学認を活用した大学連携IT基盤の構築に向けて

(1)

学認を活用した

大学連携IT基盤の構築に向けて

中村素典

/ 国立情報学研究所

(2)

2 学内

SSOの仕組みをグローバルに

機関認証システム Identity Provider Webメイル履修登録給与明細 SSO SSO ユーザディレクトリ（LDAP）

Service

Provider

学内

eLearning

eJournal

学内サービスの

アウトソース化にも最適

大学Ａ

大学Ｂ

集約、共用による

コスト削減メリット

SSO SSO

(3)

0

10

20

30

40

50

60

70

80

90

100 Ju

l-09

D

ec

-0

9 M

ay-10

O

ct

-1

0 M

ar-11

A

ug-11

Ja

n-1

2 Jun-12

N

ov-12

A

pr-13

Se

p-1

3 機関数

0

20

40

60

80

100

120 Ju

l-09

D

ec

-0

9 M

ay-10

O

ct

-1

0 M

ar-11

A

ug-11

Ja

n-1

2 Jun-12

N

ov-12

A

pr-13

Se

p-1

3 Total

Students

Staffs

ユーザ数

総

ID数≒75万

（万人）

3 60 IdP達成



病院も参加しました（

NTT東日本関東病院）



H25年より全国の高等専門学校が順次参加予定

学生の割合は、

80%強

高等教育人口は

350万人

参加機関一覧：https://www.gakunin.jp/docs/fed/participants

試行

本格運用

(4)

0

20

40

60

80

100

120

140 Ju

l-09

Se

p-0

9 N

ov-09

Ja

n-1

0 M

ar-10

M

ay-10

Ju

l-10

Se

p-1

0 N

ov-10

Ja

n-1

1 M

ar-11

M

ay-11

Ju

l-11

Se

p-1

1 N

ov-11

Ja

n-1

2 M

ar-12

M

ay-12

Ju

l-12

Se

p-1

2 N

ov-12

Ja

n-1

3 M

ar-13

M

ay-13

Ju

l-13

HighWire Press

Stanford University

（１サイトで複数サービス提供）

4 100 SP突破

107 メタデータ登録数（公開準備中を含む）



H25年度よりeduGAINにも参加し、別途eduGAINのサービスも利用可能に



SITF (Student Identity Trust Framework)による学割サービス実現を検討中

(5)

Elsevier Science Direct Elsevier SCOPUS

SpringerLink Thomson Reuters Web of Knowledge Ovid SP ProQuest RefWorks

ProQuest RefWorks ProQuest ebrary

Cambridge Journals Online Atlases Pathology Images 研究社: KOD NII: CiNii

EBSCO: EBSCO host IEEE Xplore Serials Solutions: 360 Search, 360 Link, Electronic Journal Portal

IOP science Royal Society of Chemistry RSC Publishing S.Karger AG BioOne

American Society of Clinical Oncology Americal Society of Nephrology BMJ Journals Biologists.com Journals

Disaster Medicine and Public Health Preparedness Journal Watch: Medical Journals and Research _Articles Journal of Bone and Joint Duke University Press Journals

Lyell Collection: Geological Society Publications

Online Journals of the Royal College of Psychiatrists Oxford Medicine Oxford Journals

OxfordServices Royal Society Publishing

RSM Press Rockefeller University Press journals SAGE Journals Annual Reviews

Cengage Learning Emerald サンメディア PierOnline (UniBio Press) NII-REO

(6)

Microsoft: DreamSpark アットウェア：しぼすけ UQコミュニケーションズモバイルWiMAXキャンパスネット

ワーク接続サービス科学技術振興機構:ReaD&Researchmap

NII FaMCUs (MCU for Video Conferencing) NII Eduroam-Shib (Temporary eduroam account _issuing) NII: FShare (File Sharing Service) NII 研究クラウド(Gunnii，tinii，colonii)

