2015

611日(木)&12日(金)

GakuNin Session

Going GakuNin : 認証、セキュリティ、そしてクラウド導入

2015.6.11 13:00-

キャンパスの情報環境の高度化と利便性・安全性の向上に向けて、その礎となる、学認、電子証明書、無線LANローミング(eduroam)、情報セキュリティポリシ―、学認クラウド(仲介サービス)などに関する最新動向を紹介します。

全体のはなし

中村 素典(NII教授)

 8~9年前からNIIを中心として7大学の情報基盤センターと協力しながら進めてきた活動。PKI技術の普及・活用のための6つの課題を設定し、検討を進めてきた。将来に向け、認証の技術を進め、大学に普及させることを目的に取り組んできた。6つの課題のうち、サーバ証明書発行、大学間無線LANローミング、シングルサインオン検討、S/MIME証明書の試験利用が現在まで続いている。そのうち、学認(2014年1月)、電子証明書発行(2015年1月)がNIIの公式サービスへ移行した。大学における情報基盤の認証を中心に、これからのキャンパスネットワークのシステム・アーキテクチャを考えていく必要がある。これらの認証の仕組みを活用し、これからのクラウドサービスをさらに便利に安心・安全に使えるよう、取り組みを継続していく。

UPKI電子証明書発行サービスの概要

水元 明法(NII学術基盤課)

 UPKI電子証明書発行サービスの概要について報告する。2015年から新しく電子証明書の発行サービスをNIIの事業として始めた。前身のプロジェクトは時限付きであったが、新サービスでは有償事業とすることで安定的に提供することが可能となった。サーバ証明書、クライアント証明書、コード署名用証明書を提供。費用については、OV証明書は、発行枚数に制限はなく、組織規模による定額制、ドメイン単位で課金。クライアント証明書、コード署名用証明書は、普及・啓蒙フェーズであるため当面無料である。

 新サービスと旧プロジェクトの違いは、申請は機関の長からの申請とし、ドメイン数は複数申請可能、SINETへの加入は必須ではなく、署名アルゴリズムはSHA-1、SHA-256 といった点である。サービス利用料金は、構成員数による年額を提示している。数年後に改訂の可能性もあるが、サービス利用細則に記載している。

 新サービスへの移行について、新サービスへの参加申請は随時受付中。サービスの利用更新は年度ごとに行い、課金は年額を年1回請求書を発行する。現時点およそ90%の機関が旧プロジェクトから新サービスへ移行済みである。旧プロジェクトは6月30日をもって終了。新サービスの詳細は、…[映像をごらんください]

 

 

学認の話

野田 英明(NII学術基盤課)

 学認アップデート。これからの研究教育環境を考えると、研究教育に必要なツールやコンテンツがクラウドに移行される。欧米ではクラウドを利活用した最先端研究教育環境の整備が進行中である。ID・アクセス管理の観点からいうと、サービスの提供者が学内・学外に散在し、複数大学によるサービスの共同利用が拡大、サービスのマッシュアップにより活用の幅が広がる。複数サービスを横断的にシームレスかつ安全に利用できることが重要である。

 シングルサインオンは、認証処理をサービスから分離。漏洩の可能性が下がり、ID管理のコスト削減と信頼性が向上する。この利便性向上と管理コストの削減、また信頼の枠組みの提供によるセキュリティとプライバシーの確保が、学術認証フェデレーション「学認」の大きな役割である。学認に参加する機関は162機関と順調に増加をしている。ID数では約118万のユーザが利用している環境である。学認を介して利用できるサービスは、132のサービスが利用できる。電子ジャーナルなどのコンテンツ系サービスのほか、eラーニングのサービスが増えている。このほか無線ネットワークアクセスなど基盤系サービスでも学認対応の事例が増えつつある。これから増やしていきたいのはクラウドサービスである。これらが参入することでより魅力的なサービスが展開できるのではないかと考える。

