【コラム】OpenAMの注目機能「多要素/リスクベースの認証」と「OpenID Connect」 <OpenAMによるシングルサインオン(第3回)>

OpenAMの注目機能 新しい利用シーンに応じた機能について
~B2B、B2Cへの利用拡大で必要性が高まる、使いやすさと安全性の両立~

第3回では、シングルサインオン(SSO)システムの利用が、取引先へのシステム提供(電子購買サイト等/B2B)、自社顧客へのシステム提供 (会員向けサイト等/B2C) へと拡大する中で、必要となってきている機能について解説します。

全4回シリーズ OpenAMによるシングルサインオン

B2B、B2Cへ利用が拡大するシングルサインオン(SSO)システム

昨今、多くの企業で、取引先向けのシステム(B2B)、会員サイトやカスタマポータルといった自社顧客向けのシステム(B2C)を対象とした、シングルサインオン(SSO)システムの導入が進められています。

これまでバラバラに作られてきたB2B,B2C向けシステムを対象に、システム利用時のログインIDの統一、シングルサインオン(SSO)の実現、アカウント登録の簡便化、などを図ることで、取引先や顧客によるシステム利用を促し、事業収益拡大につなげることが狙いとされています。

そのため、企業内で導入してきたシングルサインオン(SSO)システム以上に、ユーザーに使ってもらうための、分かりやすさ、使いやすさが求められています。

一方で、システムへのアクセスは、あらゆる場所からインターネット経由で行なわれるため、安全性の確保が求められますが、安全性と使いやすさが両立できることが必要となります。

安全性と使いやすさを両立する注目機能 (1)
多要素認証

クラウドサービス、B2B向けシステム、B2C向けシステムはインターネットのどこからでもアクセスして利用できます。このようなシステムでは、認証機能がデータを安全に保つための最後の砦であるといわれています。

ユーザー自身が記憶するパスワードによる認証は、パスワード長、文字種組合せに限界があり、またユーザー自身が記憶できるパスワード数に限界があることによる、同一パスワードの使い回しの問題もあることから、システムを利用する上で必ずしも安全なものとは言えません。

そこで、記憶するパスワード以外の要素、つまりモノを持っているかどうかとパスワードとを組み合わせる方式が、認証を強化する有効な手段となります。

このような方式は、多要素認証と呼ばれ、モノとして使えるものとして、

 1. ワンタイムパスワードのトークン (ハードウェア型/ソフトウェア型)
 2. スマートフォン (SMSを使った認証)
 3. 電子証明書

などが、現在普及している方式となります。

OpenAMではOATHと呼ばれるワンタイムパスワードの技術標準に対応しており、OATHに対応したトークンを使ったワンタイムパスワード認証を簡単に実現できます。

安全性と使いやすさを両立する注目機能 (2)
リスクベース認証

多要素認証の多くの方式は、認証をする時点でモノを持っていることを証明するために、トークンの操作や追加のパスワードの入力などの操作が必要であることが多いため、多要素認証の利用はユーザーの使いやすさを損なう要因にもなりえます。

そこで、安全性とユーザーの使いやすさを両立する方式として、リスクベース認証と呼ばれる機能が現在注目されています。

リスクベース認証ではユーザーがシステムを使用する環境に関する情報である、時間帯、ネットワーク(IPアドレス)、デバイスなどの情報から、通常のパターンに合致した利用か否かを判定し、一定以上の差異があった場合に追加の認証を求めます。

多要素認証と組み合わせることで、

  1. 初めて利用する場合は、多要素認証を使って安全に認証
  2. 同じ環境で使っている限りは、ユーザーIDとパスワードだけで簡単に認証
  3. 環境が大きく変わった場合は、不正アクセスの可能性を疑い、多要素認証をつかって確実に認証

といった認証方法の使い分けを実現し、安全性と使いやすさを両立することができます。

OpenAMの最新版では、アダプティブリスク認証という名称でリスクベース認証の機能が実装されており、前述の多要素認証と組み合わせて使うことができます。

安全性と使いやすさを両立する注目機能 (3)
OpenID Connectを使ったソーシャルログイン、取引先IDでのログインへの対応

B2C向けのサイトでは、ユーザー自身にユーザー登録をしてもらい、会員サイトやカスタマポータルシステムなどを利用する方法をとります。この方法は、

  1. ユーザー登録時の入力項目が多く、登録前にユーザーがサイトから離脱する
  2. 新しいユーザーIDとパスワードをユーザー自身に割り当てるため、ユーザー自身のユーザーIDとパスワードの管理が煩雑となる

という点に課題があります。

そこで注目される技術が、OpenID Connectを使ったソーシャルログイン機能です。みなさんが使っているサービスに「Facebookでログインする」、「Sign in with Google」などのボタンが配置されているのを見たことがある方も多いでしょう。あの機能です。

このボタンを使うことで、

  1. ユーザー登録に必要な情報の一部あるいはすべてを、ソーシャルアカウントに登録したものを使って自動設定できるため、ユーザー登録が簡単に行なえる。
  2. ソーシャルサービスにログイン済みであれば、追加のログイン操作なくサイトへのログインを完了し各種機能が使える、非常に便利なサイトにすることができる。
  3. 2段階認証、多要素認証などの機能を、ソーシャルログインに任せることができるため、ユーザーは自分が望む認証方式を選択できる。また、B2Cサイト運営者は多要素認証の機能を実装する必要がなくなる。

などのメリットがあります。

OpenAMでは、OpenID Connectを使ったソーシャルログインの機能に対応しており、最新のバージョンでは、Google, Facebook, Microsoft Accountについては、ウィザードを使って簡単に設定することもできます。

このような方式は、現在B2C向けサイトで普及が進んでいますが、今後はB2Bの分野でのシステム相互利用でも、ユーザーは自社の仕組みで認証されていれば、B2Bサイトを利用できるといった使い方への応用が期待されています。

次回は、オージス総研が提供するエンタープライズ向けOpenAMソリューション 「ThemiStruct-WAM(テミストラクト-ワム)」について解説します。

---------------------------------------------------------------------------------------------

Next 第4回 エンタープライズ向けのOpenAM 「ThemiStruct-WAM (テミ ストラクト ワム)」

---------------------------------------------------------------------------------------------

本コラムに関連するソリューション(ThemiStruct-WAM)ページに移動

関連サービス