ワンタイムパスワードを用いた2段階認証で不正ログイン対策を本格化西日本最大規模の総合大学が、全学約4万7千人を対象にサービス開始。
近畿大学は、NTT西日本と株式会社アイピーキューブの支援のもと、全学生・教職員約4万7千人の学内・学外システム利用時の本人認証に、ワンタイムパスワードを用いた2段階認証を共通認証基盤に導入。2018年3月に利用を開始しました。
| 課題 | パスワード認証によるセキュリティ確保には限界。 セキュリティレベルを高め、不正ログインを防ぎたいが、利用者の負担を増やしてはならない。 |
|---|---|
| 効果 | ワンタイムパスワードを用いた2段階認証でセキュリティ強化。アイピーキューブのきめ細かな開発対応により、利用者の利便性確保にも成功。 |
システム統合・効率化が進むほどセキュリティ強化が急務に
完全養殖に成功した「近大マグロ」、蔵書7万冊のうち約2万2千冊のマンガを収蔵する教育施設「アカデミックシアター」など、革新的な取り組みで注目を集める近畿大学。システム面でも、いち早くオープン化と統合・効率化を進めてきました。全学の会計システムはSaaS型ERPで統合。SaaS利用以外の学内システムはパブリッククラウドでの効率的な運用を決断し、多数のサーバーをAWS(Amazon WebServices)に移行完了しています。こうしてシステム統合と効率化が進めば進むほど、必要になってきたのがセキュリティ強化です。「大学・研究機関でも、個人情報漏えい、乗っ取りなどの事件が多発しています。こうした事件はいずれも、何らかの方法でID/パスワードを盗まれ、不正ログインされることが発端になっています」と、総合情報システム部 部長の牛島裕氏は指摘します。
近畿大学の学内・学外システムの利用者が、個人用途で使っているインターネットサービスでパスワード流出事故が起きた場合、大学システムでも同じID/パスワードを利用していれば、不正ログインを許す「穴」となりかねません。小さな穴が1つあいただけで、全学のシステムが危険にさらされるのです。一方で、情報流出をねらう手口が巧妙化するなか、ID/パスワードだけでは、運用や管理を強化してもセキュリティ強化に限界があるという認識が広がってきました。ID/パスワード認証に加えて、他の認証手段を組み合わせ、認証の強度をレベルアップすることが推奨されるようになったのです。
「学認連携」を含めてSAMLベースで学内・学外システムを統合
2段階認証にもさまざまな技術があります。
近畿大学では、利用者の受け入れやすさ、利便性を最優先として、トークンレスのワンタイムパスワード(OTP)を選択しました。利用者は、トークンなどの専用ハードウェアを別途に所持する必要がなく、配布・回収、紛失・故障対応などの運用管理作業も必要ないからです。
「スマホアプリやメールを利用するOTP方式は、Gmail、Facebook、Slackなどでも採用されており、広く流通しています。一般的に利用されている認証方式を採用することで、本学の学生にも支持され、利用を促進する力になると考えました」と、総合情報システム部 教育システム課の髙木純平氏は語ります。
そして、スマホアプリが使えるOTP認証のソリューションベンダーとして白羽の矢を立てたのがアイピーキューブです。さらに、近畿大学の情報システムについて設計から構築・運用保守までトータルに担ってきたNTT西日本が、2段階認証システムにおいても、トータルコーディネートを請け負いました。
アイピーキューブの多要素認証システム「AuthWay」では、ふだん持ち歩いているスマホに無償アプリ※1をインストールすることによって、OTP認証による2段階認証が利用できます。
さらに、アイピーキューブのシングルサインオンシステム「CloudLink」と「AuthWay」を組み合わせることで、SAML連携したシングルサインオン環境へ2段階認証をスムーズに導入することができます。「SAMLプロトコル対応は非常に重要なポイントでした」と髙木氏は強調します。近畿大学は学認※2に参加しており、SAML連携をベースとしたこのシングルサインオン環境を共通認証の基盤として学内・学外システムへ展開する構想にありました。SAML連携を近畿大学共通認証の標準とし、2段階認証によるセキュリティ強化を実現することが要件にあるなかで、アイピーキューブのソリューションがフィットしたことになります。
