5号館を出て

shinka3.exblog.jp
ブログトップ | ログイン

学外からのICカードによる認証実験:失敗

 北海道大学では昨年から、シングルサインオンといって学内で提供されるほとんどのウェブサービスのログインをひとつのIDとパスワードで一括管理するシステムが始まりました。

 それまでは、サービス毎に異なるアドレスにアクセスし、それぞれに異なるIDと異なるパスワードを設定して使わなくてはならなかったため、煩わしいだけではなく、成績評価などのように年に数回しかログインしないサービスなどでは、IDやパスワードがわからなくなるという「事故」が非常に多く起こり、そのたび毎にパスワードの再発行手続きなどをしなければならなかったため、事務効率もきわめて悪かったものと思われます。

 しかし、せっかくひとつのIDとパスワードで管理できるようになっても、大学の公的業務に関するもの(教育、予算、オンラインジャーナルへのアクセスなど)に関しては、学内のLANに接続された端末からしかアクセスができなかったため、トラブルは減ったかもしれませんが世界中に張り巡らされたウェブを活用できないという意味で、それほど利便性が上がったとは言えませんでした。

 それが、いよいよICカードを利用して学外からシングルサインオンシステムにアクセスすることを目指して動きだしたのです。手始めに、学内からボランティア75名を募り、小規模な実証実験を実施することになりました。もちろん、私はそうういうことが大好きですし、たとえ実験とはいっても実際に学外(実質的には、自宅や出張先)から、学内のすべてのサービスにアクセスできるようになるということには大きな魅力を感じましたし、カードリーダライタというハードウェアも貸してもらえるというので、真っ先に手を挙げさせてもらいました。

 申し込んだのは一ヶ月以上も前だったので、忘れかけていたのですが一昨日金曜日に、ICカードとリーダライタが届きました。私が借りたのはノートパソコン用のPCMCIAスロットに差し込むタイプの接触型のものです。差し込むカードはこちらです。
学外からのICカードによる認証実験:失敗_c0025115_22291857.jpg
 届いてすぐ学内のLANから接続試験をしてみました。

 ハードウェアのドライバやユーティリティを入れたり、ブラウザのセキュリティ設定のところで、信頼済みサイトとしてシングルサインオンのサーバーアドレスを入れたりと、あまり詳しくない人にはまだまだかなり敷居の高い手続きを経なければならないところがいかにもトライアル実証実験という感じですが、それでもどうにかこうにかアクセスができるところまではたどりつきました。

 昨日はいろいろあって自宅からのアクセスを試すことができなかったのですが、今日になってようやく接続実験をしてみました。

 北大のサーバーに入り、カードを認証してもらい、パスワード(PIN)をいれるところまでは順調に行ったのですが、なんと「使用したクライアント証明書が無効です。または、無効かどうかを判断できませんでした」というエラーメッセージが出て、それ以上は進めませんでした。
学外からのICカードによる認証実験:失敗_c0025115_224079.jpg
 一昨日の学内でのアクセスはできたので、学外からアクセスした場合には、このカードの有効性が認証できるようにサーバーの設定がされていないということなのでしょう。その証拠に、シングルサインオンサーバーではなく、学内LANからであればフリーにアクセスできるいくつかのサーバーにはアクセスができました。つまり、学内LANには入れていたということだと思います。

 まあ、こういうことを明らかにするための実証実験なので、そういう意味では有意義だったということになりますが、これで大学に行かなくてもいろいろな業務をこなせるとたくらんでいた私の下心は若干傷ついたのであります。自宅が大学内のオフィスとほぼ同等になるのは、まだまだ先のことかもしれません。

 私がコンピューターと格闘している横では、武蔵丸が「人間は忙しくて大変ですね」という感じの、あきれ顔をしていました。
学外からのICカードによる認証実験:失敗_c0025115_22474121.jpg
 ネコはエラーでネットからはじかれたりしませんから、いいですね(^^;)。
Commented by stochinai at 2009-06-15 12:07
 サーバーが落ちていただけのようです。次のようなメールが届きました。

