3万超が利用するSSO認証基盤をIDaaSに刷新!クラウド移行が成功した秘訣とは?

最新の認証方式と既存システム統合で安心安全のセキュリティ基盤構築を実現

国⽴⼤学法⼈ 東北大学

左から、国⽴⼤学法⼈東北⼤学 情報部デジタル変革推進課デジタルイノベーションユニット 情報系専門職員 安西 従道様、 情報部デジタル変⾰推進課デジタルイノベーションユニット 専⾨員 ⼩野崎 伸久様、データシナジー創生機構 特任准教授 佐藤 信夫様

 

国⽴⼤学法⼈ 東北大学(以下、東北大学)様は、1907年に創立し、「研究第一」「門戸開放」「実学尊重」の理念のもと、国際卓越研究大学として、世界トップレベルの研究力の実現を目指しています。SeciossLinkは、新しいSSO認証基盤として2023年12月から約4ヶ月間にわたる旧システムとの移行期間を経て、現在は学生、教職員合わせて延べ3万人の方にお使いいただいています。

今回は、東北大学の小野崎様ならびに安西様、佐藤様に、SeciossLinkを導入した背景から、IDaaS製品への移行を決断された理由、また導入にあたって苦労された点などの詳しいお話を伺いしました。

課題

  • 大学外からのアクセス時のセキュリティをより強化したい
  • クラウドサービスをシングルサインオン連携したい
  • 業務システム用のIdPと学認サービス用のIdPを統合したい

解決策

  • 多要素認証で認証を強化
  • 学認IdPで使⽤しているスコープ及びentityIDを継続利用できるIDaaSの採用

効果

  • ワンタイムパスワード認証だけでなく、FIDO認証などの最新の認証方式も利用可能に。セキュリティを強化。
  • 2つあったIdPを統合し、認証基盤を一元化して管理コストを削減。省力化に貢献。

 

セキュリティ強化やシングルサインオン、システム統合などの課題を解決

━━ この度はSeciossLinkをご採用いただき、誠にありがとうございました。改めまして、今回SSO認証基盤をリプレイスされた背景をお聞かせください。

小野崎様:本学には、SRP(Secure Reverse Proxy)と呼ばれるシステムと、学認IdPと呼ばれるシステムの2つのIdPシステムがありました。SRPは2010年に導入してから一度大きな更新作業を行っているものの14年ほど運用していましたので、OSのサポート切れが迫っていた等の理由から更新が必要でした。

 

 

━━ リプレイスを検討される中で、解決したいと考えられていた課題はありますか。

小野崎様:SRPは、パッケージ版ソフトウェア製品に本学独自の要件などに合わせてカスタマイズして導入しています。シングルサインオン(SSO)を利用し、大学外からのアクセス時には二段階認証としてイメージマトリクス認証という複数の絵柄を合わせる認証方式を採用していました。

新しいシステムを検討する中で、現行システムの課題として「セキュリティ強化」と「クラウドサービスへのシングルサインオン」、「SRPと学認IdPの統合」、「BCP対策の強化」がありました。

大学外からのアクセス時にはパスワード認証とイメージマトリクス認証による二段階認証を採用していましたが、いずれもユーザーの頭に記憶する知識情報を用いた認証方式です。よりセキュリティを向上させるためには、知識情報とは異なる要素と併用した認証方式を検討する必要がありました。同時に、昨今はDXが加速してシングルサインオン連携したいサービスが増えているので、最新の認証やアクセス制御機能を利用したいという思いもありました。

もう一つのシステムである学認IdPは、学認SPと呼ばれる国立情報学研究所(通称:NII)が提供するサービスに対応するために導入しました。こちらはSRPとは異なるサーバーで2014年に導入しています。SRPと同様に東北大学のID(以下、東北大ID)でシングルサインオンし、学認のさまざまなサービスにアクセスできるようにしていますが、学認IdPも多要素認証には未対応でした。また、SRPとはサーバーや保守ベンダーも異なることから、コストの問題もありました。そのため今回の更新で学認IdPとSRPのシステムを統合して一本化することを検討しました。

 

 

