エグゼクティブサマリー
クラウドサービスが急速に拡大する中、多くの企業は従業員認証をシングルサインオン(SSO)で管理することを選んでいます。しかし、SSOがすべての認証課題を解決するわけではありません。むしろ、それには程遠いのです。
SSOはアプリケーション間の認証を統合し、ユーザーが覚える必要のあるログインやパスワードの数を減らしてユーザー体験を簡素化するとともに、より多くのアプリケーションで強力な認証を確保することで企業のセキュリティを高めます。現在、多くの企業はSSOを実装するために、Security Assertion Markup Language(SAML)またはOpenID Connect(OIDC)のいずれかのアサーションプロトコルを使用しています。
IT管理者とビジネスリーダーを対象にした最近の調査で、Bitwardenは大多数の組織がアプリケーションを保護するためにSSOを利用している一方で、多くの組織にはまだSSOに対応していないアプリケーションが多数あることを明らかにしました。回答者は、レガシーアプリケーションがSSOに対応していないことが多く、また多くのSaaSアプリケーションプロバイダーが最も高額な「エンタープライズ」サブスクリプションでしかSSOを提供していないと指摘しています。
その結果、多くのアプリケーションがSSOの対象外となっています。しかも、それらは重要性の低いアプリケーションではありません。多くの回答者は、非SSOアプリケーションのセキュリティリスクを大きいと評価しており、5分の1はすでにこれらのアプリケーションに関連するセキュリティインシデントを経験しています。
つまり、ある回答者が述べたように、SSOは「万能薬」ではありません。別のソリューションで補完する必要があり、多くの回答者によれば、パスワードマネージャーはその両方の利点を提供します。
主な調査結果
89%の組織がSSOを利用していますが、大多数(57%)にはまだSSOに対応していないアプリケーションが最大50個あります。
回答者の半数以上(62%)が、組織で安全な認証を実現するにはSSOだけでは不十分だと回答しています。
非SSOアプリケーションへの認証を保護する際、組織にとって最大の課題はシャドーITアプリケーションであり、65%が挙げています。
回答者は、Bitwarden Password ManagerがSSOに対応していないアプリケーションの保護に有効だと述べており、主なメリットとして85%がセキュリティの向上、83%が認証情報リスクの低減を挙げ、70%がログインの効率化を挙げています。
89%の組織がSSOを利用していますが、57%にはSSOに対応していないアプリケーションが最大50個あります。
回答者の85%が、Bitwarden Password Managerの主なメリットとしてセキュリティの向上を挙げています。
非SSOアプリケーションへの認証を保護する際、組織にとって最大の課題はシャドーITであり、65%が挙げています。
回答者の半数以上(62%)が、組織で安全な認証を実現するにはSSOだけでは不十分だと回答しています。
すべてのアプリをカバーできなくても、SSOは広く使われている
クラウド時代の到来以来、SSOの人気は高まってきました。SSOは組織のセキュリティ体制を改善し、エンドユーザー体験を向上させます。そのため、今回の調査で回答者の89%が自組織でSSOを利用していると答えたのも当然です。
SSOが大きな効果をもたらす理由の1つは、企業がサポートする必要のあるアプリケーションの数が非常に多いことです。組織の3分の2(66%)は組織全体で100を超えるアプリケーションを管理しており、27%の組織は300を超えるアプリケーションを管理しています。
しかし、その多くのアプリケーションはSSOによる認証に対応していません。調査対象の組織の大多数(回答者の57%)は、まだSSOに対応していないアプリケーションが最大50個あると回答しており、14%はSSOに対応していないアプリケーションが100個を超えると回答しています。
数値で見るSSOのギャップ
SSOに対応していない組織のアプリケーション | 回答者 |
|---|---|
1~50 | 56.6% |
51~100 | 15.7% |
101~200 | 7.2% |
201~300 | 3.6% |
201~300 | 3.6% |
不明 | 13.3% |
