政府関係機関事業紹介
国立情報学研究所 学術認証推進室
前号の「学認」につづき、本号は「eduroam」をご説明いたします。eduroamは、大学・研究機関等学術機関が運用する無線LANによるインターネットアクセスサービスを、相互に提供しあうための枠組みです。eduroamサービスは世界中で展開されており、日本国内では「eduroam JP」[1]の名前で国立情報学研究所(以下、NIIとします)が取りまとめを行っています。
eduroam JP加入機関であれば、国内のみならず、海外のeduroam加入機関で提供されるサービスを利用することができます。
eduroamは、ヨーロッパの教育研究用ネットワーク運営組織GÉANTで開発された、教育・研究機関向けの学術無線LANローミングサービスです。このサービスは現在100を超える国・地域で展開されており、教育・研究に関する組織間での無線LANローミングサービスのデファクトスタンダードとなっています。各国・地域ごとに加入機関の取りまとめを行う組織があり、それらの組織がGÉANTを通じて国際的な接続を行うことで、全世界での共通サービスを実現しています。日本ではNIIが国内加入機関を取りまとめています。
eduroam加入機関に所属し、eduroam接続用アカウントの発行を受けた利用者は、訪問先のeduroam加入機関において、eduroam全体の共通SSID:eduroamを発信する無線LAN接続ポイントに接続することで、無線LANを利用することができます。それと共に、他のeduroam加入機関から訪問してきた利用者に、自機関の無線LAN環境を、SSID:eduroamを発信する接続ポイントを通じて提供します。
近年では様々な公衆無線LANサービスが運用されています。例えば、携帯電話キャリアが自社の携帯電話回線契約者に提供するものは多くの契約者に利用されています。
eduroamは主に加入した教育・研究機関により、全加入機関の構成員に対して無線LAN環境が提供されるサービスである、と言えます。eduroamを利用できるのは、原則としてeduroamに加入している機関の構成員に限られます。
海外でのeduroamの利用者は小学生から大学院生、教職員まで含まれ、国や地域によっては生徒や学生の保護者にアカウントを発行しているケースもあります。eduroamに加入する各学校や大学、研究所にはeduroamの接続ポイントが整備されています。また、加入機関外でも鉄道の主要駅や空港などにeduroamの接続ポイントが整備されている国もあります。なお、接続ポイントの位置はGÉANT提供の基地局マップで確認することができます[2]。
eduroamでは、利用者の認証にIEEE802.1xを用いています。IDとパスワードによる認証のみでなく、クライアント証明書を用いた認証も可能なため、正しく設定を行えば、よりセキュアな利用者認証が可能です。NIIの「UPKI電子証明書発行サービス」[3]にて発行されたクライアント証明書を用いることも可能です。また、正しい設定を半自動で行うための補助ツールがGÉANTより提供されています[4]。
日本では、「eduroam JP」の名称で、2006年から実証実験を開始し、2016年から本格的な運用を開始しました。NIIでは、大学、短大、高等専門学校、研究所などの高等教育研究機関を対象に加入を受け付けており、2019年8月末時点で262の機関がeduroam JPに加入しています。
eduroamの利用できる場所については、加入機関の構内だけでなく、民間事業者が市街地や宿泊施設、会議場、喫茶店、公共交通機関の駅などにeduroamの接続ポイントを設置している例があります。関東圏だけで、喫茶店、貸会議室などに整備された接続ポイントが約130か所存在します。
eduroamの利用を小中高校へも広げようとする動きがあり、NIIの高等教育研究機関用サービスとは別の運用体制での参加が検討されています。
eduroam JPでは、海外を含めた接続ポイントと各加入機関の認証サーバでの認証情報のやりとりの仲介を行っていますが、これ以外にもいくつかのサービスを提供しています。
eduroamで構成員が利用するアカウントについては、自機関でRADIUS認証用サーバを運用し、既存の認証基盤等と連携させることで認証する方法以外にも、これらのサービスを利用することで代替できます。
認証連携IDサービス[5]は、利用者がサービスのシステムを操作して自分でeduroam用のアカウントを発行するサービスです。
このサービスは学認[6]のSPとして登録されており、学認参加機関の利用者であれば自機関のIdPで認証することでこのサービスにログインし、自分がeduroam接続時に利用するアカウントを発行することができます。
さらに教職員の場合は打ち合わせなどで訪問した部外者に対してゲストアカウントを発行することができます。この通常のゲストアカウントは原則としてアカウントを発行した機関が設置した接続ポイントからしか利用できません。また、イベントや学会などを開催する際に、一時的に大量にゲストアカウントを発行する機能もあります。こちらは利用制限のある学内開催用と利用制限のない学外開催用のゲストアカウントの2種類が発行できます。ただし、いずれのゲストアカウントも本サービスの利用機関単位で発行可否が設定されますので一部の機関では発行できません。詳細は所属機関の担当者にお問い合わせください。
学認参加機関は、このサービスを利用することで自機関でのRADIUS認証用サーバの運用をせずに済みますので、自機関でのRADIUS認証用サーバ運用が難しい場合に利用をご検討ください。
代理認証システム[7]は、各機関のeduroam運用の担当者が、Webインタフェースを通じてeduroam用のアカウントを発行するサービスを提供します。こちらも、自機関でRADIUS認証用サーバの運用が難しい場合にご利用いただけます。
担当者自身が発行手続きを行う仕組みとなっているため、発行されたアカウントの配布については、各機関で配布方法をご検討ください。利用を終了したアカウントについては、担当者がロックすることで無効化できます。
どちらのサービスも、自機関でのRADIUS認証用サーバの運用と併せてご利用いただくこともできます。例えば自機関の構成員のアカウントは自前の認証基盤とRADIUS認証用サーバの組み合わせで認証し、ゲストアカウントについては認証連携IDサービスのゲストアカウント発行機能や、代理認証システムで発行したアカウントをあてる、といった運用も可能です。
各加入機関担当者の連絡先を登録し、インシデント等が発生した際に関係機関の担当者の連絡先を相互に開示することで、協力して問題の解決にあたります。
本稿では、NIIが展開する認証事業のうち、「eduroam JP」について紹介いたしました。eduroamは世界中にサービス展開されており、多くの大学等を訪問した際に無線LAN環境を利用することができます。
また、eduroam JPでは、先に紹介いたしました、「学認」や「UPKI電子証明書発行サービス」を組み合わせて活用することができます。NIIが提供するほかの認証サービスと併せて、eduroam JPへのご加入をご検討ください。
eduroam JPに関するご質問につきましては、eduroam−office@nii.ac.jp(アドレスは全角文字で表示しています)までご連絡ください。
参考文献および関連URL | |
[1] | eduroam JP, https://www.eduroam.jp/ |
[2] | 基地局マップ,https://monitor.eduroam.org/eduroam_map.php?type=all |
[3] | UPKI電子証明書発行サービス, https://certs.nii.ac.jp/ |
[4] | eduroam CAT(解説ページ), https://meatwiki.nii.ac.jp/confluence/x/hx2_AQ |
[5] | 学認, https://www.gakunin.jp/ |
[6] | 認証連携IDサービスについて, https://meatwiki.nii.ac.jp/confluence/x/8ldHAQ |
[7] | 代理認証システム, https://www.eduroam.jp/deas/ |