大学や高度研究機関に不可欠なユーザー認証基盤と、マイクロソフトの認証サービスを連携させるインテグレーションサービスを提供
サイオステクノロジーは、数多くの大学・高等教育機関のご要望に応える認証基盤の導入を支援しています。今回新たにAzure ADとShibboleth IdPを連携させるモジュールを開発し、それを核にしたサービス提供を開始。特長や導入メリットについて開発担当者に聞きました。
テクノロジー2019年3月20日
学内ITサービスの充実と、学外へのアクセスのニーズ
2019年2月28日、サイオステクノロジーは、学術認証フェデレーションで使用されるShibboleth(シボレス) Identity Provider(以下、Shibboleth IdP)と、日本マイクロソフト株式会社が提供するAzure Active Directory(以下、Azure AD)を連携させる「SIOS Authn Module for Azure AD(サイオス オーセン モジュール フォー アジュール エーディー)」を開発し、本モジュールを使ったインテグレーションサービスを提供開始しました(関連プレスリリースはこちら)。
学術認証フェデレーション(以下、学認)とは、全国の大学や高等教育機関と、出版社・研究機関などの情報提供サービス事業者(Service Provider=SP)で構成された連合体です。フェデレーションが定める規程を利用して信頼性を保証し合うことで、各機関が相互に認証連携をしています。そうすることで、学生・教職員や研究者はシングルサインオン(SSO)により、多くの「インターネット上に存在する電子ジャーナルや文献情報のデータベース、eラーニングサービス(学術e-リソース)」など、自身が所属する組織に一度ログインすれば、自動的にどこの組織のリソースも利用でき、SP側はID管理工数の削減を図れ、一方で大学側は電子ジャーナル等のライセンス契約の管理を簡便化できるという仕組みを提供しています。
この学認で推奨している認証基盤が、Shibboleth IdPです。実績あるオープンソースソフトウェアで、既に多くの海外の教育機関でも取り入れられ、グローバルスタンダードシステムとなっています。
また近年、大学は学生や教職員向けに、履修登録や成績管理、蔵書検索など学内で利用するさまざまなITサービスを提供しており、個人を認証するためのID管理が必須になっています。その一方では、大学を標的としたサイバーアタックの事例も増えてきています。近々では2018年4月から6月にかけて、6つの国公私立大学がフィッシングメールの被害に遭い、約1万2,000人分のID・パスワードを含む個人情報が流出する案件があり、文部科学省が全国の大学に対し対策を強化するよう注意喚起を促したこともありました。
「そうした背景もあり、いくつかの大学から、外部のサービスと学内サービスにシームレスにアクセスでき、かつより強固なユーザー認証の仕組みが導入できないかと、相談が持ち掛けられました。Shibboleth IdPだけでは、そうした機能がないので、Azure ADにある多要素認証やリスクベース認証の仕組みを使えないかと考えたのです」と、サイオステクノロジー 第2事業部 技術1部 クラウドインテグレーショングループ アクティングマネージャーの長谷川 亮は、「SIOS Authn Module for Azure AD」開発の背景を説明します。
2012年に日本マイクロソフト株式会社が、Office365教育機関向けエディションの基本プランを無償で提供開始したことから、大学等の教育機関にはマイクロソフトが提供するシステム技術環境が広く浸透しています。既存のリソースと、学術研究に必須なシステムを組み合わせることで、コストを抑えながらセキュリティのレベルアップが図れるのです。
「学認への参加を希望する大学が増えてきたこともあって、もともと私たちの部署ではShibbolethの導入・構築を得意としていました。学内の認証に使われるAzure ADとShibboleth IdPを連携させれば、ユーザーも管理者もストレスなく使えるウェブサービスを構築できるのではと考えたのです」(長谷川)
サイオステクノロジー 第2事業部 技術1部 クラウドインテグレーショングループ 長谷川 亮
利便性を損なわず、セキュリティ向上を叶える
Azure ADの多要素認証には主に3つの認証方法があります。1つ目は登録した携帯電話にかかってくる通話の音声指示に従い、数字や#ボタンを押す等の操作をさせるもの。2つ目はメールやショートメッセージにワンタイムパスワードが送られてくるもの。3つ目がモバイルアプリに表示される承認通知をタッチするか、アプリ上にワンタイムパスワードが表示されるものになります。リスクベース認証とは、日頃ユーザーがログインする際のPC環境やIPアドレスが異なる、あるいは地理的に異なる場所からログインするなどの行動パターンの分析に基づき、本来のユーザーではない可能性があるとAzure AD側で判断した場合にのみ、秘密の質問や電話をかける等の追加認証をおこなう認証方式のことです。世界中に膨大な数のユーザーを保有するマイクロソフトが蓄積するデータに基づいているので、非常に高精度なリスク分析が可能になっています。クラウド・サービスであれば、将来的な機能向上や方式の追加・変更もマイクロソフト側で実装してくれるメリットがあります。
「技術的な視点で言うと認証には、要素と知識という2つの軸があります。多要素というのは、PC上で入力するID・パスワードに加えて、スマートフォンなど別のデバイスといった要素を必要とします。それに対して秘密の質問等は、知識のパターンを増やすという多段階のやり方なのです」と、長谷川が解説します。さらに「スマートフォンを持っていないユーザーでも、いわゆるガラケーへの通話や、ワンタイムパスワードをショートメッセージで送るといった手段が選べます。私たちはこれまでの構築実績を基に、教育現場ゆえの利便性を考慮したシステムを提供しているのです」と、長谷川は付け加えます。
今回、サイオステクノロジーが開発した「SIOS Authn Module for Azure AD」では、学認で利用するコンテンツサービスごとに、Azure ADの多要素認証を「使用する」「使用しない」が設定できます。例えば、あるSP(下記、構成図内SP1)が提供するサービスでは、所属学部や属性などの個人情報を含む認証が必要なので、多要素認証を「使用する」とし、別のSP(構成図内SP2)では、セキュリティ要件が低いサービスなので多要素認証を「使用しない」といった設定が可能です。大学の運用管理側であらかじめ設定しておけば、ユーザーがその都度認証方法を選択しなくても、適応なセキュリティが享受できるのです。
「今後、学認では、学術e-リソース以外にも、人事システムなどの教育機関向け各種ITサービスが拡充されると聞いています。そうしたセキュリティ要件が高いサービスの利用にも、『SIOS Authn Module for Azure AD』は、非常に有用なものになるでしょう」と長谷川は胸を張ります。
また、2019年3月1日に佐賀大学で開催された「第12回 統合認証シンポジウム」では、長谷川が登壇し、「SIOS Authn Module for Azure AD」の製品説明とデモンストレーションをおこないました。講演後、複数の大学の教職員の方々より、「非常に興味を持った。導入を検討したい。大学に来て、改めて詳しい話を聞かせて欲しい」というお声がけをいただきました。また、大学に認証システムを提案されているSIerからも「今日来ていない営業や提案SEに、デモを見せに来て欲しい」といったお話もいただき、その関心の高さを実感しました。
「大学やその周辺の関係者の皆さんの探求心の高さには、私も刺激を受けました。また、サイオステクノロジーに向けられた厚い期待に応えられるよう、私たちのチームでも研鑽を積んでいきたいです」と、長谷川は実直に語りました。
佐賀大学での講演の様子
記事の関連情報