「SSOにより、ユーザーは一度認証するだけで複数のシステムにアクセスできるようになり、アクセスが簡素化されます」と、ある回答者は述べています。「しかし、レガシーシステム、サードパーティーツール、シャドーITなど、すべてのアプリケーションをカバーできるわけではありません。」
SSOの実装において、Microsoft Entra IDは圧倒的に人気のある選択肢で、回答者の40%が組織の認証保護に使用しています。さらに12%がOkta、7%がGoogle Identityを使用しています。
使用するプラットフォームにかかわらず、また制限があるにもかかわらず、SSOには大きなメリットがあります。あるリーダーはこう述べています。「対応しているすべてのアプリケーションでSSOを使用することで、認証を一元化し、ライフサイクル管理を簡素化し、セキュリティを強化できます。」
ほとんどの組織にとってSSOだけでは不十分
いまだに非常に多くのアプリケーションがSSOに対応していないことを考えると、回答者の半数を大きく上回る62%が、組織が安全な認証体制を実現するにはSSOだけでは不十分だと回答しているのも不思議ではありません。
SSO非対応アプリケーションのリスクは現実のものです。回答者のほぼ5分の1(18%)が、SSOで保護されていないアプリケーションまたはアカウントに関連するセキュリティインシデントを組織で経験したと述べています。驚くべきことに、それを経験したかどうかさえわからないという回答者はそれをやや上回る19%にのぼりました。これはおそらく、こうしたSSO非対応アプリケーションの多くが、ITチームの管理や監督の外にある「シャドーIT」であるためです。
その結果、ほとんどの組織では、アプリケーションのセキュリティを確保するために追加の方法を使用しています。SSOの対象外にあるアプリケーションを保護するために組織が使用している主な手法は、パスワード管理と多要素認証(MFA)ソリューションです。
ある回答者は、自社のアプローチを次のようにまとめています。「可能な限りSSOプロバイダーを使用し、強力な2FAを徹底し、SSOと統合できないアカウントには安全な補完手段としてパスワードマネージャーを使用します。」
従業員が認証のベストプラクティスを理解できるようにするには、追加のセキュリティレイヤーに加え、積極的なコミュニケーションと教育も不可欠です。
「SSOは万能薬ではありません」と、ある回答者は述べています。「アプリケーションデータを保護するために、追加の制御策が導入されていることを確認してください。」
SSOまたはパスワード管理以外でアプリケーションを保護する方法
66% - 2FAまたはMFA
35% - 従業員が管理するメールとパスワード
21% - SAMLレスSSO
18% - パスキー
16% - 特権アクセス管理
6% - アプリケーションプロキシ
1% - その他
SSO非対応アプリケーションは影響度が高い場合が多い
SSOがすべての「重要な」アプリケーションをカバーしており、その対象外のアプリケーションはセキュリティ上重要ではないと考えているなら、考え直す必要があります。
回答者の4分の1が、SSOに対応していないアプリケーションは組織にとって「かなりのリスク」または「高リスク」をもたらすと評価しました。多くがビジネスへの影響度が高いアプリケーションであり、機密データを含み、脆弱なパスワードによって容易に侵害される可能性があり、場合によってはMFAに対応していないと指摘しています。
さらに35%が、これらのアプリケーションは少なくとも「中程度のリスク」だと回答しており、合計55%がSSO非対応アプリケーションは組織にとって中程度から高いリスクがあると感じていました。SSOでカバーされていないアプリからのリスクがまったくないと答えた人はいませんでした。
「ビジネス上重要と考えられるアプリケーションのすべてが、標準でSSOに対応しているわけではありません」と、ある回答者は述べています。「それを変えるには時間がかかります。私の経験では、ビジネスユーザーはSSO対応を基準にアプリケーションを選ぶ傾向はありません。それを強制するとシャドーITを招きます。」
主要なクラウドアプリケーションでさえ、組織が必要とするSSO対応を備えていないことがあります。あるITリーダーはこう述べています。「多くの『成熟した』SaaSプラットフォームはいまだにSSO対応で遅れを取っており、ほぼすべての組織には、適切に統制すべきレガシー認証のニーズが残っています。」
このリスクは単なる理論上のものではありません。前述のとおり、回答者の18%が、SSO対応の欠如が原因で組織がセキュリティインシデントを経験したと回答しています。
