キャンパスLANへの接続に電子証明書による認証を利用

葉山キャンパスのLANは部門毎にネットワークを構築していたものを統合していくところから始まる。

洞田氏はその当時をこう回顧する。
「セキュリティ委員会にてポリシー策定を行い、またどのようにセキュリティを担保したネットワーク環境の構築をすべきかを議論しました。その結果、厳しいセキュリティレベルが必要なところには電子証明書による認証を利用するという方針になりました。」

その結果を踏まえて、RADIUSを認証サーバとしたネットワーク認証環境を構築する。同時にオープンソース・ソフトウェアを利用してプライベートCAを立ち上げたが、思ったようなパフォーマンスが得られず、その後ハードウェア障害を起こしたことをきっかけに、商用のプライベートCAの調査・検討を開始し、Gléasの導入に至った。

「ネットワーク認証では、利用途別に、事務業務、教育研究、一時利用者とネットワークを3つのグループに分けダイナミックVLANにより、居室に依存しないよう整理しています。特にセキュリティを厳しく保ちたい事務業務用途のネットワークにおいてIEEE 802.1X(EAP-TLS)認証を行うことでアクセスする機器を限定しています。認証に必要な電子証明書はGléasで発行し、コンピュータ証明書としてインストールします。」

このように総研大葉山キャンパスでは、IEEE 802.1X認証においてユーザに電子証明書やVLANの存在を意識させることなく、高いセキュリティレベルを持つEAP-TLSによるネットワーク認証、及び電子証明書を利用したアクセスコントロールを実現している。

また洞田氏はこうも語った。
「有線・無線LAN共にEAP-TLSによる認証を行っていますが、標準技術であるため、OSのバージョンアップや、特定ベンダーに制約されない環境構築ができ、結果として運用に必要なコストを低減に繋がっていると考えています。」

リモートアクセス認証にも電子証明書による認証を利用

総研大では葉山キャンパスのLANの整理が一段落したことより、キャンパスの外から内部リソースにアクセスするためのリモートアクセスVPNの整備に着手している。そこでも電子証明書の活用が行われている。

洞田氏は構築した環境をこう説明する。
「学内へアクセスするために2系統のリモートアクセスを設計しています。NetScreenで構築したIPsecと、 オープンソースのOpenVPNで構築したSSL-VPNをそれぞれ分けて構築しています。これも利用用途やアクセス制限のために分けて設計しています。」

両系統共に電子証明書による認証を行っているが、その電子証明書は各々のゲートウェイ用に区別して発行しており、本来利用できるゲートウェイのみに接続を限定させている。
「アクセス制御に対して、電子証明書の内容・属性を各々のゲートウェイ用に区分する必要があるのですが、 以前のCAでは設定ファイルそのものを直接書き換えないといけなかったのに対し、Gléasでは管理者WEB画面であらかじめ準備されているテンプレートを活用してグルーピングしておくことで視覚的にも容易な形にて電子証明書の管理ができるようになりました。」

多様なOSや端末で幅広く利用できるのも標準技術ならではのメリットである。
「教員・学生ユーザにニーズのあるMac OS XなどがあるWindows以外のOSや、スマートフォンでの利用にも対応できています。」

電子証明書の属性値にて管理することで、内容の改ざんが不可能であり、有効期限の管理も容易である。 またユーザID・パスワードでの認証と異なり、IDの貸し借り等の管理者が許容し得ない認証情報の「一人歩き」を 困難にするという認証環境を実現している。

また洞田氏は以下を付け加えた。
「ネットワークの認証以外にも、Windows標準の暗号化機能であるEFS(※)やPGPなどの暗号化ソフトウェアでもGléasで発行した電子証明書の利用は可能ですので、認証だけでなく暗号化にも利用しています。」

※Windowsの標準ファイルシステムであるNTFSが持つファイル暗号化機能

管理者用・ユーザ用WEB画面の充実が採用の決め手に

このようなキャンパス内外からのネットワーク認証環境の構築に当たり、なぜGléasを採用したかという質問に対し洞田氏はこう語る。
「まず一つとしては、管理者用インターフェースが容易なことです。以前利用していたオープンソースのプライベートCAは日本語のインターフェースを持つ完成度の高いものでありましたが、専門用語などの難解な部分も決して少ないわけではなく、実際の運用担当者にも適度な知識が求められ、運用にも慣れが必要でした。管理インターフェースが簡便な日本語で用意され、PKIに関する専門知識を求めることなく運用可能なことは、重要な要件と考え得ていました。もう一つは、ユーザ側から電子証明書の発行申請を処理することや、発行した電子証明書をユーザに渡すことのできるWEBインターフェースの継承も必要でした。 属性管理などのPKIを構築するために必要な技術的要件をクリアしつつ、簡便な日本語インターフェースを持っていることが必要な要件と考えていました。」

Gléasでは深い専門知識を持たずとも容易に電子証明書発行・失効といったライフサイクル管理が可能なWEBインターフェースで管理者操作が行える。また、UA（ユーザ申込局）というエンドユーザ用のWEBインターフェースを標準装備しており、エンドユーザからの申請や電子証明書の安全な配布が行える。これらの機能がポイントであった。

今後の電子証明書の活用として、教員・学生向けリモートアクセスの本格展開や修了生情報に関する暗号化ディスクの利用、修了生向けのポータルサイトにて外部認証を含めたシングルサインオンと電子証明書の認証連携の検討を進めたいという。 セキュリティ・プラットフォームとして、プライベートCA Gléasの徹底活用を実践している総研大の姿勢には、ただただ感銘を受けるばかりである。

国立大学法人　総合研究大学院大学様 大学概要

本社：〒249-0193
神奈川県三浦郡葉山町湘南国際村
http://www.soken.ac.jp/

総合研究大学院大学は、学術研究の新しい流れに先導的に対応できる、視野の広い創造性豊かな研究者を養成することを目的として昭和63年10月に設立され、翌年の平成元年4月に第一期生を受入れました。それ以来21年間に、1300名をこえる博士課程修了生を国内外の大学、研究機関、産業界などに送り出しました。また、論文博士は200名近くに達しています。

製品の詳細

• プライベートCA Gléas
  http://www.jcch-sss.com/service/gleas