「Googleアカウントでログイン」
──最近では、いろいろなアプリやサービスで見かけるようになりました。
わざわざパスワードを登録せずに使えるのは、たしかに便利です。
この仕組みは「シングルサインオン(SSO)」と呼ばれ、1つのアカウントで複数のサービスにログインできる技術です。
「便利そうだけど、なんだかちょっと不安…」
そう感じる方もいるかもしれませんが、基本的には信頼性の高い方法として広く使われています。
この記事では、そんな「シングルサインオン」の仕組みやメリット、安心して使うために知っておきたいポイントについて解説していきます。
1. Googleアカウントでログイン|シングルサインオンとは?
Webサービスを利用しようとするとき、「Googleで続ける」というボタンをよく見かけます。
これはシングルサインオン(SSO)という仕組みで、1つのGoogleアカウントで複数のサービスにログインできる方法です。便利そうに見えますが、「普通にやるのと、どっちが安全なの?」と気になる方も多いはずです。
「便利だから使っている」という方や、「よく分からないから、使ってない」という方もいると思います。
実際、使ってみると、登録も早くて簡単ですし、毎回のログインの手間も少なく、かなりストレスフリーです。
ただ、「なんとなく便利そう」で使うよりも、ざっくりとでも仕組みを知っておくと、より安心して活用できます。
そこでまず、このシングルサインオンがどう動いているのかを簡単に押さえ、その上で安全性を確保するためのポイントを見ていきましょう。
シングルサインオン(SSO)の仕組み
通常、新しいWebサービスを使うときは、そのサービス専用のIDとパスワードを作ります。
一方、シングルサインオンでは、ユーザーがGoogleの認証情報をサービスと連携することで、認証の代わりとしています。
サービス側はGoogleの確認結果を信頼し、追加のパスワード登録なしで利用を許可する仕組みになっています。
✅️ それって安全なの?
Googleのシングルサインオン(SSO)は、主にOAuth 2.0という認可の仕組みを使っています。
名前は覚えなくても大丈夫です。当記事でも、概要以上のものは専門的過ぎるので、深入りしません。
ただ、ざっくりと流れを眺めておくことで、安全性を考える材料にはなると思います。
以下ステップは、利用したいサービスのログイン画面で、「Googleで続ける」を、ユーザーがクリックしたところから始まります。
ユーザーがサービス提供者にログインを要求します。
サービス側が認証情報の確認をGoogleに依頼します。
Googleからユーザーに、アカウントのどの情報にサービス側がアクセスするかを表示します。
上記STEPを、ユーザーが承認します。
一応、ユーザーが確認すべきことがあるとすれば、この共有される情報です。
下図のものでは、「名前」「プロフィールアイコン」「メールアドレス」へのアクセスを許可を求めていて、必要最低限なので許容できるものです。
Googleによれば、基本的に共有する情報はこの3点のみということのようです。
承認後、Googleは認証情報を証明するトークン(一時的な電子キー)をサービス側に渡します。
トークンを受け取ったサービス側は、それを認証情報の代わりとして、利用を許可します。
安全面でのポイントは、「Googleアカウントのパスワード」がサービス側に渡る工程が無いことです。
実際、サービス側へ共有される情報は、承認時に表示されるものに限られています。
このように、SSOは「Googleが代理で身元を保証する」仕組みによって、プライバシーが保護されています。
むしろ、その安全性はGoogleアカウントのユーザーの管理の仕方に、より依存します。
2. 安全性を高めるにはパスワード管理が重要
シングルサインオンを利用する・しないに関わらず、結局は基本のセキュリティ対策に戻ってきます。
通常想定される使用であれば、シングルサインオンの安全性は充分担保されています。
ここで少し視点を広げて、セキュリティ対策全体の考え方に触れてみましょう。
先ほど「通常想定される」と言いましたが、では「通常想定されない」事態とは?
