introduction_kandai04

1886年の創立以来、120年以上にわたって個性輝く人材を育成してきた関西大学。 2008年には、長期ビジョン「KU Vision2008-2017」を策定し、21世紀型総合学園として、 社会の変化に挑む「考動力」を備えた人材の発掘、システム基盤、研究基盤の確立などに取り組んでいる。 基盤技術として不可欠なITにも強い同校は、2006年に「IT化推進プロジェクト」がスタート。 2011年の完成に向けて、大学関連の各種情報をITで統合管理する「全学ITトータルシステム」 の構築を進めている。そうした中、利便性を高め、さらにセキュリティの強化を図るために、従来の認証に加え、 高度な認証を実現するパスロジのワンタイムパスワード認証「PassLogic」を採用した。

課題と効果

課題
・シングルサインオンとの連携で、利便性を高めながら、ワンランク上のセキュリティがワンタイムパスワードで実現できた。

効果
・自宅や学外からの学生のアクセスに対して、脆弱な固定パスワードの本人確認を改善したい。
・コストや運用の面で、ハードウェアを必要としないシステムにしたい。

導入の背景

◆トークン不要、高度な認証の要件を満たしたマトリクスによるワンタイムパスワード認証
関西大学は、2006年にIT化推進プロジェクトを立ち上げ、大学関連の各種情報をITで統合管理する「全学ITトータルシステム」の構築に乗り出した。 そこで課題として上がったのが、学内の諸情報に学生をはじめ大学関係者がアクセスする権利を認証するシステムだった。

認証基盤システムは、全学ITトータルシステムのシステムインテグレータである富士通が、サン・マイクロシステムズの「Sun Java SystemIdentity Manager」を中心に、固定パスワ ードや暗号化システムなどを統合した認証システムの要件定義を開始した。 その中で「従来の固定パスワードでは認証レベルが低いのではないかという懸念もあり、ほかにどういう解決策があるかを検討しました」と、学術情報事務局システム管理課 課長の中芝氏は語る。 実際に、これまでの学生のID管理はLDAPによって行われてきたが、固定パスワードで運用してきたため、脆弱性に不安があった。

同課の柿本氏は「今後、シングルサインオン(SSO)によるシステム化が進んだ場合、固定パスワードを知っていればどこまでも閲覧できてしまいます。 そこで、セキュリティレベルをひとつ上げるために、高度な認証が不可欠だと思いました」と、情報へのアクセス権を認証できる高度な基盤の必要性を強調する。

その解決策として、検討されたのは、利用ごとに数字でできた乱数表(マトリクス)を使ってパスワードを入力する認証、認証機関に証明書を発行してもらうPKI認証だった。 手のひらや指先の静脈パターンから本人を確認する静脈認証なども候補に上ったが、ハードウェアが必要になるためコスト、運用面が問題となったという。

柿本氏は、「自宅からの利用が多い学生のために、どういった形で認証基盤を実現するのがいいか、その最適解が、ハードウェア不要で、利便性、セキュリティを兼ね備えたマトリクスを使用するワンタイムパスワード認証でした」と、導入の背景を振り返る。

導入のポイント

◆コストやAPIの提供、柔軟性、安定性能などに高い評価 / 手軽に、安全にシステムを構築できる「PassLogic」
製品の比較検討を重ねた結果、関西大学が選んだのは、Web上に表示される乱数表の中から、イメージによってワンタイムパスワードを作り出すパスロジの「PassLogic」だった。

中芝氏は、「イメージによってワンタイムパスワードを作り出すユニークな操作方法もさることながら、PassLogicは他社に比べ、コスト面で大きなアドバンテージがありました」と、 導入を決めた重要なポイントとして低コストを上げる。

トークンが必要な製品は、対象となる学生が3万人に上るため、膨大なコストがかかってしまう。 また、1ライセンスごとに料金が発生する製品も、学生数との兼ね合いからコストを抑えることができない。 その点、PassLogicは、Webベースのシステムのため、ユーザー数に制限されることなくコストを削減することができた。

