キャンパスネットワーク(HINET2007)におけるWeb認証システムの構築・運用

広島大学・情報メディア教育研究センターでは、同大学のキャンパスネットワーク「HINET2007」において、UPKIイニシアティブのサーバ証明書を利用したWeb認証システムを構築・運用しています。
その狙いと成果について、お話を伺いました。

相原 玲二氏
相原 玲二氏
広島大学・情報メディア教育研究センターでは、同大学のキャンパスネットワーク「HINET2007」において、UPKIイニシアティブのサーバ証明書を利用したWeb認証システムを構築・運用しています。
その狙いと成果について、広島大学教授 情報メディア教育センター長 相原 玲二氏にお話を伺いました。
(インタビュー実施: 2010年3月19日)

まず情報メディア教育研究センターの概要についてご紹介頂けますか。

相原氏: 当センターでは、現在「ネットワークサービス」「全学情報サービス」並びに「情報教育の実施と教育の情報化支援」の3つの事業を手がけています。 最初のネットワークサービスでは、本学の全構成員が利用するネットワーク基盤の構築・運用を、2番目の全学情報サービスでは電子メール/Web/教育用端末/高度科学技術計算などのサービス提供を、最後の教育関連事業では、基礎的な情報リテラシー教育やITによる教育支援などを行っています。

ネットワーク化の歩みについても教えて頂きたいのですが。

相原氏: 本学のキャンパスネットワークは、93年度に整備し、94年度より運用を開始した「HINET93」が最初になります。初期のLANではFDDIを利用していましたが、その後技術の進化に応じて、幾度かの追加や改修を繰り返してきました。SINETも古くから利用しており、現在はSINET3が対外接続の重要な基幹ネットワークになっています。
当時の環境の特徴としては、学部や研究室ごとに小規模なネットワークを構築し、それらをつなぐ幹線ネットワークを総合情報処理センター(当時)が管理していた点が挙げられます。この時代の環境を「サブネット管理体制」と呼んでいますが、その頃は現在のような大規模キャンパスネットワークをセンターだけで構築・運用することが困難だったため、その時点としてはベストな選択だったのです。

しかし、課題となる点もあったわけですね。

相原氏: ええ。初期のHINETに関わって下さった教職員の方々も次第に異動・退職されていきますし、学生も毎年卒業していきます。すると、ネットワークは動いているものの、その内容を熟知している人がいないという状況が生まれてきました。
しかも、複数の研究室をまたがって一つのサブネットを作っているケースがほとんどでしたので、どこかで問題が発生すると、同じサブネット内の他の研究室などにも影響が及んでしまう点も問題でした。
さらに最近では、ウィルス被害などへの対策も重要な課題になっています。こうした状況を改善するためには、どこかで従来のサブネット管理体制を変える必要があると感じていました。そこで、2008年度より運用を開始した「HINET2007」では、ネットワークインフラの大幅刷新に踏み切りました。

狙いとされた点はどのような部分ですか。

相原氏: 旧ネットワークでは、何かトラブルが起きた時に、いつ・誰が・どこで・何をやったかが、はっきり分からない点が課題でした。当然こういう状況だと、トラブルの原因を究明するにも時間が掛かってしまいます。
そこで、HINET2007では、コンピュータを使い始めるところでは、必ず利用者認証を掛けようと考えました。いつ、誰がどのコンピュータを使ったかが分かれば、トラブル原因の特定も迅速に行えます。また、不正利用などに対する抑止効果も期待できます。

今回はそのための方法として、Web認証を取り入れられたわけですが。

相原氏: 利用者認証の方法としては、802.1xをはじめ様々なパターンが考えられます。単純に技術的なことだけを考えるのなら、他の方法を選択する手もあったでしょう。 しかし、大学という環境を考えた時には、なかなかそれだけでは済ませられません。クライアントPC一つ取っても、学内では様々なメーカーやOSの製品が利用されていますし、一般企業のように特定の端末しか使わせないというわけにもいきません。
その点、Web認証であれば、ブラウザさえ動けば古めのパソコンでも問題なく利用できます。また、本学では、90年代後半から有線/無線LANの端末認証について、独自の研究開発を進めてきた実績もありましたので、Web認証を採用するのが良いだろうと考えたのです。

構築上、苦労された点などはありましたか。

相原氏: できるだけエッジ寄りの部分で認証を行いたかったので、なるべくコストが安く、かつサーバ証明書に対応した認証機能付きスイッチ製品を探しました。ところが、当時は中間CAに対応できるスイッチがあまりなく、メーカーに頼んで機能を実装してもらう必要がありました。
また、もう一つはサーバ証明書そのものの問題です。HINET2007で導入したスイッチの台数は、本稼働開始時点でも約450台。これらすべてに、商用のサーバ証明書を入れるとなると、それだけで数千万円のコストが掛かってしまいます。かといって、自己証明書、いわゆる「オレオレ証明書」のようなものを使うこともできません。普段からユーザーに「怪しい証明書は受け入れないように」と言っているのに、これだけは特別に信じろと言うのもおかしいですからね。

そこでUPKIイニシアティブのサーバ証明書プロジェクトが役立ったわけですね。

相原氏: そういうことです。ちょうどタイミング的に、NIIをはじめとする機関・大学が、UPKIのサーバ証明書プロジェクトを開始した時期でしたので、早速HINET2007でも採用することにしました。おかげで前述したような多額のコストを掛けることなく、国内最大級のWeb認証環境を実現できました。 今にして振り返れば、もしあの時にUPKIのサーバ証明書が無かったら、一体どうしていたのだろうと思いますね(笑)。ちなみに、各研究室の管理者が認めた端末については、MACアドレス認証でネットワークが利用できる仕組みも用意してあります。
本学でシステムが稼働した後、他の大学でも同様のWeb認証環境を構築するところが増えてきました。そういう貢献が果たせたという意味でも、今回の取り組みの意義は大きかったと感じています。

今後の計画についても教えて頂けますか。

相原氏: まず一つはシングルサインオン環境の実現です。現在は教職員/学生向けのポータルにログインした後、別のシステムを利用する際には、再度ID、パスワードの入力が必要になります。こうした点を改善し、より利便性を向上させていきたい。
それと、もう一つ研究を進めているのが、学会などで来訪される学外の方へのサービスです。現在はネットワークの利用を希望される場合、事前に申請して頂いてID、パスワードを発行しています。 しかし、この方法だと発行側の手間も掛かりますし、来訪者の方も手続きが面倒です。そこで、こうした点を解消する手段として、Shibbolethを利用したUPKIフェデレーション対応の認証方法を検討中です。これなら、いちいちゲストアカウントを用意せずとも、他の大学の認証情報がそのまま利用できます。

最後に今後の抱負をお聞かせ下さい。

相原氏: インフラをサービスする立場としては、システム/ネットワーク環境の改善をさらに進めていきたいと考えています。また、それと同時に、研究開発にも力を入れていきたいですね。
実は先日、HINET2007に関する論文で情報処理学会から山下記念研究賞を頂いたのですが、今回のようなネットワークの実運用に関わる取り組みが評価されたというのは非常に嬉しいことです。今後もHINET2007の安定運用とネットワークの先端研究の両面で頑張っていきたいと思います。

ありがとうございました。