IPA「情報セキュリティ10 大脅威 2026」において「ランサムウェアによる被害」が9 年連続で組織部門の1 位にランクインした(IPA、2026 年1 月公表)。侵入経路の約68% が「認証情報の窃取・流用」であり、パスワードの使い回しや脆弱な認証基盤が根本原因となっている。
ただ、ここで「SSO(シングルサインオン)を導入すれば解決」という発想は2026 年には古い。SSO は単体機能ではなく、IAM(Identity and Access Management)+ ZTNA(Zero Trust Network Access)+ Conditional Access(条件付きアクセス)の統合基盤として設計するのが標準になった。境界型のラテラルムーブメント前提で考えると、SSO の認証成功後にネットワーク・端末・コンテキストの継続検証が必要、という発想だ。
本記事では、情シス課長の鈴木雅人(従業員200 名・製造業)のような方を想定し、ゼロトラストの文脈での SSO の位置付けから、Okta・Auth0・Microsoft Entra ID・Keycloak・OneLogin の機能・費用比較、SAML/OIDC、統合パッケージ年額試算、稟議書に添付できるレベルの選定ガイドまでを2026 年4 月時点の最新情報で整理する。
目次
- ゼロトラストの文脈での SSO の位置付け
- SSO/IAM/ZTNA/Conditional Access の役割分担
- SSO 導入の費用相場一覧(SaaS/独自構築)
- 主要 IAM/SSO サービス5 製品比較(Okta・Auth0・Entra ID・Keycloak・OneLogin)
- SAML vs OIDC|プロトコルの違いと選び方
- ゼロトラスト統合パッケージ年額試算
- 企業規模別・選定フローチャート
- SSO/IAM/ZTNA 導入の進め方(6 ステップ)
- FAQ
- 付録:チェックリスト/稟議書テンプレート
ゼロトラストの文脈での SSO の位置付け
「境界型」が崩壊した理由
従来のセキュリティは「社内ネットワーク=信頼、社外=非信頼」という境界モデルだった。しかし、(1) クラウド SaaS の普及、(2) リモートワークの定着、(3) サプライチェーン経由の侵入、(4) 認証情報窃取によるラテラルムーブメント、の4 つで境界モデルは崩壊した。
ゼロトラスト「Never Trust, Always Verify」
NIST SP 800-207 が提唱するゼロトラストは「何も信用せず、すべてのアクセスで継続的に検証する」という設計思想。重要なポイントは以下の3 つ。
- アイデンティティ中心:境界ではなく ID を起点にアクセス制御
- 最小権限の継続検証:認証成功時だけでなく、セッション中も継続的に検証
- コンテキスト評価:端末状態・ネットワーク・時刻・行動パターンを総合評価
SSO 単体では足りない
SSO は「1 度の認証で複数システムにアクセスできる」仕組みであり、認証の利便性とパスワード管理の安全性を高める。ただし、SSO 単体では以下が解決しない。
| 課題 | SSO 単体 | 必要な追加機能 |
|---|---|---|
| 認証情報窃取後のラテラルムーブメント | 防げない | ZTNA(マイクロセグメンテーション) |
| 不審な場所・端末からのログイン | 検知できない | Conditional Access(リスクベース認証) |
| 退職者の即時アクセス遮断 | 部分対応 | IAM ライフサイクル管理(SCIM) |
| 特権アカウントの継続監視 | できない | PAM(Privileged Access Management) |
| API・マシン間認証 | 限定的 | OAuth 2.0 + OIDC 統合 |
ゼロトラスト統合の最小構成
中堅企業がゼロトラストに踏み出すなら、以下5 要素のセット導入が現実解。
- IAM/SSO(ID 統合)
- MFA(多要素認証)
- Conditional Access(条件付きアクセス)
- ZTNA(VPN 代替のアプリケーション単位アクセス制御)
- EDR/XDR 連携(端末状態の評価)
SSO/IAM/ZTNA/Conditional Access の役割分担
| 要素 | 役割 | 代表製品 |
|---|---|---|
| SSO | 1 度の認証で複数アプリにログイン | Okta、Auth0、Entra ID、Keycloak、OneLogin |
| IAM | ID 統合、プロビジョニング、ライフサイクル管理 | Okta Workforce Identity、Entra ID、Sailpoint |