NII WebELS (Web-based e-Learning System) NII edubase Cloud NII 学認申請システム（GakuNin Registration System） NII GakuNin mAP NII meatwiki NII meatmail

金沢大学File Transfer Service 金沢大学Opens non-Bibliographic Contents Service 金沢大学ARCADE(学術組織間デジタル資料分散共有シス

テム)

山形大学科学技術の学術情報共有のための双方向コミュニケーションサービス

山形大学大学間連携グループ情報共有サービス広島大学HINET wlan guest service 佐賀大学Opengate UNINETT, Foodle

(7)

7 

2011年9月から2013年2月までのデータ（縦軸 log、総アクセス数順）



左より、佐賀大ネットワーク認証、CINII、eduroamアカウント発行、WebOfKnowledge、学認

申請システム、大容量ファイル転送、mAP対応Wiki、テレビ会議MCU予約、Researchmap、

動作確認用SP、UQ WiMAX、NII研究クラウド、mAP管理、広島大ネットワーク認証、Karger、

研究社、釧路高専、Reo、情報セキュリティeラーニング、しぼすけ（スケジュール調整）、金沢

大学データ共有、WebELS、と続く

1 10 100 1000 10000 gu es tog .s so. cc. sa ga -u .a c. jp re gi st er -c i.n ii.a c. jp edu roa m sh ib .n ii. ac. jp w ww .w eb of kn owl edg e. com of fic e. ga ku ni n. ni i.a c. jp fs ha re .s in et.a d. jp m ea tw ik i.n ii. ac .jp m cu s. nii .a c. jp re se arch m ap .jp attr vi ew er 20 .g ak un in .n ii. ac .jp jv r. uq w im ax .jp gu nn ii.e cl ou d. ni i.a c. jp m ap .g ak un in .n ii.a c. jp hi ne t-sp .h iros hi m a-u. ac .jp se rvi ce .e cl ou d. ni i.a c. jp con te nt .k arg er. com kod. ke nk yu sh a. co. jp ad m in -rou te r. w eb of kn ow le dg e. com sp .m sl s. ku sh iro -c t.a c. jp re o.n ii. ac .jp se cu ri ty -le ar nin g.n ii. ac .jp sh ib os uk e. ne t book loop er -h 1. gr ee no ffi ce .jp arca de .ci s. ka na za wa -u .a c. jp w eb el s. ex .n ii. ac .jp attr vi ew er 13 .g ak un in .n ii. ac .jp w ww .e m era ldi ns ig ht .com sp .e bra ry. com sp1.d b.k ana za w a-u. ac .jp arca de -s tora ge 01 .ci s. ka na za w a-u. ac .jp co lo nii .e cl ou d.n ii. ac .jp kyodo -lm s. na ra -e du .a c. jp arca de -s to ra ge 01 .n ii. ac .jp w ww .cc. sa ga -u .a c. jp id p. re po .n ii. ac .jp sp2.d b.k ana za w a-u. ac .jp c. yz.y am ag ata -u .a c. jp tin ii. ec lo ud .n ii.a c. jp op en id .n ii. ac .jp ni ns ho -d av .n ii. ac .jp gm em be rs .s in et .a d. jp m ea tm ai l.n ii. ac .jp atla se s. m un i.c z w ww .k arg er. com w ww .is ik now le dg e. com id p. ix sq .n ii. ac .jp w eb of kn owl edg e. com is ik now le dg e. com m us e. jh u. ed u w eb of kn owl edg e. com w ww .w eb of kn owl edg ev4 .com w ww 21 .m le .cm c. os ak a-u. ac .jp

(8)

