左から、学校法人 京都産業大学 教育研究システム担当課長 平野様、株式会社テイク-ワン 野村様
学校法人京都産業大学様(以下、京都産業大学様)は、1965年に天文学者の荒木俊馬が「将来の社会を担って立つ人材の育成」を使命に創設した総合大学です。2019年にワンタイムパスワード(OTP)による多要素認証を導入されていましたが、その後、より簡便でセキュリティレベルの高いFIDO認証(パスキー)への対応を目的として、2024年1月にセシオスの認証・アクセス制御ソフトウェア「Secioss Access Manager Enterprise(以下、SAME)」をご導入いただきました。
今回は、京都産業大学の平野様ならびに京都産業大学様のシステム周りをサポートする株式会社テイク-ワンの野村様に、SAMEを導入した背景から、全学で多要素認証を導入する際に工夫された点、パスキーの導入を検討されている大学様に向けたアドバイスなどの詳しいお話を伺いました。
━━ この度はSAMEをご採用いただきありがとうございました。貴学はSAME導入前からワンタイムパスワードによる多要素認証を全学で導入していました。そんな中で、新たな認証基盤の導入を検討された背景をお聞かせください。
平野様:本学は不正アクセスによるインシデントが発生したことで、2019年11月にワンタイムパスワードによる多要素認証の強制有効化に踏み切りました。その結果、全学的に運用する中で、利便性や利用シーンに関する新たな課題が明らかになってきました。
野村様:教職員のようにPCを主に使う場合にはそこまで不便に感じないワンタイムパスワードも、スマートフォンを主に利用する学生にとっては大きな負担になることがわかりました。ワンタイムパスワードは、IDとパスワードを入力した後、OTPアプリに切り替えてコードを確認し、またログイン画面に戻ってきてコードを入力して認証します。特に「課題を提出する前などに毎回やるのは面倒」という声が多かった印象です。
平野様:その他にも、ワンタイムパスワードの有効時間内に対応するのが難しいという方もやはりいらっしゃいます。セキュリティを高めるために導入したワンタイムパスワードですが、学生だけでなく、スマートフォンなどの操作に不慣れな一部のユーザーへの負荷が高く、利便性が悪いという意見もありました。そのため、現在ではすべての利用者に多要素認証を有効化していますが、導入当初は一部、有効化を見送らざるを得ませんでした。そのような背景もあり、より簡便でセキュリティレベルの高い認証方式として普及し始めていたFIDO認証(パスキー)の導入を検討し始めました。
学内でもワンタイムパスワードの手間を経験している状態だったことと、パスキーに対応しているサービスや端末が増えていることから、パスキーの必要性は先生方にもすぐにご理解いただけました。
━━ 学内の理解も得られたところで、本格的に認証基盤の検討に入られました。次期認証基盤にはどのような要件がありましたか。
平野様:当初はFIDO機能を後付で追加するような製品を検討していましたが、認証基盤ごと更新が必要ということがわかりました。すべてのシステムをパスワードレス認証で実装することも検討していましたが、Wi-Fiなどの対応が難しいことから、多要素認証の1つの要素としてパスキーを設定できることを要件に加えました。
選定の候補として国内外の他IDaaSも挙がりましたが、パスキーへの対応状況はもちろんですが、やはり学認への対応が可能で学内のサービスプロバイダーへの影響がほとんどなく導入できることから、セシオス様の
SAMEを選定させていただきました。
━━ クラウドのIDaaSも候補に挙がっていた中で、ソフトウェア製品を選ばれた理由はありますか。
平野様:これまで学内でShibboleth(シボレス)サーバーを立てて運用していたことが大きいです。運用ノウハウがありますし、ソフトウェア製品の方がランニングコストも抑えられますので。
野村様:あとは設計の自由度がIDaaSに比べて高いことも理由としてあります。身近なところだと、ログイン画面をカスタマイズしました。システムを変えると、どうしてもログイン画面のデザインが変わってしまいます。事前に学内にシステムが変わることはお知らせしていたものの、現行システムと見た目を似せることでなるべく混乱が起こらないように工夫しました。
