1. 4. 1 サービス内容について
京都大学の教育研究に係る様々なサービス及び業務に対して,個別のアカウントが提供され,利用者の利便性が 損なわれていた.また,ライフサイクル管理も十分でなく,アカウントに個人番号が使われていたため,セキュリティ リスクも危惧されていた.さらに,各サービスや業務で認証を行っていたため,運用や開発に対する分割損も発生 していた.これらの課題を解決するため以下を推進しており,2010年度から統合認証基盤の本格運用を開始した.
現在,利用促進のための施策を実施している段階である.
(1) 共通的なサービス及び業務に対してシングル・サインオン認証,共通ポータルを運用し,その際,ディレクト リデータの統合も実施した.具体的には,教職員グループに対する教職員ポータル,学生の教育サービスの全 学生共通ポータル(共通認証システム),学内及び全国共同利用など教育研究コミュニティに対する柔軟な認 証連携(Shibboleth)サービスを全学に向け提供している.
(2) アカウントのライフサイクル管理及びセキュリティリスク軽減の観点から,教職員及び学生に対して同じコー ド体系の全学アカウントを配付し,その全学アカウントの利用促進を進めている.具体的には,教職員には教 職員アカウント(SPS-ID)を,学生には学生アカウント(ECS-ID)を配付している.また,これらの全学ア カウントについては,部局独自のWebサービス認証へも利活用できるようにしている.
(3) セキュアな認証,物理的セキュリティ強化及び利便性向上の観点から,教職員及び学生(正規生)など京大構 成員に対して2010年2月よりICカードを配付している.
1. 4. 2 サービス提供の体制について
1. 4. 2. 1 過去の経緯
2005年度末に情報基盤担当理事のもと,個人認証システム検討委員会が設置され,全学の認証基盤の検討を開 始した.認証基盤に係る企画立案などは個人認証システム検討委員会が責任委員会となり部局長会議などへ提案を 行ってきたが,統合認証システムが2009年6月より全学情報システムに指定されたため,統合認証システムの情 報セキュリティに関する最高意思決定機関は全学情報セキュリティ委員会となっている.なお,2010年度に認証 サービスが本格稼動に入った事から,個人認証システム検討委員会は2011年度より廃止された.
2006年8月に情報環境機構内に認証タスクフォースを設置した.このタスクフォースは,認証や情報セキュリティ に関わりの深い情報環境機構の教職員で構成され,認証方式や技術・運用などの検証や課題抽出を行った.本タス クフォースは,2008年9月より認証システム運用委員会として再スタートし,現在に至っている.
IC身分証などの全学への配付,窓口の一元的対応及び認証サービス展開を円滑に実施する観点から,2009年4 月より情報環境部に統合認証センターを設置した.以降,ICカード導入に向けて,学内調整,広報活動,問い合 わせなどサービス面を中心とした企画・運営を行っている.統合認証センターは,2011年度より情報環境機構へ 移管されている.
1. 4. 2. 2 2010年度以降の体制
2010年度から全学統合認証に係る全てのサービスを提供している.利用促進に向けての施策立案や大きな見直 しについては,認証システム運用委員会が行い,ICカードや電子証明書の作成・配付及び認証局や統合LDAP等 のシステム運用は,統合認証センターが実施している.また,認証サービスに係る問い合わせも統合認証センター で一元的に対応している.
1. 4. 3 サービスの提供状況について
認証基盤の構成要素は,
(1)教職員アカウント(SPS-ID)及び学生を中心に配付している学生アカウント(ECS-ID)などの全学アカウント,(2)3つのシングル・サインオンシステム(教職員ポータル,全学生共通ポータル,
教育研究コミュニティのためのShibboleth認証連携),(3)全学アカウント及びそれらの属性を統合管理している 統合ディレクトリデータベース(統合LDAP),(4)電子証明書の発行や失効を管理している京都大学電子認証局,
47 1. 4 全学統合認証基盤
(5)学生証,職員証,認証ICカード,施設利用証等ICカード等から構成される.以下,各サービスの提供状況と 2011年度の取り組みについて述べる.