さらに、「リバースプロキシ型の製品が多い中、PassLogicはリバースプロキシなしで稼働できるので、安定したパフォーマンスを提供できています。 強制的にパスワードを変更する場合も、PassLogicの導入によりシステム上でリセットでき、窓口対応の自動化、効率化が図れるでしょう」と、柿本氏は機能面、運用面のポイントを推す。

また、構築を手がけた富士通も、「学生数が多い大学の場合、ピーク時にかかるサーバへの負荷が問題になります。 ネットワークの負荷、システム連携などを考慮した結果、Webの標準的なプロトコルで構成されているPassLogicが最も適していると判断しました。 それ以外にも、WebAPIの提供により、組み込み開発が容易に行え、RADIUS認証に対応した機器やアプリケーションなども簡単な設定だけでワンタイムパスワードに対応できるなど、 システム開発のしやすさは提案の決め手になりました」(文教ソリューション事業本部文教ソリューション統括部・戸谷崇浩氏)と、高く評価する。

このように、コストやAPIの提供、システムの開発効率などの総合評価から、PassLogicは認証システムに載る高度な認証として採用された。

これからの取り組み

◆健康管理システムを機に学生への浸透目指す / 「オール関西大学」を視野に、使いやすいシステム構築へ
同校の認証基盤の構築は、テストフェーズから運用フェーズへと移行時期に差し掛かっており、今後様々な取り組みが予定されている。 そのひとつが、今秋稼働予定の「健康管理システム」だ。 健診情報は、個人情報が含まれているのでセキュリティ対策が不可欠となる。 これを機に、3万人の学生がワンタイムパスワード認証を使うことになるため、マニュアルなどドキュメントの整備やユーザー公開するための活動もはじまっている。

中芝氏は、「まずはパターンをどれだけ認識してもらえるかがポイントです。 パターンを覚えるのは、パスワードと一緒で、どれだけ利用してもらえるかがカギになります。 今後は利用できるシステムを増やしていくことが重要になります」と、普及・促進にも力を注いでいく。

それに向けて、健康管理システムを皮切りに、SSL-VPNによるリモートアクセス、学内で申請処理を行うWebベースの認証、開発中の人事、財務など、現在よりもセキュリティレベルの高い認証をワンタイムパスワードで実現していく予定だ。

「SSOをベースに認証システムを構築していることから、新たにシステムが追加、拡充されたとしても、高度認証のひとつであるワンタイムパスワード認証を組み合わせ、大学側で自由に認証強度を設定できます。 リバースプロキシをサポートするApacheモジュールベースの『mod_auth_passlogic』もそのひとつですが、いろいろな認証への対応が考えられます。 これにより運用も容易になります」(富士通・戸谷氏)と、PassLogicの認証連携を駆使して、システム化を目指す。

今後はエンロールメント・マネジメント(入学前から卒業後までの総合的な学生支援)により、在籍している学生だけでなく、父母や卒業生などを含む「関大ファミリー」を考慮したシステムの展開が求められる。 柿本氏は、「メールシステムなどできるだけ同一画面からログインできる環境を構築できればいいですね」と語り、将来の構想へ新たなスタートを切る計画だ。 利便性とセキュリティ強化の実現に向けて、IT基盤のひとつであるワンタイムパスワード「PassLogic」の今後の活躍が期待される。

学校法人 関西大学
創立
1886(明治19)年
所在地
大阪府吹田市山手町3丁目3番35号
学部
法、文、経済、商、社会、政策創造、外国語、総合情報、システム理工、環境都市工、化学生命工

introduction_kandai01
学術情報事務局システム管理課 課長
中芝義之氏

introduction_kandai02
学術情報事務局システム管理課
柿本昌範氏

introduction_kandai03
富士通株式会社
文教ソリューション事業本部
文教ソリューション統括部
戸谷崇浩氏