| MFA | 多要素認証(パスワード+第二要素) | Microsoft Authenticator、Okta Verify、Duo |
| Conditional Access | コンテキスト(端末・場所・時刻・リスク)でアクセス可否判定 | Entra ID Conditional Access、Okta Adaptive MFA |
| ZTNA | アプリケーション単位の最小権限アクセス(VPN 代替) | Zscaler ZPA、Cloudflare Access、Cisco Duo Network Gateway、Cato Networks |
| PAM | 特権アカウントの管理・監視 | CyberArk、BeyondTrust、Delinea |
| SCIM | アカウント自動プロビジョニング/デプロビジョニング | 各 IAM 製品が標準対応 |
一般的な構成パターン
パターン A:Microsoft 365 中心
- IAM/SSO:Microsoft Entra ID P1/P2
- MFA:Microsoft Authenticator
- Conditional Access:Entra ID 標準機能
- ZTNA:Microsoft Entra Private Access(旧 Azure AD App Proxy + 新 Global Secure Access)
- 端末評価:Intune + Defender for Endpoint
パターン B:マルチクラウド・SaaS 中心
- IAM/SSO:Okta Workforce Identity
- MFA:Okta Verify or Duo
- Conditional Access:Okta Adaptive MFA
- ZTNA:Zscaler ZPA or Cloudflare Access
- 端末評価:CrowdStrike Falcon + Okta 連携
パターン C:開発者向け・カスタムアプリ中心
- IAM/SSO:Auth0(B2C / B2B)or Keycloak(OSS)
- MFA:Auth0 Universal Login
- Conditional Access:Auth0 Adaptive MFA
- API 認証:OAuth 2.0 + OIDC
- 端末評価:別途 EDR 連携
SSO 導入の費用相場一覧(SaaS/独自構築)
SaaS 型 SSO サービスの費用相場
| 費用区分 | 小規模(50 名以下) | 中規模(50〜300 名) | 大規模(300 名以上) |
|---|---|---|---|
| 月額ライセンス費用 | 3 万〜6 万円 | 6 万〜15 万円 | 15 万〜50 万円以上 |
| 初期導入費用(設定・連携) | 30 万〜80 万円 | 80 万〜200 万円 | 200 万〜500 万円 |
| 年間運用保守費用 | ライセンス費に含む | ライセンス費に含む | 別途サポート契約あり |
| 初年度総コスト目安 | 66 万〜152 万円 | 152 万〜380 万円 | 380 万〜1,100 万円 |
※初期導入費用は SI(システムインテグレーション)パートナーに委託する場合の費用。自社で設定する場合は大幅に圧縮可能。
独自構築(オンプレミス / Keycloak 等カスタム開発)の費用相場
| 費用区分 | 概算 | 内訳 |
|---|---|---|
| 設計・開発費用 | 300 万〜1,000 万円 | 要件定義、SAML/OIDC IdP 構築、既存システム連携開発 |
| インフラ費用 | 月額5 万〜20 万円 | 認証サーバ、冗長化、SSL 証明書 |
| 年間運用保守費用 | 50 万〜150 万円 | 脆弱性対応、バージョンアップ、障害対応 |
| 初年度総コスト目安 | 410 万〜1,390 万円 | 開発費+インフラ12 ヶ月+運用保守 |
SaaS vs 独自構築のコスト比較(200 名規模・5 年間)
| 項目 | SaaS(Entra ID P1) | 独自構築(Keycloak + AWS) |
|---|---|---|
| 初年度 | 約240 万円 | 約700 万円 |
| 2 年目以降(年間) | 約120 万円 | 約170 万円 |
| 5 年間総コスト | 約720 万円 | 約1,380 万円 |
| 運用負荷 | 低(ベンダー管理) | 高(自社で脆弱性対応) |
| カスタマイズ性 | 中(API 連携で拡張可) | 高(完全に自由) |
