情報環境機構について
コンテンツ
- ホーム
- 情報環境機構について
- 参考資料
- kuins_news
- KUINS ニュース 67
KUINS ニュース 67
目次
- 平成21年度第2回KUINS利用講習会の報告
- 情報セキュリティ講習会の報告
- 第5回京都大学情報環境機構KUINS利用負担金検討委員会報告
- 無線LAN基地局に関するお知らせ
- 京都大学東京オフィスの開所報告
- 全学認証基盤の構築 ~シングルサインオンシステムとIC学生証・IC職員証~
- 国立情報学研究所(NII)による証明書自動発行検証プロジェクトについて
- 京都大学全学情報システム利用規則等の策定について
- 平成21年度のKUINS機器更新について
- SPAMメール学外への転送について
- 新しいメールサーバの構成について
- KUINS 会議日誌
- お知らせ
KUINS news 67 [2009.11.30]
表紙写真:京都大学東京オフィスの開所記念イベントの様子(左)と東京オフィスにおける京都大学春秋講義の様子(右)
平成21年度第2回KUINS利用講習会の報告
平成21年10月9日(金),主に新入教職員を対象としたKUINS利用講習会を開催しました. 講習内容は,学術情報ネットワーク(KUINS)の概要,サービス内容,KUINS利用申請方法及び無線LANについてです. 今回の参加者は16名でした.
情報セキュリティ講習会の報告
情報環境部 情報基盤課
情報セキュリティ対策室
情報セキュリティ対策室では,全学情報セキュリティ委員会のもと,10月9日(金)に「情報セキュリティ講習会(入門)」 を開催しました.本講習会は教職員,学生を対象として,情報セキュリティの基本的知識を得ていただくためのもので, 参加者は32名でした.講習会は吉田地区で実施しましたが,遠隔会議システムを利用して,桂地区,宇治地区, 熊取地区,犬山地区にも配信しました.
第5回京都大学情報環境機構KUINS利用負担金検討委員会報告
平成21年10月14日(水),医学部大会議室においてKUINS利用負担金検討委員会が開催されました. 本委員会は,KUINS利用負担金規程を審議することが主な目的ですが,予算や運用方針の審議, KUINSの現状報告なども行われます.
例年と同じく,KUINSの接続状況や今後展開するプランの説明,ネットワークサービスの実施状況が行われました. また,KUINSが京都大学全学情報システムに指定されたこともあり,今回はその報告がなされました. 最後に負担金額についての審議が行われ,今後も現在と同じく,一月当たりKUINS-IIアドレス1,500円, KUINS-III情報コンセント300円お支払い頂くことが認められました.
無線LAN基地局に関するお知らせ
KUINSニュースNo.66以降に追加されました無線LAN基地局についてお知らせいたします.
今回は,京都大学東京オフィス,工学研究科流域圏総合環境質研究センター(事務室),文学部本館(第2演習室(211号室)) ,時計台記念館(1階事務室,会議室II,会議室IV,大ホール2階,地下コンベンションオフィス), 学術情報メディアセンター南館(地下~3階),理学部6号館(2階),経済研究所(本館1階,北館1階), インフォメーションセンター,農学部総合館(1階,2階及び3階の一部),附属図書館(3階AVホール), 宇治おうばくプラザ(2階カフェ,各セミナー室等)に設置しました
今回は,東京オフィス及び宇治おうばくプラザの2箇所が新たにオープンしましましたので,簡単に報告させていただきます. 東京オフィスでの設置状況に関しましては,本号別記事「 京都大学東京オフィスの開所報告」にありますので, そちらを御参照下さい.宇治おうばくプラザに関しましては,10月23日(金)に開所しました.利用箇所としましては, 1階各セミナー室,1階ホール内,2階カフェでの利用が可能です.こちらに関しましても他の設置箇所同様, みあこネット及びeduroamでの利用となります.両施設へお寄りの節は,是非御利用下さい.
