1. 4. 1 サービス内容について
京都大学の教育研究に係る様々なサービス及び業務に対して,個別のアカウントが提供され,利用者の利便性が 損なわれていた.また,ライフサイクル管理も十分でなく,アカウントに個人番号が使われていたため,セキュリ ティリスクも危惧されていた.さらに,各サービスや業務で認証を行っていたため,運用や開発に対する分割損も 発生していた.これらの課題を解決するため以下を推進し2010年度から統合認証基盤の本格運用を開始した.現在,
利用促進のための施策を実施している段階である.
(1) 共通的なサービス及び業務に対してシングル・サインオン認証,共通ポータルを運用し,その際,ディレクト リデータの統合も実施した.具体的には,教職員グループに対する教職員ポータル,学生の教育サービスの全 学生共通ポータル(共通認証システム),学内及び全国共同利用など教育研究コミュニティに対する柔軟な認 証連携(Shibboleth)サービスを全学に向け提供している.
(2) アカウントのライフサイクル管理及びセキュリティリスク軽減の観点から,教職員及び学生に対して同じコー ド体系の全学アカウントを配付し,その全学アカウントの利用促進を進めている.具体的には,教職員には教 職員アカウント(SPS-ID)を,学生には学生アカウント(ECS-ID)を配付している.また,これらの全学ア カウントについては,部局独自のWebアプリケーションサービス認証へも利活用できるようにしている.
(3) セキュアな認証,物理的セキュリティ強化及び利便性向上の観点から,教職員及び学生(正規生)など京大構 成員に対して2010年2月よりICカードを配付している.
1. 4. 2 サービス提供の体制について
1. 4. 2. 1 過去の経緯
2005年度末に情報基盤担当理事のもと,個人認証システム検討委員会が設置され,全学の認証基盤の検討を開 始した.認証基盤に係る企画立案などは個人認証システム検討委員会が責任委員会となり部局長会議などへ具体的 な実施提案を行い,システムの開発・構築を行い2010年度に認証サービスを本格稼動した.統合認証システムが 2009年6月より全学情報システムに指定されたため,統合認証システムの情報セキュリティに関する最高意思決 定機関は全学情報セキュリティ委員会となり,本格稼働に伴い個人認証システム検討委員会は2011年3月末をもっ て廃止された.
2006年8月に情報環境機構に認証や情報セキュリティに関わりの深い情報環境機構の教職員からなる認証タス クフォースを設置し,認証方式や技術・運用などの検証や課題抽出を行った.タスクフォースは,2008年9月よ り認証システム運用委員会として現在に至っている.
IC身分証などの全学への配付,窓口の一元的対応及び認証サービス展開を円滑に実施する観点から,2009年4 月より情報環境部に統合認証センターを新設した.以降,ICカードに係わる学内調整,広報活動,問い合わせな どサービス面を中心とした企画・運営を行っている.統合認証センターは2011年度より情報環境機構へ移管された.
1. 4. 2. 2 2010年度以降の体制
2010年度から全学統合認証に係るサービスを提供している.利用促進に向けての施策立案や大きな見直しは認 証システム運用委員会が行い,ICカードや電子証明書の作成・配付及び認証局や統合LDAPなどの運用は,統合 認証センターが実施している.また,認証サービスに係る問い合わせも統合認証センターで一元的に対応している.
1. 4. 3 サービスの提供状況について
認証基盤の構成要素は,
(1)教職員アカウント(SPS-ID)及び学生を中心に配付している学生アカウント(ECS-ID)などの全学アカウント,(2) 教職員ポータル,全学生共通ポータル,教育研究コミュニティのためのShibboleth
認証連携の3つのシングル・サインオンシステム,(3)全学アカウント及びそれらの属性を統合管理している統合 ディレクトリデータベース,(4)電子証明書の登録・発行や失効を管理している京都大学電子認証局,(5)学生証,
認証ICカード,施設利用証などICカードなどから構成される.以下,2012年度の取り組みと各サービスの提供
47 1. 4 全学統合認証基盤
状況を述べる.
(1)全学アカウント:
(1-1)教職員アカウント
教職員アカウント(SPS-ID)の配付対象者は,京都大学と雇用関係のある教職員としてきたが,2010年度に通 常の教職員とは別ポータルであった財務会計システムを教職員ポータルに収容したため,日本学術振興会の科学研 究費を持っている研究者等にもSPS-IDを配付した.2011年度には,このSPS-IDをベースに電子証明書を作成し,
認証ICカードに格納した上で配付し,2011年12月から財務会計システムのICカード認証に活用している.