セクションまとめ:200 名規模なら SaaS 型で月額6〜15 万円が相場。独自構築は初期300〜1,000 万円に加え運用人件費が継続。特殊要件がない限り SaaS 型が合理的。
主要 IAM/SSO サービス5 製品比較(Okta・Auth0・Entra ID・Keycloak・OneLogin)
料金比較(2026 年4 月時点公開情報)
| 項目 | Microsoft Entra ID | Okta Workforce Identity | Auth0 | Keycloak | OneLogin |
|---|---|---|---|---|---|
| 提供形態 | SaaS(M365 統合) | SaaS(IDaaS 専業) | SaaS(B2B/B2C 開発者向け) | OSS(自社運用) | SaaS |
| 無料プラン | Entra ID Free(基本 SSO) | なし | あり(〜25,000 MAU) | OSS(無料) | なし |
| SSO 対応の最低プラン | Entra ID P1 | Workforce Identity SSO | Essentials 以上 | OSS | SSO |
| 月額単価(1 ユーザー) | ¥899(P1) | $2〜5(約¥300〜750) | $23〜(B2B、月額固定) | OSS(無料)+ 運用コスト | $2〜4(約¥300〜600) |
| MFA 込みプラン | P1 に含む | Adaptive MFA: +$3 | 含む | 自前実装 | SmartFactor: +$2 |
| Conditional Access | P1 に含む | Adaptive SSO: $5 | あり | 自前実装 | Advanced: $4 |
| 200 名・月額概算 | 約18 万円 | 約10〜15 万円 | 約3〜10 万円(B2B プラン) | インフラ5〜20 万円 + 運用 | 約6〜12 万円 |
※Okta・Auth0・OneLogin はドルベース料金のため為替レートで変動(1 ドル=150 円換算)。Microsoft Entra ID P1 は日本円固定価格。Auth0 は B2C/B2B でプラン体系が異なるため各社見積要。正確な金額は各ベンダー公式サイトおよび代理店見積で必ず確認。
機能比較
| 機能 | Entra ID P1 | Okta | Auth0 | Keycloak | OneLogin |
|---|---|---|---|---|---|
| SAML 2.0 | あり | あり | あり | あり | あり |
| OIDC / OAuth 2.0 | あり | あり | あり | あり | あり |
| 事前統合済アプリ数 | 約3,000+ | 約7,500+ | 約6,000+(Marketplace) | 自前構築 | 約6,000+ |
| MFA | P1 込み | 別途追加 | 込み | 自前実装 | 別途追加 |
| Conditional Access | P1 込み | Adaptive SSO | あり | 自前実装 | Advanced |
| デバイス管理連携 | Intune 統合 | 連携可 | API 連携 | 自前実装 | 連携可 |
| SCIM | あり | あり | あり | あり | あり |
| LDAP/AD 連携 | ネイティブ | AD Agent | AD Connector | 標準対応 | AD Connector |
| ZTNA 統合 | Entra Private Access(旧 App Proxy + Global Secure Access) | 各 ZTNA と統合可 | 各 ZTNA と統合可 | 限定的 | 各 ZTNA と統合可 |
| 日本語管理画面 | あり | 一部 | 一部 | 限定的 | 一部 |
| 日本語サポート | 充実 | 英語中心(日本代理店) | 英語中心 | コミュニティ/商用サポート | 英語中心 |
| SLA | 99.99% | 99.99% | 99.99% | 自社設計依存 | 99.99% |
各サービスの強み・弱み
Microsoft Entra ID(旧 Azure AD)
| 強み | 弱み |
|---|---|
| Microsoft 365 / Azure とのネイティブ統合 | 非 Microsoft エコシステムとの連携にやや手間 |
| MFA・Conditional Access が P1 に含まれる | プラン体系が複雑(Free / P1 / P2 / Governance) |
| 日本語サポートが充実 | 純粋な SSO 単体導入には過剰な場合がある |