一連の作業は,全学インセンティブ経費 アクセスネットワークによる設置の一環として実施しております. 現在,無線LAN基地局の設置を先行実施中です.講義室や会議室等,公共性の高い空間への設置を進めておりますので, 部局担当者様からの御相談・お問い合わせをお待ちしております.お問い合わせはq-a@kuins.kyoto-u.ac.jpまでお願いいたします. (件名に【無線LAN基地局設置】と御記入いただけますと幸いです.)
今回KUINS側で設置しました場所以外に部局で追加設置される際,部局で購入された無線LAN基地局がKUINS仕様であり, 部局としての要望がありましたら,その基地局をKUINS管理に移管することが可能です.現在KUINSで導入している 無線LAN基地局はAT-TQ2403です.御検討されている場合は,q-a@kuins.kyoto-u.ac.jpまで御連絡下さい.
(iPhone及びiPod Touchユーザの方々へのお知らせ)
KUINSニュース No.66でお知らせしました「iPhone OS 3.0でのみあこネット接続不具合」の件ですが,
KUINS側の設定変更とiPhone OS 3.1.1へのバージョンアップにより,9月10日に解消したことを確認いたしました.
現在のOSバージョンは3.1.2ですが,みあこネットの利用に関しては問題は発生しておりません.
これに伴いマニュアルを修正しましたので,こちらも御参照下さい.なお,eduroamに関しては,
iPhone及びiPod Touchで問題なく利用可能であることを付け加えさせていただきます.
京都大学東京オフィスの開所報告
東京地区における情報の収集及び発信の拠点として「京都大学東京オフィス」が平成21年9月11日(金)に開設されました. このオフィスでは,吉田,宇治,桂等と同じように有線でKUINSが使用できるようになっています. また,無線LANも整備していますので,百周年時計台記念館などと同じように,みあこネットまたはeduroamにアクセスして, VPN接続(PPTPあるいはSSHポートフォワード)により附属図書館がサービスしている電子ジャーナル等の利用が可能となっています. オフィス内にはネットワーク利用マニュアルも置いてありますので,ご活用下さい.
全学認証基盤の構築 ~シングルサインオンシステムとIC学生証・IC職員証~
情報環境機構
認証システム運用委員会
京都大学で導入を進めている認証基盤システムの紹介記事を連載していきます.第二回目の今回は, シングルサインオンシステムと,IC学生証・IC職員証について紹介します.
シングルサインオンシステム
シングルサインオン(SSO)システムとは,複数のWebシステムへのログイン手続を集約する認証サービスで,
利用者は SSO システムに対して一度ログイン手続を行えば,個別のWebシステムへのログイン手続を
行うことなくサービスを利用できるようになります.利用者は,個々のシステムごとに異なるIDや
パスワードを覚えなくても,SSOシステム用のIDとパスワードだけを利用すれば良く,利便性が向上します.
本学では,学生と教職員は利用するサービスが大きく異なるため,SSOも学生系と教職員系を別システムとして構築しました.
学生系SSOシステムとしてHP社製の IceWallを導入し,教務情報システムの KULASIS, 教育用コンピュータシステムのメールサービス,図書館機構のオンラインサービス MyKULINE の三つを, ECS-ID で利用できるように収容しました.
教職員系SSOとしてIBM社製の Tivoli Access Manager を導入し, ポータルページとしてグループウェアを中心に置き,メールシステム,研究者総覧,給与明細, セキュリティ e-Learning システム,KUINS の各種手続などの様々なサービスを SPS-ID で利用できるようにしました.
教職員系SSOとしてIBM社製の Tivoli Access Manager を導入し,ポータルページとしてグループウェアを中心に置き, メールシステム,研究者総覧,給与明細,セキュリティ e-Learning システム,KUINS の各種手続などの 様々なサービスを SPS-ID で利用できるようにしました.
