導入事例
東北学院大学は、新しいID管理システムとしてエクスジェン・ネットワークスの「EXGEN Trusted Identity Center(Extic)」の導入を決定した。現行ID管理システムが稼働する総合情報基盤システムが更新を迎える2019年8月を目標に、Exticへの全面移行を計画している。
多段構成のID管理システムに課題があった東北学院大学
東北学院大学は2013年4月、日立製作所の「Harmonious Cloud」を活用し、データセンターに仮想化・統合化されたサーバ・ストレージを設置することで「総合情報基盤システム」を整備した。このシステムと同時に、同学は新しいID管理システム「Oracle Identity Manager(OIM)」を導入。個別のシステム毎に管理していたIDや認証システムを統一し、統合認証アカウント体系を確立した。
しかし、アカウントの猶予期間、パスワード連携、クラウドサービスとの認証連携等に問題が生じ、翌年2月には、複雑なIDライフサイクルの実現や学内各種情報システムとの認証連携を行うために、エクスジェン・ネットワークスの「LDAP Manager」によるID管理補完システムをOIM配下に構築。多段構成の機能補完により学内外の各システムとの認証連携を実現してきた。
ところが、多段構成のID管理システムには課題もあったという。そう話すのは、東北学院大学 情報システム部 情報システム課 課長補佐の早坂氏だ。
「OIM配下にある認証サーバ群は、退職・卒業などのイベント発生に伴うアカウント利用停止までの猶予期間を設けることができません。一方でLDAP Manager配下のシステムは、統合認証アカウントが無効化されてから180日間の猶予期間があります。このようにシステムごとにIDライフサイクルが異なる状況にある中、アカウント情報に関する不具合発生時の切り分けや切り戻しが難しいという運用上の問題を抱えていました」(早坂氏)
写真左から早坂友行氏、川崎綾香氏、池上光氏、熊谷丈晃氏、伊藤朝博氏
最初の候補では構築・運用管理コストの削減が見込めず
こうした課題の中、総合情報基盤システムの更新が2019年8月に迫り、ID管理システムを先行稼働させるべく2016年4月に本格的に検討を開始した。「認証連携に伴うサービスの維持や各システムの運用管理者の業務負荷を軽減するために、多段構成で複雑な現行の統合認証アカウントのライフサイクル管理をシンプル化することを目標に掲げました。また、学術認証フェデレーション(Gakunin)の本格運用に伴う学認IdPのShibboleth 3.0への対応、Office 365、G Suiteなどのクラウドサービスや情報システム部が所管しない学内他システムへの認証連携対応を実現できることや、初期構築コストやハードウェア・ソフトウェアの運用経費削減をめざし、検討を開始しました」(早坂氏)
検討の結果、最初の候補は現行システムと同様にオンプレミスのプライベートクラウド環境にLDAP Managerを導入してID管理システムを構築し、Shibboleth 3.0対応や各種クラウドサービス連携を目的に認証サーバを配置するという方法だった。「この方法は運用管理の負荷軽減と各システムとの認証連携は実現できるものの、構築コストが高額だったため、別の方策を探すことが急務でした」(早坂氏)
達成すべき目標と要件をすべて満たすExticの採用を決定
そうした中、情報システム課の熊谷氏は、私立大学情報教育協会の機関誌「大学教育と情報」である記事を見つけた。「機関誌に文教大学さんが『EXGEN Trusted Identity Center(Extic)』を導入したという記事を見て、同システムに興味を持ち、2016年10月にエクスジェン・ネットワークスから説明を直接聞いた結果、本学が達成すべき目標と要件をExticがすべて満たしていることを確認しました。その後、デモ環境で機能の精査・確認を実施してExticの採用を前向きに検討し始めました。12月には文教大学への訪問調査を行い、Exticの動作状況やアカウント連携のパフォーマンスといった情報提供を受けました」(熊谷氏)
Exticに魅力を感じた情報システム課では、最終的にExticを認証基盤の中核に添えたシステム構成で導入するという方針へ計画を大幅に修正。2017年9月に日立製作所が引き続き導入業者に決定。導入計画は総合情報基盤システムを更新する2019年8月までにExticへID管理システムを全面移行することとし、2段階のフェーズに分けて導入することになったという。「プロジェクトが2017年10月に実施したキックオフでは、基本・運用設計、詳細設計、移行・運用テストを実施し、2018年1月末には検収して稼働を目指すスケジュールを立てました。既存のID管理システムからアカウント情報をインポートするとともに、Exticで提供されている学認IdPおよび、Exticと連携するOffice 365、学習支援システムのほか、SINETのL2VPNで接続されたAmazon Web Service(AWS)上の「アカウント中継サーバ」経由で連携する認証サーバ、学内オンプレミス環境のLDAP検証サーバなどの構築作業に着手しました」(熊谷氏)
構築コストは約4分の1、ハード/ソフトの調達コストは約100分の1に。
構築期間は約3ヶ月の短期間でサービスイン。
こうして2018年3月、東北学院大学ではExticの利用を部分的に開始。情報システム部が感心したのは、わずか3カ月という短期間で導入できたことだった。情報システム部 情報システム課 係長の池上氏は、これまでのオンプレミス環境とは比較にならないほど短期間で導入でき、コストと業務負荷を大幅に軽減できたことが非常に印象的だったという。「Exticを採用したことで、短期間のうちに学認IdPの新設とSP追加、Office 365や学習支援システムとの認証連携を実現し、これに伴うハードウェア・ソフトウェアの管理などの業務負担が軽減されたことは、専門知識を有するスタッフが限られる現場担当者にとって非常に有り難いことです」(池上氏)
実際の効果も徐々に表れ始めている。「2018年度学部新入生のアカウント新規登録、約2,500人分をExticとOffice 365へ登録するのに一人あたり約10秒、Extic配下のアカウント中継サーバ経由のAD、LDAPサーバへの登録には一人あたり約5秒と十分な速度でアカウントの一括登録ができました」(池上氏)
導入コストの削減効果も大きい。当初想定していたオンプレミス環境での構築と比べると、5年総額費用で約50%のコスト削減になるという。保守委託費(Exticの利用料含む)はほぼ同額だが、構築コストは約4分の1、ハードウェア・ソフトウェアの調達コストは約100分の1と大幅な削減を達成できたという。
2019年8月にはExticへの全面移行を計画している東北学院大学だが、2018年度内にも大学情報処理センターの教育研究系システムの認証連携を予定している。今後はExticが東北学院大学のID管理システム、認証基盤を支え続けていくことだろう。
東北学院大学は1886年、宮城県仙台市に創設された「仙台神学校」を起源とし、福音主義キリスト教に基づく教養教育を重視している私立大学。1949年に新制大学としてスタートしてからは、東北有数の私立高等教育機関として発展してきた。現在は6学部、7大学院研究科が設置され、約1万1,000人の学生が学んでおり、仙台市中心部への3つのキャンパスを集約する五橋アーバンキャンパス計画も進行中。