edgeof the page.

3 picas(0.5 in)

(12.5 mm)

21 3

3