強靭なセキュリティと利便性確保のバランス

2022年度はコロナ禍も少しずつ収束に向かい,後期からは対面形式の授業が原則となりました。しかし,現状かなりの数の授業がオンデマンド形式で継続して行われており,会議や学会等においてもオンラインあるいはハイブリット形式が完全に定着しております。安定的な情報基盤の重要性やこれに対する皆様の期待は,依然として高いままです。

本学のキャンパス情報ネットワーク「MAINS」の信頼性やセキュリティは,これまでも十分に強力なものでしたが,2022年度はセキュリティ面において更にもう一つ上の次元に引き上げるべく,以下の2点に関して重点的にシステム設計・開発・導入を行いました。

一つ目は,研究用電子メールシステム(以下,研究メール)と事務用電子メールシステム(以下,事務メール)の完全統合です。統合の狙いは,電子メールシステムへの多要素認証の必須化です。様々な大学において電子メールシステムを通じたシステムへの不正侵入や個人情報の漏洩が多数報告されており,深刻な問題となっております。本学では,2021年度にクラウドベースの事務メールにおいてスマホ・電話認証(多要素認証)を導入・必須化しました。一方で,後方互換性のために汎用メールサーバーソフトウェアを利用していた研究メールへのスマホ・電話認証の導入は,当センターで様々な検討を行った結果,現状の可用性を残したままでは不可能との結論に達しました。そこで,研究メールのメリットを極力残しつつ,これを既にセキュアな事務メールへ統合する方針に転換することで,電子メールシステムにおける懸念を解消するに至りました。研究メールと事務メールを完全に独立した状態で運用,あるいは使い慣れたメールクライアントを使われていた一部の教員の皆様に置かれましては,利便性を損なう結果となってしまい,ご迷惑をおかけしたことをお詫びいたします。なお,掲示に添付させていただいたマニュアル等では,メールクライアント内で研究メールと事務メールを分けて扱う設定例などもご紹介させていただいておりますので,是非ご参考にしていただければ幸いです。

二つ目は無線LAN接続に対するIEEE802.1X認証の必須化です。接続場所が限定される有線LAN接続に対して,無線LAN接続は場所を選ばずMAINSに接続できてしまうため,有線LAN接続以上にセキュアなものでなくてはなりません。これまで本学の無線LAN接続は,後方互換性を重視したMAINS-2G/5Gと厳格認証であるIEEE802.1X認証を用いたMAINS-X,同じくIEEE802.1X認証を用いる学外者向けのeduroamがそれぞれ運用されていましたが,2022年度末の無線アクセスポイントの更新に伴い,MAINS-2G/5G を用いていたエリアを全てMAINS-Xに置き換えました。これにより,本学の無線LANアクセスポイントはセキュア・安定・高速・広範囲でシームレスな接続を可能とするMAINS-Xとeduroamの2つのみになりました。なお,IEEE802.1X認証方式に対応していない無線LAN接続機能を有した機器をお持ちで,かつそれがMAINSに接続できないことで教育・研究に重大な影響を及ぼしている場合は,当センターまで遠慮なくご相談いただけますと幸いです。くれぐれもMAINSで固く禁止されております無許可の独自無線アクセスポイント(ルーターを含む)の設置は,重大なセキュリティリスクならびにネットワーク障害の原因となるため,お止めくださいますようお願いいたします。

上記2つのアクションにより,本学キャンパス情報ネットワークMAINSが十分な利便性を確保しつつも,現時点で考えられる最高水準のセキュリティを確保できたと考えております。更に2022年度は,MAINSの中央スイッチを除く足回りの更新も行っております。一つ目は,各フロアまでの10Gbps接続(更新前は1Gbpsで10倍高速になりました)とそれに伴う全構内光配線網のシングルモード光ファイバーへの交換です。これによりオンライン会議など,ネットワーク遅延に対する要求が厳しくなっている中,十分な通信スループットを実現できたと考えております。二つ目は,主に研究棟の無線アクセスポイントの更新です。現在時点で最新のWi-Fi規格であるWi-Fi 6(IEEE 802.11ax)を導入するとともに,電波強度を計画的に調査し,廊下に十分な台数の無線アクセスポイントを設置いたしました。これによりキャンパス内のほぼ全てのエリアで無線LAN接続が可能となったと考えております。

