共有アカウントのSSOでセキュアな運用を実現

法人統合による認証システムの一本化と、安全なログイン環境の構築

国立大学法人 北海道国立大学機構

#SAME

#大学・研究機関

左から、国立大学法人北海道国立大学機構 理事 中村 秀治様、北見工業大学 情報処理センター 学長補佐 センター長・教授 升井 洋志様

 

国立大学法人北海道国立大学機構様(以下、北海道国立大学機構様)は、小樽商科大学と帯広畜産大学、北見工業大学の三大学が法人統合されて2022年に設立されました。セシオスの認証・アクセス制御ソフトウェア「Secioss Access Manager Enterprise(以下、SAME)」は、法人統合に伴う認証システムの一本化に向けて2024年に導入されました。また、SAMEの導入を契機に大学業務に必要不可欠な部署の代表アカウント(共有アカウント)の運用を見直し、安全なログイン環境の構築を実現しました。

今回は、北見工業大学の升井様にSAMEを導入した背景から、システム統合に向けた取り組み、また共有アカウントの運用変更にあたって苦労された点などの詳しいお話を伺いました。

課題

  • 三大学と機構の認証システムを統合したい
  • 共有アカウントをセキュアに運用したい

解決策

  • 法人統合にも対応できるキャパシティと柔軟性のある認証システムの採用
  • 個人アカウントでログイン後に共有アカウントにアクセスできる機能の実装

効果

  • 三大学と機構の認証システムの統合に向けた準備が完了
  • 個人アカウントと共有アカウントをシングルサインオンによる安全で便利な運用を実現

法人統合により、認証システムを一本化

━━ この度はSAMEをご採用いただき誠にありがとうございます。改めまして、SAMEを導入いただいた背景をお聞かせください。

升井様:2022年4月に北見工業大学と小樽商科大学、帯広畜産大学の三大学が法人統合して北海道国立大学機構が設立されました。これまでも各大学でID管理をしていましたが、今回、機構にも新たにIDが作られることになります。ID管理もですが、利用面で考えるとシングルサインオン(SSO)の導入が必要不可欠です。そこで三大学および機構のシステム統合をスムーズに行うための前準備として、まずは各組織でサービスレベルを合わせた認証システムを導入して、統合ID管理の流れを構築することにしました。

 

認証システム統合までのスケジュール

 

━━ 今回、北海道国立大学機構様でSAMEをご採用いただいた理由をお聞かせください。

升井様:本プロジェクトでは、最終的に三大学と機構の認証システムを一つに統合することを目指しています。そのためには、それらをまとめることができるキャパシティと柔軟性が必要です。既にSAMEを導入していた小樽商科大学の評価を受けて、機構本部ではSAMEを採用しました。

 

北見工業大学の升井様

 

長年課題だった共有アカウントのセキュリティを強化

━━ 共有アカウントの運用について、これまでの運用方法や課題に感じられていた点をお聞かせください。

升井様:共有アカウントの運用は、大学という場所でアカウント管理をする上で長年課題でした。大学事務などの業務では、所掌する部署のアカウント(共有アカウント)を作り、外部とのメールのやり取りなどをその共有アカウントで行っています。大学職員は3年から5年で部署異動があり、そのたびに引き継ぎがあります。共有アカウントであれば過去にやり取りしたメールの履歴をすべて残すことができるので、このような業務フローが定着しています。

 

大学業務には共有アカウントが必要不可欠

 

当時の共有アカウントの運用は、部署内でID/パスワードを共有して異動する人がいればパスワードを変更するというものでした。その運用が徹底されなければ、異動後でも前部署の共有アカウントが使えることになります。このセキュリティリスクを無くすために共有アカウントの運用を廃止することも一つの方法ですが、大学の業務フローには合いませんでした。そこで営業の方とディスカッションしながら、認証システムがID/パスワードを知っていればユーザー本人はID/パスワードを知らなくてもシステムを利用できる特権IDなどを管理する仕組みを利用した「認証は個人アカウントで行い、実際にサービスでは別のアカウントでログインをする仕組み」で問題がすべて解消できるという結論にたどり着きました。

 

共有アカウントを安全に運用する仕組み

 

個人アカウントの本人認証は多要素認証などで厳密にしたい一方で、アクセス先の権限の認可を分けて考えるようなイメージです。多くのシステムは「認証=認可」という考え方で「システムのアカウントを持っている=そのシステムを利用できる」という関係性が多いですが、今回は「アカウントはあるけれど、あるシステムにはアクセスできない」というような、「認証」と「認可」を厳密に分けて考えています。これを実現するために認証は個人アカウントで行い、その後「どのサーバーの」「どのサービスを」「どのアカウントを使ってアクセスするか」はSSOで制御すれば、安全に運用できるのではないかと考えました。

━━ この共有アカウントの機能は、弊社のクラウド製品(SeciossLink)の「特権ID管理」機能を流用しています。升井先生から「共有アカウントを安全に使えるようにしたい」というお話をいただいてから、社内でこの機能をSAMEに移植できないかと開発に向けた動きをしておりました。今回、無事に導入いただき大変嬉しく思います。

実際にプロジェクトが開始され、ネットワンシステムズさんは設計などいかがでしたでしょうか。

ネットワンシステムズ 門間様:一番は「現在の運用を変えない」ことが大変でした。今回は共有アカウントの運用が変わりますが、その辺の帳尻を合わせることに苦労しました。構築は開発からセシオスさんが

一手に引き受けていただいたので調整がしやすかったと感じています。

 

nuc-hokkaido_nos

左から、ネットワンシステムズ株式会社 門間 充利様、髙橋 里樹様

 