(1)全学アカウント:
(1-1)教職員アカウント
教職員アカウント(SPS-ID)の配付対象者は,京都大学と雇用関係のある教職員としてきたが,2010年度に財 務会計サービスを教職員ポータル(通常の教職員とは別のポータル)に収容したため,日本学術振興会の科学研究 費を持っている研究者にもSPS-IDを配付した.2011年度には,このSPS-IDをベースに電子証明書を作成し,認 証ICカードに格納した上で配付し,2011年12月から財務会計システムのICカード認証に活用している.
(1-2)学生アカウント
学生アカウント(ECS-ID)は学生中心の全学アカウントであるが,名誉教授,学外非常勤講師及び研究員等,
教職員アカウント(SPS-ID)でカバーできない利用者にも提供している.このECS-IDの配付は2011年度まで情 報環境機構の教育支援グループが実施していたが,教育用コンピュータシステムの更新に伴い配付ポリシーやその 方法の抜本的な見直しを実施した.
従来,教育支援グループが実施する講習会を受講した上で配付するスキームであったが,2012年度より入学し た学生全員(正規生,非正規生)へ学生アカウント及び学生用全学メールを配付することとし,これに伴い教務情 報システムと連携できる利用者管理システムを開発した.このシステムは,教務情報に登録された全ての学生の
ECS-IDを生成し,統合LDAP及び全学生共通ポータルへ情報を配信する.これにより,人的稼働及びミスを大幅
に低減できる.2012年度新入生約7,200名(学部生,大学院生,非正規生)に向けて学生アカウント通知書(学生 アカウント及び有効化キーが記載)を作成し,2012年4月2日より部局経由で配付を開始した.既存学生につい ても同様に,学生アカウント及び学生用全学メールを生成し利用できる環境を整備した.
(1-3)全学アカウントによるサービス
2010年4月より全学メールサービスを提供したこと,統合LDAPを利用して電子ジャーナルのログイン時に学 生アカウント(ECS-ID)に加えて教職員アカウント(SPS-ID)も利用できるようになったことで,SPS-IDを保有 している教職員は,ECS-IDを持たなくても良い環境になった.しかし,ECS-ID及びSPS-IDの両方を保持する教
職員が約4,000名いることから,教職員のECS-ID保有を大幅に低減させる観点から,ECS-IDに対する更新ポリシー
を見直すこととした.具体的には,教職員には原則ECS-ID及び学生用全学メールを提供しないこととし,毎年8 月に更新しなければECS-IDを停止させることとした.これに伴い,教職員へ向けて注意喚起のアナウンスを4月 に実施した.
これら全学アカウントの認知度も向上し,図1.4.1のような様々なサービスの個人認証に利用されている.また,
工学研究科等のように独自アカウント利用から,全学アカウントへの切り替えを実施している部局も増えている.
図1.4.1:全学アカウントで利用できるサービスイメージ
(2)シングル・サインオンシステム
(教職員共通ポータル,全学生認証ポータル,教育研究コミュニティのためのShibboleth認証連携):
(2-1)全学生共通ポータル(共通認証システム):
学生系共通の認証ポータル(シングル・サインオンの認証対象はクラシス,DEEPMail,MyKULINE)は,2009 年度新入生からクラシスのログインページを本ポータルに絞り運用を開始している.また,本システムに関わる問 い合わせ管理を一元化し,利用者の満足度向上を目指している.顕著な効果として,附属図書館が提供している
MyKULINEサービスに対するアクセス数が毎年新入の学部学生分(約3,000名)だけ増加している.
2011年 度 は 今 後 の サ ー ビ ス 連 携 を 考 慮 し, 全 学 生 共 通 ポ ー タ ル にShibboleth認 証 連 携 機 能 を 追 加 し た.
