教育機関における統合ID管理システム

教職員の皆さんがいつも頭を悩ませる問題、それはIDの管理ではないでしょうか。
ID管理が一括で出来たら・・・
そんな風に思った事ありますよね。

今回はそんな便利な「統合ID管理」について見ていこうと思います。

・・・っとその前に、そもそも統合IDシステムってなんでしょうか。

読んで字のごとく「IDを管理する」ですが、それを個々ではなく統合的に管理してしまおうということです。まずは統合IDシステムを見ていくうえで教育機関においてどのようなアカウント(ID)管理が必要で、それについてどのような課題があるのかを整理してみましょう。

[toc]

1.教育機関における「ID管理」の主な特長

まず、学校におけるIT教育の現状を把握してみましょう。

  • 毎年大勢の児童・生徒・学生が卒業、入学します

    毎年多くの児童・生徒・学生が入学しますが、入学直前まで氏名はおろか、人数も完全には把握できませんよね。児童・生徒・学生のITリテラシーはプライベートを含め今までの経験や教育によって培われていますが各個人によってそれらはバラバラなため基準は曖昧です。また近年、外国人の留学など国際化・多様化することで明確な基準もなくITリテラシーは混沌としています。

  • 常駐の専門員が存在しない教育機関が多く存在します

    専任のシステム管理者が1名しかいない、とりあえず詳しそうな若い先生に丸投げしてシステム管理者をしているなど、一人に押し付けた結果、かなりの負担を強いてしまっています。もちろんシステム管理をしている教職員も自分の担当クラス、授業、部活動を受け持っているので多忙であり、ID紛失やパスワード再発行、契約更新の場合であっても緊急対応できない場合があります。

  • Office365やG Suiteの利用率が高まっています

    システムと一口に言っても「校務・教務システム」だけではありません。教育機関向けのサービスを行っているOffice 365やG Suiteは非常に利便性が高いのが特徴です。各サービスは無料で利用できるため予算の限られた教育現場では利用率が急速に高まっています。このためクラウドサービスに対するID管理作業が増えてしまいます。

  • Chromebook端末の需要と購入比率が上昇しています

    単純にIT端末と言ってもPC、タブレット、スマホと様々な形態があります。これらはWindows、macOS/iOS、Android、Chromebookのいずれかになるかと思いますが、いずれの端末の利用を推奨するかを学校で指定されている場合も多いでしょう。学校推奨とは言えども端末は(価格の差こそあれ)基本的に高価なもの。そんな中、「端末価格が比較的安価」、「情報セキュリティポリシーで推奨している端末のハードウェア仕様を満たしている」等の理由によりChromebook端末の購入比率があがっています。これにより、このようなデバイスの学内・校内利用を許可する設定やユーザ毎の管理業務などが増えていくことが予想されます。

2.教育機関における「ID管理」の主なニーズ

前述の「ID管理の主な特長」では現在の教育現場におけるIT環境についてみてきましたが、実際の教育現場ではIT管理者が何を必要としているのかを詳しく見ていきましょう。

  • 児童・生徒・学生に覚えてもらうIDとパスワードのセットは少なくしたい
  • シングルサインオン(SSO)システムを利用したい
  • 複雑なシステムや管理にスキルが必要なシステムは避けたい
  • アクセス場所やアクセス先によっては多要素認証の技術を取り入れたセキュリティ強化を図りたい
  • 管理者不在時でもID発行やパスワード再発行を行いたい
  • 生涯メールアドレスを活用したい

児童・生徒・学生が利用するパスワードがシステム毎に違う場合はパスワード忘れやシステムログインに時間が掛かるなどで授業に支障をきたす恐れがあります。これを避けるため1つのIDとパスワードの入力で各種システムの利用できるようになるのが「シングルサインオン」という仕組みです。この仕組みを利用することで管理が楽になるためニーズが非常に増えています。ですが、1つのIDとパスワードでいろいろなクラウドサービスを利用するのってセキュリティには大丈夫なの?という不安が生じてきますよね。

具体的には

  • IDとパスワードを外部組織のクラウド業者が知り得てしまう可能性がある
  • パスワード漏洩によるリスクを避けるために定期的なパスワード変更を行う必要がある
    (頻繁に行うことで、パスワード忘れが発生する可能性もある)
  • 利用するクラウドサービスによっては、IDとパスワード認証ではセキュリティリスクがある

といったところでしょう。

そのため、シングルサインオン(SSO)システムを導入するとともに、「多要素認証」と呼ばれる技術によるセキュリティを強化することとなります。

多要素認証を説明すると凄く大変なので簡単に言えば「本人確認のための証拠をいろんな方法やユーザーに要求する」といったところです。よく聞く指紋、声紋、虹彩、静脈認証なども多要素認証に利用される要素なので、皆さんの中には知らず知らずに利用している方もいるかもしれませんね。

3.教育機関における「ID管理」の主な「ポイント」

さて、「ID管理の特長」「ID管理のニーズ」について見てきましたが、これらを実際に導入するにはどのような点に注目すればよいのでしょうか。ひとまずリストアップしてみましょう。

