国立情報学研究所委託事業
最先端学術情報基盤の構築に関する研究開発と調査
寺西 裕一・岡村 真吾・野崎 一徳・坂根 栄作・馬場 健一・下條 真司
(応用情報システム研究部門)
長谷川 剛・中野 博隆
(先端ネットワーク環境研究部門)
(応用情報システム研究部門)
長谷川 剛・中野 博隆
(先端ネットワーク環境研究部門)
1. はじめに
大阪大学サイバーメディアセンターを含む7大学の情報基盤センターと国立情報学研究所は、我が国の最先端学術情報基盤を整備するため、サイバー・サイエンス・インフラストラクチャー(CSI)の構築を進めている。これまでに、学術情報ネットワーク Super SINET/SINET環境の整備、最先端研究教育用大規模計算環境を実現するための「超高速コンピュータ網形成プロジェクト(National Research Grid Initiative:NAREGI)」による基盤ソフトウェア開発等が行なわれてきた。このCSI構築の一環として、サイバーメディアセンターでは、本年度、国立情報学研究所より「最先端学術情報基盤の構築に関する研究開発と調査」委託事業を受託している。本事業の目的は、CSI構築を推進するため、以下に掲げる事項を実施することにある。
(1) 学術情報ネットワークの高度化・拡充と運用強化今年度はこの委託事業の初年度にあたり、主に上記のうち (1)、(2)、(3)についての各種設備、(7)の人材確保のそれぞれの事項について整備が行なわれた。
(2) 認証基盤等のセキュリティ対応
(3) 各種のミドルウェアやソフトウェアの整備
(4) 学術コンテンツの整備・拡充
(5) 各研究分野のネットワーク利用支援
(6) その他CSI推進に必要な事項
(7) (1) から(6) に関連する人材育成等
2. 調査研究概要・目標
大阪大学では、本委託事業初年度にあたる今年度の達成目標として、以下の3つの目標を設定した。1) セキュリティ対策の調査研究
スーパーコンピュータやグリッドシステムの大学間相互連携や、学術コンテンツの相互流通を実現していくためには、まず、大学間の情報システム連携を可能とするための認証基盤の整備が必要となる。今年度はまず、高度なセキュリティを保ちつつ、スーパーコンピュータ等の学外利用者を含めた認証、大学間のグリッド認証連携を行なっていくためのPKIに基づく認証システムの整備を進める。また、そのために必要となる調査を実施し、機器・設備の確保、および運用設計、ポリシーの策定などを行う。さらに、担当する特任教員の採用など、人材の確保・育成を行う。
2) グリッド実験環境の整備
NAREGI プロジェクトの成果である NAREGIグリッド基盤ソフトウェアの導入を行ない、グリッド実験環境の構築に取り組む。また、グリッド研究用ネットワークとそれに関連する整備を行なう。
3) ネットワークの高度化
学術情報流通基盤として必要となるネットワーク機器の確保、および運用設計を行う。具体的には、大学構内ネットワーク(ODINS)用機器の整備を実施するとともに、学内無線LANアクセス網の整備を進める。
3. 調査研究成果
3.1. CA/RA設備の整備
スーパーコンピュータ等の学外利用者を含めた認証、大学間のグリッド認証連携を行なっていくためのPKIに基づく認証システムの整備を行なった。PKI認証のための、CA/RAソフトウェアとしてNAREGI プロジェクトの成果であるNAREGI-CAソフトウェアを導入した。この NAREGI-CA の整備は、認証作業部会で検討されているUPKIに基づく大学間でのアプリケーション認証連携を目指したものである。 |