 平成26年度学認アンケートの結果からは、多くの大学が適切な運用のレベルであることが確認できた。多くの大学では、IdPは全学的なセキュリティポリシーに基づいて運用している。利用者IDは、学務データや人事データ等、組織にとって信頼できるデータベース(Trusted DB)から作成されるよう定められている機関が多い。個人情報保護規程の策定率、uApproveの導入率は前年度より上昇していることが見られた。

 この一年の大きなニュースは、Shibboleth IdPの ver.3系へのアップデート(2015年6月現在、最新バージョンは3.1.1)。今までの2系IdPは、2015年12月31日からサポートが縮小され、2016年7月31日をもってサポート完全終了となる。順次2系から3系へのアップグレードを行う必要がある。学認としてもどのような支援ができるか検討中。近くすべてのIdPを対象にアンケート調査を行い、それを参考に必要な情報を提供していきたいと考えている。詳細は順次アナウンスする予定。

 もうひとつ、IdP of the Year 2014を発表。模範となる運用をしているという点において学術認証運営委員会で審議した結果、金沢大学を表彰する。多要素認証への積極的な取り組みなどに加え、その成果を学認と関係したイベントで発表するなど2014年度、IdPの運営において顕著な活躍をしたことが受賞理由である。

 

 

 

GakuNinクラウド

合田 憲人(NII教授)

 この4月からNIIにクラウドに関する2つの組織「クラウド支援室」「クラウド基盤研究開発センター」が新設スタートした。本講演の前半では国内外の学術機関のクラウドへの期待(と不安)を紹介し、後半ではGakuNinクラウドのオーバービューを紹介する。

 大学・研究機関の情報システムには、管理運営基盤、教育・学習基盤/図書館、研究基盤、その他ICT基盤などが使われているのが現状である。こういったものがオンライン化かつクラウド化している。

  • 米国ノートルダム大学:CLOUD FIRST、2017年終わりまでに学内のITサービス80%をクラウドに移行させる。
  • Internet2 NET+:Internet2に参加する大学間でクラウドを共同利用する枠組み。パブリッククラウドを共同で契約して利用する。クラウドサービスに対してはかなり厳しい評価を行い、パスしたサービスと契約を結び、大学に提供する。本運用に入ったGeneral Availability=13サービス、試行運用となるEarly Adopter=18サービス、31のサービスが提供されている。大幅なアカデミックディスカウント、クラウド調達コストの削減が見込まれる。
  • Helix Nebula(EU):ビッグサイエンス系分野の研究に使えるようなクラウド基盤をEUにまたがって作っていこうという取り組み。Helix Nebula Marketplaceというサービスは、ユーザが使いたいアプリケーションやSaaSサービスを選択すると、指定したクラウドに展開され使えるようになり、ユーザは後から使った分の費用を支払うという仕組みである。
  • 北海道大学:研究コミュニティ向けアカデミッククラウド(IaaS)の運用
  • 静岡大学:学内業務系・研究サーバをプライベート/パブリッククラウドへ移行
  • 広島大学:クラウドサービス利用ガイドラインを策定。業務系サーバをパブリッククラウドへ移行

 ビッグサイエンスを支える情報基盤とクラウドへの期待、学術分野でのクラウドの期待が高まっている中、アカデミッククラウド調査委託(コミュニティで紡ぐ次世代大学ICT環境としてのアカデミッククラウド)の調査結果から、「アカデミッククラウドを利用したいか」という問いについては、7割近い大学が「興味がある」「利用したい」と回答している。「分からない」「判断できない」が3割であるがこの部分を何とかしようというのがGakuNinクラウドである。クラウド導入によりコスト削減がいわれる一方で、課題については、セキュリティ面・信頼性に不安があると回答する機関が多かった。