  • ディレクトリサービスの選択とID管理システム導入
  • ID管理の範囲・管理対象となるシステムの決定
  • 利用するクラウドサービス毎のID管理方法の決定(シングルサインオン(SSO)や多要素認証利用)
  • 認証システムの冗長化構成を図る
  • ID管理の自動化を行う
  • IDの監査(棚卸し・ログ確認)、ライフサイクル管理を行う

専門用語ばかりで難しくて何が書いてあるかわからないと思った方も多いでしょう。ですが今はそれで問題ありません。便利にするためにそれだけ難しい技術でできたサービスを導入しようとしているのですから。とは言うものの、説明にはある程度噛み砕いて説明が必要になりますのでその辺は少々忍耐強くお読みください。

  • ディレクトリサービスの選択とID管理システム導入

    ディレクトリサービス、つまりネットワーク上にあるデータを識別するための情報(それが何のデータなのか属性や設定など)を記録したり検索したりするサービスですが、複数ある中でどんなサービスを選び、どうやって管理していくのかを考える必要があります。

    管理方法としては主に2つあります。

    • ActiveDirectoryと呼ばれるオンプレミスサーバで管理
    • LDAPと呼ばれる通信で管理するか

    です。この時点で「??」何を書いてあるのか・・・。普通はそうかもしれません。
    どちらも高度な専門知識がいるわけですし。

    できるだけこれらのノウハウを必要としないID管理システムの導入を検討することになります。

  • ID管理の範囲・管理対象となるシステムの決定

    教育機関には校務・教務システム、図書館システム、児童・生徒・学生ポータルシステム、LMS、Office 365、G Suite、外部組織が提供する教育システム(英語教育システムや試験システム)など、多種多様なシステムがあります。また、一部の児童・生徒・学生のみ利用させたいシステムもあります。これらすべてのID管理と統合できることが望ましいのですが、ID管理の専任者が存在しなかったり、システム毎の運用ルールが確定していない場合はすべてのシステムをID統合した際にID管理者の負担が増大してしまう可能性もあります。

    つまり、統合することにはメリットだけでなくデメリットがあるということも念頭に置いておき、ID統合の範囲を決めていくことになります。

  • 利用するクラウドサービス毎のID管理方法の決定(シングルサインオン(SSO)や多要素認証利用)

    Office 365やG Suiteなどのクラウドサービスを利用する場合、セキュリティ対策のため「シングルサインオン(SSO)」と「多要素認証」の同時導入を検討していくことになります。
    これによりセキュリティを確保しつつ煩雑なサービス単位の個別ID管理が不要になり利便性が飛躍的に向上していくことになります。

  • 認証システムの冗長化構成を図る

    クラウドサービスを利用する場合は学内・校内設置のディレクトリサービスとの通信が切断されると認証に失敗して利用できなくなってしまいます。
    このためネットワークやサーバの二重化や学外にディレクトリサービスを配置したりと冗長構成を行っていくことになります。

  • ID管理の自動化を行う

    新入生のユーザ登録は、年度始めに間に合わせる必要があります。新規の1学年分なので少なくとも数十人分。それこそ一日仕事と言っても良いでしょう。とても大変な作業です。
    システムが複数ある場合はそれぞれにシステム利用者用名簿を作成し、担当者レベルで都度都度ではなく一回で自動登録する必要が必要となります。

    もちろんシステムによっては自動化できなかったり自動化のためのコストが発生する場合もありますので注意が必要です。
    さらに、例えば「児童・生徒・学生会役員のみ」など一部の児童・生徒・学生だけ利用させるシステムなどあらかじめユーザー登録できず運用時に設定する必要があるシステムもあります。

    このようなシステム管理者や運用管理者の負担を減らすためにも「ID管理の自動登録機能」があるID管理を行うようにしましょう。

  • IDの監査(棚卸し・ログ確認)、ライフサイクル管理を行う

    IDライフサイクルと管理については下図を参照してください。

    「一度登録したからおしまい」というわけではありません。IDやパスワード忘れもありますし、パスワードの定期変更も必要でしょう。管理者の作業は思いのほか多いことにお気づきかと思います。これらを個別に対応するとなると膨大な時間がかかってしまう点に注意しましょう。

4.ID管理システムに必要な機能

前述のにおける「ID管理のポイント」で述べたような管理をするには具体的にどのような機能が必要になるのでしょうか。個々のシステムによって、または利用シーンや環境によって一概には言えませんが、ある程度一般的な必須機能を見ていきましょう。

  • 上位システムからのユーザ源泉情報の取り込み

    教職員なら人事システム、児童・生徒・学生なら校務・教務システムなどの利用者源泉情報を格納しているシステムから情報を取得し、(必要なら差分の抽出なども)ID管理システムに自動的に取り込める機能です。また、所属している学部や役職・学年などにより、利用者源泉情報以外の利用者属性を自動補完する機能も必要です。

  • ユーザのメンテナンス画面(登録、停止、再開、削除などの機能)

