左から、東北工業大学 情報サービスセンター事務室 事務長 半澤 勝之様、事務長補佐 今野 裕幸様、情報処理系技術職員 平 宏幸様、早川 修司様
東北工業大学様は、1964年に創設し、「人間・環境を重視した、豊かな生活のための学問を創造し、それらの統合を目指す教育・研究により、持続可能な社会の発展に寄与する」の理念のもと、日本の、とりわけ東北地域の産業・経済の発展への貢献を実践しています。SeciossLinkは、新しいSSO認証基盤として2020年4月からお使いいただいています。2024年からはID管理をオンプレミスシステムからクラウドサービスへと移行し、現在はSeciossLinkでID管理と認証の一本化を実現しています。
今回は、東北工業大学の平様ならびに早川様、半澤様、今野様に、SeciossLinkを導入した背景から、ID管理をクラウドへ移行を決断された理由、また移行にあたって苦労された点などの詳しいお話を伺いしました。
━━ 2020年からSeciossLinkをご採用いただき、誠にありがとうございました。改めまして、SeciossLinkを導入いただいた背景をお聞かせください。
平様:当時は認証システムの仕組みが複雑だっただけではなく、Shibboleth(シボレス)を別サーバーで運用していたこともあり管理が大変でした。また、IDとパスワードだけの認証でインシデントが発生したりと、多要素認証も必要な状況でした。そこでそれらに対応している認証基盤の導入を検討していました。
早川様:当時は認証システムがオンプレミスのID管理サービス、オンプレミスの学内システム向けシングルサインオンサーバー、Shibbolethサーバーで分かれていました。各ソフトウェアのパッチ当て作業がとても大変でしたので、それらを統合したいという思いがありました。また、毎年のように新しい技術が登場するセキュリティ分野において、現在の約5年間隔に行う調達では、5年も経たないうちに技術が陳腐化してしまう懸念もあります。それであればIDaaS製品に移行した方がセキュリティを維持できると考え、SeciossLinkの導入を決めました。
━━ 2020年は複数ある認証システムの統合と多要素認証対応のためにSeciossLinkを導入いただきました。今回、ID管理をクラウド化された経緯をお聞かせください。
平様:SeciossLinkを導入する前はオンプレミスのID管理システムを利用していました。それを補完するものとしてSeciossLinkを導入したため、ID管理機能を持つシステムが2つ存在していることになります。似たような機能が2つありますので、例えば、一つのサービスを認可するためにID管理システムとSeciossLinkの両方の設定調整が必要になるなどして、何をやるにも2つのシステムを動かさなければならず、運用が少し煩雑になりました。また、システム費用面でも重複した機能をもつことは良くない状態でした。
次のプロジェクトに向け、以前から使っているID管理システムかSeciossLinkのどちらかに寄せる話がでましたが、先ほど早川からも話がありましたとおり、機能の追随を考えるとIDaaSであるSeciossLinkに一本化することになりました。
━━ リプレイスではID管理をすべてクラウド化されたのでしょうか。
平様:今回のリプレイスでID管理はすべてクラウド化しました。オンプレミスではファイルサーバーや仮想基盤などが残っています。まだまだクラウドに移行している途中ではありますが、その中でもオンプレミスで残るものも見えてきたように思います。まだ発展途上と申しますか、考えている最中です。
ID管理システムがクラウドにスムーズに移行できたのは、SeciossLinkがさまざまなクラウドサービスと連携していることにあります。次々に登場するSaaS系のサービスに追従しようとすると、連携するたびに追加開発が必要となるオンプレミスのシステムでは太刀打ちできません。そこはIDaaSメーカーさんに頑張っていただいて、そこに我々が乗るスタンスで進めた方が運用が楽になるだろうと考え、ID管理はすべてクラウドに移行しました。
━━ ID管理をクラウドにできたことは素晴らしいと思いました。ID管理システムは作り込みすぎていてクラウド化が難しいケースが多くありますが、貴学はその細かい処理をkintoneで行っていると伺いました。
平様:実はまだkintoneは作り込んでいるところで、2024年度内の完成を目指しています。具体的には、Kintoneとデータ連携ツールを用い、SeciossLinkにデータを渡す事を想定しています。このkintoneまわりが上手くいけば汎用性の高いID管理システムになると考えています。
━━ SeciossLinkでは権限ロール(プロファイル機能)を身分ごとに付与してサービスの認可を自動的に割り当てることができます。貴学のケースでは、このプロファイルを主にMicrosoft 365のライセンスを付与するための表現に使っていました。
平様:なぜプロファイルを認可の自動割り当てに利用していないのかと申しますと、身分ごとに認可のルールを設定していても「この人(個人)に対してだけ特定の認可を付与する」という例外が発生することがあるためです。プロファイルではこのような個別設定ができませんので、今回のID管理のクラウド化に伴い、個別の事案に対応できるようkintone側に認可の機能を移しました。
━━ 確かに認可の権限付与が細かくなると、それだけ細やかな設定をするしかないのかもしれません。貴学はオンプレミスのID管理システムで作り込んでいた細かい処理や、認可の個別設定をkintone側で行っているという点がとても面白いですね。IDaaSだけでID管理のクラウド化ができるわけではなく、足りない部分を別のサービスで補うという点が、他の大学様でも参考になるのではないかと感じています。
━━ SeciossLinkを引き続きご採用いただいた理由をお聞かせいただけますか。