 NIIとしては何をしようとしているのか。NII自体が巨大なクラウドプロバイダになるというよりも、大学等がクラウド利用をするための支援をする点に力を入れている。NIIが提供するJAIRO Cloudは、大学・研究機関の機関リポジトリをホスティングするSaaS的なサービス。SINETクラウドサービスは、商用クラウドのデータセンターをSINETに直結し、高速・安全にクラウドを利用できるサービス。計画中であるインタークラウドは、大学・研究機関や商用クラウドにまたがる仮想情報基盤をオンデマンドに構築するためのサービスである。大学・研究機関間の共同研究・教育の加速、学外の複数クラウドのより安心・高速な利用を目指し取り組んでいる。

 GakuNinクラウドについて紹介する。クラウドを導入するには仕様策定が難しい。クラウドの選択基準(安全性、信頼性、契約条件等)がないため、多大な仕様策定コストが発生する。そこをなんとかするためのGakuNinクラウドである。大学・研究機関がクラウドを導入・利用するための支援サービスをNIIが行う。クラウドの選択基準=仕様を示すチェックリストの策定、およびチェックリストに基づくクラウドの評価を行い、仕様策定コストの削減をはかる。同時に価格交渉により、導入・利用費用の削減を行う。大学・研究機関がクラウドを導入する場合に仕様に含めるべき選択基準として100以上の項目をリストアップしたチェックリスト1.0版を公開した(http://cloud.gakunin.jp/)。以下はチェックリストの項目例;

  • 信頼性:サービス稼働率、データ耐久性、計画停止の頻度、サービス停止の通知、障害対応時間帯
  • データ管理:データの多重化、アクセス制限(データ全体・ファイル単位)、暗号化、ログ
  • 契約条件:責任範囲の明確化、契約条件・SLAの変更手続き、損害賠償責任、準拠法、管轄裁判所
  • その他:SINET接続、SAML、管理API互換性

 また、様々なクラウドサービスを利用することで、UIもバラバラで使うサービスごとの煩雑な管理運用となってしまう。この不便さを解消するために、様々なクラウドサービスをワンストップで使えるよう、ポータル(クラウドゲートウェイ)、大学・研究機関のユーザがクラウドサービスを利用するためのポータルシステムをワンストップで使えるための取り組みを行っている。

 今年の夏から実証実験を始める予定である。とはいえ課題はたくさんあり、チェックリストと評価結果がたくさんあっても大変だという声や、ものを買うのではなくサービスを買うにはどうしたらよいか(予算の組み方、会計上の仕組み)、本当に安くなるのか(ボリュームディスカウントのための枠組み)などである。より多くの大学・研究機関との協業が不可欠であり、より大きなコミュニティの形成が必要である。我々を含めて大学・研究機関等多くの組織が集まり一緒に考えものを動かすことで非常に大きな効果が現れる。これから皆様と一緒に考えていきたい。

 

http://cloud.gakunin.jp/

 

 

セキュリティポリシの話

曽根 秀昭(東北大学)

サンプル規定集についてはこちら…

のぞいてみようNII 情報犬ビットくん vol.2 高等教育機関を守る情報セキュリティってどんなもの!?(PDF)

国立大学法人等における情報セキュリティポリシー策定について

 

 サンプル規定集(2014年度版・2015年7月公開予定)の改訂について。政府機関統一基準(平成26年度版)の大幅な構成の変更があり追従する。統一管理基準、統一技術基準の統合への対応。実質的なところについては、学外認証連携、外部委託・クラウド利用、インシデント対応などについてサンプル規定集として支援していく。「事務情報セキュリティ対策基準」「情報発信ガイドライン(公式アカウント、SNS)」「インシデント対応手順」「CSIRT設置規定」「認証基盤運用管理規定、学外認証連携関連規定等」、そのほかに、サンプル規定集準拠教育コンテンツの電子書籍化、サンプル規定集の活用性の向上に関する検討、カスタマイズ支援などを考えていく。