それは、あなた個人を明確に狙ったハッキング行為などです。
ただこれは、確率はかなり低く、もし起こってしまった場合には、対策のしようがありません。
あまり現実的な対策をする意味がないのです。
逆に対策が必要なのは、もっと確率の高いこと。
例えば「不特定多数」に対して、「単純な仕掛け」をばらまくような攻撃です。
こう考えれば、セキュリティ対策がもっと明確になってきます。
シングルサインオンを利用するにあたって、ユーザーが注意すべきことは、特別なことではありません。
インターネットを使用するときの、基本的なセキュリティ対策が大事になってきます。
もう少し具体的には、以下のようなことです。
フィッシングメール・フィッシングサイトなどの、詐欺行為から身を守る
パスワードを盗まれないような保管場所を決める
ちょっと耳馴染みになってしまったフレーズではありますが、大事だからよく聞くと思って間違いありません。
つまりは、ログイン情報を、安全に使って安全に管理する必要があるのです。
ログイン情報の安全性を高めるには?
ここまで見てきて分かるように、シングルサインオンを利用する際の安全対策は、通常のログイン情報の管理上の注意と変わりません。
つまり、以下のことに気をつけましょう。
簡単なパスワードを避ける
1つのパスワードを使い回さない
パスワードを、他人の目に触れる場所に残さない
そのためには、パスワード管理ツールを利用するのが最善です。
パスワード管理ツールは、インターネットを活用するうえでは、欠かせないものです。
管理ツールはできれば、デバイスやブラウザに依存しないツールの方が、使い勝手は良いです。
ただ、始めは慣れるという意味でも、無料で始めてみてもいいと思います。使ったことがなければ、ぜひ使ってみましょう。
以下の記事で、おすすめの管理ツールを紹介していますの、参考にしてください。
また、パスワード管理の基本的な考え方について、おさらいしたい場合は、以下の記事も参考にしてみてください。
3. 今すぐできる安全設定|Googleアカウントで確認すべき項目
シングルサインオンを利用するにあたって、安全性を確保するには、ユーザー側の管理の方が重要だという話をしてきました。
ここでは、Googleアカウントに関わる、安全設定について確認します。
パスワード管理に加えて対策することで、より安全に活用することができるようになります。
1. 二段階認証を有効にする
二段階認証とは、パスワードに加えて、もう1つの確認方法を使ってログインする仕組みです。
パスワードでのログイン通知を、SMSやアプリで追加認証することになります。なので、少しの手間を挟むことになりますが、安全性はより高まります。
特にクレジットカードなど、決済手段を紐付けているアカウントでは、推奨される設定です。
→ Googleアカウントのセキュリティ設定(https://myaccount.google.com/security)から有効化することができます。説明に従って設定してみましょう。
2. 連携サービスを定期的に見直す
現在アカウント連携しているサービスは、Googleのアプリアクセス管理画面(https://myaccount.google.com/permissions)から確認することができます。
もう使用していないサービスなど、不要な連携はこの管理画面から削除することができます。
整理したいとき、もしくは定期的に確認しておくと安心です。
4. まとめ
Googleアカウントなどを使ったシングルサインオンは、登録やログインを簡単にしてくれる便利な仕組みです。
実際使ってみると、かなり便利です。
さらに、シングルサインオン自体の安全性も、しっかり考えられた設計になっていることもわかります。
しかし、1つのパスワードに複数のサービスが紐づくため、漏洩時のリスクは大きくなります。
ただし、これはユーザー側の管理に依存していて、特別な対策は必要ではなく、一般的なセキュリティ対策が大事になってきます。
以上の対策を講じることで、強い環境を作ることが可能です。
パスワード管理ソフトは何がオススメ?
パスワード管理ツールについては、無料で使えるものがあります。
まずは使い始めてみることをオススメします。
ただし、PCとスマホで連携して使用することを考えると、デバイスやブラウザに依存しないツールが望ましいです。
その中でも、1Passwordは使いやすさと性能面から見ても、現状最もオススメするツールになります。
導入の仕方や、コストを抑えて購入する方法など、解説していますので、参考にしてみてください。