8 (参考) https://www.gakunin.jp/docs/

fed/technical/attribute

属性

内容

OrganizationName (o) 組織名 jaOrganizationName (jao) 組織名（日本語） OrganizationalUnit (ou) 組織内所属名称 jaOrganizationalUnit (jaou) 組織内所属名称（日本語） eduPersonPrincipalName (eppn) フェデレーション内の共通識別子 eduPersonTargetedID フェデレーション内の匿名識別子 eduPersonAffiliation 職種 eduPersonScopedAffiliation 職種（@scopeつき） eduPersonEntitlement 資格 SurName (sn) 氏名（姓） jaSurName (jasn) 氏名（姓）（日本語） GivenName 氏名（名） jaGivenName 氏名（名）（日本語） displayName 氏名（表示名） jaDisplayName 氏名（表示名）（日本語） mail メールアドレス gakuninScopedPersonalUniqueCode 学生・職員番号（@scopeつき）

実際に使われる属性情報の例

サービスA

(1項目必須)

eduPersonPrincipalName(必須)

サービスB

(1項目必須)

eduPersonAffiliation (必須)

eduPersonTargetedID

サービスC

(必須項目なし)

eduPersonEntitlement

eduPersonAffiliation

Copyright (c) 2013, National Institute of Informatics

2013/2/4

(9)

Copyright (c) 2013, National Institute of Informatics

9 

提供される

MCU



Cisco Tandberg Codian MCU 4510 (最大20地点)



Cisco Tandberg Codian MCU 4205 (最大12地点、京大提供)



Polycom RMX 2000、1000 (最大20ポート)



学認への対応



予約と制御に認証を要求（教職員に限定、学生に権限委譲可）



テレビ会議への参加には認証不要（アクセスコード等利用）

予約・制御

認証情報

認証

Shibboleth

接続

代表者

移動先

接続

ConferenceMe

A大学

B大学

IdP

SP

制御

（NAT越え可）

NII

予約情報の通知

Vidyo GW

(10)



情報セキュリティー講習への需要



大学ごとに同様のコンテンツやシステムを整備するのは非効率



共用EラーニングSP「学認連携 Moodle 講習サイト」



「ヒカリ＆つばさ」と「倫倫姫」（群馬大学）を提供予定



https://security-learning.nii.ac.jp/

セキュリティラーニングシステム

教職員・学生が受講

受講状況を機関に

フィードバック

類似サービスを各機関で個別に導入する必要なし

10

(11)

大学

NII

利用申請

IdP

SP

利用者

管理者

アクセス（講習）

認証

変換

※大学からの「利用申請」がなくても自習可能

※

StoredID推奨

11 修了状況の大学へのフィードバックをサポート！

(12)

UQネットワーク

L2VPN （学内扱いの通信）大学管理の IPアドレスが割り当てられる 

SINETのL2VPNサービスを利用して、大学とUQネットワークを接続

 WiMAX端末には、大学が用意したIPアドレスが割り当てられる  あたかもキャンパス内にいるかのように学内専用サービスやインターネットにアクセス可能  http://www.uqwimax.jp/service/corporate/campusconnect.html 

SINETとUQネットワークの間の回線はUQ負担（SINETクラウド接続サービス利用）

 http://www.sinet.ad.jp/service/other/cloud_services/

WiMAX

インターネット

学内ネットワーク

学認

IdP

学内専用

サ－ビス

ファイアーウォール

VLAN

学認SP

クラウド接続サービス大学手配のアクセス回線（既存）大学のIPアドレスから利用できる学外コンテンツやサービスにもアクセス可能

大学

12

(13)

Copyright (c) 2013, National Institute of Informatics

13 

第

11回 MCPC award



モバイルコンピューティング推進コンソーシアム



最優秀事例には、グランプリ・総務大臣賞が贈られる



「モバイル

WiMAXキャンパスネットワーク接続」



WiMAXキャンパスネットワーク開発チームとして応募



慶應義塾大学、京都大学、九州大学、

NII

2013年4月19日最終審査・表彰式

(14)

