• TOP
  • 도입 사례
  • EVE MA
  • 다요소 인증을 지원하고, 동시 로그인에 견디는 인증 시스템을 채용

시바우라 공업대학 님

다요소 인증을 지원하고, 동시 로그인에 견디는 인증 시스템을 채용

복수의 인증 요소를 이용할 수 있고,
학생의 동시 로그인에 견디는 인증 시스템

터미널 서비스를 사용하지 않고, 단말을 NetBoot시키는 방식을 채용하여, 2011년 4월 시스템을 업데이트했습니다. 또한, 당시 사용 중이던 타사의 지문 인증 시스템이 Windows 7을 지원하지 않았기 때문에, 새로운 인증 시스템인 EVE MA를 도입했습니다.

학생은 약 8000명, 교직원 약 900명. 학생의 지문 인증 이용은 임의지만, 인증 시스템을 이용할 수 없는 유저는 최대한 줄여야 했습니다. EVE MA는 지문 인증과 IC 카드 인증 등 복수의 인증 요소를 선택할 수 있어, 우리의 요구에 맞아떨어졌습니다.

기업에서의 이용과는 달리, 대학에서는 수업 시작할 때 학생들이 동시에 단말에 로그인을 합니다. 이때, 인증 서버에 부담이 가서 인증에 시간이 걸리고 로그인이 되지 않으면 수업을 시작할 수 없기 때문에, 한 번에 밀려오는 인증 처리를 해낼 수 있는 시스템을 바랐습니다.

지문 인증 시스템의 운용 경험은 이전부터 있었기 때문에, 등록 데이터의 품질을 올리는 것이 인증 정확도를 향상시키는 것이라는 인식이 있었습니다. 따라서, 지문 등록 유틸리티에 지문 등록 방법 설명 동영상을 첨부해서 최적의 입력 방법을 시각적으로 알 수 있도록 수정을 가했습니다. 또한, 지문을 단기간에 등록하게 한 것이 아니라, 사용기한이 정해진 패스워드를 발급해 주고, 본인 자리에서 천천히 등록하게 함으로써 등록 데이터의 품질을 올릴 수 있었다고 생각합니다.

1년이 되지 않는 준비 기간 후 운용에

이전부터 PKI의 인프라를 운용하고 있어, 이것을 전제로 한 시스템을 찾고 있었습니다. 인증 시스템의 검증에는 시간이 걸리므로 새로운 시스템 운용 시작의 1년 전부터 우리의 요구를 충족시키는 시스템을 검토하고 있었습니다.

EVE MA 채용을 결정하기 전에, IC 카드와 지문으로 운용 가능하다던 타사의 시스템을 검증했지만, 기대대로 작동되지 않아 많은 시간을 소모했음에도 원점으로 돌아오고 말았습니다.

이 일로 준비에 남은 기간이 수개월밖에 되지 않아, 다른 완성도 높은 시스템을 찾을 수밖에 없었습니다. 그 후, EVE MA를 전제로 검증과 개발 준비를 시작했습니다만, 시스템 운용까지 8개월, 시스템 가동까지는 6개월 남은 시점이었습니다.

학생이 동시에 로그인하는 상태에서 동작을 확실하게 실행하기 위한 부하 테스트도 필요했지만, 짧은 기간에 검증용 소프트웨어도 개발해 주셔서, 꼼꼼히 검증을 진행하고 운용 개시를 준비할 수 있었습니다.

서로 다른 도메인에서 인증 정보를 공유할 수 있도록 커스터마이즈

서로 다른 시스템 간의 인증 방법을 통합하고 싶었습니다. 교직원용 시스템에는 학생의 성적 등의 개인 정보가 있기 때문에, 보안 면에서 학생용과 교직원용 도메인은 분리해 두었습니다.

예전 시스템은, 지문 인증으로 로그인할 수 있는 도메인이 1개로 제한되어 있어, 교원은 교실에 있는 교육 연구계 단말에 지문 인증으로 접속할 수 없다는 단점이 있었습니다. 직원과 학생은, 한쪽씩의 시스템만 이용하지만, 교원은 양쪽의 시스템을 이용합니다. 대학의 정보 유출 대책으로 학생 정보 등은 사무계 도메인에 속하는 단말에서의 참조만 허가한다는 방침이 있었기 때문에, 교원은 연구계와 사무계 도메인을 구분해서 사용할 필요가 있었습니다.

