企業SSO導入チェックリスト
SSO の導入・運用で抜け漏れが起きやすい観点を、要件定義から監査・障害対策まで一覧化しました。情シス・セキュリティ担当の検討資料としてご活用ください。
1. 要件定義・棚卸し
- SSO 対象にする SaaS / 社内システムを洗い出した
- 各サービスの対応規格(SAML / OIDC / SCIM)を確認した
- 利用ユーザー数・拠点・外部委託先の範囲を定義した
- 既存の認証基盤(AD / LDAP / 各SaaS個別ID)との関係を整理した
2. IdP 選定
- 必要な規格(SAML/OIDC/SCIM)に IdP が対応している
- MFA・パスキー・条件付きアクセスの要件を満たす
- 国内サポート・SLA・価格が要件に合う
- 既存スイート(M365 / Google)との親和性を評価した
3. 認証強度(MFA / パスキー)
- 全ユーザーに MFA を必須化する方針を決めた
- フィッシング耐性のある方式(パスキー/FIDO2)を優先している
- 管理者アカウントを特に強固に保護している
- バックアップ手段(リカバリコード等)を用意した
4. プロビジョニング / 退職者対応
- 入社・異動・退職のアカウント連携(SCIM 等)を設計した
- 退職時に全 SaaS のアクセスが即時遮断される導線がある
- 休眠アカウント・棚卸しの定期運用を決めた
- 特権アカウントの管理・棚卸しを行っている
5. TLS / 証明書運用
- IdP・各アプリ・API のすべてが HTTPS(TLS)化されている
- SAML 署名証明書・SP/IdP メタデータの有効期限を管理している
- サーバー証明書の有効期限を監視し、更新を自動化している
- 証明書短寿命化(将来 47 日)に向けた更新運用を準備している
6. 監査・ログ
- 認証ログ・アクセスログを取得・保管している
- 異常ログイン(不審な国・時刻・連続失敗)を検知できる
- 監査要件(保管期間・証跡)を満たしている
7. 障害・事業継続
- IdP 障害時の影響範囲を把握している(SSO は単一障害点になりうる)
- 緊急時のフォールバック手段・連絡体制を決めた
- 証明書期限切れによる SSO 停止を防ぐ仕組みがある
- 定期的に復旧手順を確認している
よくある質問
- SSO を導入すれば MFA は不要ですか?
- いいえ。SSO は『入口を一つにする』仕組みで、その入口を守る MFA とセットで初めて安全になります。むしろ入口が一つになる分、そこを強固にする必要があります。
- SCIM は必須ですか?
- 必須ではありませんが、退職者のアクセスを確実かつ即時に遮断するには SCIM などの自動プロビジョニングが有効です。手作業の削除は漏れの温床になります。
- 証明書の期限切れで SSO が止まることはありますか?
- あります。IdP やアプリのサーバー証明書、SAML 署名証明書が期限切れになると認証連携が停止します。有効期限の監視と更新自動化が重要です。