スモールスタートで低コスト・短期間構築
内部統制、ガバナンス、セキュリティの強化と管理効率化から、ID管理の統合化を検討する企業が多い。だが、ID管理の統合には、ポリシーの明確化やグランドデザインの詳細な設計が必要となるため、かなりの時間とコストがかかる。これもあって、必要性を感じながらも導入を躊躇している企業が多いのも事実だ。これに対し、九州工業大学のとった方式が、低コスト・短期間構築のスモールスタートだった。「Sun Identity Manager (旧Sun Java System Identity Manager)」による、できるところから始める統合ID管理システムの構築に成功した。
課題と効果
課題-
- ID管理の運用負荷を軽減したい
- コストも時間もない
- 信頼性は確保したい
「Sun Identity Managaer」によるスモールスタート構築
効果-
- 運用負荷の軽減
- 利便性の向上
- ITコストの削減
導入事例インタビューデータ
- 会社名
- 国立大学法人 九州工業大学
- 所在地
- 戸畑キャンパス 〒804-8550 福岡県北九州市戸畑区仙水町1-1 飯塚キャンパス 〒820-8502 福岡県飯塚市川津680-4 若松キャンパス 〒808-0196 福岡県北九州市若松区ひびきの2-4
- 創立
- 1909年(明治42年)
- URL
- http://www.kyutech.ac.jp/
-
九州工業大学
情報科学センター 助教
中山 仁 氏
導入背景
各システムの認証機能の運用が課題に
福岡県北九州市および飯塚市において、工学部と情報工学部、および生命体工学研究科を含む大学院で構成される国立大学法人 九州工業大学。その創設は1909(明治42)年の私立明治専門学校設立までさかのぼり、2009年で創立100周年を迎えている。地域と社会の要請に応え、開学以来、世界をリードする高度技術者を育成してきた。
「この情報工学部(飯塚キャンパス)ができたのは1986年のことです。学部全体が情報技術分野に重点をおいた、日本で初めての情報工学部でした」と、九州工業大学 情報科学センター 助教 中山 仁 氏は語る。同じ時期に発足した情報科学センターは、大学全体の主に学部学生に対する情報教育設備として数百台におよぶパソコンを配置し運用する他、ネットワークを始めとする学内の各種情報システムの運用や運用支援を行っている。
大学の性格上、職員のITリテラシーは極めて高い。自分たちで機材を揃え、ベンダーに頼ることなくシステムを構築してしまうことも少なくない。「今使っているICカードベースの入退室管理システムも、大学職員が構築しました。ハードウェアは取り寄せますが、システム化は自分たちで行ってしまいます」(中山氏)。
すべてが自作ではないものの、必要に応じて学内にはいくつものシステムが構築されるようになった。だが、それらシステムが取り扱う情報は機密性の高いものも多く、漏えいを防止するための認証機能は不可欠である。だが、各システムのID管理が職員の大きな負荷となってきた。システムごとにユーザーIDを登録し、その変更や削除などの更新作業に時間をとられるようになる。「システムの数だけこれら運用が発生すると、膨大な量になります。そちらに労力をとられることで、新しい試みやサービスに取り組む姿勢がしぼんでしまうのではないか、という危機感もありました」(中山氏)。
IDの統合化を模索
ID管理の運用負荷が問題となり始め、2006年頃から本格的な議論を開始する。同時に、他の企業や大学ではどのような対策をとっているのか、解決するためのソリューションにはどのようなものがあるのかなどの情報収集も始めた。
調べてみると先進企業では、ID管理の集約はすでに実施されているし、市販でもいくつかのソリューションも出ている。だが、検討を進めるうちに、それら製品の考え方と九州工業大学のあり方には、大きな相違点があることを発見する。
「それらのソリューションは、トップダウンが前提なのです。まず、完璧に近いグランドデザインを設計し、それらにサブシステムを合わせてID管理を統合していきます。うちではこのやり方には無理がありました」と、中山氏は振り返る。
大学は自治を尊重する。それぞれの学部や学科などの個性を重視する、ボトムアップの文化がある。絶対的な権力を喜ばず、緩やかな統治が好まれる。「一般企業では考えられないことかもしれませんが九州工業大学では、トップダウンで一気に既存システムや業務の進め方を変更するのは、極めて困難です。とはいえ、話し合いを重ねて統一するにはあまりに時間がかかり、手遅れとなってしまいます」と中山氏は説明する。