 統合認証システム

 AXIOLE, NetSpring  HP IceWall SSO, 日本HP

 ｊｗ_{-ｓｉｇｎ onTM，エヌ・ティ・ティ・データ・カスタマサービス株式会社}

 LiveSignOn, NTTデータ九州

 Secioss Access Manager，株式会社セシオス

 Shibboleth-IdPアクセス制御プラグイン，株式会社セシオス  WebSAM SECUREMASTER，日本電気株式会社  WisePoint, ファルコンシステムコンサルティング株式会社  メールサービス  DEEPMail/MailSuite, ディープソフト株式会社  施設予約システム  ガルーン_{, サイボウズ}  i-WARE, NTTデータ九州  給与システム  給与支給明細オンライン照会システム, 株式会社サジェコ  源泉徴収関係届出オンラインシステム_{, 株式会社サジェコ}  eLearningシステム  Mediasite System，メディアサイト株式会社  WebClass, 日本データパシフィック株式会社  履修登録システム  LiveCampus, NTTデータ九州  DreamCampus, SCSK株式会社  教務事務システム  LiveCampus, NTTデータ九州  図書館情報システム  E-CatsLibrary，株式会社シー・エム・エス、日本電気株式会社  NALIS, NTTデータ九州 https://meatwiki.nii.ac.jp/confluence/x/zgKF にて情報公開中。追加情報をお待ちしております！

14

(15)



学術関係者



事前の許諾は不要です



その他の使用者



事前に許諾をお願いします



学認として審査・認定しているわけではありません。

15

(16)



学認申請システム



学認への参加申請，メタデータ（サーバ証明書等）登録・更新等は

Webを通してオンラインで可能（学認申請システム）



テストフェデレーション（技術検証環境）

0. OpenIdPでのアカウント作成

1. 申請情報登録

2. 事務局での参加承認

3. フェデレーションメタデータへの登録



運用フェデレーション（実アカウントを用いた本格利用）



オフラインによる確認（申請書の郵送）が

1ステップ増えるだけ

通常一日で

参加完了

利用開始可能

16 こちらは

早くて一週間程度

(17)



現在の活動状況



参加機関数 317、発行枚数 8254枚（2月18日現在）

「

UPKIオープンドメイン証明書自動発行検証プロジェクト」

サーバ証明書発行の無償提供サービスを実施中です。

更なるご参加を

お待ちしております！

17 のべ発行枚数の推移



2048bit未満の証明書の利用停止（2013年12月以降）

(18)



参加機関



ポリシーに準拠することにより学認に参加可能



事務局



参加が承認された

IdPとSPの情報はメタデータに登録



IdP,SPサーバ



メタデータに登録された

IdPとSPだけが互いに接続することができる

機関認証システム Identity Provider

学術サービス

メタデータ

登録

配布

（ダウンロード）

配布

（ダウンロード）

ポリシーに準拠し参加機関間の認証連携を実現

• 学術認証フェデレーション実施要領

（平成

24年3月22日改正)

• 学術認証フェデレーションシステム運用基準

(Ver.1.2)

（平成

23年8月24日改正）

The

Circle of

Trust

18 相互信頼

(19)

19 

IdPホスティングサービス（試験提供中）



運用中：

2大学、準備中：3大学



あくまでも試験提供であり永続的サービスはしない



InCommonではFISCHERなどが提供開始



http://www.fischerinternational.com/press/press_releases/fisc_news_in

common_ignite.htm



たとえば、セシオスが

SaaS型IdPサービスを提供可能



https://www.secioss.co.jp/2013/04/_seciosslink_education.html

(20)

20 

地域連携（大学コンソーシアム）



大学コンソーシアム京都



コンソーシアム石川



高等教育コンソーシアム信州



e-Knowledgeコンソーシアム四国

など



専門教育連携



大学院連合農学研究科



大学院連合獣医学研究科



がんプロフェッショナル養成基盤推進プラン

など

(21)

21 

Read&Researchmap



将来的には

e-Radも視野に



HPCI

(High Performance Computing Infrastructure)