━━ 新しいシステム(SSO認証基盤)はどのように検討されましたか。

小野崎様:新しいSSO認証基盤に移行するにあたり、パッケージ版とIDaaS版も含めて検討を行いました。

旧システムであるSRPには、大学内のネットワークからのみアクセスができる業務システムに対して、大学外からでもリバースプロキシを介してシングルサインオン連携でアクセスできる機能がありました。この機能を今回の更新のタイミングで廃止することはできませんので、リバースプロキシ方式の代理認証に対応した製品である必要があります。

また、結果的にとても重要な要件となったのが「学認IdPのスコープ及びentityIDの継続利用」です。スコープとentityIDが別のものに変わってしまうと、学認のサービスを利用する際に異なるアカウントと認識され、それまで使っていたデータを引き継ぐことができません。新しいSSO認証基盤においては、entityIDなどを継続利用できる点は非常に重要なポイントでした。

このように、2022年7月頃に製品の比較検討を行っていました。entityIDを引き継ぐことができるのは、パッケージ版はいずれの製品もできますが、IDaaS版ではSeciossLinkのみ、という状況でした。

 

製品比較表

製品比較表。2022年7月に東北大学様が作成した比較表を基に、セシオスが作成した。

 

常に最新機能が使え可用性が担保されたIDaaSへの移行が決定

━━ これまで貴学はパッケージソフトウェアをカスタマイズして使われていました。今回、IDaaSの導入を決断された理由をお聞かせください。

小野崎様:リバースプロキシにも対応したい、画面表記を日英切替ができる、不審挙動検知、このブラウザを信頼する機能など、希望する要件は幾つかありましたが、IDaaSが決め手となった点として、大きく3つあります。

 

IDaaS導入の決め手

 

IDaaS導入の決め手の一つが、常に最新の機能が使えることです。この認証という分野はトレンドの移り変わりが非常に早いと考えています。パッケージ版を導入したとして、5年間同じシステムを使い続けるとなると、最新の機能には追いつけなくなります。世の中にはより良い認証機能が出ているのにうちの大学は遅れている、という状況は避けたいという思いがありました。

二つ目の理由として、セキュリティパッチ等の対応をお任せできる点です。シングルサインオンは認証の肝といいますか、セキュリティの入口になる重要な部分です。セキュリティパッチを当てなければならない案件が多く、学認IdPでも定期的にNIIから連絡があり、パッチ当ての作業を行っています。セキュリティパッチ対応のメンテナンス作業では、システムを止める必要があります。その作業をお任せでき、しかもシステムを止めずに進められる点はIDaaSの大きな利点だと考えています。

最後に、可用性と完全性をお任せできることです。これは前述のセキュリティパッチ等の対応に似ていますが、負荷分散やバックアップ、緊急時のBCP対応についてもお任せできるという点はメリットとして考えています。

 

 

━━ IDaaSを検討する中で懸念点はありましたか。

小野崎様:IDaaSのデメリットとして一般的に言われているものとして、パッケージ版よりも費用が高い点と、本学独自要件に応じた機能のカスタマイズができない点があると思います。

パッケージ版であれば、ライセンス費用は利用人数に応じて価格の変化はあるものの、一定数を超えるとユーザー数が無制限になる、または一人当たりの単価が安くなるなどの費用的なメリットが生じます。ただし利用人数が増えれば増えた分だけサーバー費用が掛かるなどのライセンス以外の費用増加はありますが、パッケージ版と定価ベースで比較するとIDaaS版の方が単価が高いという懸念があります。競争入札ということもありますが、セシオスさんとエフコムさんとは事前に良好なWin-Winの関係を築けていたことからボリュームディスカウントを頑張っていただき、デメリットは軽減されました。

またIDaaSはサービスのため、本学独自の要件に対して機能開発を要求することはできませんし、IDaaSは個別要件に対してカスタマイズができないと考えています。しかしながら、別件のシステムでの経験談ですが、パッケージ製品のカスタマイズを繰り返した結果、レスポンス性能の悪化や保守費用の負担増を招いたという経験と反省から、ノンカスタマイズで進めていくという方針がありましたので、カスタマイズできないことはデメリットとしては考えておりませんでした。

