京都大学

複数のシステムへシームレスにログイン。シングルサインオンを実現するTivoli Access Manager

掲載日 2006年5月31日

京都大学　キャンパス外観の写真
京都大学　キャンパス京都大学では、学内事務の効率化や業務のスリム化を目的に、さまざまなシステムやWebアプリケーションが導入されています。人事、経理、教務など、業務ごとに利用されているそれらのシステムを結びつけ、セキュリティーを高めた上で、よりシームレスに使いやすくするために、新しく投入されたのがIBM Tivoli® Access Manager for e-business(以下、Tivoli Access Manager)です。
通常、複数のWebアプリケーションを利用する環境では、アプリケーションごとにログインが必要です。そのため、利用者は使うアプリケーションに応じて、IDを使い分けなければなりません。またそれぞれにセキュリティーポリシーを設定する必要があり、システムを管理する側にとっては、これは非常に煩雑です。
Tivoli Access Managerではこのセキュリティー管理を一元化。一つのIDとパスワードを使って、複数のアプリケーションへのサインオンができる、シングルサインオンを実現しています。これによりユーザーは、利用するWebアプリケーションごとにIDとパスワードを使い分ける必要がなくなります。またシステム間をシームレスに移動することが可能になりました。
外部からサーバーを隠蔽することで、セキュリティーも向上。Tivoli Access Managerがシングルサインオンとセキュリティーにおいて、大学のこれからのシステム構築をサポートしています。

お客様ニーズ

松山隆司教授の写真
京都大学
情報環境機構　機構長
松山隆司教授社会の縮図である大学での試みを通じ
多様性に対応するシステムを考える

京都大学では、教員および学生に対して研究・教育支援を行う「学術情報メディアセンター」と、全学に対して情報基盤・電子事務局サービスを提供する情報環境部という二つの組織を中心に、大学における情報基盤を支えています。この二つの組織を横断的に結び、一体化するのが情報環境機構です。同大学情報環境機構機構長松山隆司教授は、大学におけるITシステムについて以下のように語ります。
「大学の情報化は、大学という社会の有り方を改めて考え、設計し直すチャンスともいえます。一般企業での情報化の目的といえば、主に業務の効率化やセキュリティーの向上があげられると思いますが、そうした明快な目的に沿った活動だけでなく、大学というのはどういった組織であるのかを考えながら、試行錯誤的にシステム構築を進めるのがよいと考えています。情報化によって、組織の現状が浮かび上がってきます。人間の社会には多様性がありますが、大学はその多様性を持つ社会の縮図です。情報化やシステム化は、多様性を苦手としています。会社であれば、部門ごとに切り分けるなど、クラス分けすることができますが、より開かれた社会ではそうはいきません。多様性に柔軟に対応するには、どんなシステムがふさわしいのか。大学であれば、トライアルを行うことができます。これもまた、社会に対する大学の貢献の一つだと考えています。多様な人が出会える総合大学という強みを生かすために、どんなシステムにしていけばいいのか、システムベンダーにはそういった観点から一緒に考えてもらえることが必要だと感じています」
こうした状況を踏まえながら、京都大学ではグループウェアの中心にLotus Notes/Dominoを据えて業務改革を進めてきましたが、その中で問題となったのが、認証基盤でした。同大学学術情報メディアセンターネットワーク研究部門岡部寿男教授は、認証システムについての考え方を次のように語ります。
「各アプリケーションやシステムごとにアカウントが存在し、全学共通で利用できるアカウントというものはありませんでした。そのため、業務によって複数のIDとパスワードを使い分ける必要がありました。そうなると、システムの利用者はいくつものIDとパスワードをきちんと管理しておかなければならなくなる。それは、現実の運用としては非常に難しく、結果的に十分安全とはいえない管理状況に陥る危険性がありました。全学のシステムにシングルサインオンできる認証基盤ができれば、管理者も利用者もアカウント管理が楽になるだけでなく、別々のシステムでもシームレスに行き来して利用できるようになると考えたのです」