「AuthWay」と「CloudLink」の組み合わせは、SAMLのほかにも各種標準技術に対応しており、拡張性が高いことも評価しました。また、この組み合わせは、近畿大学が統合ID管理に用いているLDAPManager(エクスジェン・ネットワークス株式会社)とも、クラウド、特にAWSとも、親和性の高が高く、豊富な連携実績を誇ります。
利用者の利便性確保を目指して新機能を開発
近畿大学の2段階認証は、2018年3月にスタートしました。対象は、6つのキャンパスに分散している全学生・教職員の約4万7千人です。
現段階でSAML連携しているシステムは、メールサービスとして利用しているGmailを含めて、事務系3つ、教育系5つ。さらに学認サービスが4つです。認証してログインすると、これら学内・学外の連携システムすべてをシングルサインオンで利用できます。
システム構築にあたっては、利用者の利便性に二重三重の配慮をしました。
OTPは6桁の数字コードですが、利用者が自分のスマホにインストールした無償アプリで生成する方式と、メールで受け取る方式があり、どちらの方式を使うかは利用者自身が選択し、自分で設定できるようにしています。
さらに、いったん2段階認証をすると、同じデバイスであれば最大30日間、2段階認証を省略できる機能、スマホを忘れたときは一時的にメール送付に切り換えられる機能も、近畿大学の要望に沿って、アイピーキューブが開発しました。
特筆されるのは、アイピーキューブはこうした利用者の利便性を高める機能を、近畿大学仕様として個別カスタマイズするのではなく、CloudLinkなど製品の基本機能に追加する形で開発したことです。つまり近畿大学が導入したのは、「カスタマイズしていないパッケージ製品のまま」であり、将来のバージョンアップがとても楽になります。同時に「AuthWay」と「CloudLink」は、これらの機能を製品の基本機能として組み込むことによって、多種多様な利用デバイス・利用目的をもった組織に対して、利用者それぞれにとっての使いやすさを追求した製品を提供することが可能になります。
学内・学外システムへの統合的な認証基盤構築に成功
今回の2段階認証システム構築について、牛島氏は、「学内・学外システムに対する一元的な認証を担う『共通認証』基盤ができました。これが一番の成果です」と語ります。このセキュリティレベルの高い「共通認証基盤」は、近畿大学がこれから利用者サービスを積極的に増やしていくための「安心の土台」ともなります。「共通認証」基盤であるからこそ、機能追加や、アプリケーション連携が容易にできるのです。
また、2段階認証を自分で設定することは、学生・教職員のセキュリティ意識の向上にもつながっています。
セキュリティは、システムだけで守れるものではなく、利用者の自覚が不可欠であり、意識向上も大きな成果のひとつということができます。
今後は、SAML連携をさまざまな学内・学外システムへ拡大して、「2段階認証でシングルサインオン」できる領域を広げていきます。
「現段階では、『OTPによる2段階認証』が広く普及している認証技術だと思いますが、近い将来には、FIDO2.0のWeb Authentication APIなどのオンライン生体認証も取り入れていきたい。『パスワードレス』という個人認証の最終目標に向けて、NTT西日本とアイピーキューブにはさらなる進化と支援を期待しています」と髙木氏は力強く語りました。
| 導入製品 | 製品情報 | |
|---|---|---|
 | 製品名:AuthWay 製品概要:多要素認証システム | 製品のご紹介はこちら |
 | 製品名:CloudLink 製品概要:シングルサインオンシステム | 製品のご紹介はこちら |
お客様プロフィール
学校法人近畿大学
14学部48学科と、短期大学部、法科大学院、大学院11研究科を有する日本有数の総合大学。東大阪から福岡まで6キャンパスを展開し、大学在籍者だけで約3万3千人(平成29年5月1日現在)。
●東大阪キャンパス 大阪府東大阪市小若江3丁目4-1