セシオスさんの場合は「本学だけではなく、他大学や利用者にもメリットがありますよね?」とお話すると、営業の方も同意してくださり、SeciossLinkの開発要望として取り入れていただくことも多かった印象です。ここは良い信頼関係といいますか、良いベンダー、良い製品・サービスを選ばせていただいたと思っています。

 

tohoku_m3

 

年度更新を想定した詳細なテストで、本番稼働前に課題を解消

━━ ありがとうございます。続いて、導入・構築フェーズのお話をお聞かせいただきたいと思います。

SeciossLinkの設定や構築にあたり、特にご苦労された点をお聞かせください。

小野崎様:旧システムで行っていたシングルサインオンを移行できるように、SeciossLinkの様々な設定作業と、リバースプロキシサーバーの構築、リバースプロキシ経由でアクセスするための設定などを行いました。思い起こせばいろいろありましたが、結果的に上手く乗り越えたと感じてます。

安西様:旧システム(SRP)ではリバースプロキシで複雑なURL変換などさまざまな設定をしていたため、その点が移行に手間がかかった印象です。そこはエフコムさんがとても頑張ってくださいました。

あと、現在は改善いただいた点ではありますが、件数が多いユーザーデータを取り込む際にレスポンスの問題が発生しました。多重で処理を動かしたり、SeciossLinkのサービス側でもサーバーのリソース調整など対応いただいたお陰で問題は解消されました。

小野崎様:その節はありがとうございました。実はこの問題に気付けたのはエフコムさんのお陰です。個人的にはIDaaS製品なのでテストは簡単に済ませても良いのはないかと思っていたのですが、保科さんをはじめ、エフコムさんにはさまざまな細かいテストや負荷テストを実施いただき、事前に問題を解決していただきました。

エフコム 保科様:弊社としても東北大学様は3万ユーザー以上とユーザー数がとても多いので、SeciossLinkをIDaaSとして利用する以上、年度更新などで東北大学様が運用する時間帯にきちんと間に合うことを想定したテストを実施しておりました。

検証などもセシオスさんでご対応いただいて、大変ありがとうございました。東北大学様でお借りしたテナントなども使わせていただいて、SeciossLinkのユーザー同期なども本番稼働前に改善いただけたと考えております。

 

tohoku_fcom

株式会社エフコム システム本部第一ソリューション部 保科様

 

━━ その節は本当にありがとうございました。構築中のお話ですと、東北大学様からの積極的な機能要望もとても印象的でした。

小野崎様:IDaaSはカスタマイズができないという話がありましたが、本学も含めて他の大学においても

SeciossLinkの導入時に同様の課題が発生するものについては開発要望としてお伝えしていました。

例えば、2024年1月にリリースされた「ユーザーポータルへのログインで表示言語を明示的に指定する機能を追加」は、本学が要望を出して追加いただいた機能です。それ以外でも、不具合修正としてご対応いただいたものも含めると7機能以上をリリースいただきました。こうした点も、本番稼働をする前に速やかにご対応いただき本当に有り難かったです。

 

約4ヶ月の並行稼働で、混乱無くSeciossLinkへの移行が完了

━━ 実際にSeciossLinkにシステムを切り替えられた際のお話を詳しくお聞かせください。

小野崎様:運用は2023年12月から新システムの「試行」の段階で、現行システム(旧システム:SRP、学認

IdP)と並行稼働していました。2024年2月上旬頃から一部システムの切り替えをして、2024年4月に完全切り替え、新しいシステムからしかログインできない状態にしました。

 

更新スケジュール

システムの更新スケジュール。4ヶ月間の並行稼働期間を経て、新システムに切り替えた。

本学の場合は、4月に新入生が入学することで問い合わせが増えるのではないかと懸念してマニュアルの整備など入念に準備をしていました。結果として完全切り替え後もログインができないなどの問い合わせは特に無かったと思います。

