教育 IT ソリューション EXPO 無料公開セミナー スマート & マルチデバイス時代の認証と管理術 及び学認への備え 日立電線ネットワークス ( 株 ) SE 本部茂木真美 本資料に記載の会社名商品名は 各社の商標または登録商標です画面表示をはじめ 製品仕様は 改良のため変更することがあります
目次 スマート & マルチデバイス時代の背景 課題 端末種別の多様化 無線 LANセキュリティの複雑化 ケーススタディ A 大学の課題と解決 デモンストレーション 学認 eduraomへの備え 1
スマート & マルチデバイス時代の背景 課題 2
スマート & マルチデバイス時代の背景 1 スマートフォン タブレット モバイル PC の増加 約 3 倍の増加 飽和状態 出展 MM 総研 (2013 年 3 月 ) 3
スマート & マルチデバイス時代の背景 1 教育機関での活用 中学生 :25% 高校生 :56% 出展 内閣府 (2013 年 3 月 ) 平成 24 年度青少年のインターネット利用環境実態調査 教育機関の活用例 授業資料の配布 閲覧 授業収録の配信 閲覧 ( 予復習 ) 資格 e-learning 出席採取 授業時アンケート GPSで安否確認 教育現場の革命 4
スマート & マルチデバイス時代の背景 2 学内無線 LAN の整備拡大 学外ローミング eduroam も 50% 超え 2012 年は 60% 超え 大学の普及状況 各大学 学内無線 LAN を予算化し 次々に整備 研究室独自で構築している無線 LAN も含めると 未導入の大学はない状況 公衆無線キャリアのアクセスポイントを学内導入する大学も 出展 日経 BP 企業ネット /ICT 利活用実態調査 5
相乗効果で普及 & 課題も拡大 スマートフォン タブレット モバイル PC の増加 課題 1 端末種別の多様化 相乗効果 無線 LAN の整備拡大 課題 2 無線 LAN セキュリティの複雑化 6
課題 1 端末種別の多様化 端末 人 の多様化 人 端末 事務 事務 PC PC 教室 + + 学生教員ゲスト 学校配布タブレット持ち込みPC 持ち込みスマホ タブレット 多様化により 管理コスト大 7
課題 2 無線 LAN セキュリティの複雑化 セキュリティポリシーの複雑化 学内システム Internet 許可! 許可? 禁止? 禁止! 許可? 禁止! 事務 学生 教員 ゲスト 常設 PC 持ち込み PC 持ち込み PC 不正ユーザ 8
学内端末のポリシーの最新動向 利用者端末種別 常設 PC 学校配布スマホ タブレット 持ち込み PC 持ち込みスマホ タブレット 事務 学内 LAN 許可 ユーザ認証 - - - ここを許可したいが 教員 学内 LAN 許可 ユーザ認証 学内 LAN 許可 証明書認証 学内 LAN 許可 利用申請 & ユーザ + 端末認証 学内 LAN 許可 利用申請 & ユーザ + 端末認証 学生 - 学内 LAN 許可 証明書認証 学内 LAN 許可 利用申請 & ユーザ + 端末認証 学内 LAN 許可 利用申請 & ユーザ + 端末認証 ゲスト - - 学内 LAN 禁止 Internetのみ許可 ゲストID 発行 & 限定アクセス 学内 LAN 禁止 Internet のみ許可 ゲスト ID 発行 & 限定アクセス 全てを実現するのは難しいため どこかをあきらめている 9
ケーススタディ 10
A 大学の背景 学内無線 LAN 要望の高まり タブレット端末の導入が 無線 LAN 環境構築の決定打に しかし 無線 LANの活用は一部のみにしか許されなった A 大学内 学生 職員の PC 管理者 学生 職員もゲストも無線 LAN に接続できるようにとの要望が しかし 不正端末などからのアクセスに備え セキュリティ対策は確実にしたい 有線 PC 無線 PC OK! 学生 職員の持込 ゲスト 不便 学内システム Internet 不正端末など 11
A 大学の課題 無線 LANの活用は一部に限られている 持込端末からの情報漏洩が心配 ゲスト接続の要望も高まる 管理者 無線 LAN のアクセスどう管理するべき? A 大学の無線 LAN 活用への課題 スマートデバイスを活用したい学生 職員 ゲストへの対応 同一ネット内で大学関係者 ゲストは分離させる 不正なアクセスを防ぐセキュリティ 12
A 大学の解決策 持込端末 ゲストに無線 LAN を開放できて セキュリティも担保できる 製品選定 管理者 持込端末 ゲストへの認証 導入の手間 使い勝手で選ぶと オールインワン認証アプライアンス Account@Adapter アカウント申請ワークフローを備えた認証サーバ プライベート認証局でデジタル証明書の発行も 13
導入メリット 1 学生 職員 ID/PW+ 端末 (MAC アドレス ) 認証を採用 Internet 学内システム LDAP 参照 学生 職員アカウント DB ( 統合認証サーバ LDAP など ) 端末アカウント MAC アドレス新規にデータを作成 端末認証 ユーザ認証 無線アクセスポイント ユーザアカウント ID/PW 既存データを活用 MAC アドレスデータをどのように収集するか? 学生 職員持込 PC スマホ 14
導入メリット 1 学生 職員 学生 職員 ID で持込端末を利用申請 一部端末は 証明書を端末にダウンロード 無線 LAN アクセス user01 強制リダイレクト 学生 職員持込 PC スマホ 学生 職員 ID で認証ログイン MAC アドレス自動取得 理工学部 学内システム 端末利用申請 15