2022年度における当センターの取り組みの一部を,以下で簡単に報告させていただきます。

情報基盤システム関連

認証基盤システム関連
  • 長期間未利用のAzureゲストアカウントの棚卸と削除
    Microsoft Azureゲストアカウントの作成は大歓迎ですが,不必要になったアカウントが大量に放置されておりました。現在は6か月間アクセスされていないアカウントを自動削除しています。
  • 学科や新身分(類長, 副類長, 学科長, 副学科長)の新設による統一DB等の改修
    年度初めには当センターにこれらの情報の詳細が伝えられておらず,混乱したことをお詫びします。
  • 学生向けパスワード再発行システムの改修
  • AIP利用のためにOffice 365 A5ライセンス付与範囲の整理と拡大
    研究員など非常勤の方々までOffice 365ライセンスの適用範囲を拡大しました。
  • オフィス文書へのAIPデフォルト適用(サイバーセキュリティセンターと共同)
    事務職員など本学の一般職員が作成するWordやExcelといったオフィス文書には,既定で学内限定の制限がかかるように設定しました。万一,外部からの攻撃やノートPCを紛失した場合においても情報漏洩を防止することが可能となりました。
事務システム関連
  • 新ワークフロー(コラボフロー)における会計系帳票の開発と完全移行
    物件・旅行簿・謝金・予算利用権限などの会計系帳票を新ワークフローシステムであるコラボフロー上で新たに設計・開発し,新規申請段階で収支参照システムへ即時登録されるなどの新機能の実装も同時に行いました。
  • 換金性の高い物品を物品管理システムで管理するためのシステム改修
    懸案事項であった“換金性の高い物品”を,物品管理システムで管理できるようになりました。
  • 人件費計算のための収支参照システムの改修
教育システム関連
  • Moodle 4.0 サーバーの更新
    定期的なアップデートです。1世代前のMoodle 3.8にもアクセス可能です。
新規開発システム関連
  • 学生健康診断システムの構築
    Power Automateを用いた健診結果の全自動配信システムを新たに開発しました。検査当日の流れを円滑に行うため,ICカード(学生証)を認証起点とするシステム群も独自開発しました。
  • BLEビーコンとICカードによる入退館記録を用いた職員勤怠管理システムの開発

キャンパス情報ネットワーク(MAINS)関連

  • エッジスイッチの高速化,無線アクセスポイント・構内光配線網の更新(既出)
  • セキュリティ向上とスループット高速化を目的としたWeb認証サービスの終了
  • 対外接続スイッチのリプレイス
  • 学外メール転送禁止に伴う関連システムの改修
  • ウェブサイトホスティングサービスの脆弱性調査および長期間未使用のサイトの棚卸調査
    今年度の早い時期に,使われていないサイトやドメインの削除を行う予定です。

利用者サポート関連

  • 様々なマニュアルやFAQの作成ならびに更新
    研究メールの廃止やMAINSリプレイス,AIPのデフォルト適用などの変更に対し,随時マニュアルやウェブページ,FAQの作成や更新を行っております。当センターウェブサイトの右上の検索窓をご活用いただき,必要な情報にアクセスしてください。
  • ITサポート窓口体制の充実
    ただし,ITサポート窓口を訪ねる前に,まずは各自でのマニュアルや関連ウェブページの確認や,センターウェブサイトのお問い合わせウェブフォームの利用をご検討ください。

サイバーセキュリティ関連

サイバーセキュリティセンターから追って報告があるため詳述しませんが,両センターのスタッフはほぼ共通です。しかし,近年はサイバーセキュリティセンターの業務が激増し,情報基盤センターの業務を圧迫している状況はご理解ください。

「デジタル・トランスフォーメーション(DX)」という言葉を毎日のように耳にしますが,そのほとんどはトランスフォーメーション(改革)ではなく,単なるデジタイゼーション(Digitization:情報のデジタル化),あるいはデジタライゼーション(Digitalization:業務プロセスのデジタル化)に留まっているのが実情です。これらは“なんちゃってDX”や“手段(Digital)の目的化”と呼ばれています。情報基盤センターでは16年前から,情報基盤システムというプラットフォームに「エコシステム」としての側面があることを強く意識し,その名の下に電子ワークフローの導入やICカードによる学生出欠管理システムを始めとする様々なシステムを開発,矢継ぎ早に投入して参りました。特筆すべきは,これらは単なる情報のデジタル化ではなく,事前のデータや業務プロセスの整理,既にあるデータの横展開(再利用)を行うことは素より,得られたデータの本学の教育・研究・経営戦略的視点での二次利用も睨んだ上でのシステム設計・開発を行っている点にあります。その一つの好事例に,2022年度に新規開発した職員勤怠管理システムがあります。これは別の目的で導入していたBLEビーコンとICカード入退館管理システムの組み合わせから得られるデータを応用(二次利用)したシステムとなっており,こうした組み合わせや可能性は無限大です。また,2023年度に運用開始予定の学生健康診断システムもまさに従来の業務プロセスを一新し,所掌部局の作業コストを大幅に削減する,正に“トランスフォーメーション(改革)”というラベルを冠するに相応しいシステムとなっております。

本学の情報基盤システムは,Azure Active Directory・OpenAM・OpenID Connectなどで構成される認証系や統一DBを起点とした精度の高い個人属性を提供可能な認可系,Microsoft AuthenticatorやICカードによる多要素認証デバイスに加え,Hyper-Vによる柔軟な仮想サーバー基盤やPower Automate,Power AppsなどのSaaS系など,真のDXを行うために必要な環境やツール群が既に整っております。我々は本学のDXを下支えすることは可能ですが,DX推進の主役はあくまで事務職員の皆様であると考えております。情報基盤システムをフル活用したDXやそのためのご提案を心待ちにしております。

最後に,本学構成員の皆様への再度のお願いです。研究室内でMAINSに無線アクセスポイント・ルーターを許可なく接続することは,本学の重大なセキュリティリスクでありネットワーク障害の原因となります。絶対にこれらのネットワーク機器を許可なく接続しないよう重ねてお願いいたします。また,周りにそのような人がいましたら,一言アドバイスをお願いいたします。なお,無線LAN電波帯域の有効利用のためにも,購入時に標準で無線アクセスポイントとなり得るネットワーク対応プリンターについても,設定で当該機能をオフにしていただくよう,ご協力をお願いいたします。


情報基盤センター長 松尾 啓志
令和5年4月