利用している両 SSO システムは,リバースプロキシ型と呼ばれる方式で,図1 に示すように, SSOシステムが各種システムへのログイン処理を代行しています.この方式では,SSO 対象のシステムとの 通信が全てSSO システム内を通過するために,負荷が集中しやすいという課題があります.
図1:リバースプロキシ型SSOシステムの動作
そこで,高負荷への対応を考慮し,負荷の集中が起き難く,認証システムとアプリケーション間が緩い連携でも SSOを実現することが容易な Security Assertion Markup Language (SAML) によるSSO環境を2008年度に 基盤コンピュータシステム上に構築して試験運用を行なっています.SAML では,認証サービスを提供する Identity Provider (IdP) と,SSO の対象となる複数のサービス Service Provider (SP) とが分離されており, その両者で認証の情報を XML で交換します.既存のWebシステムは,プラグイン等を導入してSPとして動作させる ことになります.SP では,SSO に利用する ID やパスワードを直接扱う必要がなく,HTTPリダイレクトを利用して 認証処理をIdPに依頼し,認証が成功したかどうかをXMLで受け取ることができます.このため,リバースプロキシ型に比べて, 認証サーバと各種Webシステム間での連携を緩くでき,SSO 連携のための作業が容易になるので,より多くの WebシステムをSSOで利用できるようになると期待しています.また,SAMLでは学外システムとの連携も容易に実現できます.
図2:SAML仕様に準拠したSSOシステムの動作
IC学生証・IC職員証
IDの集約やSSOシステムの導入で利便性は大幅に向上する反面,セキュリティリスクが増大します.
そのため,セキュアなサービスのために認証機能の強化を図る必要がでてきます.具体的には,
一部の教職員サービスに対して,IDとパスワードだけでなく,ICカードや電子証明書による多要素認証を適用することにしました.
2010年度に,従来の磁気ストライプを有した学生証と職員証を一斉にICカード型に交換し, 高セキュリティなサービスに対応するとともに,利便性向上も図ります. IC学生証は FeliCa FCF (FeliCa Common-use Format の略) タイプの非接触型ICカードを, IC職員証には FeliCa FCF と電子証明書を格納できるハイブリッドICカードを採用します.
図3:IC学生証とIC職員証
非接触ICカード機能は,建物入退出管理,証明書自動発行機やプリンタ,コピー機などでの出力制限, 講義等での出欠確認,大学生協と連携した電子マネー等に利用できるようよう準備を進めています.
IC職員証に格納する電子証明書は,2008年度に構築したインソースの京都大学PKIプライベート認証局から 発行します.ICカードに格納した電子証明書は,Webシステムでの認証や,VPN接続時の認証にも利用する計画です. Webシステムの認証では特に,教職員のグループウェアに収容する高セキュリティサービスとの連携を重視しており, 通常のサービスの利用時はIDとパスワードで認証可能とし,より安全性が重視されるサービスを利用する場合にのみ 電子証明書を用いた認証が要求される,といった動作を検討しています.
国立情報学研究所(NII)による証明書自動発行検証プロジェクトについて
KUINS ニュース No.66でお伝えした通り,国立情報学研究所(NII)が「UPKIオープンドメイン証明書自動発行検証 プロジェクト」を開始しています.旧プロジェクトである「サーバ証明書発行・導入における啓発・ 評価研究プロジェクト」に比べて,様々な点でサービスが向上しています.
携帯電話からのアクセスにも広く対応できる証明書になりました.2006年6月以降に日本で発売された 2048bit RSA 鍵のルート証明書を検証できる携帯電話からのアクセスに対応できます. 動作確認がとれている機種の情報はこちらを参照して下さい.