導入メリット 2 ゲスト ID/PW 認証を採用 Internet のみ限定許可 Internet 学内システムアクセス不可 ゲストアカウント ID/PW 新規にデータを作成 ユーザ認証 無線アクセスポイント ゲストアカウントデータをどのように収集するか? ゲスト持込 PC スマホ 16
導入メリット 2 ゲスト ID 自動発行で期限付ゲストアカウントを発行 大学関係者がゲスト ID を申請して発行も可 無線 LAN アクセス user01 ゲスト or 大学関係者 強制リダイレクト ID 自動発行 申請用 ID でログイン or 学生 職員 ID でログイン 有効期限 Internet 研究室との共同研究 研究所日立太郎 カスタマイズ項目 ゲスト利用申請 17
導入メリット 3 管理者 アプライアンスで導入の手間なし 持込端末 ゲストの申請 ~ 発行も 管理者 利用者が行うので 管理者負担なし 申請後 管理者が承認して登録する運用も可 申請画面は 大学に適した項目にカスタマイズ こんな運用していませんか? 紙ベースの利用申請で管理困難に 申請システムを手作りするコストに悩む 申請情報を 認証サーバに即時反映できない 18
新しくなった A 大学の無線 LAN システム 利便性高い無線 LAN 環境を実現 A 大学内 学生 職員の PC 管理者 証明書ダウンロード 利用申請 ID 発行 持込端末 ゲスト申請すれば 無線 LAN 接続は OK! 正規アカウントや証明書がないとアクセスできないので 不正端末によるアクセスも予防! 有線 PC 802.1x 証明書認証 無線 PC ID/PW+ MAC 認証 学内システム Internet 学生 職員の持込 ID/PW 認証 ゲスト 便利! 不正端末など 19
A 大学にて さらに活用している機能 1 ディレクトリ管理者 による管理分散 アカウントは LDAP 階層管理 理工学部 電気学科 機械学科 情報学科 研究室 研究室 学生 1 学生 2 学生 3 学生 4 ディレクトリ管理者作成 利用申請の承認 利用申請証明書ダウンロード センター管理者 研究室管理者 証明書 ユーザ 20
A 大学にて さらに活用している機能 2 未使用アカウントの自動削除 棚卸 LDAP 運用例 : 1 最終認証日から 1 年経過したアカウントを無効 2 アカウント無効から 1 ヶ月経過で DB から削除 最終認証日時管理画面 貯まってしまった古いアカウント情報どれを削除していいのか分からない 管理者 棚卸は Account@Adapter にお任せ! 21
A 大学の今後の検討 スマートフォンにも対応した検疫ネットワークの構築 パッチ ウィルス対策未適用の端末の排除 セキュリティ教育 啓蒙活動 統合ログ管理による可視化の徹底 コンプライアンスの徹底 情報漏洩が発生した際の証跡取得 学認 eduroamと学内 LAN 認証システムの統合 学内 LAN 認証と学認 eduroam 認証のシングルサインオン化 22
Shibboleth SP オプション ( 学認 )(2013 年 Q1 リリース予定 ) 学認環境にネットワーク認証を統合 学認サービスと同じ操作でネットワーク認証 (WEB 認証 ) が可能 ネットワーク認証と学認サービスの SSO を実現 他大学の学生 職員も自身の ID で認証 LDAP IdP 学認対応統合認証基盤 学認対応 WEBサービス ( 学認 SP) ジャーナル elearning ( 学認 IdP) 学認対応 Web サービスとして追加 学内 LAN 認証スイッチ etc. ネットワークの入口と 学認の入口を 1 つに! ネットワーク認証装置 ネットワーク認証も学認と統合 23
eduroam 対応 (2013 年 Q1 リリース予定 ) Radius Proxy 機能を活用した大学間ローミング Realm 毎に RADIUS サーバーに認証要求を転送 国内外の大学から自身の ID で無線 LAN 利用 JP National Radius サーバ 無線 LAN 802.1x(PEAP) 認証でアクセス A 大学 1user1@pro.a.ac.jp A 大学 教員 2user2@st.a.ac.jp A 大学 学生 1 外部 LDAP user1@pro.a.ac.jp B 大学 アジア大洋州 Radius サーバ 3user3@gst.a.ac.jp A 大学 ゲスト 4B 大学 Radius user5@b.ac.jp 4user4@b.ac.jp B 大学 学生 5user5@c.edu C 大学 ( 海外 ) 学生 3 ローカル LDAP uesr3@gst.a.ac.jp 2 外部 LDAP user2@st.a.ac.jp C 大学 ( 海外 ) 5C 大学 Radius user5@c.edu 24
デモンストレーション 25
国産 日本語 GUI で自社開発 VM 版 Ready! Windows Mac Linux スマートフォンに対応したエージェントレス検疫アプライアンス ID 発行 申請ワークフローを備えたアカウント管理オールインワン認証 DHCP サーバ Syslog を一元管理する統合ログ管理サーバソフトウェア Windows 認証とネットワーク認証をシングルサインオン お客様のご要望に柔軟にお応えします! 26
お問い合わせ先 日立電線ネットワークス株式会社 SE 本部 TEL:03-6381-8856 E-mail:products.hm@hitachi-cable.com ホームページ http://www.hitachi-cnet.com/ 27