2013 Fiscal Year Research-status Report
ユーザエクスペリエンスを重視した安全・安心な大学間教育連携基盤の実現
| Project/Area Number |
25750080
|
|---|
| Research Category |
Grant-in-Aid for Young Scientists (B)
|
| Research Institution | Kanazawa University |
|---|
Principal Investigator |
松平 拓也 金沢大学, 総合メディア基盤センター, 技術職員 (50397197)
|
|---|
| Project Period (FY) |
2013-04-01 – 2016-03-31
|
| Keywords | 情報システム / Shibboleth / GakuNin / フェデレーション / トラストフレームワーク / 多要素認証 |
|---|
| Research Abstract |
本研究課題では、大学間で教育・研究・業務などの連携を行う際に、機関の違いを意識することなく、各大学が保持する様々な情報システム群を安全・安心に相互利用できる大学間認証連携基盤の実現を目的とする。実現に向けて、利用者の利便性を重視しながらも、各情報システムが扱う情報の重要度に応じて適切なレベルでの利用者認証が可能な仕組みを目指す。
多くの大学では、シングルサインオン時の認証方式としてパスワード認証を用いているが、推測・漏洩のリスクが高い。そこで本年度は、パスワード認証方式だけではなく、複数の多要素認証方式から各情報システム(Service Provider(SP))の要求に応じた認証方式をユーザに提示できる“認証方式選択機構”の開発を行った。本機構はGakuNinで広く普及しているShibbolethの認証サーバ(Idendity Provider(IdP))プラグインとして実装した。
本機構では、IdPにおいてパスワード認証をレベル1、ある多要素認証をレベル2というように認証をレベル分けする。そして、従来の認証レベルで十分と判断したSPはレベル1、より高いレベルが必要と判断したSPはレベル2をそれぞれ要求できるように実装した。また、レベル内で認証方式の複数の認証方式の組合せ(ANDやOR)も設定できるように実装した。さらに、IdPではIPアドレスのホワイトリストを定義できるようにした。これによりSPは、ユーザがホワイトリストIPからアクセスした場合はレベル1、それ以外からアクセスした場合はレベル2を要求できるリスクベース認証も実現した。このように多要素認証を必須とするのではなく、SPが必要と判断した場合のみ提示するようにした。ただし、一度上位レベルで認証に成功した場合は、下位レベルの認証を別SPから要求されてもシングルサインオンできるようにし、ユーザの利便性を考慮した。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
今年度は、利用者の利便性を重視しながらも、各情報システムが扱う情報の重要度に応じて適切なレベルでの利用者認証が可能な仕組みとして、認証方式選択機構の開発を行った。多要素認証はパスワード認証に比べて認証に手間がかかることや、特定の所有物がないと認証できないなどの留意点もあるため、多要素認証を必須とするのではなく、特定の条件下に限って要求できる仕組みの実現を目指した。そして、機構のプロトタイプを実装し、期待する動作が実現できていることを確認するところまで完了した。なお、本機構は将来的にGakuNin参加機関が容易に導入できることを想定し、GakuNinで広く普及しているShibbolethのIdPプラグインとして実装を行った。さらに、SP側の設定変更においては、認証レベルをIdPに伝えるだけの最小変更に留めるように配慮した。
また、多要素認証方式の一つとして、今年度はオランダのSURFnetが提供するオープンソースソフトウェアであるtiQrを採用して本機構の動作検証を行った。tiQrはスマートフォンとPINによる多要素認証である。スマートフォンは多くのユーザが既に所有していることから、本機構とtiQrを組み合わせることで、多くの機関で利便性を保ちつつ安価に多要素認証機構の導入が可能になると考えている。
|
| Strategy for Future Research Activity |
今年度は認証方式選択機構のプロトタイプを実装し、期待する動作が実現できていることを確認するところまで完了した。
次年度は、今年度に開発した本機構を本学の統合認証基盤に導入し、実証実験を行うことでスケーラビリティの検証を行う予定である。本学の統合認証基盤もGakuNinと同様にShibbolethをベースとして構築しており、本機構の適用が可能であると考えている。そして、そこで見えてくる問題点・改善点を洗い出し、他機関においても問題なく利用できるレベルまで精度を高めるべく改良を進めていく。また、同時に本機構のマニュアル作成やパッケージ化などを行い、他機関においてもスムーズに本機構を適用できるように環境を整備していく予定である。
そして、今年度に多要素認証方式の一つとして採用したtiQrはスマートフォンを持つユーザしか認証できない。多要素認証を普及させるには如何に安価かつ全ユーザが使える機構にするかが重要となる。そのため、tiQrに加えて、新たなオープンソースまたはそれに準ずる程度の初期費用で導入可能な多要素認証方式の検討も予定している。
また、今年度遂行した研究開発の成果を、各地で開催されているフォーラムやシンポジウムなどで発表することを予定している。
|
| Expenditure Plans for the Next FY Research Funding |
今年度論文誌に投稿した論文が次年度初期に掲載予定であり、論文掲載料および論文別刷代として予算を確保していたため。
次年度初期に論文掲載料および論文別刷代の請求書が届くため、そこで使用する予定である。そして、次年度は今年度開発した認証方式選択機構のスケーラビリティの検証およびtiQrに加えて新たな多要素認証方式の検討を行う予定であり、これらを遂行することで生じる費用に対して使用する予定である。また、各地で開催されているフォーラムやシンポジウムなどで発表を行うことも予定しており、その分についても使用する予定である。
|
