ID管理システムと連携するカード発行・認証基盤の構築

スマートカードShibbolethLDAP連携

課題と解決策

  1. 重要なシステムでの多要素認証の実現
     →IDカードにインポートされた電子証明書で堅牢性の確保
  2. IDカード発行業務の省力化
     →既存のID管理システムからGléas、カード発行システムまでを連携
  3. 将来的な証明書利用の拡張
     →カスタマイズに対応した提案力とサポートに期待
構成図
豊橋技術科学大学 構成図

システム利用の安全性を確保する認証基盤

豊橋技術科学大学は、基礎となる科学の研究によって新しい技術を開発する学問である“技術科学”の教育と研究を行う国立大学である。一般の高等学校のみならず進学を希望する高等専門学校(高専)の卒業生を受け入れ、大学院に重点を置き、高度技術者・先導的人材を育成している。グローバル化にも注力しており、東南アジア諸国を中心に日本人学生の派遣や外国人留学生の受け入れも多い。

国内の技術科学大学は長岡技術科学大学と豊橋の2校のみで、貴重な技術者専門の育成機関として各地の高専との繋がりも深い。そこで豊橋技術科学大学 情報メディア基盤センターでは、両校や高専の学生が活用できるように情報インフラの外部利用などを強化している。

「国立高等専門学校機構の認証基盤と本学の認証基盤を連携させることで、各地の高専や長岡技術科学大学のIDを用いて本学のユーザ登録もできるようにしており、HPCクラスタやeラーニングなどを提供しています。教員の長期出張や留学生の入学前教育など外部利用の機会は多く、安全性確保のためには強固な電子証明書による多要素認証が欠かせません。」
と、情報メディア基盤センターの土屋 雅稔准教授は述べる。

IDカード発行業務の省力/自動化

豊橋技術科学大学では、入退館や電子マネーで使う非接触型のFeliCaを搭載したIDカードが利用されているが、教職員に対しては電子証明書を格納した接触型ICチップも組み込んだハイブリッドカードが支給されている。

ハイブリッドカードはGléasの導入以前より利用されており、カードに格納された証明書を使ってログインする認証システムの構築もされているが、それまで使っていた認証局ソフトのサポートが終了となり認証局のリプレースが必要な状況となった。新たな認証局への要件のうち、もっとも重要視されたのは既存のID管理システムであるLDAP Managerとの自動連携で、Gléasであれば実現可能というシステムインテグレーターの提案もあり導入が決定した。

ID管理者がLDAP Managerにユーザを登録すると、Gléasに証明書の発行要求が送信され証明書が自動発行される。その証明書データがカード発行システムに読み込まれると、証明書がICチップに書き込まれ、かつ券面印刷も実行されカード発行が一気に完了するしくみだ。

「本学では事務職員の人数が限られているため、教員が自ら研究費の会計登録を行っています。そこで、安全に会計システムへログインするため、IDカードに埋め込まれた証明書を利用しています。またシステム管理者がLDAP Managerや入退館システムなど重要なシステムへログインするときにも利用しています。ほかにも事務局の仮想デスクトップでも利用できるよう準備を整えており、安全性強化を推進したいと考えています。」
と、情報メディア基盤センター 助教の中村 純哉氏は説明する。

外部の教育機関向け証明書発行サービスと比べても、Gléasには長期的な視点での運用メリットがあったという。

「外部サービスもかなり検討しましたが、一番のネックは証明書の有効期限でした。外部サービスの認証局の契約の都合上、4〜5年以内ですべての証明書を発行し直しとなる可能性があり、そうなると我々の人員では大きな負担となります。本学では証明書は耐タンパ性を持つICチップに格納するため、偽造や鍵漏洩の可能性は低く、証明書の有効期限は比較的長くても問題ないと判断しました。加えて、外部サービスを使えば証明書の利用コストは抑えられますが、本学の認証システム側で、外部サービスのAPIに対応するシステム開発が必要になるので、トータルコストでは大差はありませんでした。」(土屋氏)

将来的な証明書利用拡大へのサポートを期待

現在の日本では、企業を中心にオンプレからクラウドへシフトする組織が増えている。国立大学などの公的組織においても同様だ。豊橋技術科学大学でも、業務ツールやバックアップなどにパブリッククラウドサービスを活用している。

「クラウド活用を推進するうえで、認証の多要素化は避けられません。私たちは安全性を第一と考え、現時点でもっとも強固なICチップと証明書による認証を採用しました。Gléasは安定的に稼働しており、信頼できるプライベート認証局製品だと考えています。JS3は優れた開発力を有しており、システムインテグレーターと強力に連携して細かな課題を解決し、迅速なシステム構築に寄与してくれました。」(土屋氏)

構成図
豊橋技術科学大学 構成図

情報メディア基盤センターでは、クラウドのグループウェアをはじめ多くのシステムの認証をShibbolethに集約して、重要度に応じてパスワード認証にIDカード内の証明書による認証を加えている。将来的には、VPNの認証にGléasの配布機能を使ってクライアント端末に展開した証明書を利用することなど、利用範囲の拡大を検討している。

「認証はさまざまなシステムに関わる重要な技術であるため基盤更改には時間がかかりましたが、Gléasは信頼性が高く、また今後の強化・拡張が期待でき、長期間にわたって利用し続けることのできるソリューションだと考えています。」(中村氏)

土屋氏と中村氏は、今後もJS3がシステムインテグレーターやソフトウェアメーカーとの連携を強化し、さまざまなシステムの安全性を確保できる柔軟で強力な認証局としてGléasを進化させてほしいと願っている。

関連するコンテンツ

関連ニュース

  1. 2017.06.06 LDAP Managerからの証明書発行・失効操作 技術資料

機能の詳しいご説明や、お見積り、ご相談をご希望の場合は
下記フォームよりお問い合わせ下さい。


お問い合わせ