(1-2)学生アカウント
学生アカウント(ECS-ID)は学生中心の全学アカウントであるが,名誉教授,学外非常勤講師及び研究員など,
教職員アカウント(SPS-ID)でカバーできない利用者にも提供している.このECS-IDの配付は2011年度まで情 報環境機構の教育支援グループが実施していたが,教育用コンピュータシステムの更新に伴い配付ポリシーやその 方法の抜本的な見直しを2011年度に準備し,2012年度に実施した.
従来,教育支援グループが実施する講習会を受講した上で配付するスキームであったが,2012年度より入学し た学生全員(正規生,非正規生)へ学生アカウント及び学生用全学メール(KUMOI)を配付することとし,これ に伴い教務情報システムと連携できる利用者管理システムを開発した.このシステムは,教務情報に登録された全 ての学生のECS-IDを生成し,統合LDAP及び全学生共通ポータルLDAP,教育用コンピュータLDAP及びActive
Directoryへ配信する.これにより人的稼働及びミスを大幅に低減できた.2012年度新入生約7,200名(学部生,大
学院生,非正規生)に向けて学生アカウント通知書(学生アカウント及び有効化キーが記載)を作成し,2012年4 月2日より部局経由で配付を開始した.既存学生についても同様に,学生アカウント及び学生用全学メールを生成 し利用できる環境を整えた.
図1.4.1に2012年4月の有効化の推移を示す.4月末時点で学部新入生の約99%が学生アカウント(ECS-ID)
を有効化し,学生用メールの転送設定を行っている.有効化の端末としては教育用コンピュータPCが使われ,スマー トフォンがそれ程使われていない.反面,2013年度は半分以上,スマートフォンが利用され2012年度と大きく様 相が異なっている.
図1.4.1:2012年4月日々の有効化の推移 利用者管理システムの改修及び障害については以下の通りである.
2012年度は,年度初頭の様々な不具合及びワークフローなど改善すべき点を明確にした上で,利用者管理シス テムの継続的な改修を行った.また,窓口での利用者検索と情報閲覧機能及び学生アカウントと学生用メールアド レスの変更機能などを追加し,随時リリースした.障害については,4月2日 昼頃-15:50 学生アカウントの 有効化処理システムダウン(セッション切断処理のバグ)を起こした.
(1-3)全学アカウントによるサービス
2010年4月より教職員用全学メールサービスを提供したこと,電子ジャーナルのログイン時に学生アカウン ト(ECS-ID)に加えて教職員アカウント(SPS-ID)でも利用可になったことで,SPS-IDを保有している教職員は
ECS-IDを持たなくても良い環境になった.しかし,ECS-ID及びSPS-IDの両方を保持する教職員が約4,000名おり,
教職員のECS-ID保有を大幅に低減させ今後の施策を容易にする観点から,ECS-IDに対する更新ポリシーを見直
した.具体的には,教職員には原則ECS-ID及び学生用全学メールを提供しないこととし,学生及び名誉教授以外は,
毎年8月に更新しなければECS-IDを停止させることとした.これに伴い,教職員へ向けて注意喚起のアナウンス を4月,7月に複数回にわたり実施した.
図1.4.2に2012年度申請のあった学生以外のECS-ID累積の推移を示す.約4,000名の教職員アカウントは約
170に激減し,学生以外の実質的なECS-IDアカウントは約1,500程度に納まると想定している.なお,名誉教授
のECS-IDは停止しないため毎年約50件の純増が予想される.
図1.4.2:学生以外のECS-ID取得申請の推移
以上のように,2012年度に長年懸案であった教職員アカウント(SPS-ID)と学生アカウント(ECS-ID)の整理を行っ た.結果,SPS-IDの有効な数は約11,000程度,学生が保有しているECS-IDは約23,000程度,名誉教授,研究員 や学外非常勤講師など学生以外のECS-IDは実質約1,500に整理されたと考えている.
これら全学アカウントの認知度も向上し,図1.4.3のような様々なサービスの個人認証に利用されている.また,
工学研究科などのように独自アカウント利用から,全学アカウントへの切り替えを行う部局も増えてきている.
図1.4.3:全学アカウントで利用できるサービスイメージ