    前記機能でほぼ自動化できますが、緊急時や一時的に手動メンテナンスにて利用するための機能で、自動化で予定されていた場合を除き上位システムとの自動連携とは関係なく個別対応する必要があります。

  • ゲストアカウント作成機能

    学校の行事は年間スケジュールで決まっているとしても部外者のためにアカウントを作成する必要が出てきます。オープンキャンパスや他教育機関との交流会など学内・校内の組織構成員以外の方に対し、一時的に利用範囲を限定したゲストアカウントを用意できる機能が必要になります。ゲストアカウント発行のため、管理者の負担を減らすために専用機器を利用したサービスや簡易操作による発行や有効期限の設定ができるサービスもあります。

  • 自動停止・自動再開・自動削除などの(予約)機能

    例えば卒業などで利用を制限したいID群があった場合に日付を指定してIDの終了日を設定することが必要になります。でないと卒業生が延々とインターネット経由で学内サービスを利用できてしまうからです。このようにIDの終了日(もちろん開始日も)を指定することで管理作業の前倒しが可能となりますし、前述例で言うと卒業生に「3月1日卒業だけど3月31日までは使えます」と案内し猶予期限を設けることで、内部に残ったデータ整理の時間を与えたり臨機応変な対応が可能となります。

    そのほか、パスワード管理機能と組み合わせて脆弱なアカウント(90日を超えてなおパスワード変更を行っていないユーザなど)は停止状態としてIDやシステムの安全生保確保することも必要です。

  • 権限委譲機能

    ユーザ管理の各種機能をすべて一人の管理者が行うとなると管理者の負担が重くなります。

    >具体例では自身を学校内の総合管理者とし、各クラスの担任をサブ管理者として登録しておけば通常の運用時はサブ管理者が児童・生徒・学生のパスワード再発行、ユーザ一括登録の予約など、管理者機能の一部を代行することが可能となりますし、授業中にログインできない児童・生徒・学生に対する緊急対応として、IDのリセットまたは一時アカウントの発行や取得ができるように権限設定することで利便性が向上することになります。

    このようにサブ管理者として別担当者に権限委譲できる機能は規模が大きくなると非常に理に適った運用方法となることを覚えておいてください。

  • パスワード管理機能

    当たり前ですがパスワードは知られないことが肝要です。これは普遍の原理なのはお分かりだと思いますが、意外にも類推されやすいパスワードを長期間利用している人が多くいます。「1234」「password」「qwerty」などはその代表例でしょう。

    パスワードは定期的に変更するものですが、パスフレーズを忘れてはいけません。このような二律背反な面が管理者としては非常に悩ましい問題となります。このような統合的なパスワード管理では以下の機能が必要となります。

    • 利用者のパスワード紛失(忘れ)時に管理者が再発行できる機能
    • 長期間パスワード変更を行っていない利用者に対して督促メールを送信する機能
    • 長期間パスワード変更を行っていない利用者に対してアカウントロックする機能
  • パスワード変更

    前述パスワード管理では管理者介在での対応となりますが、そもそも管理者に頼らず利用者自身がパスワード管理を行う機能が現代のシステムには必須機能となっています。

    • 自分自身のパスワードを変更できる機能
    • パスワードを忘れた時に、自分自身でパスワードを変更できる機能

    これにより管理者の手を煩わせることなく利用者が適切にIDを運用することが可能となります。

  • ユーザプロビジョニング機能

    今まで見てきた必要な機能群の内容は理解できたかと思いますが、では管理者はどうやってそれらを管理していくのでしょう。
    従来の方法では管理者が主導で設定を行うことを前提としているものでした。

    例えば新入生が入学すると管理者が各利用者のアカウント(ID)をオンプレミス(ローカル環境)にて作成しますが、その後クラウドサービスのアカウントを作成(または紐づけ)します。この作業を忘れた場合、学内のデータ閲覧等の利用は可能ですがクラウドシステムにはアクセスできず授業進行の妨げになってしまいます。

    このようなことが無いようユーザープロビジョニングを集中化・自動化し、いちいち管理画面で各ユーザーの個別設定をしなくて済むようにする必要があります。このため下記のような機能が必要となります。

    • ID管理の対象システムの設定
    • ID配布の条件の指定
    • 下位システム毎にユーザ配布方法の指定(CSV,APIなど)
    • 下位システムへのユーザ情報の状態確認と同期化
    • ID配布実行日時の指定(予約など)

5.IT管理者にお勧めする統合ID管理のためのツール

統合ID管理について駆け足で見てきましたが、大まかに言って学校内でIT管理者をされている皆さんのお悩みの多くは「管理業務」です。
学内(ローカル)でのID、クラウドサービスのIDと各パスワード。もちろんこれらを運用する端末に至るまで。これらを解決する策としてご提案したいのが下記のサービスになります。

ID管理には相性の良いツールが多数存在します。下記でご紹介するソリューションとの組み合わせ効果的な運用が可能です。

以上あなたの管理業務でお役に立てると幸いです。

go to CONTACT FORM

お取扱い製品のご案内

PAGE TOP