図1は、現状で我々が想定しているUPKIの基本構成を示している。UPKIのユーザ認証基盤は、学内PKI基盤と、グリッドリソース相互利用を含む大学間アプリケーション連携のためのNAREGI-PKI基盤に分けられる。学内PKI基盤は、それぞれの大学がCAを立て、プライベートもしくはパブリックCAとして運用し、学内の教職員、学生向けのシステム利用のための個人証明書を発行する。各利用者には、 ID が割り振られ、各アプリケーションでは、ID に基づく属性参照や認可を行なう。大学間でID連携を行うため、各大学CAの認証ポリシーに応じて国立情報学研究所のような機関がランク付けを行い、認証連携のための指標を与える。各大学はそのランクに応じて各アプリケーションの連携認可設定を決定していくかたちとなる。一方、NAREGI-PKI基盤は、グリッドの代理証明書発行を可能とする等の利便性を優先するため、秘密鍵管理が簡易なポリシーとなると考えられ、学内PKIとは別のCA構成となる。現状では、大学間をブリッジするCAを起点する階層化されたツリー状のNAREGI-CA群から、各大学のユーザ向けに個人証明書を発行することを想定している。このとき、学内PKI基盤により発行された個人証明書を用いれば、発行プロセスを簡略化可能とすることを考えている。運転免許証を提示すれば、ビデオレンタル屋の会員証を発行できるといったことと同様と考えるとわかりやすい。
本年度の CA/RA 整備は、この NAREGI-PKI 基盤の CA/RA構築に相当する。大阪大学では、現在、学内向けの PKI 基盤の整備を並行して行なっており、本整備の CA/RA と連携させることで、グリッドを含む計算機リソースを、シングルサインオンによりさまざまなアプリケーションと同様に利用可能とする検討を進めている。具体的には、利用者が学内 PKI 基盤の証明書を用いてシステムにシングルサインオン認証した状態であれば、(1) Webブラウザ上で利用者に証明書を発行可能なWebエンロール機能を開発し発行プロセスを簡略化する (2) 計算機リソース利用のための計算機ログオンプロセスを簡略化するといった検討を行なっている。
本 CA/RAサーバの秘密鍵は専用のハードウェアに格納され、かつ、サーバ装置等の周辺機器を含め、次に述べる物理的セキュリティが施された設備内に管理される。今後、本設備を前提としたCP/CPS (認証局運用規程及び電子証明書ポリシー)の策定等行ない、本格運用に向けた検討を進めるとともに、計算機リソースの学外提供、大学間グリッド認証連携を推進していく。
3.2. 物理的セキュリティの整備
CA秘密鍵や個人情報などの電子データは高度な秘匿性が要求され、盗聴や漏洩に対する対策を十分に行なった上で管理・運用していく必要がある。こうした情報は、暗号化・アクセス制御といった電子的な対策のみならず、データを格納・管理するためのサーバ装置等を物理的に保護された状態に保ち、安全に運用する対策を実施する必要がある。
要求される物理的セキュリティを確保するため、生体認証・カード・物理鍵による入退室管理を行い、複数オペレータの相互牽制による運用が可能なセキュリティルーム、ケージ設備等の整備を行った。
入退室認証には、ICカードと生体認証(静脈認証)を組み合わせ、インターロック(一方の扉が閉じていなければ他方が開かない)、ツーパーソンルール(2名の認証でロック解除)によるドアロック設備を設けた(図2)。また、独自仕様で作成したケージにはパターンの異なる2つの鍵を取り付け、ツーパーソンルールに基づく相互牽制を可能としている。
サーバ設備が置かれる部屋へ到達するまでには、入退室可能な教職員の制限レベルを変えた複数の部屋が存在する。各部屋には監視カメラを設置して、職員の居室から常時監視可能とし、さらに監視映像の録画記録機能を設けた(図3)。
今後、本設備に基づく証明書運用ポリシーの策定、学外利用者を含めた利用者認証方式やアプリケーション毎の運用方法、さらには、万一被害にあった場合であっても被害を最小限に食い止めるための対応プロセス等について検討を進め、トータルなセキュリティ対策を実施していく。
 |
 |
 |
 |
3.3. IT認証基盤整備にかかる調査活動
