企業のIT環境におけるSaaSの比重は高まるばかりだ。つい数年ほど前には、ごく一部のアプリケーションのみをSaaSとして利用する企業が多かった。いまでは、ミッションクリティカルな基幹システムを含めてSaaSに移行、あるいは検討している企業も少なくない。
企業のSaaSシフトが鮮明になるなかで、いま改めて注目を集めているのがシングルサインオンである。日本CAの楠木秀明氏は次のように説明する。「まず、活用しているSaaSアプリケーションの数が増えました。いまでは、オフィス系やSFAをはじめ、あらゆる分野でSaaSが使われています。この流れは、今後さらに強まるでしょう。加えて、ユーザー側ではデバイスが多様化しています。オフィスのデスクトップPCだけが社内システムへの入口だった時代から、マルチデバイスを活用する時代に移り変わっています。業務によっては、モバイル環境にも対応しなければなりません」
アプリケーションの種類、デバイス環境がともに多様化・複雑化するなかで、情報漏えいなどのリスクは高まっている。ユーザーが自宅やネットカフェからSaaSを利用するケースもあるだろう。ユーザーが中座したときに、誰かが重要情報を盗み見ることがあるかもしれない。また、アクセス制御が実施されておらず、ユーザーが業務に必要のない情報を取得可能な状態で放置している企業も多い。
「セキュリティの担保という観点から、SaaSアプリケーション対策に対する『認証』や『認可』の基盤としてのシングルサインオンを再構築する企業が増えています。ITの構造変化に対応し、10年後を見据えたシングルサインオン環境(図1)をつくろうとしている企業も少なくありません」と楠木氏は続ける。
シングルサインオンというと、「アプリケーションごとにID/パスワードを入力する面倒をなくす手段」と見られることが多い。もちろん利便性も大きなテーマだが、企業活動における情報ガバナンスにおけるリスク管理はそれ以上に重要だろう。
以下では、企業ITの要として再び注目度が高まるシングルサインオンについて、導入のポイントを考えてみたい。