━━ 共有アカウントの仕様を整理するのにMicrosoftやSAML、代理認証、リバースプロキシで動きが異なるため、それらの調査に時間を要したと感じています。将来的に代理認証は少なくなりSAMLに変わっていくと思いますが、まだまだ大学さんやこれからDXをされようとする民間企業では使われている認証方式です。今後も弊社のノウハウはお役に立てるのではないかと思っております。

 

混乱も無く、SAMEへの切り替えが完了

━━ 共有アカウントの安全な運用を目指して、今回、機構本部の職員の方々は個人アカウントで認証後に

ユーザーポータルから共有アカウントにアクセスする運用に変わりました。便利になる反面、運用の変更に伴って職員の方々から問い合わせなどはありましたか。

升井様:SAMEに切り替える前は、ユーザーが個人アカウントとしてサービスを使っているのか、共有アカウントを使っているのかを区別できず、混乱するのではと心配していました。事前に個人アカウントと共有アカウントはブラウザを分けて使うよう案内したところ、OS標準のブラウザとChromeなどのパターンで使い分けができているようで、問い合わせはありませんでした。

 

SAME導入後の運用例(個人アカウント、共有アカウントでブラウザを使い分ける)

 

今回は機構本部の業務サーバーに導入し、サービスが限定的だったことや設立して日が浅く業務フローに慣れる前に導入したことがタイミング的に良かったのではないかと考えています。切り替えの際も移行期間は設けず、事前にアナウンスは行いましたが一律で実施しました。機構本部ではSSOを使っておりませんでしたので、自分のアカウントでログインしたらポータルに利用できるサービスが表示され、各サービスのID/パスワードを覚えずに済むという使いやすさからか、問い合わせもありませんでした。

 

唯一無二の共有アカウント機能が高評価

━━ SAMEやセシオスに対する評価をお聞かせください。

升井様:共有アカウントの代理認証に対応できる柔軟性のあることが良い点だと思っています。ユーザーに知らせずアクセスできるようにする機能はSAMEだけの機能ですから。

共有アカウントのID/パスワードを知らないという点と、ユーザーが直接サーバーにログインできない点が非常に重要だと考えておりますので、SSOが間に入ることがポイントです。大学という組織には、大学と雇用関係のある教員や職員だけではなく、さまざまな雇用形態の方がいます。その中には人事名簿には掲載されない、大学教員が直接雇用して業務をサポートしているような方もいます。そのような方々にも安全に業務していただくためには、この共有アカウントの機能が必要だと考えています。

共有アカウントの運用は本機構に限った悩みではありません。どの大学でも、この共有アカウントの運用に悩んでいるのではないでしょうか。この事例を通して、他の大学さんでも安全に共有アカウントの運用ができることを知ってほしいですね。

━━ お褒めのお言葉をいただき、ありがとうございます。ネットワンシステムズ様からもSAMEの評価点をお聞かせいただけますか。

ネットワンシステムズ 門間様:SAMEの良いところは連携できるサービスが多いところだと思います。セシオスさんが開発元ですので、今回の共有アカウント機能のようなプログラム改修にも対応いただける点も使いやすいです。また、大学さんは学認(学術認証フェデレーション)で使用されることが多いですが、Linuxで構築するShibbolethは敷居が高いと感じられることもあります。SAMEはGUIで自由に設定できるところも使いやすいです。

━━ お客様のご要望に応じてフィット感を出してシステム改修を行える点は弊社の強みだと考えています。ありがとうございます。

 

認証システム統合を目指して

━━ 最後に今後の展望をお聞かせください。

升井様:まずは北海道国立大学機構で統合して入札するための準備を進め、将来的に機構の認証システムを
1つに統合したいと考えています。また新たな挑戦として、デバイスによって使えるサービスを変えられるような権限付与を考えています。PCであればすべてのサービスが使える一方で、スマートフォンでアクセスした場合には利用できるサービスを限定するようなイメージです。出張先でPCがすぐに開けないような場所でもメールや稟議書の承認だけを行えるようにできないか検討しています。

本機構に限らず、企業や自治体等においても内部組織やチームへのアカウント付与とその適切な運用は重要な課題です。本プロジェクトではそれに対してひとつの方向性を示せたと思います。この事例が安全な運用方法を確立するための一助になれば嬉しいですね。

━━ 本日はありがとうございました。今後もSAMEをよろしくお願いいたします

 

セシオスが選ばれた理由
  • 三大学と機構の認証システムを統合できるキャパシティと柔軟性がある
  • 大学の業務で必要不可欠な共有アカウントを安全に運用できる認証システムが「Secioss Access Manager Enterprise」だった
nuc-hokkaido_logo

国立大学法人 北海道国立大学機構

国立大学法人北海道国立大学機構は、小樽商科大学と帯広畜産大学、北見工業大学の三大学が法人統合されて2022年に設立されました。北海道に数多く集う「実学の知の拠点」を形成し、地域社会の発展に貢献します。


国立大学法人 北海道国立大学機構
https://www.nuc-hokkaido.ac.jp/

partner logos_NOS

ネットワンシステムズ株式会社

ネットワンシステムズ株式会社は、優れた技術力と価値を見極める能力を持ち合わせるICTの目利き集団として、その利活用を通じ、社会価値と経済価値を創出するサービスを提供することで持続可能な社会への貢献に取り組む企業です。常に世界の最先端技術動向を見極め、その組み合わせを検証して具現化するとともに、自社内で実践することで利活用ノウハウも併せてお届けしています。


ネットワンシステムズ株式会社
https://www.netone.co.jp/

※掲載内容は、2025年2月時点のものです。