| Entra Private Access で ZTNA も統合可能 | ZTNA 機能はまだ Okta + Zscaler 連携の成熟度に劣る |
Okta
| 強み | 弱み |
|---|---|
| 事前統合アプリ数が業界最多(7,500+) | 日本語サポートが限定的 |
| IDaaS 専業ベンダーとしての信頼性 | フル機能だと単価が高くなる |
| Zscaler / Cloudflare 等の ZTNA との統合実績豊富 | 2023 年のサポートシステム侵害の印象が残る |
Auth0(Okta 傘下)
| 強み | 弱み |
|---|---|
| 開発者向け機能が充実(カスタムログインフロー、Rules、Actions) | エンタープライズ管理機能はやや弱い |
| B2C 向けソーシャルログイン統合(Google・LINE・Apple 等) | 国内代理店が少ない |
| 自社 SaaS / アプリへの組込み用途に最適 | エンプロイ向け(Workforce)は Okta 本体推奨 |
Keycloak(OSS)
| 強み | 弱み |
|---|---|
| ライセンス費ゼロ | 運用負荷が高い(脆弱性対応・バージョンアップ自社) |
| カスタマイズ性が高い | エンタープライズ機能は商用版(Red Hat SSO)が必要 |
| オンプレ / プライベートクラウドで完結 | 大規模運用は専門エンジニアが必要 |
OneLogin
| 強み | 弱み |
|---|---|
| コストパフォーマンスが高い | 大企業向けの高度機能は Okta/Entra ID に劣る |
| UI がシンプルで導入が比較的容易 | 国内導入実績が他より少ない |
| SmartFactor 認証(リスクベース MFA) | 2021 年セキュリティインシデント以降、信頼回復途上 |
セクションまとめ:Microsoft 365 中心なら Entra ID P1 が最スムーズ。マルチクラウド・SaaS 多数なら Okta の統合力。自社 SaaS 開発者向けなら Auth0。OSS でフル制御したいなら Keycloak。コスト重視で基本 SSO 要件なら OneLogin。
SAML vs OIDC|プロトコルの違いと選び方
| 項目 | SAML 2.0 | OIDC(OpenID Connect) |
|---|---|---|
| 正式名称 | Security Assertion Markup Language 2.0 | OpenID Connect(OAuth 2.0 ベース) |
| 策定年 | 2005 年 | 2014 年 |
| データ形式 | XML | JSON(JWT) |
| 主な用途 | エンタープライズ SSO | Web アプリ SSO + API 認証 |
| トークン形式 | SAML アサーション(XML 署名付き) | ID トークン(JWT) |
| モバイル対応 | 不得意(XML が重い) | 得意(JSON が軽量) |
| API 連携 | 非対応(認証のみ) | 対応(OAuth 2.0 のアクセストークン併用) |
| 導入の難易度 | やや高い | 比較的容易 |
| 対応サービス例 | Salesforce、AWS、Google Workspace | Google、LINE、Slack、自社 Web アプリ |
どちらを選ぶべきか
| 状況 | 推奨プロトコル | 理由 |
|---|---|---|
| 既存の SaaS(Salesforce、Box 等)と SSO 連携したい | SAML 2.0 | エンタープライズ SaaS はほぼ SAML 対応済 |
| 自社開発の Web アプリと SSO 連携したい | OIDC | JSON/JWT ベースで実装が容易、API アクセス制御も可 |
| モバイルアプリと SSO 連携したい | OIDC | モバイルアプリとの相性が良い |
| 両方必要 | 両方対応の IdP を選ぶ | Entra ID / Okta / Auth0 / OneLogin / Keycloak はいずれも両対応 |
セクションまとめ:エンタープライズ SaaS 連携は SAML、自社アプリ・モバイルは OIDC が定石。主要 IdP はいずれも両対応のため、製品選定でプロトコルが決定打になることは少ない。重要なのは連携先システムの対応状況。
ゼロトラスト統合パッケージ年額試算
想定:従業員200 名・SaaS 利用30 アプリ・リモートワーク併用
ライトパッケージ(年300〜500 万円):M365 中心
| 要素 | 製品 | 年額目安 |
|---|---|---|