Shibboleth認証連携機能は,8月を目途にシステム更新している附属図書館のMyKULINE後継サービス及び学生用
全学メールサービスの後継ソフトOffi ce365へ適用していく予定である.
DEEPMailが5月末でサービス停止するため,2011年12月より学生用全学メール(Microsoft 社に委託,Live@
edu)を試行運用している.この学生用全学メールが2012年4月より本格運用になることを受け,DEEPMailとと
もに全学生共通ポータルへ収容した.
(2-2)Shibboleth認証連携システム:
Shibboleth認証連携システムは,異なるドメインのサービスに対して京都大学IdP(Id Provider)にリダイレ クトすることにより,認証の代行が可能になる.具体的には,学外の電子ジャーナルのログインに対して,京 都大学の全学アカウントを利用して認証が可能になる.附属図書館が契約しているCiNii,EZProxy,RefWorks,
ArticleSearch等電子ジャーナルを中心に利用が伸びており,申請ベースで12件利用されている.
Shibboleth認証連携システムに対応した学内サービスでは,自前の認証機能を構築することなく,京都大学IdP を利用することで,全学アカウントを利用した認証が実現できる.情報環境機構のホスティングサービス及び フィールド科学教育研究センターの専用ページのログインにも利用されている.さらに,マイクロソフト社の
DreamSparkサービス(学生に限定)についても京都大学IdPを活用したShibboleth認証を実施している.
今後,附属図書館が提供する認証にもShibbolethフォワードプロキシーを導入予定である.
(2-3)教職員ポータル:
2010年4月から提供を始めた全学メールサービス及び2011年度に教員を対象として開始した教育研究活動デー タベースも有り,教職員ポータルの利用が伸びている.また,サービス毎に必要なセキュリティレベルがあり,人 事給与及び財務等に係るサービスには,よりセキュアな認証方式が必要との観点から,ICカード(電子証明書)
認証を適用する方針であったが,2010年8月から人事給与関係の「人事給与の申請閲覧」を電子事務局推進掛が 中心となってICカード認証に切り替えた.部局によって対象者の違いはあるものの,9月に人事シートの提出,
11月には年末調整にICカード認証が適用された.また,5月より非常勤教職員を対象とし,在籍証明書の申請処 理にICカード認証を利用している.2011年12月より財務会計システムにICカード認証を適用した.
(3)統合ディレクトリデータベース(統合LDAP):
2009年4月より,情報学研究科や工学研究科の一部及び情報環境機構の情報セキュリティ
e-Learning,WEB-CT,電子ジャーナルなど複数のWEBサービスの認証に試験提供を開始した.2010年1月に全学情報システム利用
規則が制定されたため,各部局が利用する際の申請方法などを制定し本格サービスを開始した.2009年度は23件,
2010年度は24件,2011年度は32件の利用実績がある.
統合LDAPの教職員情報は,教職員ポータル(グループウェア),人事データベース及びICカード発行データベー スをマスターとしてデータ連携している.一方,学生情報はECS-IDや学生番号のみであったため,認証には問題 ないが細かなサービス提供には十分でなかった.一方,附属図書館や情報環境機構の教育支援サービスでは,学生 情報をUSBメモリで適宜教務情報システムより抽出していた.このような方法は,情報セキュリティ上リスクが 高いとの観点から,必要な学生データを教務情報システムから統合LDAPへ定期的にVPN経由で連携させる方式 を2010年12月に教務事務電算管理運営委員会へ提案し了承され,2011年2月に教務情報システムと統合LDAP を連携させた.この整備を受けて,学生アカウント及び学生用全学メールアドレスの生成が自動でできるように なり,2012年度から学生アカウント(ECS-ID)の対応を教育支援グループから統合認証センターへ移管できた.
2012年度から必要な学生データも統合LDAP経由で附属図書館等全学サービスへ安全に提供できるようになって