E1482 - 山形大学の事例からはじまる学認の次世代認証基盤構想

カレントアウェアネス-E

No.245 2013.09.26

 

 E1482

山形大学の事例からはじまる学認の次世代認証基盤構想

 

 現在,大学ではユーザのIDを集中管理することで,一つのIDとパスワードで全ての学内サービスにログインでき,さらに,認証を一度行えば他のサービスに再認証なしにログインできるシングルサインオン(Single Sign-On:SSO)という環境の整備が進められている。SSOでは,これまでサービス毎に独自に行っていた認証処理をサービスから分離し,サービス間で共有する一つの認証サーバを用意して共用する。パスワード情報はサービス間で共用せず,認証サーバ内に閉じて参照されるため,セキュリティ向上にもつながる。すなわち,利便性と安全性を両立する認証基盤であるといえる。学認は,大学のこの認証システム(Identity Provider:IdP)を,商用を含む学外のサービス(Service Provider:SP)でも利用することで,大学の壁を越えたSSO環境を実現する。学認の重要な役割は,異なる組織が運用するIdPとSPが遵守すべき規定を定め,お互いの信頼関係を保つ,信頼フレームワークプロバイダー(Trust Framework Provider:TFP)として機能することである。

 利用者を認証する場合,そのサービスで扱う情報や資源の重要さに見合う信頼性をもった認証方法が要求される。例えば,単純な情報交換のための掲示板にログインする際にはIDとパスワードで十分である。しかし,財務会計や人事給与システムにアクセスする際には,ICカードによる認証が必要とされる場合がある。機微な情報へアクセスする際には,より信頼性の高い方法で,ユーザが誰であるかを確認する必要があるからである。

 米国連邦政府では,「サイバースペースにおける信頼できるアイデンティティのための国家戦略(National Strategy for Trusted Identities in Cyberspace:NSTIC)」プログラムにおいて,電子政府システムへのログインに大学や民間セクターのIdPを積極的に利用している。こうしたID連携におけるセキュリティ確保の目的で規定された基準が,IdPの保証レベル(Level of Assurance:LoA)である。連邦政府のSPは,そこで扱う情報の重要度に応じて,相応のレベルのLoAをIdPに要求し,基準をクリアしたIdPのみがそのサービスを利用することができる。日本においても,欧米の先行事例に倣い,各府省情報化統括責任者(CIO)連絡会議において「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」(2010年8月31日付)を定め,4段階認証の保証レベルを規定している。こうした世界的動向が,2013年8月20日に発表された「山形大学を信頼性のあるオンラインID発行機関第1号として学認が認定」と密接に関係する。

 米国国立衛生研究所(NIH)が提供する医学系の文献データベースPubMedは連邦政府が提供するSPの1つである。そのため,学認のIdPを使ってログインするには,最も低いレベルのLoA1とはいえ,SPの利用を希望する各機関が認定を取得する必要がある。通常,保証レベルの認定は,連邦政府の認定プログラムに参加する認定事業者によって行われている。学認では,LoA1の認定事業者である民間非営利団体Open Identity Exchange(OIX)の下で「学認」が代理で評価を行う枠組みを構築することで,日本の各機関のIdPの評価と登録にかかるコストを抑えている。

 現在のLoA1の認定は第一歩であり,学認はより高いレベルのTFPとなることを目指している。米国の例として,米国科学財団(NSF)などの研究費の申請システムがLoA2を要求する動きがある。日本においても,府省共通研究開発管理システム(e-Rad)の新システムが運用を開始し,学認と共通のSSO方式(Shibboleth;CA1736参照)が採用されている。将来的には,e-Radが学認に参加し,大学のIdPからe-Radにログインできることが期待される。米国のNSFと学術認証フェデレーション“InCommon”が,認証の保証レベルを軸に接続するように,日本においてもLoAを軸とした政府と学術のシステム連携の新しい形を実現できる準備が整いつつある。

 IdPが提供する認証やユーザ情報の信頼性の高さは,新しい商用サービスの創出にも繋がる。一般的にインターネット空間において,自分が所属する大学・学部名や,自分がその大学の学生であることを証明するのは容易ではない。これに対し学認では,それらの情報を正確にSPに伝えることができる。学認の信頼性を最大限活用した学割サービスなどの検討も進められており,こうしたサービス革新により多くの参加校がメリットを受けられる時代は,もうそこまできている。

(国立情報学研究所・山地一禎)
(国立情報学研究所・中村素典)

Ref:
http://www.gakunin.jp/
http://www.nist.gov/nstic/index.html
http://www.kantei.go.jp/jp/singi/it2/guide/guide_line/guideline100831.pdf
http://www.nii.ac.jp/news/2013/0821
http://www.nii.ac.jp/news/2011/0305/