PKI に基づく認証基盤の整備にあたり、運用面を含めたシステムの実現形態や要素技術について様々な方面から情報収集し、検討を行なった。その一環として、2005年11月18日から約1週間にわたって国立情報学研究所主催で行われた北米調査研究団に参加した。本視察はアメリカ及びカナダにおいて世界レベルの認証技術を持つ複数の企業・大学を訪問し、設備の確認、動向調査、およびディスカッションを行なうことを目的として開催されたものである。日本からは主に認証作業部会のメンバーを中心に、国立情報学研究所、京都大学、東京大学、九州大学、東京工業大学などの学術系技術者、NTTコミュニケーションズ、NEC等の企業系技術者など総勢約20名の参加があり、大阪大学からはサイバーメディアセンターより、応用情報システム部門等から3名が参加した。調査研究団はまずシリコンバレーを訪問し、スタンフォード大学のSignetと呼ばれるIDフェデレーションシステムの研究開発の模様、ベリサイン社の設備・運用状況を調査した。また、シリコンバレーのベンチャー企業状況や、オートノミックコンピューティングの最新動向の調査も行なった。次に、カナダのオタワ市のエントラスト社を訪問し、同社のPKI関連ソフトウェア、大学やカナダ政府などで利用されている認証基盤に関するディスカッションを行なった。
本調査研究により、認証技術の最新動向や運用上必要となる工夫等、学内の認証基盤の整備に寄与する数多くの情報を得ることができた。得られた知見は今後の認証基盤システムの整備や運用方針の策定に生かしていく。
 |
 |
3.4. グリッド実験環境の構築
NAREGI プロジェクトの成果である NAREGIグリッド基盤ソフトウェアα版を、6ノードに対し試験的に導入し、グリッド実験環境の構築、動作確認を行った。図5は構築した実験環境の構成を示している。また、NAREGI グリッド基盤等の研究ネットワークのセキュリティを確保するためのファイアウォール装置、Super SINET と研究ネットワークを高効率に接続するためのコアルータを導入した。キャンパス内の計算機・可視化リソースを接続した高解像度映像伝送、大規模ボリュームデータ転送実験を可能とするため、導入された機器を用いて吹田キャンパス、豊中キャンパス間の 10GbE ネットワーク接続も行っている。図6は、本整備の範囲を示すネットワーク構成図である。
 |
| 図5: NAREGI α版による実験環境 |
 |
| 図6:研究ネットワーク整備 |
3.5. ODINSネットワークの高度化
Super SINETと大阪大学の学内ネットワークであるODINSを接続するファイアウォール装置およびスイッチを最新の機器に更新した(図7)。これにより、学内外を結ぶネットワークの高信頼化、高速化・高機能化を図ることができた。また、国最先端学術情報基盤が目指している「最新の通信技術を採用した最先端の超高速・高品質バックボーンネットワーク」に対応することが可能となる。さらに、無線LANのアクセスポイントの整備を進めた。これは、現在サイバーメディアセンターで計画している全学無線LANサービスの実現に向けた整備である。近年、学内各研究室において無線LANが急速に普及してきているが、セキュリティ設定を行わず運用している場合が多く、この状態を放置すれば、ODINSのセキュリティにとって、非常に大きな問題となることが明らかである。また、研究室に所属していない学部学生は、現状では無線ネットワークを利用できない。
そのため、ODINSとして、セキュリティを強化した無線LANを全学的に整備し、セキュリティの維持を図るとともに、学内において均一な無線ネットワークサービスを利用可能とする。全学的な無線LANを整備することにより、いつでも、どこでもODINSにアクセスできるユビキタス環境を実現し、教育・研究・社会貢献のためのインフラとして利便性を高めることができる。無線LANサービスにはさまざまな構成・認証方式が考えられるが、本年度整備したアクセスポイントでは、SSL-VPN方式を利用した無線LANサービスを試行し、ユーザの使用感やサポート体制、考えられるトラブルなどについて検討を行った。今後、802.1x+EAP-TLS方式など、他の無線LANサービスとの比較を行い、全学無線LANとして、教員・学生が安全にかつ簡便に利用できるサービス形態について検討していきたい。
 |