国立研究開発法人 理化学研究所 様

Account@Adapter+で4拠点の認証サーバーを統合
拠点内冗長化で、止めない認証システムを提供

  • 官公庁・自治体
  • セキュリティ
国立研究開発法人 理化学研究所 様

国立研究開発法人 理化学研究所 様

ポイント

  • 拠点ごとに異なっていた認証システムを統合し、すべての拠点で同一の認証環境を実現
  • 拠点ごとに2台の認証サーバーを配置し、拠点内冗長化を実現
  • 最大40,000ユーザーへの証明書発行をセルフサービス化し、管理者負荷を軽減

導入製品

官公庁・自治体のセキュリティネットワーク事例集
国立研究開発法人
理化学研究所 ヘリカル研究部
情報基盤センター 横浜ユニット
溝口 賢 氏

国立研究開発法人 理化学研究所(以下、理化学研究所)は、1917年(大正6年)に財団法人として創立され、以来一世紀にわたり日本の産業発展を支えてきた日本で唯一の自然科学総合研究所である。国内外の関係機関とも連携しつつ、知の源泉となる基礎科学と先進の技術開発を推進している。その拠点は国内9か所、海外4か所にも広がるが、主要拠点は茨城県つくば市、埼玉県和光市、神奈川県横浜市、兵庫県神戸市の4拠点である。

各拠点では、日々研究を行なっている数千人の所員や外部からの来訪者に対してネットワーク環境を提供しているが、システム更改の時期を迎え新たな認証システムを構築する必要に迫られた。理化学研究所 情報基盤センター 横浜ユニット 溝口 賢氏は
「それまでは拠点ごとに異なった管理をしていたので、すべての情報を一か所に統合して扱えるシステムにしたかったのです」と、導入の経緯を語る。

従来は、拠点ごとに異なる認証システムが導入されていたという。各拠点単位でIEEE 802.1X(EAP-TLS)によるクライアント証明書を発行。所員が別の拠点へ行って作業をする場合は、先の拠点ごとにアカウントを取得してネットワークへ接続する必要があった。複数の拠点に所属する所員も存在し、その場合は
「証明書を複数取る必要があり、所員は不便を感じていたと思われます」と溝口氏は、当時を振り返る。拠点間を行き来する所員はマネージャークラスであることが多く、扱うデータの重要性は高い。故に、安全性を担保しなければいけないため、証明書による認証は必須だった。

拠点ごとに2台の認証サーバーを 稼働させる冗長化を実現

今回のリプレイスは、各拠点の認証データベースを統合し、運用の効率化とユーザーの利便性向上をめざしてスタートした。要件として挙げられたのは、4拠点での冗長構成と、最大40,000アカウントの格納という大規模なものだった。

理化学研究所に導入された構成は、以下のようになっている。和光拠点にAccount@Adapter+のマスター機とスレーブ機の2台を設置。筑波、横浜、神戸の各拠点にはスレーブ機を各2台、計8台を設置した。ユーザー情報をマスター機に登録すると、リアルタイムで7台のスレーブ機にレプリケート(複製)されるため、各拠点も常時マスター機と同様の認証が行える。認証のために都度WANを経由する必要がないため、万一拠点間通信にトラブルが発生していても、各拠点で問題なく認証が行える。

また、拠点ごとに2台のAccount@Adapter+を稼働させる冗長構成にしたことで、一方の機器が故障しても認証が滞ることのないしくみになっている。
「認証は"サービス"というより、ガスや水道などの"インフラやユーティリティ"に近いものです。これがないと仕事になりません」と溝口氏は認証システムの重要性を語り、続けて
「コストを考えると、すべてのしくみを冗長化できません。現に末端のスイッチなどは冗長化していません。しかし認証システムは止まるとユーザーへの影響が大きいので冗長化は必須と判断しました」と、溝口氏はこの構成に自信を持つ。

さらに、和光拠点にはeduroam(エデュローム)専用の認証システムとして、Account@Adapter+を2台(マスター機1台+スレーブ機1台の冗長構成)で構築している。eduroamとは、教育・研究機関向けの学術無線LANローミング基盤である。一度アカウントを取得すれば、eduroamに参加している国内約146機関、世界80か国・地域(2016年5月現在)の無線LANを自由に利用できるキャンパス無線LANのデファクト・スタンダードだ。理化学研究所では、職員用のネットワークへゲストとして接続することも可能なのだが
「パスワードの入力など所定の手続きが必要になり、誰もが手軽に利用できるとは言い難い」(溝口氏)という。しかしeduroamを整備しておけば、関係者なら改めて使用方法を説明する必要もなく、迷うことなく使用できる。Account@Adapter+は標準でeduroamに対応しているので、この要件も問題なくクリアした。特に海外ではeduroamは広く浸透しているため利用者も多く、外国から訪れる研究者には、好評だという。

証明書の発行をセルフサービス化し管理者負荷を軽減

所員へ発行するIEEE 802.1X認証用のクライアント証明書は、1年ごとに更改しているという。年度ごとにラボの組織替えがあるので、その時期に合わせて更改しているのだ。 そのフローはこうだ。ユーザーはWeb画面で証明書の発行申請を行い、申請用紙をダウ ンロード~印刷した上で所属長のサインをもらい、受付窓口へ提出する。業務上、紙によるエビデンスの保管が必要なため一部手作業が必要になる手順になっている。ただし、ユーザーがスムーズに証明書を受け取れるようワークフローを作りこんでいるため混乱はないという。
溝口氏は「一部アナクロなしくみではありますが、ユーザーから使い方がわからないという問い合わせもなく、不満はありません」と語り、実状に即した納得のいくしくみであることをうかがわせる。

また従来は、証明書はメールに添付してユーザーへ送付していたが、メールの不達やユーザーの確認漏れなどがあるたびに再発行するなど非効率な運用だった。Account@Adapter+の導入後は、ユーザーが自分のアカウントでログイン後、各自で証明書をダウンロードするセルフサービス化が実現した。
溝口氏は「ユーザー情報を拠点ごとに個別で管理することなく、マスターで一元管理できるようになったので、効率的になりました。今後、さまざまなサービスやプロセスを統合していく足がかりになったと感じています」と、利便性だけでなく将来性も評価する。

日立電線ネットワークス社の対応力はどうだろうか。
溝口氏は「認証システムは、こちらの事情に合わせて作ってもらう必要があるので、どうしても既製品だけでは対応できません。日立電線ネットワークスは、ソフトウェア(システム)を国内開発しているので、柔軟に対応してもらえるという安心と期待がもてます。海外メーカーの製品では、ソフトウェアに関する不具合などは本国で調査することになるなど対応に時間がかかることもあり、利用にあたり懸念があります」と、国内メーカーに対する対応力の高さ、信頼の高さを笑顔で語る。
溝口氏は「今後も認証に対するニーズは高まってくるはずなので、証明書認証以外の方法も考えていきたい」と、すでに次のステップを視野に入れているようだ。

お客様情報

国立研究開発法人 理化学研究所 様

URL:http://www.riken.jp/

日本で唯一の自然科学の総合研究所として、物理学、工学、化学、計算科学、生物学、医科学など広い分野の研究を進めている理化学研究所。研究成果を社会に普及させるため、大学や企業との共同研究、受託研究を実施するなど、産業界への技術移転を積極的に進めている。

お見積もり依頼・お問い合わせ・
技術情報ダウンロード

各種製品に関するご相談・ご質問などお気軽にお問い合わせください。
技術情報はPDF版でご用意しています。

トップへ