上に戻る

ソリューション

上條春穀氏の写真
京都大学
情報環境部情報企画課
電子事務局推進室　室長
上條春穀氏複数のWebアプリケーションの垣根を超える
シングルサインオンを実現

京都大学の電子事務局構想の一つである、全学共通のシングルサインオンを実現するために導入されたのが、Tivoli Access Managerでした。実際のシステム導入を担当された同大学情報環境部情報企画課　電子事務局推進室　室長　上條春穀氏は、たいへんスムーズに導入できたと評価されています。「グループウェアであるLotus Notes/Dominoがすでに導入済みでしたが、Lotus Notes/DominoとTivoli Access Managerは非常に親和性が高く、大きな問題もなく運用をスタートできました」

上に戻る

導入効果

サーバーの隠蔽でセキュリティー向上
業務や組織の見直しも

Tivoli Access Manageｒの導入によって、サーバー自体のセキュリティーもより高めることができたと上條氏は語ります。「内部のサーバーを外部から隠蔽するに当たっても、Tivoli Access Managerは非常に効果的でした。使っていただきたいけれど隠しておきたい、そういった要望が管理側にはありますが、この点でも満足しています」
また業務の効率化や組織のあり方を考える上でも、今回の導入は意義があると上條氏は語ります。「どの大学でも同様だと思いますが、旧来の組織では、複数の組織に重複する業務が多く存在することもあります。これをシンプルにできれば簡単ですが、これまでの流れもあり、なかなか一朝一夕には解決できないジレンマもあります。単に過去のシステムに合わせて新しいシステムを作ろうとするのではなく、組織の流れも変えていきながら、ある部分ではシステムに組織を合わせ、またある部分ではシステムを組織に合わせるということが必要だと考えています」

上に戻る

将来の展望

岡部寿男氏の写真
京都大学
学術情報メディアセンター
ネットワーク研究部門
岡部寿男教授より広く、学校間をつなぎ
開かれたシステムを目指す

現在Tivoli Access Managerがカバーしているのは、グループウェアと大学職員の人事システムですが、給与システムなど、他の業務にも順次広げていく予定です。研究者の業績をWebで登録・検索できるシステムについても、Tivoli Access Managerによる認証システムへの組み込みが検討されています。
「研究者総覧と呼んでいますが、研究者が各自の業績をWebから登録するシステムです。公開のレベルを設定することで、大学全体のデータベースに研究内容を公開したり、また全国の研究者のデータベースに登録できたりする仕組みです。データベース自体は昨年度に導入されていますが、これを今後、Tivoli Access Managerの上で構築していけるよう、調整しているところです。また全学部にすでにさまざまなWebアプリケーションが導入されていますが、これらの認証についても、独自に運用するのではなく、組み込んでいけたらと考えています」(上條氏)
また学内のみならず、認証基盤を元に大学間の連携を深めていくことも視野に入れた、より広い認証が考えられています。
「今回のTivoli Access Managerの導入によって、学内システムにおける認証統合の第一歩を歩みだすことができました。今後は職員向けシステムと教員・学生向けシステム間の統合認証を進め、徐々に全学内に広げていきたいと考えています。また、当大学内でのシステムを作っていくことが先決ですが、その先の展開として、複数の大学間をつなぐことも視野に入れています」と岡部教授は語ります。「パスワードの扱い一つにしても、セキュリティーを高めるための方策を求めているのは京都大学だけではありません。各大学でノウハウを培って、それを大学間のネットワークにも広め、さらにお互いのシステムをつないで認証できるようにすることで、さまざまなメリットが生まれてくると考えています。例えば大学間の単位互換の確認などもより簡単かつ確実に行えるようになります。無線LANを利用したネットワークのローミングなどにおいても、他の大学から聴講に来ている学生や来訪している研究者に利用を許可するといったことが安全にできるでしょう。認証は、大学の情報基盤の中でも根幹となる部分です。認証によって身元を保証することで、サイバーな社会での信頼関係を築く礎になります。各大学で認証基盤が整備され組織間で連携できるようになれば、例えば京都大学で認証された学生は、他の組織でも京都大学の学生というはっきりした身元をもってシステムを利用できるようになります。こうした構想を実現する上で、Tivoli Directory Integrator、Tivoli Identity Manager、Tivoli Federated Identity Managerなど、Tivoliソフトウェアのさまざまなセキュリティー製品に期待しています」(岡部教授)