| IAM/SSO/MFA/Conditional Access | Entra ID P1(200 名) | 約220 万円 |
| 端末管理 | Intune(M365 E3 込みなら追加なし) | 込み |
| EDR | Microsoft Defender for Endpoint | 約150 万円 |
| 簡易 ZTNA | Entra Private Access | 約50 万円 |
| 合計 | 約420 万円 |
スタンダードパッケージ(年600〜1,000 万円):マルチクラウド
| 要素 | 製品 | 年額目安 |
|---|---|---|
| IAM/SSO/MFA/Adaptive MFA | Okta Workforce Identity Adaptive SSO + MFA | 約350 万円 |
| ZTNA | Zscaler ZPA or Cloudflare Access | 約250 万円 |
| EDR | CrowdStrike Falcon Pro | 約200 万円 |
| 合計 | 約800 万円 |
プレミアムパッケージ(年1,500〜3,000 万円):規制業種
| 要素 | 製品 | 年額目安 |
|---|---|---|
| IAM/SSO(Governance 含む) | Entra ID P2 + Identity Governance | 約500 万円 |
| ZTNA | Zscaler ZPA Enterprise | 約500 万円 |
| EDR/MDR | CrowdStrike Falcon Complete | 約700 万円 |
| PAM | CyberArk | 約300 万円 |
| SIEM | Microsoft Sentinel | 約500 万円 |
| 合計 | 約2,500 万円 |
「Okta・Entra ID・Auth0・Keycloak、自社のゼロトラスト統合に最適な構成は?」
GXO のゼロトラスト統合無料相談では、現在の利用 SaaS・端末構成・リモートワーク状況をヒアリングし、(1) IAM/SSO/MFA/Conditional Access/ZTNA の最適な組合せ、(2) 5 製品(Okta・Auth0・Entra ID・Keycloak・OneLogin)の費用見積比較、(3) ライト/スタンダード/プレミアム3 グレードの年額試算、(4) 既存システム連携可否レポートを無料で作成します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
企業規模別・選定フローチャート
判断軸1:現在の IT 環境
| 現状 | 推奨サービス | 理由 |
|---|---|---|
| Microsoft 365 を利用中 | Entra ID P1(M365 E3 以上ならほぼ込み) | ネイティブ統合、Conditional Access 込みで設定工数最小 |
| Google Workspace を利用中 | Okta + Google Cloud Identity | 非 Google SaaS 連携は Okta が強い |
| 特定ベンダーに依存していない | Okta or OneLogin | マルチクラウド/マルチ SaaS 環境に最適 |
| 自社 SaaS を顧客に提供 | Auth0 | 顧客向けログイン基盤として最適 |
| OSS でオンプレ完結したい | Keycloak | ライセンス費ゼロ、自社運用前提 |
判断軸2:利用アプリ数
| アプリ数 | 推奨 |
|---|---|
| 10 個以下 | Entra ID Free or OneLogin |
| 10〜50 個 | Entra ID P1 or Okta SSO |
| 50 個以上 | Okta(事前統合7,500+ の網羅力) |
判断軸3:企業規模と予算
| 企業規模 | 月額予算目安 | 推奨構成 |
|---|---|---|
| 〜50 名 | 3〜6 万円 | OneLogin SSO or Entra ID P1(M365 利用中なら) |
| 50〜300 名 | 6〜15 万円 | Entra ID P1 or Okta SSO |
| 300 名〜 | 15〜50 万円 | Okta Workforce Identity or Entra ID P2 + Governance |
判断軸4:ZTNA・ゼロトラスト要件
| 要件 | 推奨追加要素 |
|---|---|
| 既存 VPN を撤去したい | Zscaler ZPA or Entra Private Access |