システム概要
ID情報連係に「Sun Identity Manager」を採用
システム概要
九州工業大学には、既存システムに対応できる柔軟性を持ったソリューションが必要であった。それがなければ自作するしかない、と考えていた頃、「Sun Identity Manager (旧Sun Java System Identity Manager)」を発見する。「これならば、極めて柔軟にそしてスピーディな導入が可能だと確信しました」と、中山氏は語る。ライセンスも教育機関であれば常勤職員の数だけで済み、コストも大きな負担とならない。
ソリューションの選定に合わせて、SIベンダーとして伊藤忠テクノソリューションズ(以下CTC)を採用。「Sun製品に精通していることがSIベンダーの条件でした。その点、CTCであれば間違いありません。システム構築の技術力とノウハウをCTCに期待しました」と、CTCを採用した理由を語る。
CTCと協議に入り、本格的な開発は2008年10月から。「当初連係するシステムは大多数の学生が利用する情報科学センターが利用するLDAP、Active Directory程度で、ほかはほとんど未確定でした。ただ、その未確定な状態で構築を開始できるところにSun Identity Managerの価値があります。それだけ、連係用のアダプタが豊富で後から連係対象システムを拡大できるのです」と、中山氏はSun Identity Managerを評価する。
シンプルで高信頼性のシステムを実現
当初からスモールスタートを目指しており、最小限のシステム構成にしている。運用担当との窓口となるアプリケーションとして「ID管理サブシステム」を構築し、ID情報を蓄積するIDデータベースには「PostgreSQL」を採用。そのIDデータベースの内容を学内のサブシステムに転送するのが「ID情報連係サブシステム」で、これにSun Identity Managerが利用されている。
これらサーバには「Solaris10 x86サーバ」を採用。「いくら最小限の構成でスモールスタートとはいえ、信頼性は不可欠です。その信頼性を保証でき、コストや相性などからSolaris10 x86サーバで構築することにしました」(中山氏)。
導入効果
職員、ユーザー、大学へともにメリットを提供
今回のシステムは2009年5月に完成し、情報科学センターシステムとのアカウント連係を開始した。もっとも現在連係を行っているのはこのシステムのみで、他のシステムへの拡大はこれからにかかっている。
期待される効果としては、職員には当初の課題であった運用負荷の軽減。ID管理を集約することで、各システムのID管理を大幅に省力化できる。
ユーザーへの利便性も忘れてはならない。「1回の認証で、連係するすべてのシステムすべてにログインできるシングルサインオンを目指します。これにより、認証を強化しながら利便性も向上できます」と中山氏は強調する。
さらに、今後導入するシステムに関してはアカウント管理機能の構築が不要となり、コスト削減が可能となる。運用負荷の軽減もコストの削減につながる。大学側にとっても、新システムはメリットを提供するのである。
今後の展望
運用を続けながら詳細を決めていく
統合ID管理システムは稼働を開始したものの、その真価を発揮するのはこれからである。今後構築する新しい情報システムのアカウント管理は、統合ID管理システムを利用。さらに、更新していくシステムも順次統合ID管理システムを利用するようにする。そのほか、既存の全学グループウェア(Lotus Notes)や各種Webアプリケーションとの連係も進めていく予定だ。
「将来はICカードシステムなんかも取り込めるんじゃないか、などと楽しみな反面、成功するかどうか正直ドキドキしているところでもあります」と、中山氏は複雑な心境を語る。「ですから、CTCには期待しています。新システムは実質これがスタートなのです。今後の拡張に向けてご協力をぜひお願いしたいと思います」と、語る。
低コスト・短期間構築のスモールスタート。新規に稼働した統合ID管理システムとCTCには、大きな期待がかけられている。
用語解説
ID管理
ITシステムの認証に必要なユーザーIDの登録、変更、削除に至るライフサイクル一連の管理業務。
Sun Identity Manager
サン・マイクロシステムズ社の提供するアイデンティティ管理基盤ソフト。旧Sun Java System Identity Manager。効率的なIDライフサイクル管理、他システム対応のための豊富なアダプタ、規模にとらわれない容易な拡張性などの特長がある。