━━ システム切り替え後に問い合わせが無かったことは素晴らしいですね。システム移行が上手くいった要因はなんでしょうか。

小野崎様:新システムへの移行が上手くいった要因として、2023年12月からの並行稼働で早い段階から新しいシステムを使い始めていたという点が大きかったと思います。特に2024年2月上旬からの一部サービスの切り替えでは、教職員のグループウェアを新システムに変えて旧システムからのアクセスは停止しました。ある程度この時点で新しいログインに慣れていたこと、また説明動画なども用意していたので、学生側もスムーズに移行できたのではないかと思います。

また、説明動画やマニュアルを見なくても感覚的に操作できるUIの良さもあります。本学ではログイン画面をSeciossLinkの画面設定機能を活用して、ロゴを入れたり、スクリプトで項目の表示名を変えてみたり、

ユーザー向けマニュアルのリンクを載せたりしていました。ユーザー向けマニュアルでは、ログイン方法を見ることができるので基本的に自己解決できるように作り込みました。

 

SeciossLinkのログイン画面

東北大学様のSeciossLinkログイン画面。ロゴや表示名をカスタマイズし、さらにユーザー向けマニュアルのリンク等を掲載することで、ユーザーの自己解決を促す作りにした。

 

佐藤様:大学内からはID/パスワード認証だけでログインし、大学外からアクセスするときだけ多要素認証をさせているので、ほとんどの人は大学で初めてログインするときにはID/パスワードで認証しています。その上で、ユーザーガイドを確認しながら多要素認証のセットアップ作業ができたので混乱することなく準備ができました。今はあらゆる場面でID/パスワードを入力することが当たり前になっているので、そこまで戸惑うことなく使うことができているのではないかと思います。

システムが変わることは旧システムのログイン画面に載せるなどして事前にユーザーにアナウンスし、並行稼働期間も長くとるなど、余裕がある時に多要素認証の設定ができるようにしたのが良かったと思います。

小野崎様:あとは大学内からのアクセスでは多要素認証を使わないことは、旧システムでも一緒で、大学外からのアクセスには元々イメージマトリクス認証を利用していたので、何かプラスαの認証が求められる点には抵抗感が無かったと思います。

 

本学では多要素認証として、ワンタイムパスワード認証とFIDO認証からユーザーが選択できるように設定しています。ワンタイムパスワードを通知するメールアドレスは、あらかじめSeciossLinkに登録していたので、その辺も混乱が少ない要因だったかもしれません。ただ、それ故にFIDO認証へ切り替えずそのままにしている人も結構多いのが課題です。

 

FIDO認証は推している機能の一つではあるのですが「このブラウザを信頼する」という多要素認証を省略する機能のお陰で多要素認証の頻度が減り、ワンタイムパスワード認証でもそこまで手間に思う人が少ないからかもしれません。

 

SeciossLinkの多要素認証省略機能

SeciossLinkの多要素認証省略機能。「このブラウザを信頼する」にチェックを入れてログインすると、一定期間の間は認証セッションを保持して多要素認証をスキップできる。

 

さらなる人員やシステム増にも対応できるセキュリティ基盤を目指して

━━ 最後に今後の展望をお聞かせください。

小野崎様:東北大学として「国際卓越研究大学」が正式認定されれば、それに対する目標を達成するために、今後はさらに人が増え、構成員を増やしていきます。

 

認証基盤はシステムの大事な入口ですので、強固なセキュリティ基盤がある安心・安全なシステムを提供し続けるには、ログインは欠かせない重要な要素だと考えています。DXがさらに加速し、さまざまなシステムが増えていく中で、シングルサインオンしたいサービスも増えていきます。今後もエフコムさん、セシオスさんには継続したサポートをお願いします。

━━ 本日はありがとうございました。今後もSeciossLinkをよろしくお願いいたします。

 

セシオスが選ばれた理由
  • 学認IdPとしてスコープ及びentityIDの継続利用が可能な
    唯一のIDaaS製品だった
  • 強固なセキュリティと利便性の両立
    (ログインアラート機能や多要素認証省略機能)
  • 「Secioss Identity Suite Cloud Edition SP」による、
    SeciossLinkとリバースプロキシシステムの親和性の高さ

※掲載内容は、2024年7月時点のものです。