事例紹介

独自のキャンパスと教育研究組織を持つ日本初の国立大学院大学として1990年に開学し、以後、先端科学技術の分野で世界トップレベルの成果を挙げてきた北陸先端科学技術大学院大学（以下、JAIST）。常に最先端の技術を導入していく方針の同大学では、認証システムについても早くからシングルサインオン（SSO）認証を採用していました。今回のシステム刷新にあたり、SSO対象の拡大や、多様なユーザーの利用形態に即した最新の認証基盤を提供するためOSSTechの「OpenAM」、「OpenLDAP」、「Unicorn ID Manager」を導入しました。これにより、使い勝手に優れた統合認証基盤システムが実現しています。

サービス利用の上で必須の存在である認証システムを刷新

JAISTは、「豊かな学問的環境の中で世界水準の教育と研究を行い、科学技術創造により次代の世界を拓く指導的人材を育成する」という理念のもと、先端科学技術の分野でさまざまな研究成果を挙げており、数多くの人材を育成してきました。こうした実績を築く上で不可欠の存在だったのがICTシステムですが、その特徴について情報社会基盤研究センターの宇多仁氏は「当大学の規模は小さいものの、国内外の研究者や大学、公的研究機関、企業などと幅広く連携しています。また、世界の科学技術研究のハブとしての機能の確立を目指していることから、留学生が多く全体の約4割を占めています。そのため、各システムはグローバル／マルチリンガル対応が必須となっています」と説明します。

JAISTは近年、事務系システムやメールシステムの刷新に取り組んできましたが、次の一手として認証システムの見直しを検討することにしました。そのきっかけについて、宇多氏は次のように説明します。「当校は校名で“先端科学技術”と謳っていることもあり、システム導入においても世界中から新しいものを探してきて導入するというチャレンジ気質があります。認証についても、かなり早い時期からシングルサインオン（SSO）を採用し、同じ認証で大型計算機も利用できるようにしてきました。しかし、導入当時は最新技術でしたが、それから何年も経過したこともあり、最新のWeb認証などには対応できなくなってきたのです」

そして2020年ごろから始まったコロナ禍により、同大学もオンライン授業へのシフトを余儀なくされ、認証システムの刷新が強く求められることになりました。「認証は、オンライン授業をはじめ、国内外からの学内システムへのアクセスなど、大学のあらゆるサービスを利用する上で必須の存在です。コロナ禍という環境において教育・研究を滞らせないためには、急ぎ最新の認証システムを導入する必要があると判断しました」（宇多氏）

OSS系認証のスペシャリストであり、他大学でも豊富な実績を持つOSSTechを評価

JAISTでは4年前にSSO製品を導入済みで、学内サービスのSSO化を徐々に進めていました。この際に、ユーザーの利便性を高めるための機能追加やカスタマイズの必要性を実感していましたが、必ずしも学校側の希望通りには対応できないこともありました。また、シングルサインオンを含めた認証基盤の活用のためには、この分野に精通したエンジニアの適切なアドバイスの必要性を感じていました。

そこで2019年7月、同大学は改めてSSO製品を検討し、入札を実施することにしました。その際に声をかけたうちの一社がOSSTechだったのです。「3、4のシステムについて比較・検証を行いました。OSSTechについては、Open AMなどOSS系認証のスペシャリストという点が心強かったですね。また、他大学で豊富な実績があるという点も評価のポイントでした」（宇多氏）

また、機能面でいうと、Shibboleth（シボレス）との連携が重要でした。国立情報学研究所（NII）が全国の大学等と連携し、構築・運用している学術認証フェデレーション「学認」。その学認が採用する認証の通信方法は、世界中の学術認証フェデレーションの標準プロトコルであるSAMLであり、ソフトウェアにはShibbolethを使用しています。よって調達では、SSOによる学内システムとShibbolethとの連携が必須でしたが、OSSTechの製品はこれを満たしていました。

同大学は2020年9月に入札を実施。結果、OSSTechの提案を採用することになりました。またこれと併せ、SSOを可能にする「OpenAM」、統合認証およびディレクトリサービスの「OpenLDAP」、統合ID管理製品「Unicorn ID Manager」の導入も決定しました。

複数の認証を用意、ユーザーによる活用が進む

導入作業は2020年10月からスタート、2021年2月に完了しました。当時について情報社会基盤研究センター 須藤千恵氏は「コロナ禍のため作業や打ち合わせは全てリモートで実施しましたが、かなりスムーズに運んだと思います。この際、システムが新しくなったことでユーザーが戸惑わないよう、使い勝手をできるだけ以前と変わらないようにすることを心がけました。特にWeb画面の表示にはこだわっており、例えば文言も以前と同じものにしています」と振り返ります。

新たな認証システムでは、学外からの学内システム利用に、従来から提供していたワンタイムパスワード（OTP）やクライアント証明書を使った認証方式に加え、パスワードレス認証として普及が始まったFIDO2認証を使った多要素認証を導入しています。このほか、学内からはWindows Desktop SSO認証に対応するなど、多くの選択肢を用意しました。「複数の認証をうまく活用しているユーザーが多いですね。クライアント証明書を端末側に入れておけば毎回聞かれることもないので便利になったという声も届いています。また、端末の変更でOTPのカギを無くしたときも、別の認証の選択肢があるため再発行の手間を回避できるというメリットもあるようです」（宇多氏）

なお、OpenAMはOSSであることから、自前で開発やカスタマイズを手掛けることも可能ですが、同大学ではそうしたことは考えていないようです。 「当大学では属人化を避けるため、学内システムについては自前での開発を行なわず、アウトソースすることをポリシーとしてきました。中でも、認証のようにセキュリティが絡む部分は複雑ですから、自前で開発することには不安があります。それだけに、高い技術力を持ち、導入後もしっかり面倒を見てくれるベンダーを求めていたのですが、OSSTechはまさにそうした存在でした」（宇多氏）

今回、同大学はOpenAMのほかに、OpenLDAPとUnicorn ID Managerを導入しました。OpenLDAPのユーザー・グループ情報はActive Directoryと自動連携し、Unicorn ID Managerによるユーザー向けのパスワードリセットなどのサービス提供と組み合わせ、延べ6000アカウントを統合管理しています。「これにより、使い勝手に優れた統合認証基盤が実現しました。従来環境に比べると、サーバー台数の少ないシンプルな構成になっています。ユーザー自身でパスワードの再発行を行うことも可能となり、管理面の作業負荷がかなり軽減されました」（宇多氏）

将来について同大学では、UIの改善を進め、ユーザーの誰もが直感的に操作できるようにしていきたいと述べています。「OSSTechは何か問い合わせしたり、相談したりしたときのレスポンスが非常に早いのが有り難いですね。今後ともいろいろと相談させていただきますので、引き続きご協力をお願いしたいと思います」（宇多氏）

今回の導入製品