富士通(株)文教ソリューション事業本部 文教ソリューション統括部 安納 順一 E-mail: annou@soc.ssg.fujitsu.com
1.「認証」がもたらしたもの e-Learningシステムに限らず、多くのIT化されたシステムでは「ログイン(ログオン)」が要求される。ログインとは、利用者の「ユーザーID」と「パスワード」をコンピュータに引き渡すことで、そのシステムの利用者としてふさわしいかどうかを診断するプロセスを指す。このプロセスは「認証」と呼ばれ、多くの場合「ディレクトリサービス」と呼ばれる利用者管理簿をチェックすることで、利用者としての妥当性が診断される。セキュアなシステムを構築するにあたり、「認証」は欠かすことのできないプロセスであるといえる。 「認証」により個人を特定することは、セキュリティ面でのメリットをもたらすだけでなく、他の多くの付加価値を生み出すことができる。ポータルシステムに代表されるように、利用者のプロファイルを保存、管理することで、利用者個別の環境を構築することができる。このことは、従来の、融通の利かない無機質なコンピュータのイメージを一変しただけでなく、今後のITシステムの新たな可能性として注目されつづけている。同様に、e-Learningシステムにおいても、「認証」は利用者チェックの目的だけでなく、履修情報や課題の提示など、利用者に必要な情報の抽出を行うためのトリガーとして利用され、かつレポートやテストの採点結果など、個人情報の蓄積を行うためのキーとしての役割も果たしている。 このように、従来、単なるチェック機構としてのみ機能していた「認証」は、その後のソフトウェアの発達により、「個人情報」または「固有情報」の保護、提示、蓄積と、その利用範囲は拡大している。しかしながら、利用範囲の拡大には決してメリットだけが存在するわけではない。「何をするにも認証が要求される」という、煩雑さをも生み出した。利用者は、認証システムごとに「ユーザーID」と「パスワード」を要求され、入力しなければならない。システムが増えれば、覚えなければならないパスワードも増えるため、忘れないようについメモを残してしまう。さらには、パスワードの変更が面倒であるため、つい同じパスワードを使い続けてしまう。結局、本来セキュアなシステムを維持するための「認証」は、抜け穴だらけのザルと化してしまう可能性が出てきた。 2.「統合認証」への移行 こうした煩雑な認証システムがもたらすものは、言うまでもなく「使われないシステム」である。使われないだけならまだしも、どこの誰だかわからない悪意の第三者に乗っ取られる危険性も秘めている。 認証の煩雑さを解消するための方法として一般的に利用されるのは、「統合認証」と呼ばれるシステムである。「統合認証」の考え方は2種類ある。ひとつは、統合された共通のディレクトリサービスを利用する方法、もうひとつは、複数のディレクトリサービスに散在したユーザーIDとパスワードを同期して統一するという方法だ。前者と後者の大きな違いは、ユーザーIDとパスワードを保管する格納庫が単一か、複数かという点である。後者の場合、1つの格納庫でパスワードが変更されたら別の格納庫のパスワードも同様に変更する必要がある。ただし、これを手動で行うことはナンセンスであり、内部で自動的に同期が行われる必要がある。運用管理コストや同期のリスクを考えた場合、当然ながら格納庫は単一であるにこしたことはない。 統合認証のもっともポピュラーな方式としては、格納庫としてLDAPをサポートしたディレクトリサービスを使用し、認証のみをLDAPで行い、システム固有のユーザー管理簿はローカルに保持するというものである。Campusmate/CourseNavigも例外でなく、OpenLDAPまたはActive Directoryを使用した認証方式をサポートしている。もちろん、自身のデータベースにユーザー情報とパスワードを保持する「ローカル認証」と呼ばれる方式もサポートしている。ローカル認証を使用した場合には、ユーザーIDとパスワードを、他のシステムと同期する必要がある。
2.「統合認証」への移行 こうした煩雑な認証システムがもたらすものは、言うまでもなく「使われないシステム」である。使われないだけならまだしも、どこの誰だかわからない悪意の第三者に乗っ取られる危険性も秘めている。 認証の煩雑さを解消するための方法として一般的に利用されるのは、「統合認証」と呼ばれるシステムである。「統合認証」の考え方は2種類ある。ひとつは、統合された共通のディレクトリサービスを利用する方法、もうひとつは、複数のディレクトリサービスに散在したユーザーIDとパスワードを同期して統一するという方法だ。前者と後者の大きな違いは、ユーザーIDとパスワードを保管する格納庫が単一か、複数かという点である。後者の場合、1つの格納庫でパスワードが変更されたら別の格納庫のパスワードも同様に変更する必要がある。ただし、これを手動で行うことはナンセンスであり、内部で自動的に同期が行われる必要がある。運用管理コストや同期のリスクを考えた場合、当然ながら格納庫は単一であるにこしたことはない。 統合認証のもっともポピュラーな方式としては、格納庫としてLDAPをサポートしたディレクトリサービスを使用し、認証のみをLDAPで行い、システム固有のユーザー管理簿はローカルに保持するというものである。Campusmate/CourseNavigも例外でなく、OpenLDAPまたはActive Directoryを使用した認証方式をサポートしている。もちろん、自身のデータベースにユーザー情報とパスワードを保持する「ローカル認証」と呼ばれる方式もサポートしている。ローカル認証を使用した場合には、ユーザーIDとパスワードを、他のシステムと同期する必要がある。