キャンパスにGléasによるセキュリティ・プラットフォームを構築

無線LANSSL-VPN

課題と解決策

  1. LANとリモートアクセスでの電子証明書認証
     →テンプレート機能で証明書属性をかんたんに設定
  2. 複数OSへの対応
     →OS XやiOSなどに標準で対応
  3. 安全な電子証明書の配布
     →ユーザ用WEB画面からの安全な電子証明書配布

総合研究大学院大学(以下、総研大)は、全国各所の国立研究機関を基盤研究機関としてキャンパスを展開し、各分野のエキスパートとなる研究者を養成する大学院のみの国立大学法人である。
総研大 葉山キャンパスでは、Gléasを用いてユーザがPKIの専門知識を必要としない電子証明書の運用、テンプレート機能を活用した複数用途での電子証明書認証、ユーザ用Web画面利用など、Gléasの特長・機能をフル活用しているシーンがあった。

キャンパスLANへの接続に電子証明書による認証を利用

葉山キャンパスのLANは部門毎にネットワークを構築していたものを統合していくところから始まった。洞田氏はその当時をこう回顧する。

「セキュリティ委員会にてポリシー策定を行い、どのようにセキュリティを担保したネットワーク環境を構築すべきか議論しました。その結果、厳しいセキュリティレベルが必要なところには電子証明書による認証を利用する方針になりました。」

その結果を踏まえて、RADIUSを認証サーバとしたネットワーク認証環境を構築した。同時にオープンソース・ソフトウェアを利用してプライベートCAを立ち上げたが、思ったようなパフォーマンスが得られず、その後ハードウェア障害を起こしたことをきっかけに、商用のプライベートCAの調査・検討を開始し、Gléasの導入に至った。

「ネットワーク認証では、用途別に、事務業務、教育研究、一時利用者とネットワークを3つのグループに分け、ダイナミックVLANにより、居室に依存しないよう整理しています。

特にセキュリティを厳しく保ちたい事務業務用途のネットワークにおいてIEEE 802.1X(EAP-TLS)認証を行うことでアクセスする機器を限定しています。認証に必要な電子証明書はGléasで発行し、コンピュータ証明書としてインストールします。」

このように総研大 葉山キャンパスでは、IEEE 802.1X認証においてユーザに電子証明書やVLANの存在を意識させることなく、高いセキュリティレベルを持つEAP-TLSによるネットワーク認証及び電子証明書を利用したアクセスコントロールを実現している。

また洞田氏はこうも語った。「有線・無線LAN共にEAP-TLSによる認証を行っていますが、標準技術であるため、OSのバージョンアップや、特定ベンダーに制約されない環境構築ができ、結果として運用に必要なコストを低減に繋がっていると考えています。」

リモートアクセス認証にも電子証明書による認証を利用

総研大では葉山キャンパスのLANの整理が一段落したことより、キャンパスの外から内部リソースにアクセスするためのリモートアクセスVPNの整備に着手している。そこでも電子証明書の活用が行われている。

洞田氏は構築した環境をこう説明する。「学内へアクセスするために2系統のリモートアクセスを設計しています。NetScreenで構築したIPsecと、オープンソースのOpenVPNで構築したSSL-VPNです。これも用途やアクセス制限のために分けています。」

両系統ともに電子証明書による認証を行っているが、その電子証明書は各々のゲートウェイ用に区別して発行しており、本来利用できるゲートウェイのみに接続を限定させている。

「アクセス制御に対して、電子証明書の内容・属性を各々のゲートウェイ用に区分する必要があるのですが、以前のCAでは設定ファイルそのものを直接書き換えないといけなかったのに対し、Gléasでは管理者WEB画面であらかじめ準備されているテンプレートを活用してグルーピングしておくことで視覚的にも容易な形にて電子証明書の管理ができるようになりました。」

多様なOSや端末で幅広く利用できるのも標準技術ならではのメリットである。「教員・学生ユーザにニーズのあるMacOS XなどのWindows以外のOSや、スマートフォンでの利用にも対応できています。」

電子証明書の属性値にて管理することで、内容の改ざんが不可能であり、有効期限の管理も容易である。またユーザID・パスワードでの認証と異なり、IDの貸し借り等の管理者が許容し得ない認証情報の一人歩きを困難にしている。

また洞田氏は以下を付け加えた。「ネットワークの認証以外にも、Windows標準の暗号化機能であるEFSやPGPなどの暗号化ソフトウェアでもGléasで発行した電子証明書の利用は可能ですので、認証だけでなく暗号化にも利用しています。」

管理者用・ユーザ用WEB画面の充実が採用の決め手に

このようなキャンパス内外からのネットワーク認証環境の構築に当たり、なぜGléasを採用したかという質問に対し洞田氏はこう語る。

「まず一つとしては、管理者用インターフェースが容易なことです。以前利用していたオープンソースのプライベートCAは日本語のインターフェースを持つ完成度の高いものでありましたが、専門用語などの難解な部分も決して少ないわけではなく、実際の運用担当者にも適度な知識が求められ、運用にも慣れが必要でした。

管理インターフェースが簡便な日本語で用意され、PKIに関する専門知識を求めることなく運用可能なことは、重要な要件と考え得ていました。

もう一つは、ユーザ側から電子証明書の発行申請を処理することや、発行した電子証明書をユーザに渡すことのできるWEBインターフェースの継承も必要でした。

属性管理などのPKIを構築するために必要な技術的要件をクリアしつつ、簡便な日本語インターフェースを持っていることが必要な要件と考えていました。」

Gléasでは深い専門知識を持たずとも、容易に電子証明書発行・失効といったライフサイクル管理が可能なWEBインターフェースで管理者操作が行える。

また、ユーザ用のWEBインターフェースを標準装備しており、ユーザからの申請や電子証明書の安全な配布が行える。これらの機能がポイントであった。

今後の電子証明書の活用として、教員・学生向けリモートアクセスの本格展開や、修了生情報に関する暗号化ディスクの利用、修了生向けのポータルサイトにて外部認証を含めたシングルサインオンと電子証明書の認証連携の検討を進めたいという。セキュリティ・プラットフォームとして、Gléasの徹底活用を実践している総研大の姿勢には、ただただ感銘を受けるばかりである。

国立大学法人 総合研究大学院大学
本社:〒249-0193 神奈川県三浦郡葉山町湘南国際村
http://www.soken.ac.jp/

総合研究大学院大学は、学術研究の新しい流れに先導的に対応できる、視野の広い創造性豊かな研究者を養成することを目的として昭和63年10月に設立され、翌年の平成元年4月に第一期生を受入れました。それ以来21年間に、1300名をこえる博士課程修了生を国内外の大学、研究機関、産業界などに送り出しました。また、論文博士は200名近くに達しています。

機能の詳しいご説明や、お見積りをご希望の場合は
各地の販売パートナーをご紹介いたします。


お問い合わせ