6月14日(日)の午前中からICカードトライアル用のサーバに障害が生じ利用不可能な状態となっていました。現在復旧しましたのでご利用いただけます。ご迷惑をおかけして申し訳ありませんでした。
Commented by Uri at 2009-06-15 15:16 x
なぜそんな複雑な手続きとハードウェアが必要なのか理解に苦しみます。なにか日本特有の法律的な問題があるのでしょうか?私はアメリカの大学に勤務していますが、大学関係のサービスはすべて同一のユーザー名とパスワードで利用できます。もちろん学外からも成績を付けたり口座を確認したりできますし、文献も図書館のプロキシもしくはVPN経由で(同じユーザー名・パスワードで)アクセスできます。
Commented by stochinai at 2009-06-15 16:37
 私も理解に苦しんでいますが、典型的な日本式のガラパゴス状態がここでも続いています。大きな理由のひとつは、官僚が科学技術というものをまったく理解していないということがあるような気がします。逆に専用回線で閉じていれば安全だという神話も強く、出入り業者の内部から情報がダダ漏れするなどということも日常的に起こっています。

 たくさんの科学者(理科系大学・大学院卒)が行政にはいっていかなければ状況は変わらないように思われます。
Commented by 科学者より技術者では? at 2009-06-16 00:19 x
北大くらい大きい組織(しかも国立大学)ですと、各セクションでバラバラのWebサービスを展開していてお互い譲る気はまったくないという状況だと推測されます。で、それらを(技術的に)無理やりまとめる&費用対効果無視して過剰なセキュリティ確保責任を要求される&良い意味で独裁的にシステム設計するアーキテクトがいない、という状態であれば「そんな複雑な手続きとハードウェアが必要」となってしまう(で、複雑だとトラブルも増えるしコストも嵩む)のはよくある話だと思います。
こういうのはサイエンスというよりはエンジニアリングだと思いますので、科学者云々という stocihnai 先生のコメント方向性には若干違和感があります。だって北大って一流の科学者がたくさんいますよね、それでもこうなるわけでして…逆に科学者なんて雇用していない民間企業(たとえばコンビニエンスストア)でまっとうな情報基盤を構築運用しているところはいくらでもありますし。
Commented by stochinai at 2009-06-16 07:56
 おっしゃることはその通りだと思いますが、そうなってくると技術者というよりも現場の事務屋さん(行政)の問題なのだと感じています。
Commented by Uri at 2009-06-16 14:26 x
確かに技術屋の問題ではなくて事務方の問題なのでしょうね。だけどそういう時代錯誤のお役所的無駄を自己解決できないでいると、世間の大学に対する風当たりが強くなるとは考えないのでしょうか?正直なところ、この記事を読んで、北大ともあろう大学のIT環境がそもそもそんなに遅れていて、しかも今時ハードウェア依存の理解不能な新システムを検証しているなんて愕然としました。大学補助金に対するプレッシャーがこんなに強い時期によくそんなにのんきでいられるなあ、というのが私の印象です。ちなみに私の勤務大学(そしておそらく北米の主要大学のほとんど)では学内IT環境専門の副学長を置いています。
Commented by stochinai at 2009-06-16 15:24
 「学内IT環境専門の副学長」はこちらでも是非欲しいと思います。また、反論する意図はまったくないのですが、「時代錯誤のお役所的無駄」に関しては実際のところは、「お上」の側から引き継がれているものでして、大学だけが遅れているわけではないのが現状です。日本の「電子政府化」に関する状態は、見方によっては笑い話ですが、私個人としては恐怖を覚えるほどの状況です。住基ネット、パスポート発行、e-Taxなどなどどれをとっても、湯水のごとくに税金をつぎ込んだあげく、「使えない」システムしかできあがっておらず、稼働率もおそらく数%以下です。政府にもIT専門の副総理が必要です。
Commented by ひぐま at 2009-09-04 13:18 x
国内でも他大学では自宅からアクセスすることができますから法的な問題はないと思います。北大のIT環境が遅れてることには私も愕然としました。チップ搭載で一人3役ぐらいこなす便利な職員証など夢のそのまた夢でしょう。なんせ職員証さえない大学ですから。
自宅からのアクセスですが、有給休暇を取らない限り大学には毎日出勤しなければならないと事務官に言われました。北大の話です。もちろん初耳でした。
by stochinai | 2009-06-14 22:54 | 大学・高等教育 | Comments(8)

日の光今朝や鰯のかしらより            蕪村


by stochinai