理研＋７大学＋東工大＋筑波の計算環境を利用するユーザ



独立行政法人国立女性教育会館



女性教育関係者に対する支援



UMIN (東大・大学病院医療情報ネットワーク研究センター）



大学病院業務及び医学・生物学研究者の研究教育活動の支援

など

(22)

22 

組織の構成員であることの保証



卒業、退職などによる異動の適切な反映



名誉教授、

OB、図書館の地域内利用者、その他ゲスト等の扱い



識別子再利用についての考慮



同一識別子を利用する場合は、一定期間あける



ユーザの同一性の保証



パスワード配布時の本人確認



適切に管理された役職アカウント



個人情報保護への対応



国公立大学ではオプトインが原則



ログの保存



インシデント対応のための、

eduPersonTargetdIDやtransient-idの記録

⇒定期アンケート（毎年）によるチェックとフィードバックで維持



IdP of The Year 2012 を大阪大学が受賞

機関として責任を持った

IDおよび属性の保証

(23)

23 

NIHのサービスを学認SPとして利用



米国連邦政府内のサービス（

SP）を、外部の認証システム（IdP）に接続する場

合には、

SP側がIdPの保証レベル（Level of Assurance, LoA）を要求。



4つのレベルを規定



レベル

1：whitehouse.govのWebサイトでのオンラインディスカッションに参加



レベル

2：社会保障Webサイトを通じて自身の住所記録を変更



レベル

3：特許弁理士が特許商標局に対し、機密の特許情報を電子的に提出



レベル

4：法執行官が、犯罪歴が格納されている法執行データベースにアクセス



PubMedの要求はLevel 1（最低）であり、利用するためには学認のIdPが米国

の基準に則った

Level 1を取得する必要あり。



学認は、学認の

IdPにLevel 1を発行できる

Trust Framework Providerに



米

OIX (Open Identity eXchange)の

（スペシャル）メンバーに

(24)

24 

オンライン手続きにおけるリスク評価及び電子署名・認証ガイドラ

イン



我が国の電子政府における認証方式の設計にあたり活用可能な「もの

さし」を確立することを目的として策定。



ガイドラインは、対象となる電子手続に関するリスク評価手法とこの手

法により導出される「リスクの影響度」、影響度に応じた認証方式の「保

証レベル」の導出、各保証レベルに求められる対策基準を規定。



OMB M-04-04やNIST 800-30など米国政府を参考

http://www.kantei.go.jp/jp/singi/it2/guide/guide_line/guideline100831.pdf

リスクの影響度の定義

（ガイドラインより引用）

(25)

25 

レベル

1 

ユーザの同一性を保証（身元識別は不要）、認証の有効期限なし



チャレンジ

-レスポンス可（辞書攻撃に弱い）



レベル

2 

単一要素認証、身元識別あり、失効処理の保証



オンライン推測攻撃を防止すること（パスワード

/TLS可）



認証サーバでの平文パスワード保持の禁止



レベル

3 

複数要素認証、ソフト暗号化トークン使用可



なりすまし攻撃、中間者攻撃を防止すること



レベル

4 

実用上最大限の保証、ハード暗号化トークンを使用



認証後の暗号化処理も認証プロセスに結びつく鍵を使用

翻訳版：http://www.ipa.go.jp/security/publications/nist/documents/SP800-63-J.pdf

(26)

26 Copyright (c) 2011, National Institute of Informatics



http://www.kantei.go.jp/jp/singi/it2/guide/

(27)



If your credentials protect access to any sensitive

data, you must care whether they are good enough for

that



What standard do you use?



NIST Levels of Assurance 1 – 4



Bronze & Silver Imply Levels 1 & 2



Specifications written for US Higher Ed



Approved by US government for access to

federal agency services



Approved by International Grid Trust Federation for access

to national & international HPC

From InCommon Community Feedback



Do you intend to pursue Bronze and/or Silver?