従来使用できなかった一部の文字列を,O属性やOU属性に利用できるようになりました.使用できる文字は以下の通りです.
| 属性名 | 利用可能な文字 |
|---|---|
| O OU |
半角英数字,空白「 」,アポストロフィ「'」,括弧「()」,カンマ「,」,ハイフン「-」, ピリオド「.」,スラッシュ「/」,コロン「:」,イコール「=」 |
| CN | 半角英数字,ピリオド「.」,ハイフン「-」 |
なお,旧プロジェクトで発行されたサーバ証明書は2009年10月末に失効処理が行われました. もし,古いサーバ証明書をまだ利用されている場合は,早急に本プロジェクトでサーバ証明書の発行申請を行なって下さい.
・証明書申請ページ
・証明書申請ページ(京都大学ポータルサイト経由でアクセス) (SPS-IDが必要です)
※2011年5月25日 追記
KUINS接続機器登録データベースの更新により、 証明書申請ページ のURLが変更になりました.
なお, 証明書申請ページ(京都大学ポータルサイト経由でアクセス) については変更ありません.
京都大学全学情報システム利用規則等の策定について
情報環境部 情報基盤課
情報セキュリティ対策室
KUINSニュース No.66の「全学情報システムとして指定したシステムについて」 で 全学情報システムの利用規程を策定中とお知らせしていましたが, 全学情報セキュリティ幹事会の小委員会において京都大学全学情報システム利用規程案 及び京都大学情報セキュリティポリシー実施手順書(標準版)案を作成しました. それに対し10月15日(木)開催の全学情報セキュリティ幹事会で意見交換を行った後, 学内から意見を募集し,皆様から御意見を頂きました.御意見,ありがとうございました. 御意見を受けた改正案の「全学情報システム利用規則案」を11月13日の全学情報セキュリティ委員会で 意見交換いたしました.再度意見を募集し,全学情報セキュリティ幹事会(12月前半)で再修正案の説明 と意見聴取後,全学情報セキュリティ委員会(12月後半以降)に諮る予定です. 改正案は「京都大学全学情報システム利用規則の制定について」へ掲載しております.
なお,情報セキュリティ対策を実施していただくため,情報セキュリティポリシー実施手順書 (以下「実施手順書」という.)(標準版)を作成しましたので,ご参考のうえ各部局の実情に応じた 実施手順書を策定していただきますようお願いいたします.なお,情報の格付け及び取扱い手順書についても 各部局の実情に応じて各職員に判り易く策定していただきますようお願いいたします. 情報セキュリティポリシー実施手順書(標準版)は,情報セキュリティ対策室Webページの規程集にあります. ご利用ください.
平成21年度のKUINS機器更新について
KUINSニュースNo.65,No.66にてお知らせしていましたKUINS機器の更新を次の日程にて 実施する事になりましたので,御報告します.
更新実施日程: 平成21年11月4日~3月5日(予定)
更新は,北部構内,吉田南構内,医学部構内,薬学部構内,犬山地区,宇治構内,熊取地区,
病院構内と順次実施していきます.ただし,部局の都合やネットワーク構成の都合により変更
される可能性もありますので,ご了承下さい.なお,更新対象スイッチに設定されている
VLAN管理責任者・連絡担当者の皆様には,別途更新実施連絡をします.
「KUINS接続機器登録データベース」のメールアドレス登録情報をもとに連絡しますので,
もれなく登録していただきますよう御願いします. 更新期間中は利用者の皆様にご迷惑をおかけすると思いますが,
ご協力をよろしく御願いします.
SPAMメール学外への転送について
情報環境部 情報基盤課
情報セキュリティ対策室
最近,本学の多くのメールサーバが国内外のサーバから受信を拒否される現象を観測するようになり, また,これが原因と思われる配送遅延の苦情も寄せられるようになりました. その最大の原因は以下の二つと推定されます.
1. 本学のメールサーバに届いたメールを全て,サービスプロバイダや他組織へ転送している.
2. 実在しないユーザに届いたメールについて,エラーを通知している (bounce mail).
