お客様事例

JCANパスを実証実験!!

京都大学
法人番号 3130005005532
サービス JCANパス
利用用途
URL http://www.kyoto-u.ac.jp/ja/

2014年の世界の人気観光都市ランキングで1位となった京都市。「京都どこでもインターネット」事業で設置された「KYOTO Wi-Fi」は設置個所がさらに増え、国内外の観光客への通信環境が充実しています。その京都市に本部を置く京都大学は学部・研究科以外に14の研究所、17の研究センターを設置し、中でも情報環境機構は、学術情報メディアセンターと連携して学内サービスの向上にも取り組み、2012年にICカード学生証を用いて、電子署名とタイムスタンプを付す実証実験を行いました。(JCANパス実証実験)そこで、京都大学 情報環境機構教授 永井 靖浩氏と学術情報メディアセンター 特命准教授古村 隆明氏に概要を伺いました。

(左)情報環境機構 教授・IT企画室 室長 永井 靖浩 氏
(右)学術情報メディアセンター 特命准教授・情報システム開発室 室長 古村 隆明 氏
(特別ゲスト左)S/MIME普及マスコットキャラクター「エスマいぬ」
(特別ゲスト右)国立情報学研究所 情報犬「ビットくん」

まず、実証実験の背景と内容を教えてください。

永井氏-
インターネットを利用する上で、公開鍵および電子証明書を利用したPKI技術は、情報セキュリティリスクを大きく低減します。しかしSSL通信以外、本人認証やS/MIMEなどには十分に活用されていません。この原因は、PKIの効用が利用者に認知されていないことに加えて、コスト(初期&運用)、利用者負担(インストールなど)、運用負荷、キラーサービス提供などが課題と考えています。
京都大学でも2010年度から多要素による本人認証を行うために、プライベートCA局から発行した電子証明書をICカードに格納して約12,000名の教職員に配付して運用しています。規模が大きいために一人あたりのコストは比較的低いのですが、運用負荷が大きく、パブリックCA局でないためS/MIME利用ができないといった課題を抱えています。そこで今回、PKI基盤の将来構想を検討するために、JCANパス(※1)の実証実験をさせて頂きました。

※1 http://jcan.jipdec.or.jp/jcan/sdk_order.html

セキュリティレベルはサービスによって異なると思いますが、貴校でのサービスと実現方法はどのようにお考えでしょうか?

永井氏-
本人認証はアカウントとパスワードを利用したものが殆どです。しかし、セキュリティ強度の低いパスワードや使い回しなどが問題となっています。一方、Webサービスで扱う情報に応じて、セキュリティレベルは異なります。また、情報を扱う利用者(一般、管理者等)や情報の操作内容(閲覧、書き換え等)によってアクセスレベルも異なります。従って、本人認証の強度はセキュリティやアクセスのレベルに応じて変化させるべきです。
京都大学では、高セキュリティなWebサービスは人事・給与、財務会計に係わるものと考え、これらの一部サービス対してICカード(電子証明書)とPINによる多要素認証を導入しています。また、人事・給与および教務情報システムにアクセスする管理者にも同様な認証の仕組みを適用しています。

では、JCANパスの操作・運用およびシステムについて教えてください。

古村氏-
JCANパスのポイントは、電子証明書・秘密鍵ペアをカードに格納するのではなく、証明書サーバに格納して必要時にクライアントPCへダウンロードするというものです。電子証明書・秘密鍵ペアを取得する行為を、必要なタイミングで繰り返すことと解釈しています。セキュアな環境下での操作・運用が担保できれば、従来の方式に比べて、利用者や管理者の運用メリットは大きいと思います。
JCANパスの導入判断のポイントは、メモリカードから本人認証およびその操作を行う権限を高セキュアで合理的に行うことだと思います。今後の改善も含めて、十分に実用化できるレベルです。

JCAN証明書を利用するメリットや期待できる効果を教えてください。

古村氏-
第1に、プライベートCAでは大規模ユーザを想定しないとコストを抑えられませんが、JCANパスではクラウド的なビジネスモデルにより、パブリックCAの電子証明書に比べて安価になります。また、ICカード自体に電子証明書を保存しないことから、安価なカードの利用が可能になります。
第2に、管理側の運用負荷には大きなメリットがあります。京都大学で行なっている電子証明書をICカードという電子媒体に格納する方式では耐タンパー性が非常に高いものの、有効期限が短い場合や個人番号などの変更に伴い電子証明書を変更する場合などに、ICカードを作りなおすということが要求されていました。JCANパスでは、耐タンパー性を犠牲にしますが、ICカードと電子証明書を独立に管理・運用できるので、従来方式の運用負荷を著しく低減できます。つまり、厳格なPKIから”普及版PKI”への発想の転換だと思います。
第3に、サービスの観点からもメリットがあります。プライベートCA局は学内限定サービスであれば全く問題ありません。しかし、研究ノートやe-Portfolioなどでは教育研究の倫理やコンプライアンスの観点から、暗号化、デジタル署名、タイムスタンプなどの技術的な対策が、学内外・広範囲で今後要求されます。パブリックCA局から発行されたJCANパスは学内に閉じないグローバルな利用に有効と考えています。

普及段階では課題も多いと思いますが、今後に期待していることを教えてください。

永井氏-
公的個人認証などは約10年前に導入されましたが、セキュアなインターネットサービスのツールとして殆ど認知されていない状況です。また、同じような観点から、u-PKIやh-PKIなどが検討されてきましたが、実用レベルに至っていません。今回の取り組みは、”厳格なPKI利用”から”普及できるPKI利用”への発想の転換だと考えています。京都大学でもこの新しいスキームに対して、その適用可能性を考えてゆきます。
技術的な課題の解決やスキームの見直しに加えて、PKIの課題として、サービス展開シナリオがあります。公的個人認証など行政サービスでの利用は大切ですが、日常で使うインターネットサービスへのPKI適用が非常に重要だと考えています。特に、ECや金融系サービスでのPKI適用は民需分野での突破口です。今後のマイナンバーやマイナンバーICカードをトリガーとし、PKI環境が整備され、セキュアなインターネットサービスが、日本全体に普及することを期待しています。

古村先生はいかがでしょうか?

古村氏-
S/MIMEでの暗号化メールの普及にも期待しています。S/MIMEはPKI証明書の特徴を生かして電子署名や暗号化を行いますが、一般の方にはその仕組みは解りづらいものになっていると思います。有効期限の切れた電子証明書とその秘密鍵ペアは新しいメールを書くときには利用できないですが、それを消してしまうと、過去に受けた暗号化メールを復号できなくなってしまいます。このような事故を防ぐためにも、JCANパスのようなサーバで証明書を管理する仕組みは有効に機能すると思います。

(2015年3月)

ページの先頭へ戻る