平様:検討するにあたって障壁となったのが、本学が保有している2つのMicrosoft 365テナントと、卒業生向けに提供する生涯メールアドレス(卒業生アカウント)でした。SeciossLinkはMicrosoft 365の複数テナントに対するID同期に対応していたため、問題ありませんでしたが、一方で卒業生アカウントの数は多く、それをIDaaSに移管すると莫大なライセンス費用が発生する懸念がありました。この点はセシオスさんが卒業生アカウントにアクティブなユーザーが少ないという理由で価格をお含みいただけると伺い、大変有難かったところです。
また、FIDO認証の機能がライセンスに標準で備わっていた点も良かったです。本学もID/パスワードでの認証には限界がきておりました。ECサイトなどを見ましても、徐々にパスキーが浸透しています。そのような世の中の変化が見えていましたので、もう遠い未来ではなく、近い将来にFIDO認証(パスキー)に移行する可能性があります。他社製品ではオプション費用が発生しますが、SeciossLinkはFIDO認証がライセンスに含まれています。将来、パスキー認証に移る場合でも追加費用が無くできる点も、IDaaSの中でSeciossLinkを選んだ理由の一つです。
━━ 弊社としては、貴学から事前にどのようなことをされたいのかなど、さまざまな情報をいただき丁寧に擦り合わせできたことが非常に良かったと感じています。
また、技術だけではなく、運用も含めた擦り合わせができたことで良い提案ができました。貴学と、パートナーとして間に入っていただいたネットワンシステムズさんには大変ご協力いただき、改めて感謝申し上げます。
平様:我々としても、導入前からさまざま細々としたところまで相談させていただきました。ありがとうございました。
ネットワンシステムズ 柴田様:こちらも提案段階からセシオスさんに多大なご協力をいただきまして、事前にかなり細かく打ち合わせできたのが本当に良かったと思っております。こちらこそ、ありがとうございました。
━━ 弊社やSeciossLinkへの評価について、お聞かせください。
早川様:2020年にSeciossLinkを導入した後もどんどん機能追加され、時代の流れに沿って進化・改良されている点が非常に有難いと感じています。
平様:SeciossLinkにはMicrosoft 365を含めたクラウドサービスとのシングルサインオン連携設定がデフォルトで幾つも用意されていて、日々増えていると感じています。これらはオンラインマニュアル(セシオスヘルプセンター)にも掲載されておりますので、クラウドサービスの連携は非常に簡単にできるのではないかと思います。
今回、Microsoft 365の2つ目のテナントとSeciossLinkを連携しました。実際のところは移行を心配しておりましたが、思ったよりもスムーズに進められました。そういう意味でも、クラウドサービスの連携は簡単にできていると認識しています。また、FIDO認証も標準で用意されている点がとても嬉しかったですね。
セシオスさんに対しては、構築の打ち合わせ段階から実際の構築作業に入ってからもさまざまな疑問点をぶつけさせていただきましたが、ほとんどが即答いただけました。今回のID管理クラウド化に関するリプレイスは構築期間が2~3ヶ月間と短い期間でしたが、即座に確認してご回答いただけたことで期日までに切り替えができました。構築時に手厚くサポートいただけたところが嬉しかったところです。
━━ 貴学は最初から現行システムの構成や変更点をまとめた非常にわかりやすい資料を準備されていました。その資料をベースに認識の擦り合わせができたことが、この期間で終わらせることができた大きな要因と思っております。ありがとうございました。また、実装できない部分については運用でカバーしていただくような、一歩引いていただける部分もあり、そのような点も大変助かりました。ネットワンシステムズさんもご協力いただき、ありがとうございました。
ネットワンシステムズ 柴田様:細かくセシオスさんに対応していただけたので大変助かりました。また、お客様からご提供いただいた資料もだいぶキッチリされていたので、やりやすかったというのはございます。ありがとうございました。
━━ ネットワンシステムズさんからも弊社や製品に対する評価をお聞かせいただけますか。
一方で、オンラインマニュアルは以前に比べて充実しているものの、さらに拡充いただけると助かります。
━━ お褒めのお言葉、また貴重なご意見をお聞かせいただき、ありがとうございます。マニュアルにつきましては、さらなる充実化に努めて参ります。
━━ 最後に、今後の展望をお聞かせいただけますか。
平様:SeciossLinkではFIDO認証が標準で使えますので、本学もパスワードレス認証に舵を切る予定です。今回のリプレイスを周知する中で、将来的にパスワードレス認証にするという旨も予告しました。2025年度以降にパスワードレスの認証に変えられたらと考えています。
また、現在、セキュリティ界隈ではIDが新たなセキュリティ強化の要として、ID基盤における立ち位置の重要性が非常に高くなっていると感じています。他社のセキュリティ製品と連携して認証の強制遮断や認可の部分を上手く制御できないか検討しています。
半澤様:2020年にSeciossLinkを導入してから、本学もコロナ禍を経て学内の情報システムが増えてシングルサインオン連携しているシステムが導入時の倍になっています。大学という組織は一般企業とは異なり、常勤教員や常勤職員、非常勤職員、非常勤教員、研究員、アルバイトのような方、学生、卒業生など、さまざまな人がいます。新たなアカウントを作成するときに、どのような所属にすべきか考えながら一つひとつシステムを設定しています。それを今は技術職員2名で行っていますが、今後は運用を簡単にして権限設定する方法を考えていければと思っています。セシオスさんにも、今後の本学の運用をどのようにすれば効率化できるかをアドバイスなどいただきながら進めていきたいと考えています。
━━ 本日はありがとうございました。今後もSeciossLinkをよろしくお願いいたします。
※掲載内容は、2024年10月時点のものです。