複数の認証要素が利用可能で、
学生の一斉ログインに耐えられる認証システム
ターミナルサービスを使わず端末をネットブートさせて使う方式を採用し、2011年の4月にシステムの更新を実施しました。また、当時採用していた他社の指紋認証システムがWindows 7に対応していなかったため、新しい認証システムとしてEVEMAを導入いたしました。
学生は約8000名、教職員は約900名。学生の指紋認証の利用は任意ですが、認証システムを利用できないユーザーを極力減らす必要がありましたが、EVEMAは、指紋認証やICカード認証など、複数の認証要素を選択できたため、我々のニーズに合致していました。
企業での利用とは異なり、大学では授業開始の際、学生が一斉に端末にログインします。この時、認証サーバには大きな負荷がかかりますが、認証に時間がかかることで、ログインが出来なければ授業を開始することができないため、一度に来る認証要求に耐えられるシステムを望んでいました。
指紋認証システムの運用経験は以前からありましたので、登録データの品質を上げることが、認証精度の向上につながるという認識がありました。このため、指紋登録ユーティリティに登録方法のレクチャービデオを埋め込み、最適な指の滑らせ方が視覚的にわかるような改修を入れていただきました。また、指紋の登録を短期間で行うのではなく、有効期限付きのパスワードを発行して自席でゆっくりと行なってもらう方法を取ることで、登録データの品質を上げることができたと思います。
1年に満たない準備期間で運用へ
PKIのインフラを以前から運用しており、これを前提としたシステムを探していました。認証システムの検証には時間がかかるため、新システム運用開始の1年前から我々のニーズを満たすシステムの検討を始めていました。
EVEMAを採用決定する前に、ICカードと指紋で運用可能と言われていた他社のシステムを検証したのですが、期待通りに動作せず、かなりの時間を費やしたにもかかわらず、振り出しに戻ってしまいました。
このことで準備に要する残りの期間が数ヶ月となってしまい、他の完成度の高いシステムを探さなくてはならなくなりました。その後、EVEMAを前提に検証や開発に向けて準備を開始しましたが、それはシステム運用開始の約8ヵ月前、システム稼働開始の約6ヶ月前でした。
学生が一斉にログインする状態での動作を確実に行うための負荷テストも必要でしたが、短い期間で検証用ソフトウェアも開発いただき、しっかりと検証を行い運用開始に備えることができました。DDSさんは国内企業ですから、何か問題が発生してもレスポンスが早いことが良かったと思います。現在もEVEMAが元となるようなトラブルは皆無です。
異なるドメインで認証情報を共有できるようカスタマイズ
異なるシステムにおいて認証方法を統合したいと考えていました。教職員用のシステムには学生の成績などの個人情報があるため、セキュリティーの観点から、学生用と教職員用のドメインは別にしています。
以前のシステムでは、指紋認証でログインできるドメインが1つに限られていたため、教員は、教室にある教育研究系端末への指紋認証によるアクセスができないという欠点がありました。職員と学生は、片方のシステムを利用するのみですが、教員は両方のシステムを利用します。大学の情報漏えい対策として、学生情報などは事務系ドメインに属する端末での参照しか許可しないという方針であったため、教員は研究系と事務系のドメインを使い分ける必要がありました。
このため、これらドメイン間で認証情報の共有化をお願いし、EVEMAに機能を追加いただくことで、認証情報の共有化が可能としました。この結果、教員は同じ認証方法で両方のシステムにログインできるようになり、認証の統合を本当の意味で行えたと実感しています。
また、既存の学籍情報や人事情報のデータベースからEVEMAへのデータ移行も自動化され、新しく学生や教職員のユーザーアカウントを登録するだけで自動的にEVEMAのユーザー情報に反映されるようになりました。EVEMAを採用したことで、ユーザー情報の登録期間が短縮され非常に助かっています。
震災後の新たな課題もワンタイムパスワードで克服
事務系の情報は学内のみで扱うことを許可しています。職員のメール転送は学外に情報が漏れる可能性があり、出張中にメールを確認したいという声もありましたが、運営ポリシーとして禁止していました。
ところが、東日本大震災の発生により職員が自宅待機となり、業務できない状況になってしまいました。幸いにも人的被害はありませんでしたが、このような状況となった場合、学生の安否を確認しようにも名簿すら扱えなかったのです。このため、非常時における対策を真剣に考えることが急務となりました。
さらに災害対策以外でも、外部からシステムにログインしたいという声があがってきていました。教員は出張が多く、また、豊洲、大宮のキャンパスを行き来することも多いのです。また、Windows以外のノートパソコンやタブレット端末を使用している教員も多く、さまざまな端末からのアクセス方法を考えなくてはなりませんでした。通常のパスワードではセキュリティ強度を落とすことになるため採用できません。
普段の備えは災害時の備えにもなります。EVEMAはプラグインを追加することで認証要素を増やすことが可能でしたので、ワンタイムパスワードによる認証を併用できないかという相談をし、これを実現していただきました。
ちょうど同じ時期、一部の事務系システムにVDI(VMware Horizon View)環境を導入したため、EVEMAが導入されていない端末からでも、ブラウザさえあれば、VDIを利用できるようになり、セキュリティ強度を落とすことなく運用ができるようになりました。
単純なパスワード運用では、端末にキーロガーを仕込まれてしまうことによるパスワードの流出が問題となりますが、ワンタイムパスワードでログインという方法には、その危険もありません。ワンタイムパスワードはカードタイプにしましたが、専用品ではなく汎用品であったのでコストも同時に節約できました。この仕組の教員サイドでの運用が好評なため、職員にも広げていきたいと考えています。
セキュリティーを維持したまま将来は端末を削減し省コスト化へ
将来的には、教職員の身分証明書とワンタイムパスワードカードを一体化したいと考えています。これにより、証明書発行業務を統一化した運用が可能となることで、セキュリティがさらに向上します。
また、職員には個別に端末が必要ですが、教員はワンタイムパスワードの利用により、どの端末からでもVDI環境へアクセスできるため、教員に専用端末を配布する必要がなくなります。このことから、次回システム更新時には事務系端末にかかる経費も大幅に削減できるのではないかと考えています。
PROFILE
- 校名:芝浦工業大学
- 概要:1949年設置の私立大学。1927年に前身の東京高等工商学校創立以来、一貫して実学主義を掲げて堅実に仕事ができる優れた技術者を育成。創立以来の理念を引き継ぎながら、時代が求める創造性豊かな人材を育成し、社会に学び社会に貢献する大学として、教育・研究を行っている。本部所在地は東京都江東区豊洲3-7-5。本部キャンパスの他に大宮キャンパス(さいたま市見沼区)、芝浦キャンパス(東京都港区)。「工学部」「システム理工学部」「デザイン工学部」の3学部、「理工学研究科」「工学マネジメント研究科」の2研究科で8399人が学ぶ。(2013年5月1日現在)
- ホームページ:http://www.shibaura-it.ac.jp/
