九州大学がWisePoint Shibbolethの全面運用を開始

2013年2月26日

世界に先駆けて、安全かつ強固な多要素認証シングルサインオンを共同開発で実現

■概要
国立大学法人 九州大学(福岡県福岡市、総長:有川節夫、以下 九州大学)情報統括本部(本部長:藤村直美)は、2013年1月より認証基盤システム「WisePoint Shibboleth」の全面運用を開始しました。本システムの運用開始により、Shibboleth(シボレス)シングルサインオンにおいて、強固な多要素認証方式を備えた利用者認証方式を実現できるようになりました。

■内容
九州大学ではこれまで、学務情報システム等の安全性重視サービス利用時には強い認証機能を持つファルコンシステムコンサルティング株式会社(本社:神奈川県川崎市、代表取締役:高橋正廸、以下ファルコンSC)のWisePointを導入し、WisePointが持つマトリックスコード認証1)を適用することで安全性を確保していました。WisePointはリバースプロクシ型のWebシングルサインオンを実現し、かつマトリックスコード認証等の強固な認証方式を備えた製品です。 一方、電子メールや電子ジャーナル等、利便性重視のサービスでは個別のID・パスワードで認証していました。Web系の情報サービスでは、利用者認証時の手間を削減するため、一度の認証で複数のサービス利用が可能になるシングルサインオン(SSO)を進めており、その方式として学術系で普及しているSibbholeth(シボレス)認証2)を採用しています。Shibbolethを使うことにより、国内および世界の学術認証フェデレーションに参加でき、学術機関向けサービスの多くを利用できるようになりました。

■WisePointShibbolethの主な機能

  • ワンタイムパスワード認証機能・・・・・マトリックスコード認証、イメージングマトリクス認証(特許取得済)、Jパスワード認証に対応。
  • SAML2.0対応・・・・・学外サービス(電子ジャーナルやGoogleApps等)へのシングルサインオンが可能。
  • SP(ServiceProvider)機能・・・・・SAML2.0に対応していない環境も考慮し、従来から運用している学内アプリケーションへもシングルサインオン。リバースプロキシ機能。アクセスコントロール機能。
  • Idp(ID Provider)機能・・・・・様々なサービスの認証を一元管理。LDAP連携。利用者は、どこに居ても、どのサービスを利用しても覚えるID/パスワードは1つだけ。

※WisePoint Shibbolethは、大学のみならず、企業においても安全性と利便性を両立した統合認証基盤システムとしてご利用いただけます。

■効果
SSO対応のサービスが増えるにつれ、安全上の問題も出ていました。認証方式がID・パスワードだけの場合、パスワードを破れば他人になりすましてSSO対応の全サービスを利用できてしまいます。この問題を防ぐため、パスワード以外の認証方式を併用する多要素認証3)が求められていました。また、Sibboleth認証装置と、WisePointマトリックスコード認証装置を複数運用するコストも問題になっていました。そこで、今回、多要素認証方式によるShibboleth認証を実現する「WisePoint Shibboleth」を開発することになりました。 WisePoint Shibbolethは、九州大学とファルコンSCの連携により、2011年2月から共同開発したものです。実際に九州大学附属図書館のサービスで実験を重ね、実験で得られた不具合部分を調整しつつ、今回の全面運用に至りました。本開発により、多要素認証によるShibboleth SSOを実現できるだけでなく、認証装置の維持コスト削減も実現できました。今後、クラウドサービスや外部フェデレーションサービスが追加される際にも、WisePoint Shibbolethの多要素認証とシングルサインオンにより安全性を確保しながら利用者の利便性を損なうことなく、サービスを提供していくことが可能となります。

■今後の展開
九州大学情報統括本部は、今後も安全性に留意しつつ、様々な学内向け情報サービスを提供していきます。またShibbolethを経由して、国立情報学研究所の学術認証フェデレーション(学認)4)に関連するサービスの拡充を行います。ファルコンSCは、WisePoint Shibbolethの販売により、多くの学術機関における情報サービス利用の安全化を実現するとともに、Shibbolethによる学認参加の支援や、全国および世界での大学間認証連携による学術サービス連携を支援していく予定です。

▼九州大学におけるWisePoint Shibboleth導入イメージ
九州大学におけるWisePoint Shibboleth導入イメージ

■用語説明
1) マトリックスコード認証:パスワードの代わりに行列のマス目に記入した数値・文字列のコードを利用者認証に用いる。サービス側が指定する座標のコードを、利用者がパスワードとして入力する。
2) Shibboleth認証:米国のInternet2プロジェクトで開発されたWeb系情報サービスシステムの分散シングルサインオン方式。内部ではSAMLを用いる。
3) 多要素認証:利用者認証時に、パスワードだけでなく、他の要素(マトリックスコード、秘密の質問、ワンタイムパスワード等)を併用する認証方式。
4) 学認:学術認証フェデレーションの略称で、国立情報学研究所が推進する、全国の大学や研究機関および学術機関向けサービス提供業者での共通認証機構に関する連携。各機関の構成員は、加盟機関が提供するサービスを、学内サービスと同様にシングルサインオンで利用可能になる。

■ファルコンシステムコンサルティングについて
ファルコンシステムコンサルティング株式会社は、2000年の設立以来、先進のセキュリティ技術とコンサルティング手法に基づき、利便性と安全性を考慮した、認証特化型セキュリティシステムの開発・販売を行っています。2003年4月にリリースしたWeb認証システム「WisePoint」を軸に、RADIUSプロトコル対応「WisePoint Authenticator」など、認証強化ソリューションを展開しています。

本件に関するお問い合わせ

ファルコンシステムコンサルティング株式会社 営業本部 山下 
Tel:044-814-2512 Mail:sales@falconsc.com URL: http://www.falconsc.com/