広島大学・情報メディア教育研究センターでは、同大学のキャンパスネットワーク「HINET2007」
において、UPKI イニシアティブのサーバ証明書を利用した Web 認証システムを構築・運用してい ます。その狙いと成果について、広島大学 教授 情報メディア教育センター長 相原 玲二氏にお話を 伺いました。
(インタビュー実施: 2010年3月19日)
まず情報メディア教育研究センターの概要についてご紹介頂けますか。
相原氏:当センターでは、現在「ネットワークサービス」「全学情報サービス」並びに
「情報教育の実施と教育の情報化支援」の3 つの事業を手がけています。最初のネッ トワークサービスでは、本学の全構成員が利用するネットワーク基盤の構築・運用 を、2 番目の全学情報サービスでは電子メール/Web/ 教育用端末 / 高度科学技術 計算などのサービス提供を、最後の教育関連事業では、基礎的な情報リテラシー教 育や IT による教育支援などを行っています。
ネットワーク化の歩みについても教えて頂きたいのですが。
相原氏:本学のキャンパスネットワークは、93 年度に整備し、94 年度より運用を開始した「HINET93」が最初に なります。初期の LAN では FDDI を利用していましたが、その後技術の進化に応じて、幾度かの追加や改修を繰 り返してきました。SINET も古くから利用しており、現在は SINET3 が対外接続の重要な基幹ネットワークに なっています。
当時の環境の特徴としては、学部や研究室ごとに小規模なネットワークを構築し、それらをつなぐ幹線ネット ワークを総合情報処理センター(当時)が管理していた点が挙げられます。この時代の環境を「サブネット管理体 制」と呼んでいますが、その頃は現在のような大規模キャンパスネットワークをセンターだけで構築・運用すること が困難だったため、その時点としてはベストな選択だったのです。
しかし、課題となる点もあったわけですね。
相原氏:ええ。初期の HINET に関わって下さった教職員の方々も次第に異動・退職されていきますし、学生も毎 年卒業していきます。すると、ネットワークは動いているものの、その内容を熟知している人がいないという状況 が生まれてきました。しかも、複数の研究室をまたがって一つのサブネットを作っているケースがほとんどでした ので、どこかで問題が発生すると、同じサブネット内の他の研究室などにも影響が及んでしまう点も問題でした。
さらに最近では、ウィルス被害などへの対策も重要な課題になっています。こうした状況を改善するためには、ど こかで従来のサブネット管理体制を変える必要があると感じていました。そこで、2008 年度より運用を開始した
「HINET2007」では、ネットワークインフラの大幅刷新に踏み切りました。
HINET2007 の概要
狙いとされた点はどのような部分ですか。
相原氏:旧ネットワークでは、何かトラブルが起きた時に、いつ・誰が・どこで・何をやったかが、はっきり分からな い点が課題でした。当然こういう状況だと、トラブルの原因を究明するにも時間が掛かってしまいます。そこで、
HINET2007 では、コンピュータを使い始めるところでは、必ず利用者認証を掛けようと考えました。いつ、誰がど のコンピュータを使ったかが分かれば、トラブル原因の特定も迅速に行えます。また、不正利用などに対する抑止 効果も期待できます。
今回はそのための方法として、Web 認証を取り入れられたわけですが。
相原氏:利用者認証の方法としては、802.1x をはじめ様々なパターンが考えられます。単純に技術的なことだけを 考えるのなら、他の方法を選択する手もあったでしょう。しかし、大学という環境を考えた時には、なかなかそれだ けでは済ませられません。クライアントPC一つ取っても、学内では様々なメーカーや OS の製品が利用されていま すし、一般企業のように特定の端末しか使わせないというわけにもいきません。その点、Web 認証であれば、ブラ ウザさえ動けば古めのパソコンでも問題なく利用できます。また、本学では、90 年代後半から有線 / 無線 LAN の 端末認証について、独自の研究開発を進めてきた実績もありましたので、Web 認証を採用するのが良いだろうと 考えたのです。
利用者認証の概要
構築上、苦労された点などはありましたか。
相原氏:できるだけエッジ寄りの部分で認証を行いたかったので、なるべくコストが安く、かつサーバ証明書に対 応した認証機能付きスイッチ製品を探しました。ところが、当時は中間 CA に対応できるスイッチがあまりなく、
メーカーに頼んで機能を実装してもらう必要がありました。また、もう一つはサーバ証明書そのものの問題です。
HINET2007で導入したスイッチの台数は、本稼働開始時点でも約450 台。これらすべてに、商用のサーバ証明書 を入れるとなると、それだけで数千万円のコストが掛かってしまいます。かといって、自己証明書、いわゆる「オレオ レ証明書」のようなものを使うこともできません。普段からユーザーに「怪しい証明書は受け入れないように」と 言っているのに、これだけは特別に信じろと言うのもおかしいですからね。
そこで UPKI イニシアティブのサーバ証明書プロジェクトが役立ったわけですね。
相原氏:そういうことです。ちょうどタイミング的に、NII をはじめとする機関・大学が、UPKI のサーバ証明書プ ロジェクトを開始した時期でしたので、早速 HINET2007 でも採用することにしました。おかげで前述したような 多額のコストを掛けることなく、国内最大級の Web 認証環境を実現できました。今にして振り返れば、もしあの時 に UPKI のサーバ証明書が無かったら、一体どうしていたのだろうと思いますね(笑)。ちなみに、各研究室の管理 者が認めた端末については、MAC アドレス認証でネットワークが利用できる仕組みも用意してあります。
本学でシステムが稼働した後、他の大学でも同様のWeb認証環境を構築するところが増えてきました。そういう 貢献が果たせたという意味でも、今回の取り組みの意義は大きかったと感じています。
今後の計画についても教えて頂けますか。
相原氏:まず一つはシングルサインオン環境の実現です。現在は教職員 / 学生向けのポータルにログインした後、
別のシステムを利用する際には、再度 ID、パスワードの入力が必要になります。こうした点を改善し、より利便性 を向上させていきたい。それと、もう一つ研究を進めているのが、学会などで来訪される学外の方へのサービス です。現在はネットワークの利用を希望される場合、事前に申請して頂いて ID、パスワードを発行しています。しか し、この方法だと発行側の手間も掛かりますし、来訪者の方も手続きが面倒です。そこで、こうした点を解消する 手段として、Shibboleth を利用した UPKI フェデレーション対応の認証方法を検討中です。これなら、いちいちゲ ストアカウントを用意せずとも、他の大学の認証情報がそのまま利用できます。
学術認証フェデレーションに基づく来訪者の認証
最後に今後の抱負をお聞かせ下さい。
相原氏:インフラをサービスする立場としては、システム / ネットワーク環境の改善をさらに進めていきたいと考え ています。また、それと同時に、研究開発にも力を入れていきたいですね。実は先日、HINET2007 に関する論文で 情報処理学会から山下記念研究賞を頂いたのですが、今回のようなネットワークの実運用に関わる取り組みが評 価されたというのは非常に嬉しいことです。今後も HINET2007 の安定運用とネットワークの先端研究の両面で 頑張っていきたいと思います。
ありがとうございました。