「人をつくり、時代を拓く。」を旗印に、教育に加えて研究、医療と幅広い分野で人材と価値の創造に取り組む、学校法人福岡大学。総勢2万5千人（2012年8月当時）にもなる情報システムユーザのための統合ID管理をLDAP Managerが担っている。

理想を求めて先駆的にID管理基盤を構築

福岡大学で最初にID管理基盤が導入されたのは、まだID管理に対する理解が一般的でなかった2005年に遡る。福岡大学 総合情報処理センター 研究開発室の工学博士の中國 真教准教授は、「学内に多くのアプリケーションが導入されるようになった当時、アプリケーション毎のID管理の運用コストは看過できない水準に達し、個々のユーザの利便性も損なっていました」と言う。この当時、この種の課題は棚上げされることも珍しくなかったが、“あるべき姿”を希求する福岡大学は、まだ先駆的であったこうした要件にも、積極的に取り組んだ。福岡大学のこうした姿勢は、「学校法人全体を対象とした基盤上に、教育研究系システムと事務処理系システムを構築し、その上に多様なサービスをサブシステムとして整然と実装する」というグランドデザインを、この当時すでに採用していた先見性にも表れている。

独自開発したID管理基盤の導入効果と新たな課題

導入された統合ID管理基盤によって、ユーザ管理業務は一元化され、個別システムの管理者は、担当アプリケーションの運用・管理に集中できるようになった。ただし、運用コスト、セキュリティ、利便性のいずれの面でも改善が見られた一方で、独自アプリケーションとして開発された初代のID管理基盤には、いくつか課題もあった。

中でも問題となったのが、他のアプリケーションとの認証連携である。独自に開発したID管理システムには汎用的なアプリケーションインターフェイスなどなかったため、新たなアプリケーションを認証対象に加える度に、連携部分を独自開発しなければならなかった。

他にも、入学や卒業に伴う大量のID情報の登録や更新作業は、順調にいっても“一日がかり”、わずかでも訂正が生じれば、すべてやり直さなければならなかった。また、ユーザが変更したパスワードは、翌朝まで反映されなかった。つまり、新しいパスワードでログインできることを確認もできず、古いパスワードで他人にアクセスされる恐れもあった。

統合ID管理基盤への移行を推進

教育研究系システムの大規模更新を翌年に控えた2009年、追加されるシステムとの認証連携に高額のコストが生じることやハードウェアの更新時期を迎える点を考慮して、統合ID管理基盤の更新検討が始まった。中國准教授は、このころ東京で開催されるIT系展示会なども視察し、自ら統合ID管理ソリューションの候補を検討したという。LDAP Managerについては、「自分たちの要件を満たしうるのではないかという第一印象でした」と語っている。

総合情報処理センター 事務部情報支援室の大塚耕輔氏によれば、移行プロジェクトは2010年10月に始まったという。そこから翌年春にかけて仕様を策定、夏には決まった仕様に基づいて、LDAP Managerの採用を正式決定したという。すぐに開発が始まり、その後パイロット期間も経て、繁忙期を避けた2012年のゴールデンウィーク明け、晴れて本番稼働となった。「特にトラブルもなく、開発は概ね順調でした」と大塚氏は笑顔で語っている。

新しい統合ID管理基盤が実現した導入効果とは─

今回稼働した新たな統合ID管理基盤は、福岡大学の開発要件に十分応え、すでに導入効果の実感にもつながっているという。

• リアルタイムでのID連携
  懸案だったパスワード変更の即時性を実現したことで、セキュリティの強化はもちろん、ユーザの安心感も高められた。
• 上位システムとのスムーズな連携
  時間がかかる上に手戻りの手間が大きく、現場を悩ませてきた「マスター情報を生成する上位システムとの連携」も高速かつ柔軟になった。テストベースながら、処理時間はおよそ3分の1に短縮され、訂正が生じてもリカバリーのための時間を充分に持てるようになった。
• 登録業務の電子化
  日常的に発生するアドホックなユーザ登録手続きは、LDAP Managerのワークフロー機能を使った電子申請に移行した。これにより申請者によるIDとパスワードの本登録が管理者へリアルタイムで申請することができ、従来よりも本登録までの作業時間が削減できる。また、個々に申請用紙を提出する機会が減り、紙資源の削減に加え、提出された用紙の管理コストも削減できると考えている。
• 一時利用IDの管理工程の簡素化
  従来は複雑な運用が必要だった一時利用者向けIDも、必要な人数と日時を反映したCSVファイルを準備するだけで、ほとんど手間無く作成でき、使用後の管理も簡単になった。
• シングル・サインオン(SSO)対応^※1
  福岡大学の情報サービスは数多くあり、従来のシステムでは独自のSSOで対応していたため、新しいシステムを連携する度に改修を伴っていたが、今回の標準的なSSOの導入により、維持コストの削減が期待できる。さらに、学外サービスの学認^※2へのSSOも可能となり、学内にない機能を、開発コストをかけずに利用できるようになった。
• 柔軟かつ強力なガバナンスの実現
  統合ID管理基盤がここまで高機能になると、管理者に対する統制も慎重かつ厳格に行う必要がある。LDAP Managerでは、権限の委譲や分掌を通じて、個々の管理者の権限範囲を適切に保つと同時に、その管理者の振る舞いも履歴として記録できる機能があり、福岡大学のガバナンス体制の一役を担うことができる。

稼働してみての満足度と将来に向けた展望

LDAP Managerが選ばれた背景について、中國准教授はこう語っている。「要件を満たしていることはもちろんですが、他の認証対象のアプリケーションとの連携がとても柔軟だという点を評価しました」。今回、学内外のシステムとのSSO機能は各々異なる技術を連携させて実現しているが、これはその好例といえるだろう。他にも、2万人超の大規模管理に対応するスケール性や、教育機関向けシステムに求められる「利用者がマニュアルを確認することなく操作ができる画面表示」への対応といった見逃しがちな細かい点も、LDAP Managerを選んだ決め手だという。

実際に導入してみての満足度について尋ねると、運用現場を預かる大塚氏から、「パスワードの失念や失効に対応するヘルプデスク作業を削減することができ、それ以外のヘルプデスク作業に時間を利用することができるようになった」という声が寄せられた。中國准教授からは、「個々の担当者によって、多少の違いはあるかもしれませんが、システム管理者側の立場から見て、100点満点の90点は差し上げられると思っています」と極めて高い評価をいただいた。

最後に、今後の展望について中國准教授に尋ねると、「まずは、教育研究系システムと事務処理系システムのSSO対応を進めます。その先については、学生証として配布されている非接触ICカードと統合ID管理の連携について、検討してみたいですね」と笑顔で語ってくれた。

※1 SSOについては、オープンソース・ソリューション・テクノロジ株式会社が導入を担当している。　※2 国立情報学研究所が、全国の大学や関係機関と連携して、電子ジャーナルや証明書発行など多様な情報サービスを共同利用するために構築・運用している学術認証フェデレーション機構の愛称。

---