九州大学ではこれまで、学務情報システム等の安全性重視サービス利用時には強い認証機能を持つファルコンシステムコンサルティング株式会社(本社:神奈川県川崎市、代表取締役:高橋正廸、以下ファルコンSC)のWisePointを導入し、WisePointが持つマトリックスコード認証1)を適用することで安全性を確保していました。WisePointはリバースプロクシ型のWebシングルサインオンを実現し、かつマトリックスコード認証等の強固な認証方式を備えた製品です。
一方、電子メールや電子ジャーナル等、利便性重視のサービスでは個別のID・パスワードで認証していました。Web系の情報サービスでは、利用者認証時の手間を削減するため、一度の認証で複数のサービス利用が可能になるシングルサインオン(SSO)を進めており、その方式として学術系で普及しているSibbholeth(シボレス)認証2)を採用しています。Shibbolethを使うことにより、国内および世界の学術認証フェデレーションに参加でき、学術機関向けサービスの多くを利用できるようになりました。
■WisePoint Shibbolethの主な機能
・ワンタイムパスワード認証機能
マトリックスコード認証、イメージングマトリクス認証、Jパスワード認証に対応。
・SP(Service Provider)機能
SAML2.0対応。ShibbolethSP、Non-ShobbolethWebアプリケーションへのシングルサインオン機能。リバースプロキシ機能。アクセスコントロール機能。
・IdP(Identity Provider)機能
認証機能(ID、パスワード、マトリックスコード認証、イメージングマトリクス認証、Jパスワード認証)。LDAP連携。
■効 果
SSO対応のサービスが増えるにつれ、安全上の問題も出ていました。認証方式がID・パスワードだけの場合、パスワードを破れば他人になりすましてSSO対応の全サービスを利用できてしまいます。この問題を防ぐため、パスワード以外の認証方式を併用する多要素認証3)が求められていました。また、Sibboleth認証装置と、WisePointマトリックスコード認証装置を複数運用するコストも問題になっていました。そこで、今回、多要素認証方式によるShibboleth認証を実現する「WisePoint Shibboleth」を開発することになりました。
WisePoint Shibbolethは、九州大学とファルコンSCの連携により、2011年2月から共同開発したものです。実際に九州大学附属図書館のサービスで実験を重ね、実験で得られた不具合部分を調整しつつ、今回の全面運用に至りました。本開発により、多要素認証によるShibboleth SSOを実現できるだけでなく、認証装置の維持コスト削減も実現できました。今後、クラウドサービスや外部フェデレーションサービスが追加される際にも、WisePoint Shibbolethの多要素認証とシングルサインオンにより安全性を確保しながら利用者の利便性を損なうことなく、サービスを提供していくことが可能となります。
■今後の展開
九州大学情報統括本部は、今後も安全性に留意しつつ、様々な学内向け情報サービスを提供していきます。またShibbolethを経由して、国立情報学研究所の学術認証フェデレーション(学認)4)に関連するサービスの拡充を行います。ファルコンSCは、WisePoint Shibbolethの販売により、多くの学術機関における情報サービス利用の安全化を実現するとともに、Shibbolethによる学認参加の支援や、全国および世界での大学間認証連携による学術サービス連携を支援していく予定です。
このプレスリリースの付帯情報
用語解説
1)マトリックスコード認証:パスワードの代わりに行列のマス目に記入した数値・文字列のコードを利用者認証に用いる。サービス側が指定する座標のコードを、利用者がパスワードとして入力する。
2)Shibboleth認証:米国のInternet2プロジェクトで開発されたWeb系情報サービスシステムの分散シングルサインオン方式。内部ではSAMLを用いる。
3)多要素認証:利用者認証時に、パスワードだけでなく、他の要素(マトリックスコード、秘密の質問、ワンタイムパスワード等)を併用する認証方式。
4)学認:学術認証フェデレーションの略称で、国立情報学研究所が推進する、全国の大学や研究機関および学術機関向けサービス提供業者での共通認証機構に関する連携。各機関の構成員は、加盟機関が提供するサービスを、学内サービスと同様にシングルサインオンで利用可能になる。
お問い合わせにつきましては発表元企業までお願いいたします。