27% said “both in 2013”

350IdP*0.27≒95IdP



8% said Bronze only and 8% said Silver only

(28)

28 

ユーザの所属情報の扱い



電子ジャーナル等のサイトライセンスに基づくアクセスの識別方法



IdP名、O属性（OU属性）、eduPersonEntitlement



IdPの区別



SPとしては、区別したいはず？



大学向けサービス、医学関係者向けサービス、

…



課金サービス等に対する本人確認の厳密性



LoA (Level of Assurance)



LoA



LoAの認定基準



実現する認証技術

(29)

29 LoA 2

IdP

LoA 1

IdP

LoA 2

SP

LoA 1

SP

LoA 1認証要求

LoA 2認証要求

パスワード認証

LoA1要求の場合

パスワード認証

も

可

（

ICカード認証してもOK）

LoA2要求の場合

ICカード認証のみ

複数レベル

認証対応

(30)

30 

例えば、

ICカード認証とパスワード認証の両方をサポー

トすることで、ユーザの利用スタイルに柔軟に対応可能



LoA 1サービスを利用する場合、どちらの認証方式を選択し

ても

OK



どんな端末からでも使いやすく



パスワード認証後に、

LoA 2サービスにアクセスすると、IC

カード認証が要求される（昇格）



ICカード以外にも、いろんな条件と組合せ可能



学内アクセスのみに限定など



ICカードを抜くと、LoA 2サービスからログアウト（降格）



LoA 1サービスは引き続き利用可能



SSOの利便性を保つ

(31)

31 

NET+

(32)

32 Infrastructure-as-a-Service

Software-as-a-Service

Communications-as-a-Service

Other Services

+

(33)

33 

学生証を提示して割引等を受けるという行為をネットの

世界でも可能に



信頼性の高い属性情報を大学から提供



属性情報の利用に関するルールを定め、プライバシーを保護



学術

(SAML)と民間(OpenID)との連携によるサービスの拡充



さらに、民間企業と学術機関・大学とのコラボレーションによっ

て、多様なサービスやイノベーションが生まれることを期待

(34)

2013/2/4

34 大学共同利用機関法人情報・システム研究機構国立情報学研究所

一般社団法人 OpenID ファウンデーション・ジャパン

産学の ID をつなぐ世界初のトラストフレームワークの研究に着手

～利用者情報の安全な流通を目指し、学生向けサービスの提供を支援～

国立情報学研究所（所長：坂内正夫、以下 NII）は、一般社団法人 OpenID ファウンデーション・ジ

ャパン（代表理事：八木晃二、以下 OIDF-J）と共同して、

「学術認証フェデレーション

※1

_」

_{（以下「学}

認」

）と民間企業が提供するサービスをつなぐ「トラストフレームワーク

※2

_{」に関する研究を開始しま}

す。

本研究は、オンライン ID に信頼を付与し、さまざまなサービスで活用可能なエコシステムの実現を

目指しています。産学分野の ID を相互に結ぶオープンなトラストフレームワークの策定は、世界初の試

みとなります。

このトラストフレームワークの実現によって、これまでそれぞれ異なるルールや技術を用いて構築し

てきたサービスがシームレスにつながり、組織や業界、国境を超えた柔軟な認証が可能になるとともに

さまざまな利用者情報を安全にやり取りすることが可能になります。ID 提供側とサービス提供側との信

頼関係の構築が容易になることで、従来は不可能だった、より利便性の高いオンライン・サービスの創

出が期待されます。

_{(http://www.nii.ac.jp/news/2011/0305/)}

(35)



魅力あるサービスの創出



クラウド型サービス



学割サービス？



システム開発・改善



より所属機関を探しやすいディスカバリーサービス



学認申請システムとの連携による、IdP運用コストの削減



個人情報送信同意機能の提供（uApprove.jp）



IdP冗長運用技法の情報提供



属性プロバイダmAP （Vertual Organization情報提供）関連

サービス



多要素認証、クライアント証明書の導入による認証セキュリ

ティ向上

など

学認を活用した大学連携IT基盤の構築に向けて