| 端末状態でアクセス制御したい | Conditional Access + EDR 連携(Defender / CrowdStrike) |
| 開発者・パートナー向けに API 認証したい | Auth0 + OAuth 2.0 |
| 特権アカウントを厳格管理したい | PAM 追加(CyberArk / BeyondTrust / Delinea) |
判断軸5:SAML 非対応システムの有無
| 状況 | 対応策 | 追加コスト |
|---|---|---|
| 全システムが SAML/OIDC 対応 | IdP の設定のみで完了 | なし |
| 一部 SAML 非対応 | リバースプロキシ型 SSO or 代理認証 | 50〜200 万円のカスタム開発 |
| レガシーシステムが多い | 段階的に SSO 対応システムへリプレース | システム更新費用として別途 |
SSO/IAM/ZTNA 導入の進め方(6 ステップ)
| フェーズ | 期間 | 作業内容 |
|---|---|---|
| 1. 現状調査 | 1〜2 週間 | 利用 SaaS・社内システムの棚卸し、認証方式確認、SAML/OIDC 対応可否、リモートアクセス現状(VPN/ZTNA) |
| 2. 製品選定 | 1〜2 週間 | RFP 作成、ベンダー見積、トライアル申込、ZTNA ベンダー併行検討 |
| 3. PoC(技術検証) | 2〜4 週間 | 主要5〜10 アプリでの SSO 連携テスト、MFA・Conditional Access 動作確認、ZTNA 接続テスト |
| 4. 設計・構築 | 2〜4 週間 | IdP 設定、各 SP との SAML/OIDC 連携、Conditional Access ポリシー設計、ZTNA ポリシー、例外処理設計 |
| 5. 展開・移行 | 2〜4 週間 | 部門ごと段階展開、利用マニュアル作成、ヘルプデスク準備、VPN からの段階的撤去 |
| 6. 運用最適化 | 導入後1〜3 ヶ月 | ログイン失敗率モニタリング、MFA 登録率確認、未連携アプリ追加対応、Conditional Access チューニング |
導入時の注意点
| リスク | 対策 |
|---|---|
| SAML 非対応システムが残る | リバースプロキシ型 SSO や代理認証で段階対応 |
| 従業員が MFA 登録を忘れる | 登録猶予期間(2 週間)を設け、未登録者にリマインド |
| IdP 停止で全システムにログイン不可 | IdP の冗長化、緊急時のバイパス認証手順を用意 |
| Conditional Access が厳しすぎて業務停止 | 段階適用、例外グループ、監査モード先行運用 |
| ZTNA 導入で社内アプリにアクセスできない | アプリ単位の許可リスト整備、接続テスト徹底 |
| 退職者アカウントの即時無効化 | SCIM 連携で自動プロビジョニング/デプロビジョニング |
FAQ
Q1. Microsoft 365 のライセンスに SSO は含まれていますか?
Microsoft 365 Business Premium 以上のプランには Microsoft Entra ID P1 が含まれている。Business Basic / Business Standard では Entra ID Free が付属するが、Conditional Access や MFA の高度設定には P1 へのアップグレード(1 ユーザーあたり月額¥899)が必要。すでに Business Premium を利用中なら追加ライセンス費用なしで SSO 導入が可能なケースがある。
Q2. 従業員50 名でも SSO/IAM 導入は必要ですか?
必要。IPA「中小企業の情報セキュリティ対策ガイドライン 第4 版」では認証一元管理を推奨。50 名規模でも利用 SaaS は平均20〜30 個に達しており、パスワード使い回しリスクは企業規模に関係なく存在する。OneLogin なら月額3 万円程度から導入可能で、投資対効果は十分見合う。
Q3. SSO を導入するとパスワード1 つ漏れたら全システムにアクセスされる?
その懸念に対する答えが MFA + Conditional Access。SSO 導入時に MFA を同時有効化し、不審な場所・端末からのログインを Conditional Access で遮断することで、パスワードが漏洩しても第二要素+コンテキストチェックがあるため侵入は困難。SSO + MFA + Conditional Access の組合せが、パスワード単体認証よりはるかに安全。
Q4. 社内のオンプレミス Active Directory と連携できますか?