 クラウドサービスの導入とセキュリティポリシーの話について。クラウドだからといって新たな規則制定は不要であると判断した。情報システムを本学が主体的に管理するものなのか、約款に応じて情報処理サービスを利用するのかという点を考慮すればクラウドの利用は外部委託の形態のひとつとして対応できる。外部委託は、大学が保有する情報を委託先に預けることになるが、個人情報の取り扱い責任は大学(委託先の監督責任も)であり、大学が主体的である。契約に基づく場合は、外部委託における情報セキュリティ対策実施手順で対応する。約款に基づく場合は、情報処理サービスを利用する上での要件が許容できるものであるかをチェックしなければならない。

 本学情報システムと約款による情報処理サービスの違いは、本学により所有または管理されているもの、本学との契約あるいは他の協定に従い提供されるもの。約款による情報処理サービスは、情報セキュリティ以外の契約内容については要求に基づいて用意される、条件選択や修正ができるもの。約款による情報処理サービスの利用に際しての注意事項は、利用したデータの削除についてサービス提供者が個別には応じないことや、情報の置き場所が特定の場所に固定されず、海外の法執行機関等による予期せぬアクセスが行われる場合もある。

 無償で利用する情報処理サービスも外部委託に該当する場合があるため、関連規則を遵守することが必要になってくる。このようなサービスの利用者が調達に従事する教職員に限られたものではないため、当該留意事項について学内に広く周知する必要がある。

 

 

 

eduroamの話

中村 素典(NII教授)

 NIIの認証に関するひとつのトピックとしてeduroam。NIIの公式サービスではなく、2007年ごろから、東北大学から共に運用をするという体制で行っている。

 国際学術無線LANローミング基盤「eduroam」は、欧州TERENAで開発された教育・研究用の学術無線LAN(Wi-Fi)ローミング基盤である。国際的デファクトスタンダードで、日本はeduroam JPの名称で参加、訪問先の無線LANが無料で利用可能。互恵の精神に基づくサービスである。802.1X方式による安全なユーザ認証。

 2009年あたりから、参加機関が年々伸びている(2015年113機関)。参加機関は、アクセスポイントを提供することで、カフェ、会議場、大型店舗等(主に現在は関東地域)の屋内130APが利用可能。世界では74カ国が加盟しており、学術環境をより便利にということで活用が進んでいる。

国内動向としては、大学、短大、高専に加え、専門学校も参加が可能となった。利用者が基地局を探しやすいように、基地局マップデータを収集している。

 国際動向は、全大陸(南極除く)世界74カ国に普及、アジア、米国、スバールバル諸島やニューカレドニアにも。新興国では電源・ネットワークの不安定さ、狭い帯域に対応が必要で技術的な取り組みを行っている。アジアにおいても整備が進んできている。

eduroam構築・運用支援のトピックを紹介する。

  •  SINETにおけるeduroamアクセスネットワークの収容:大学の保有するIPアドレスとは異なるアドレスをゲストに割り当てる。SINET4では、/30のIPv4アドレスと、/64のIPv6アドレスを割り当て、SINET経由でアクセス可能とするサービスを提供している。SINET5でも継続して提供する予定。
  •  代理認証システム:eduroam用の認証サーバを立ち上げるのは手が回らないというところに、いわゆるIdPホスティング、代理認証システムを提供している。113機関中31%が利用。ゲストアカウントを発行可能となる。
  • 会議向け期間限定eduroamアカウント試行:国内のeduroam対応大学・会議施設などで開催される学術系会議・シンポジウム・ミーティングが対象で、短期ゲストアカウントを発行する要望がある。利用資格基準の設定やeduroam JP事務局の負担軽減など、提供条件を検討しながら試行中である。
  •  オンラインサインアップシステム(代理認証システムの拡張)、機関内でのアカウント配布を容易化、管理者コストを軽減。
  •  クライアント証明書発行システム:代理認証システムで、EAP-TLS認証をサポート。応用例として、ローカル認証による耐災害・耐障害eduroam。局所的な認証が可能。

 

 

 

TOP | HOME