hgot07 Hotspot Blog

主に無線LANや認証連携などの技術についてまとめるブログです。ネコは見る専。

eduroam非参加の機関でeduroamアカウントを取得する方法はない

eduroam非参加の機関の構成員が、常用できるアカウントを取得する方法は、残念ながらありません。

 

糸冬

 

eduroamは互恵が原則のシステム

なぜeduroam (https://www.eduroam.jp/)に参加していない機関の構成員は、eduroamのアカウントを取得できないのでしょう?

答えは簡単で、eduroamが互恵を前提としたシステムとして運用されているからです。

今どき、どこの大学でもキャンパス無線LANぐらい整備されていますよね? ―― え、無いんですか?ノートPCを抱えた男女学生がさわやかにキャンパスライフを楽しんでいるような絵面が、10年以上前にパンフレットを飾っていたではありませんか。いったいいつから、進歩が止まっているんですか。

今どき、WPA3/WPA2-Enterprise (IEEE 802.1X)による安全な無線LANシステムを導入していますよね?盗聴やアカウント奪取の問題のあるウェブ認証とかじゃないですよね?まさかMACアドレス認証(もどき)なんてザルじゃないですよね?(*1)

802.1Xに対応したシステムなら、他機関とRADIUSサーバを接続して、eduroamのSSIDを吹けば、お互いに幸せになれますよね?

実際、欧州では国境をまたいでの単位互換授業や共同研究が日常的で、商用サービスの高いローミング料金では大変なので、それならキャンパス無線LANを相互利用できるようにしましょうというのが、eduroam開発における一つの大きな動機でした。

*1: MACアドレスは、電波を盗聴すれば簡単に知ることができ、端末で容易に任意の値を設定できます。MACアドレス認証」などと呼ばれるシステムは、まったくセキュリティ対策にはなりません。認証ですらない。安全対策したつもりでかえってセキュリティに鈍感になるという、最悪のパターンです。

非参加機関にアカウント発行を認めることは何が問題か

「教育研究機関の構成員なのだから、eduroamに非参加の機関であっても、アカウントを利用できるようにした方が、教育研究に貢献できるのでは?」

これは一理あります。ところが、これを許すことで生じうるデメリットは小さくないと考えられます。

まず第一に、誰も基地局を提供しなくなる恐れがあります。訪問者にネットを使わせるのはなんか怖いからやめよう、ということなかれ運用が横行することは、火を見るよりも明らかでしょう。基地局が少なくなってしまえば、eduroamとして本末転倒です。せっかく、万一の不正利用時にその利用者まで特定できるシステムなのに、フリーWi-Fiと同じ見方をされた上に、「なんとなくイヤ」で済ませられるのでは、教育のICT対応どころではありません。

(導入を止めている人は、教育研究現場のICT活用を阻害しているという自覚があるのでしょうか)

二つ目の問題として、機関や日本全体の顔を汚す恐れがあります。「あいつらはタダ乗りするばかりで、訪問者の便を図ろうとしない」などと言われたくはないですよね?

以上のことを避けるため、eduroamでは互恵サービスを原則としています。アカウント発行権限を有する形でeduroamに参加する機関に対しては、基地局の提供を義務付けています。(普及促進のために、eduroam JPの黎明期には、基地局数が少なくても良しとしていました。しかし、これはそろそろ見直されるべきでしょう)

それほど件数は多くないのですが、たまに、eduroamアカウントが取得できないかと、問い合わせが来ることがあります。

「大型科研費を持っているのですが……」

「重用な国際プロジェクトがあって……」

「学振に採択されたのですが……」

「短期留学先(共同研究先)で、母校からeduroamアカウントを取得してくるように言われたのですが……」

いかなる理由でもダメです。eduroam JPが個人向けにアカウントを発行する仕組みはありません。

会議や訪問先機関で配られるビジター用アカウント

eduroam参加機関で開催される学会などでは、最近、eduroamの利用が基本となっているケースが増えています。eduroamアカウントを持っている参加者ならば、会場に入るだけで、安全かつ自動的に無線LANが利用できるので、大変便利なものです。

会議用専用の無線LANが用意されていることもありますが、会議によっては、eduroamのビジター用アカウントが配布されていることもあります。非参加機関の人でも、一時的にeduroamの基地局が使えるというものです。もちろん会期中に限られますが。とりあえず、試す分には使えるでしょう。

短期留学や共同研究などで、訪問先機関からビジター用アカウントが提供されることがあります。このアカウントの取得可否については、受け入れ先に相談してください。

一部のeduroam基地局で利用できるANYROAMアカウント

米国のeduroamを運用しているANYROAM社 (https://www.anyroam.net/) が、誰でも取得できるANYROAMアカウントを提供しています。現在は無償で、本人紐付けのためにSMSが必要です(日本の電話番号でも可)。

このアカウントは厳密にはeduroamアカウントではないのですが、eduroamのシステムの上で利用できるようになっています。具体的には、ANYROAMのアカウントも受け入れると表明したeduroam参加機関のみで、このアカウントを利用してeduroam基地局に接続できます。

ANYROAMのシステムは、eduroam参加機関におけるビジター利用の便を図るために開発されました。しかしながら、現在700近くある米国のeduroam参加機関でも、ANYROAMを受け入れているのは数十機関しかないようです。

国内では、セキュア無線LANローミング研究会 (NGHSIG) が展開している市街地等の基地局で、ANYROAMが利用できます。

nghsig.jp

eduroam非参加機関のみなさまへ

2019/12現在、世界101か国、国内267機関に導入されているeduroamに参加していないことは、大損していると言えるでしょう。

参考までに、東北大学の場合、キャンパス内での実利用者全体に占める学外アカウントの割合は、学会時期で訪問者が増える9月でも8%程度です。大したことないでしょ?構成員の学外利用は35~45%と高いですが、訪問先はばらばらで、当然負荷も分散しています。

eduroamばかりでなく、学術認証フェデレーション(学認)も、ICT時代の教育研究環境の構築には必須のシステムでしょう。「うちは入っていないからなぁ」と待つばかりではなく、積極的に導入を働きかけてみてはいかがでしょうか

機関の情報システムや規程類、時代に合わせてきちんとアップグレードされていますか。