「アプリをSSOに接続することに非常に長けていても、レガシーアプリや外部アプリ(自社で管理していないアプリ)のように、接続できないアプリは必ず残ります」と、ある回答者は述べています。
回答者の25%が、SSO非対応アプリはかなりのリスクまたは高リスクをもたらすと回答
回答者の35%が、SSO非対応アプリを中程度のリスクと評価
SSO非対応アプリが原因でセキュリティインシデントを経験した組織は18%
シャドーIT:大きな課題
組織の安全な認証体制の実現を目指すIT管理者にとって最大の問題は、ITの監督外かつITサポートなしでビジネスユーザーが導入する「シャドーIT」アプリです。
SSOに対応していないアプリケーションの認証を保護しようとする際の最大の課題として、回答者の65%がシャドーITを挙げました。
回答者の43%が挙げた第2の課題は、従業員の協力でした。
この2つの障壁を克服するには、SSOの利点と、SSOに対応していないアプリケーションでパスワードマネージャーを使用する必要性(および利便性)を明確に伝える必要があります。
ある回答者は次のように述べています。「SSOは、レガシーシステム、サードパーティーツール、シャドーITなど、すべてのアプリケーションをカバーするわけではありません。そこで、SSOのエコシステム外にあるアカウントの認証情報を安全に保存・管理することで、パスワードマネージャーがSSOを補完します。」
別の回答者は、完全なセキュリティを確保するための補完的なソリューションとしてパスワードマネージャーが機能する仕組みに言及しました。「統合済みアプリケーションの主要なアクセス制御にはSSOを使用し、それ以外のもの、特にレガシーアプリ、チームで共有するシークレット、シャドーITについては必須のセーフティネットとしてパスワードマネージャーを使用することで、完全な多層防御戦略を構築できます。」
パスワードマネージャーを使えば、エンドユーザーは、ITチームが把握していない非SSOアプリケーション(シャドーIT)を含め、日々の業務に必要なあらゆる認証情報を保護できます。
非SSOアプリのセキュリティ確保における主な課題
58% - アプリケーションの可視性(シャドーIT)
39% - 従業員の協力
30% - アプリケーションが多すぎる
27% - 予算
16% - 経営層の賛同
5% - その他
Bitwarden:SSOを補完する最適なソリューション
Bitwardenパスワードマネージャーは、SSOを補完し、SSOの対象かどうかにかかわらず、すべてのアプリケーションのセキュリティを確保する強力で便利なソリューションです。
「Bitwardenは、SSOが有効なアカウントで私たちをサポートし、認証アプリやパスキーの形で追加の2FAオプションを提供してくれます」と、ある回答者は述べています。
回答者の4分の3以上(77%)が、BitwardenパスワードマネージャーはSSOに対応していないアプリケーションの保護に「効果的」または「非常に効果的」だと回答しています。
85%が、SSOと併用することでBitwardenパスワードマネージャーが組織のセキュリティ向上をもたらすと述べ、83%は組織の認証情報リスクが低減したと回答しています。
ユーザーにとっても便利で、業務を楽にするソリューションです。回答者の70%が、Bitwardenパスワードマネージャーの導入後、ユーザーはログインの効率化というメリットを得ていると回答しています。
「SSOだけではカバーできないものがいくつかあります」と、ある回答者は述べています。「Bitwardenを組織アカウントで使用すれば、ユーザーは認証情報を安全に共有でき、場合によってはMFAを設定することもできます」
別の回答者は、個人のパスワードにもBitwardenを使用していると絶賛しました。「まさに両方の長所を兼ね備えています!私は個人用と業務用の両方のパスワードにBitwardenを使用しており、ユーザーにも同じようにすることを勧めています。」
BitwardenとSSOの主なメリット
83%がセキュリティ向上を報告
83%が認証情報リスクの低減を報告
70%がログインの効率化を報告
調査方法
Bitwardenは、2025年10月28日から2026年1月6日まで、IT管理者74名、経営幹部11名、部門責任者6名を含む、エンタープライズ顧客93名を対象に調査を実施しました。
Bitwardenパスワードマネージャーを始める
Bitwardenが非SSOアプリケーションへの認証を保護する方法について詳しくは、7日間の無料ビジネストライアルを開始してください。