現行システムと似た見た目になるようカスタマイズされたログイン画面
━━ 次に、セシオスやSAMEの良かった点をお聞かせください。
野村様:やはりこれまでメタデータなども手作業で行っていたものが、GUIで管理できるようになったのは非常に大きいです。属性なども設定画面を見れば何を送っているのかすぐにわかりますし、追加も簡単です。非常に便利に使わせていただいています。
SAMEへの移行にあたっては、一般的に移行後に各自でワンタイムパスワードの再設定を行う必要があると思いますが、今回は現行システムのOTPモジュールに格納されているTOTPの個人鍵を、スクリプトで移行する手助けをいただきました。SAMEには即時切り替えで移行しましたが、現行システムで設定したワンタイムパスワードをそのまま使える形にしたので、システム切り替え後にログインができなくなるなどの混乱は起きませんでした。
━━ 確かにワンタイムパスワードの再設定は手間がかかりますよね。お役に立てて良かったです。
━━ 次に、導入効果についてお聞かせください。
平野様:パスキーを設定した学生からは好評です。旧システムでは、ワンタイムパスワードが利用できないといった緊急時に対応するため、時間制限付きでそれを解除する機能がありました。一部ですが、ワンタイムパスワードを設定せず、その機能を日常的に利用していた学生もおりましたが、そういった学生はパスキーに移行する傾向が見られました。そのような面でも、ユーザーの利便性とセキュリティが向上するという効果がでているのではないかと感じています。
野村様:学生アルバイトの方が多要素認証の設定についてサポート対応をしているレポートからは、窓口に来た学生にFIDO認証(パスキー)を教えると「もっと早く知りたかった。」という声があったというのは見たことがあります。
━━ パスキーなら、生体認証やPINで素早くログインできますしね。学生の方にも好評で良かったです。
━━ 今後の展望をお聞かせください。
平野様:今回、多要素認証としてパスキーを導入しましたが、利用者は3割程度に留まっています。パスキーが使えることは周知しているものの、まだ届いていないユーザーも多いのではないかと思います。今後はパスキーの設定率の向上と、パスワードレス認証の便利さを伝えるような普及活動も考えています。
また、パスキーを導入したものの、デバイスの紛失などでIDとパスワードを使う場面もありますので、パスワード再発行システムのオンライン化も検討しています。
━━ 最後に、これからパスキーの導入を考えている大学様へ、導入時に特に気をつけられた点などあればお聞かせください。
平野様:パスキーの導入をどのように進めるかは大学の文化などにもよりますが、丁寧に調整して学内で合意形成を取って進めていく必要があると感じています。一度導入されれば、あとは広げるだけですので、最初のハードルを乗り越えて段階的にするのがよいと思います。
多要素認証を強制した後の問い合わせのピークも2〜3日でした。コロナ禍の対応に比べれば、告知期間や設定期間を設けながら、長くても2週間ほどで終わる問い合わせ対応を乗り切る体制さえ構築できれば十分に対応できると思います。
本学は2019年11月に一部ユーザーに対する多要素認証の強制有効化に踏み切りましたが、コロナ禍の影響もあり、全学での多要素認証の導入には5年ほどの歳月を要しました。今はコロナ禍のような対応もありませんし、ログインのセキュリティ強化に対する見方も変わっています。当時よりも多要素認証は短期間で導入できる環境が整ってきていると思いますので、セキュリティ向上の観点から、導入を検討いただけるのではないかと感じています。
━━ 本日はありがとうございました。今後もSAMEをよろしくお願いいたします。
学校法人 京都産業大学
学校法人 京都産業大学は、1965年に天文学者の荒木俊馬が「将来の社会を担って立つ人材の育成」を使命に創設し、文系・理系合わせて10学部1学環、大学院10研究科の幅広い学問領域から学べる総合大学です。
一拠点総合大学の利点を活かした学部・学問分野横断の学びと高い研究力を基盤に、教育・研究の成果を社会へとむすび、新たな価値の創造や社会課題の解決を通じて、国内外の多様な場で貢献できる人材を育成します。
学校法人 京都産業大学
https://www.kyoto-su.ac.jp/
※掲載内容は、2025年11月時点のものです。
