北翔大学は、新しいID管理システムとしてエクスジェン・ネットワークスの「EXGEN Trusted Identity Center (Extic)」を導入した。学生、教職員など約2,000名が利用する統合ID管理基盤として、2019年度から運用を開始している。

ID管理システムの見直しに着手した北翔大学

北翔大学は、10年以上にわたってマイクロソフトのWindows Serverに付属するActive DirectoryをID管理システムとして利用してきた。それ以前はID管理システムはなく、個別のシステムごとにID管理を行っていたが、Windows Server上で稼働する各種システムが増えるにつれてActive DirectoryによるID管理システムが段階的に構築されていったという。

ところが近年は、グループウェアに「サイボウズ ガルーン」、オフィス アプリケーションに「Microsoft Office 365」といったようにクラウドサー ビスの利用が急増。それに伴ってID管理に関するさまざまな課題を抱えるようになったそうだ。

情報システムを統括するFD支援オフィス 主査の高田 尚樹氏は、その課題について次のように説明する。

「クラウドサービスの利用を開始するにあたっては、各サービスのIDと学内のオンプレミス環境にあるActive DirectoryのIDとの同期をとるために、そのたびにサーバーを立ててID連携の仕組みを構築してきました。それぞれが別のシステムになるために定期的なメンテナンスが必要になり、手間やコストが個別にかかるという課題がありました」（高田氏）

同じくFD支援オフィス 主査の田村 友一氏は、各種クラウドサービスとActive DirectoryのIDを同期させるには難しい部分があると指摘する。

「Active DirectoryにはそもそもクラウドサービスのIDを一括に取り込むためのインターフェイスが用意されていません。そこでIDを同期させるときには、私たちが個別にバッチプログラムを組んでIDを連携させる処理を実行していました。その作業は極めて属人的であり、担当した職員が人事異動にでもなれば、メンテナンスもできなくなってしまいます」（田村氏）

これらの課題に危機感を持っていた北翔大学では、ID管理システムの抜本的な改善の必要性を常々感じていたという。

必要な機能要件を満たし低コストなExticを選定

課題解決の糸口を探っていた北翔大学だが、過去にもID管理システムの導入を検討した時期があった。そのきっかけは、エクスジェン・ネットワークスの営業を通じて統合ID管理システム「LDAP Manager」を知ったことだったという。

「当時はサイボウズ ガルーンのオンプレミス環境への導入や全学のメールシステムを一新し、運用を開始したばかりの時期でした。統合ID管理を実現するLDAP Managerの機能には興味がありましたが、その時点では予算が合わずに導入を断念せざるを得ませんでした」（田村氏）

その後、Office 365を導入し、サイボウズ ガルーンをクラウド版へ移行するなど、クラウドサービスの導入が進んだ北翔大学では、ID管理の課題がさらに顕在化していく。そうした中、エクスジェン・ネットワークスから新たに提案されたのが「EXGEN Trusted Identity Center（Extic）」だった。

「2017年度にサイボウズ ガルーン クラウド版のID連携を実現するための仕組みを構築するための予算を計上していたところ、2018年1月にエクスジェン・ネットワークスからExticを紹介してもらいました。今後も新しいシステムを構築したり新しいクラウドサービスを導入したりするたびにID連携が必要になるのであれば、ExticのようなIDaaS（ID as a Service）を利用したほうが得策だと考えるようになりました」（高田氏）

そこで北翔大学ではExticのほかに、クラウドサービスをサポートする複数のID管理ソリューションを比較検討。北翔大学が必要とする機能要件がExticにすべて盛り込まれているだけでなく、Exticにかかるコストが他ソリューションに比較して大幅に安価だったことから、導入に至ったという。

「当初は教職員約200名分のID管理を行うための見積を取りました。しかし、せっかく新しいID管理システムを導入するのであれば学生にも適用したいと考え、他ソリューションの価格を調べて試算したところ、Exticのコストと大きな開きがあることが分かりました。最終的にコストが決め手となって、2018年8月にExticの導入が決定しました」（田村氏）

移行を前にIDの棚卸しとルール作りを実施

こうしてExticの導入を決めた北翔大学は、2019年4月からの新年度の運用開始に向けて構築作業を開始した。

「最初に取り組んだのは、Active DirectoryのIDを棚卸しすることでした。卒業した学生や退職した教職員のID削除は実施していたものの、転学科した学生や非常勤講師のIDがそのまま残っている場合があったため、まずはそうしたIDを精査するところから始めました。とくに非常勤講師の場合、隔年契約の講師もいます。こうしたイレギュラーなIDの取り扱いをどうするのかというルールを決めながら移行を進めました」（高田氏）

ちなみにActive DirectoryによるID管理は、今後も継続して運用していくとのこと。Windows ServerのActive Directoryを前提としたシステムが存在しているためだ。

新しいID管理の運用を開始するにあたり、新たな課題も浮き彫りになったという。

「旧バージョンのOSが稼働するMacなど、SAML (Security Assertion Markup Language) を利用したシングルサインオンに非対応のシステムを利用しているユーザーから正常に動作しないという指摘がありました。エクスジェン・ネットワークスに問い合わせたところ、『対応させる方法はあるが、セキュリティレベルが低下するため推奨しない。ただし、エンドポイント側の設定変更やバージョンアップで対処が可能』という回答が得られ、課題を解決することができました」（田村氏）

将来的には属人性排除とコスト削減効果も見込む

Exticの導入後は、さまざまな効果が得られているという。

「教職員や学生などユーザーにとっての効果と言えるのが、学外の端末からでもパスワード変更が可能になった点です。従来のパスワード変更プログラムは学内の端末でしか利用できず、ユーザーに不便を強いていましたが、それが解消されました」（田村氏）

もちろん、管理面の効果も大きいという。

「私たちにとって大きな効果は、IDの登録・管理作業が軽減されたことです。これまではActive Directoryだけでなく、各種クラウドサービスやシステムごとにIDの登録・管理作業が発生していましたが、現在はExticに登録するだけで一度にできるようになりました。従来のように自製のバッチプログラムを使用していたときと比べて作業時間が大きく削減されたというわけではありませんが、エラー発生時にもすぐに対処できるなど作業そのものが分かりやすくなり、楽になったと感じています」（高田氏）

メンテナンスの属人性の排除については、今後効果を発揮するだろうと見ている。

「Exticの導入前も導入後も手を動かしているのは私たちなので、属人性の部分については明らかな効果があるわけではありません。しかし将来的に担当者が入れ替わり、別の人がメンテナンスを担当することになったときには、ITに精通していない人でも対応できる、という効果を発揮することになると考えています」（田村氏）

さらに今後は、コスト面の効果も得られるようになると見ている。

「今はExticを導入したばかりなので、これまでは発生していなかった新たなコストが必要になったわけですが、今後はID連携のための仕組みをわざわざ構築する必要もなくなるので、その部分のコスト削減効果は大きくなるだろうと想定しています。また、Exticを導入したことで、SAMLに対応したクラウドサービスやシステムを導入しやすくなったと感じています」（田村氏）

このようにExticは、北翔大学のID管理を支える重要な基盤として、今後も利用され続けていくことだろう。

---