連携可能。Azure AD Connect や Okta AD Agent でオンプレ AD とクラウド IdP を同期できる。ハイブリッド ID 環境として既存 AD 認証基盤を活用しつつ、SaaS 連携はクラウド IdP 経由で行う構成が一般的。
Q5. SSO 導入後、利用中の SaaS 全てに連携が適用されますか?
各 SaaS 側の SSO 対応が前提。Entra ID で約3,000+、Okta で約7,500+ のアプリが事前統合済だが、国内のニッチ SaaS やレガシーシステムは対応していない場合がある。未対応のシステムにはリバースプロキシ型 SSO や代理認証で対応するか、SSO 対応製品へのリプレースを検討する。
Q6. ZTNA は VPN を完全に置き換えられますか?
業務システムへのリモートアクセス用途であればほぼ置き換え可能。Zscaler ZPA、Cloudflare Access、Cisco Duo Network Gateway、Cato Networks 等が主要製品。ただし、(1) 特殊なプロトコルを使うレガシーシステム、(2) 拠点間 L3 接続、(3) IoT 機器の双方向通信、は別途検討が必要。段階的に VPN から ZTNA へ移行するのが現実的。
Q7. Auth0 と Okta はどう使い分けますか?
Auth0 は Okta 傘下の開発者向け IDaaS で、自社が顧客に提供するアプリのログイン基盤として最適(B2C/B2B)。Okta Workforce Identity は従業員向けの社内 IT 統合用途。社内従業員向け SSO なら Okta、自社 SaaS への顧客ログインなら Auth0、というのが基本線。
Q8. Keycloak(OSS)を選ぶべきケースは?
(1) ライセンス費を最小化したい、(2) オンプレ完結が必須、(3) 高度なカスタマイズが必要、(4) 専任エンジニアが社内にいる、の 4 条件が揃った場合。脆弱性対応・バージョンアップ・障害対応を全て自社で行うため、運用負荷は SaaS の3〜5 倍と見込んでおく必要がある。商用サポートが必要なら Red Hat SSO を検討。
まとめ
| 項目 | SaaS 型 | 独自構築(Keycloak 等) |
|---|---|---|
| 初期費用 | 30〜200 万円(SI 含む) | 300〜1,000 万円 |
| 月額ランニング | 3〜15 万円(50〜300 名) | 5〜20 万円+運用人件費 |
| 5 年間総コスト(200 名) | 約720 万円 | 約1,380 万円 |
| 導入期間 | 2〜4 ヶ月 | 4〜8 ヶ月 |
| 推奨ケース | 大多数の企業 | 特殊要件がある大企業 |
| 製品 | 月額単価(1 ユーザー) | 推奨企業像 |
| Microsoft Entra ID P1 | ¥899 | M365 利用企業、日本語サポート重視 |
| Okta Workforce Identity | $2〜5 | マルチクラウド、連携アプリ数重視 |
| Auth0 | $23〜(B2B 月額固定) | 自社 SaaS への顧客ログイン基盤 |
| Keycloak | OSS(無料)+ 運用 | OSS でオンプレ完結したい大規模企業 |
| OneLogin | $2〜4 | コスト重視の中小企業 |
SSO 単体ではなく、IAM + MFA + Conditional Access + ZTNA の統合基盤として設計するのが2026 年標準。200 名規模で年300〜800 万円のゼロトラスト統合パッケージが現実的なライン。選定の起点は「Microsoft 365 を使っているか」。使っていれば Entra ID P1、使っていなければ Okta(マルチ SaaS)か Auth0(自社 SaaS)か OneLogin(コスト重視)で判断する。
GXO では180 社以上のシステム開発・認証基盤構築実績をもとに、IAM/SSO/ZTNA の選定から設計・構築・運用までを一貫して支援している。
「ゼロトラスト統合、何から始めればいいか分からない」
利用中 SaaS と認証環境をヒアリングし、IAM/SSO/MFA/Conditional Access/ZTNA の最適構成、5 製品比較見積、年額試算、稟議書添付資料までワンストップで作成します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK