お客様導入事例

京都大学 原子炉実験所様

メールサービスのセキュリティ確保および統一認証システムにおける安全なパスワード管理

導入サービス:クイック認証SSL

原子炉による実験とそれに関連する研究を行う京都大学原子炉実験所。メールサービスにおいて、メールの送受信経路の暗号化(HTTPS、SMTPS、POP3S)と統一認証システム(シングルサインオン)実施に伴うセキュアなパスワード運用管理(LDAPS、HTTPS)に、弊社のクイック認証SSLを導入されました。

京都大学 原子炉実験所ウェブサイト

インタビュー

京都大学原子炉実験所 学術情報本部 平井 康博様にお伺いいたしました。

京都大学 原子炉実験所について

京都大学の附置研究所かつ全国大学の共同利用研究所として、昭和38年に「原子炉による実験及びこれに関する研究」を行うことを目的に設置されました。教職員(非常勤職員を含む)は約160名、在籍学生は約70名で構成されています。以降、当所では一貫して核エネルギーの利用と中性子等の粒子線・放射線の利用に係わる研究教育の面で相応の役割を果たしてきました。現在も全国から年間延べ約6000人の研究者や学生の利用があります。共同利用研究以外にも、京都大学大学院の協力講座を担当するなど、広く教育にも携わっています。

京都大学 原子炉実験所写真

SSL導入の背景について

メールサービスに関しては、SSL導入前は一部のメールサーバでssh(※1)によるポートフォワーディング(※2)を利用し、それ以外のサーバでは直接外部からPOP3をアクセス許可していました。SMTP に関しては、IPアドレスベースの中継制限のみで、所外からの利用はさせないようにしていました。
SSLの導入を進めた理由ですが、sshポートフォワーディングは一般ユーザーにとってかなり敷居が高いことや、sshを完全に開放するのは少し危険な気がしました。POP over SSL(以下POP3S)やSMTP over SSL(以下SMTPS)だと、メールソフト側の設定も簡単でさほど抵抗なく受け入れてもらえるものと判断しました(実際にすんなり受け入れてもらえています)。

パスワードの管理についてですが、当所ではメールサーバを複数台運用しておりますので、サーバ毎にパスワードファイルを持たせる形式ですと、パスワードの管理が煩雑になりますし、ユーザー側も混乱してしまいます。それを避けるためには、統一認証システム(シングルサインオン(※3))を実現させる必要があります。
シングルサインオンを実現する方法論としてLDAP(※4)とNIS(※5)があります。
NISに関しては既に1部で動いておりましたが、レガシーなシステムでもあり、個人的にはセキュリティ面に疑問が残りました。
一方のLDAPは拡張性があり、通信経路上のSSL暗号化が可能なプロトコルであることを知り、導入しました。

メールサービスの再構築について

SMTPS に関しては、以前はsendmail(※6)で構築していましたが、全所的システムリプレイスの際に、設定が容易なpostfix(※7)に移行することにしました。実際にはまだまだ情報が少ないので、かなり苦労しました。sendmail運用時も現在のpostfix運用時でも、25番ポートと465番ポートの両方をサポートしています。(一旦学術情報メディアセンター提供のウィルスチェックサーバを経由する形で受信していますので、25番ポートについては学内限定のアクセス制限をかけています)。
POP3Sについては、Qpopper(※8)を利用していましたが、より信頼性が高いメールスプール形式であるMaildir方式に対応したDovecot(※9)に移行しました。
学外からのアクセスのために、995番ポート(POP3S)を利用し、110番ポート(POP3)については学内限定のアクセス制限をかけています。 なお、Dovecotの採用によって、IMAPも利用できるようになりました。 IMAPはまだサービスとして提供してはおりませんが、WEBメールとの連携という形での採用を検討中です。

試験運用時は自己署名の証明書を利用していたことが原因で、一部使うことができないメールソフトが存在しましたが、公的な証明書に置き換えると全く警告が表示されることなく快適に動作してくれました。 ただ、グローバルサインのような公的な認証局から発行された正式な証明書をSMTPSおよびPOP3Sで使った場合の運用方法については情報が少なく、多少の試行錯誤をしながら現在の形に落ち着きました。稼動後は大きなトラブルには見舞われず、どうにかこうにか安定運用できています(ささいな設定ミスは日常茶飯事でしたが)。
なお、現在所内で利用されているメールソフトで代表的なものを挙げますと、WindowsではWinbiff、Outlook Express、Eudoraが、MacintoshではEudora、Applemail、Microsoft Office Entourageです。
メジャーなソフトですと、現在のシステムを問題なく利用することが可能です。中にはこちらで提供しているサービスを受けられないメールソフトもわずかながら存在します。その場合には、メールソフトの変更をお願いせざるを得ません。このあたりが大学独自の難しさでもあります。

パスワードの一元管理「LDAPSとWEBインターフェース(HTTPS)の組み合わせ」について

LDAPを利用した統一認証システムを構築するにあたり、ポリシーとしてユーザーIDやパスワードは立派な個人情報であり、伝送経路上は暗号化することが望ましいと考えていました。
LDAP over TLS(以下LDAPS(※10))に関しては直接ユーザー側から見ることができませんが、パスワード変更用のWebインターフェースを用意するのが比較的容易ですので、それを利用してユーザーはHTTPSで安全にパスワードを変更することができます。これによりユーザーに利便性と安心感を与えることができたと思います。
少し補足させていただきますが、LDAPSとHTTPS の組み合わせにより、セキュリティの確保とユーザーの利便性を両立させることができました。
ユーザー側にとっては、敷居の高いコマンドラインを使う必要なく、慣れたブラウザでパスワードを変更できますし、システム管理者サイドからは暗号化した経路でパスワード変更作業を実現できますので、お互いにとってメリットがあります。
一般的に「セキュリティの確保」と「ユーザーの利便性」の両者は相反する性質のもので両立は難しいと言われていますが、ちょっとした工夫で解決する一例ではないかと思います。

なお、パスワードの一元管理については、LDAPを利用したメールサーバのユーザーとWEBサーバのユーザーの統一や、 ApacheとLDAPの連携によってホームページの認証に使用するアカウント/パスワードもメール用のそれと統一する、といった形でも進めています。
後者に関しては、前述したIMAPを利用する新しいWEBメールへのログインに使用する予定です。
現在は試験段階ですが採用となれば、これまではApacheの認証に必要なアカウント/パスワードと、メール用のアカウント/パスワードの両方がなければ利用できなかったWEBメールを、メール用のアカウント/パスワードだけで利用できるようになります。

グローバルサインを採用した経緯について

グローバルサインを採用した経緯についてですが、他社さんの証明書が高価であったことと、証明書発行の際の手続の敷居が低かったことが主な要因です。それに加えて、認証局として10年以上の実績があり、サービス開発からRA業務まで国内でされているという安心感がありました。

注釈

  1. ssh・・・ネットワークを介して安全に他のコンピュータを操作するためのプログラム
  2. sshによるポートフォワーディング(port forwarding)・・・sshで暗号化された情報を他のポートへ転送する機能
  3. シングルサインオン・・・ID、パスワード入力のような認証を必要とする複数のサービスを利用する場合に、1回の認証であらかじめ利用が認められているサービスを全て使うことができる仕組み
  4. LDAP(Lightweight Directory Access Protocol)・・・ネットワーク上で情報を管理しているディレクトリデータベースにアクセスするための通信規格
  5. NIS(Network Information Service)・・・ネットワーク上のサーバ、コンピュータの間で情報を共有するサービス
  6. sendmail・・・電子メールサーバソフトウェア
  7. Postfix・・・電子メールサーバソフトウェア
  8. Qpopper・・・電子メールサーバソフトウェア(POP3サーバ)
  9. Dovecot・・・電子メールサーバソフトウェア(POP3/IMAPサーバ)
  10. LDAPS(LDAP over TLS)・・・LDAPにデータの暗号化機能を付加した通信規格
SSLはグローバルサイン - © 2007-2016 GMO GlobalSign K.K. All rights reserved.