따라서, EVE MA에 기능을 추가하여 이 도메인 간의 인증 정보 공유화가 가능해졌습니다. 그 결과, 교원은 똑같은 인증 방법으로 양쪽의 시스템에 로그인할 수 있게 되어, 인증 통합을 실감하고 있습니다.

또, 기존의 학적 정보와 인사 정보 DB에서 EVE MA로의 데이터 이동도 자동화되어, 새로 학생과 교직원의 유저 계정을 등록만 하면 자동으로 EVE MA의 유저 정보에 반영되게 되었습니다. EVE MA를 채용하여 유저 정보 등록 기간이 단축되어 몹시 편해졌습니다.

지진 후의 새로운 과제도 OTP로 극복

사무계의 정보는 학내에서만 취급하게 되어 있습니다. 직원의 메일로 전송하면 교외로 정보가 샐 가능성이 있어 출장 중에 메일을 확인하고 싶다는 의견이 있었으나 정책상 금지했었습니다.

그러나, 동일본 대지진이 발생하여 직원이 자택 대기하게 되어, 업무가 불가능한 상황이 되었습니다. 다행히 인적 피해는 없었지만, 학생의 안부를 확인해야 하는 상황에서 학생 명부조차 확인할 수 없었습니다. 그 때문에 비상시의 대책을 진지하게 생각하게 되었습니다.

또한 재난 대책 이외에도 외부에서 시스템에 로그인하고 싶다는 요청이 많아졌습니다. 교원은 출장이 잦고, 지방 캠퍼스를 왕래하는 일도 많습니다. 또, Windows 이외의 노트북과 태블릿 PC를 쓰는 교원도 많아서 다양한 단말에서 접속하는 방법을 생각해야 했습니다. 패스워드는 보안 강도를 떨어트려서 채용할 수 없었습니다.

평소의 대비는 재해 시의 대비도 됩니다. EVE MA는 플러그인을 추가함으로써 인증 요소를 늘릴 수 있어, 상담을 통해 OTP를 이용하는 인증을 병용하게 되었습니다.

마침 그 시기에 일부 사무 시스템에 VDI(VMware Horizon View) 환경을 도입하여, EVE MA를 도입하지 않은 단말에서도 브라우저만 있으면 VDI를 이용하여 보안 강도를 떨어트리지 않고 운용할 수 있게 되었습니다.

단순한 패스워드 운용에서는 단말에 key logger를 심어서 패스워드를 빼가는 문제가 있지만, OTP로 로그인하면 그런 위험도 없습니다. OTP는 카드 타입으로 했습니다. 전용 제품이 아닌 범용 제품으로 하여 비용도 절약했습니다. 이 구조의 교원 쪽 운용이 호평이어서 직원 쪽으로도 확대할 생각입니다.

보안을 유지한 채 단말을 줄이고 저비용화로

미래에는, 교직원의 신분증명서와 OTP 카드를 일체화하고 싶습니다. 그러면 증명서 발행 업무를 통일화한 운용이 가능해져 보안성이 한층 향상될 것입니다.

또, 직원에게는 개별 단말이 필요하지만, 교원은 OTP를 이용하여 어떤 단말에서도 VDI 환경에 접속이 가능하기 때문에 교원에게 전용 단말을 배포할 필요가 없어집니다. 따라서 다음 시스템 업데이트 시에는 사무용 단말에 드는 비용도 큰 폭으로 삭감될 것으로 생각하고 있습니다.

PROFILE

  • 교명: 시바우라 공업대학
  • 개요: 1949년 개교한 사립대학. 1927년 전신인 도쿄고등공상학교 창립 이래, 일관적으로 실학주의를 내세워 뛰어난 기술자를 육성. 창립 이래 이념을 계승하면서 시대가 원하는 창조적인 인재를 육성하고 사회에 공헌하는 대학으로서 교육・연구하고 있다. 본교 소재지는 도쿄도 코토구 토요스 3-7-5. 오오미야 캠퍼스(사이타마시 미누마구), 시바우라 캠퍼스(도쿄도 미나토구). “공학부”  “시스템 이공학부”  “디자인 공학부” 3 학부, “이공학 연구과”  “공학 매니지먼트 연구과” 2 연구과에서 8399명이 배우고 있다(2013년 5월 1일 현재).
  • 홈페이지: http://www.shibaura-it.ac.jp/
INFORMATION