1についてですが,本学に届くメールの90%はspamメールとなっています.個人差はあると思いますが, 全てを転送すれば,spam送信と同一に扱われることになります.また,2については, bounce mailを悪用したspam送信も頻繁に行われていますので,少なくともspamメールをbounce mailとしないことが望まれます.
現在は,部局の送信サーバのIPアドレスがspam中継サイトとして,さまざまなブラックリストに登録され始めています. このまま放置しますと,国内某大学で発生したように,京都大学全体のIPアドレスがブラックリストに登録されることもあり得ます.
今後,受信拒否を受け続けているメールサーバについては,サーバの運用等についてお問い合わせをさせていただきますので, ご協力をよろしくお願い致します.
新しいメールサーバの構成について
KUINSが運用しているメール中継サーバ機器を,平成21年6月末に変更しました. 図1に変更前,図2に変更後の構成を示します(図では,変更のあった箇所を赤色の背景にしています).
図1: 変更前の構成図
図2: 変更後の構成図
変更理由と変更内容は,以下の通りです.一般に,学外から学内へのメールを受信する受信用サーバの方が, 学内から学外向けのメールを中継する送信用サーバよりも,大量のメールを処理するため負荷が高くなります. ところが,これまでは送信用メール中継サーバの方に,より性能の高いハードウエアが使われていました. 今回の変更では,受信用サーバと送信用サーバを交換しました.また,これに伴い, 受信用メールサーバが統一されましたので,図1にありましたimls-1eとimls-2eが不要になりました
なお,今回の変更では,SPAM判定されたメールに対する扱いは変わっておりません. すなわち,以下のような扱いになっています.
・SPAM判定された全てのメールに対して,無条件に「X-Kuins-Spam」というヘッダを追加します.
(KUINSニュース No.58参照).
・希望する場合は,SPAM判定されたメールに対して,Subject(件名)行に「K-Spam」という文字を追加します.
ただし,ドメイン単位での申請のみ受け付けます.(KUINSニュース No.53参照).
また,変更前は,メーカが提供するメールサーバの信用度に基くSPAM判定を,図1のSCM3300で実施しておりましたが, 今回の変更に伴い,その方式は使わなくなりました.
KUINS 会議日誌
平成21年8月31日~平成21年11月29日
情報環境機構 KUINS 運用委員会
平成21年9月7日(平成21年度 第5回)
・KUINSニュースの発行について
・KUINS接続機器登録データベースの改修についての提案
・平成21年度KUINS予算について
・平成21年度概算要求+アクションプラン調達について
・kyoto-uドメイン申請
・遠隔地設置YAMAHAルータの脆弱性対応について
・KUINS無線LANアクセスポイントの状況報告
・KUINS状況報告
・その他
平成21年10月7日(平成21年度 第6回)
・KUINSニュースの発行について
・KUINS接続機器登録データベースの改修についての提案
・平成20年度決算及び平成21年度予算について
・学術情報ネットワーク(KUINS) の高速化の展開について
・負担金検討委員会開催について
・kyoto-uドメイン申請
・KUINS無線LANアクセスポイントの設置希望調査について
・KUINS無線LANアクセスポイントの状況報告
・KUINS状況報告
・京都大学全学情報システム利用規程について
・その他
平成21年11月9日(平成21年度 第7回)
・次期中期計画におけるアクションプラン事業計画提出について
・KUINSニュースの発行について
・学術情報ネットワーク(KUINS)の高速化の展開について
・KUINS負担金検討委員会報告
・KUINS無線LANアクセスポイントの設置希望調査
・KUINS無線LANアクセスポイントの状況報告
・KUINS状況報告
・その他
お知らせ
KUINSニュースへの寄稿を歓迎します.詳細は kuins-news@kuins.kyoto-u.ac.jp または下記までお問い合わせください.
問い合わせ先
情報環境部 情報基盤課 ネットワーク・遠隔講義支援グループ(075-753-7841, 7432)
