1. はじめに

1.1 目的

本ガイドは、MyLOFT(My Library on FingerTips)サービスを円滑に実装・運用していただくために、機関およびそのITチーム向けに技術的な手順と前提条件を提供するものです。主な目的は、学内外を問わずすべての利用者が電子リソースに快適にアクセスできるようにすること、そしてネットワーク関連の一般的な問題に対する明確なトラブルシューティング手順を提示することです。

1.2 対象読者

本ドキュメントは、ファイアウォール、プロキシ、VPNなど、機関のネットワークインフラの管理を担当するIT管理者、ネットワークエンジニア、図書館の技術スタッフを対象としています。

1.3 主要用語

用語	説明
Patron(利用者)	MyLOFTサービスにアクセスする権限を持つ利用者(学生、教職員など)。
Customer(顧客)	MyLOFTサービスを契約している機関または組織。
On-Campus(学内)	機関のローカルネットワーク(有線またはWi-Fi)を使用している状態。
Off-Campus(学外)	キャンパス外のネットワークからリソースにアクセスしている状態。

2. MyLOFTシステムの概要

MyLOFTは、利用者が所属機関の契約電子リソースに、どこからでもアクセスできるようにするサービスです。リクエストをセキュアなプロキシサーバー経由でルーティングすることで、ユーザー認証を行い、機関の契約内容に基づいてアクセスを許可します。

2.1 動作の仕組み

利用者がMyLOFTモバイルアプリまたはブラウザ拡張機能を介して電子リソースにアクセスを試みます。
リクエストはMyLOFTプロキシサーバーに送信されます。
MyLOFTプロキシがユーザーを認証し、要求されたドメインが契約済みの電子リソースであるかを確認します。
認証に成功すると、MyLOFTは利用者と出版社のWebサイトの間にセキュアな接続を確立し、アクセスを許可します。
契約外または未承認のサイトへのトラフィックはプロキシ経由でルーティングされず、ブロックされます。

これにより、物理的な所在地に関わらず、正当な利用者のみがライセンス契約済みコンテンツにアクセスできるようになります。

3. 学内ネットワーク設定ガイド

MyLOFTはあらゆるネットワークで動作するよう設計されていますが、学内のセキュリティ対策(ファイアウォール、コンテンツフィルタ、VPNなど)が当社プロキシへの接続に干渉することがあります。

学内で電子リソースへのアクセスに問題が発生する場合(学外からは正常にアクセスできる場合)、以下の設定が必要です。

3.1 ファイアウォールおよびネットワークフィルタの設定

ITチームに、以下の仕様で新しいファイアウォールルールを追加するよう依頼してください。

MyLOFT IPアドレスのホワイトリスト登録: 貴機関に割り当てられた専用MyLOFTプロキシIPアドレスとの送受信トラフィックをすべて許可します。
ポートのホワイトリスト登録:
- ポート 443(HTTPS)のトラフィックを許可します。
- RemoteXsからの移行ユーザーの場合: 移行が完了するまで、ポート 4500 のトラフィックを一時的に許可します。
HTTPヘッダーの許可: ホワイトリスト登録したMyLOFT IPアドレスとの送受信について、すべてのHTTPヘッダーを許可します。
ドメインのホワイトリスト登録: myloft.xyz および *.myloft.xyz を許可ドメインのリストに追加します。
ルールの優先順位: MyLOFT用のファイアウォールルールが他のルールに上書きされたりブロックされたりしないよう、優先順位を高く設定します。
プロキシ接続の許可: ネットワーク設定で、専用MyLOFT IPへのプロキシ接続を許可する必要があります。これは、契約済み電子リソースのトラフィックを安全にトンネリングするために不可欠です。
接続の検証: 設定を適用した後、学内ネットワーク上のターミナルまたはコマンドラインから以下のコマンドを実行して接続をテストします。

curl -v -x <YOUR_DEDICATED_PROXY_IP>:443 <ANY_URL>

テストが成功した場合、HTTP/1.1 407 Proxy Authentication Required というレスポンスが返されます。これにより、ネットワークから当社プロキシに到達できることが確認できます。コマンドがタイムアウトまたは失敗する場合は、ファイアウォールルールを再確認してください。

例:FortiGateファイアウォールポリシー

以下はFortiGateファイアウォール用のサンプルポリシー設定です。具体的なインターフェースやネットワークオブジェクトは環境によって異なる場合があります。

FortiGateのログ/レポートセクションでDENYログを確認し、以下のようなエラーが表示される場合は、FortiGateで以下の設定を必ず行ってください。

Proxy.HTTP シグネチャ(ID: 107347980)— ネットワーク内で標準HTTPプロキシプロトコルが検出されたことを示します。このシグネチャは次の2つの条件で発動します:(1) HTTP CONNECT リクエストが 443 以外のポートで使用された場合、(2) HTTP URL に http:// 文字列が含まれている場合。HTTPプロキシ活動はコンテンツ検査の回避に利用される可能性があるためです。

Security Profiles > App Control: disable に設定。
これは Proxy.HTTP シグネチャを停止する最も重要な手順です。
Security Profiles > SSL/SSH Inspection: certificate-inspection に設定。
これにより、初期ハンドシェイクがディープインスペクションによって妨げられないようにします。
その他のセキュリティプロファイル(Web Filter、IPSなど): disable に設定。
UTMスタック内の他の機能がブロックしないようにします。

Sophosファイアウォール

宛先IPアドレス(ネットワーク)へのトラフィックを許可するファイアウォールルール/ポリシーを追加します。
参考ドキュメント:
https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/RulesAndPolicies/FirewallRules/FirewallRuleAdd/index.html
宛先IPアドレス(機関/組織に割り当てられたMyLOFTプロキシIPアドレス)へのWebトラフィックを許可する除外ルール/ポリシーを追加します。
参考ドキュメント:
https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Web/Exceptions/WebExceptionAdd/index.html

3.2 学内VPNの設定

機関でキャンパス全体にVPN(Zscaler、Palo Alto GlobalProtectなど)を導入している場合、MyLOFTプロキシ宛てのトラフィックがVPNで横取りされる可能性があります。

これを解決するには、MyLOFTプロキシIPアドレスおよび関連ポート(443)に対するバイパスルールを作成する必要があります。これにより、MyLOFTアプリやブラウザ拡張機能からのトラフィックがVPNトンネル経由ではなく、直接当社プロキシにルーティングされます。

詳細は、ご利用のVPNプロバイダーが提供するIPベースのバイパス作成に関するドキュメントを参照してください。

例:Zscalerをご利用の場合、VPNバイパスリストへのゲートウェイ追加に関するドキュメントを参照できます。
https://help.zscaler.com/client-connector/best-practices-adding-bypasses-z-tunnel-2.0#vpn-gateway-bypasses-step

3.3 初期トラブルシューティング手順

問題をエスカレーションする前に、以下の基本的なチェックを行ってください。

インターネット接続の確認: 該当デバイスが学内ネットワークでインターネットに正常に接続できることを確認します。
デバイスレベルのプロキシ確認: ユーザーのデバイスにMyLOFTと競合する可能性のある他のプロキシ設定がないことを確認します。
ファイアウォール/VPNログの分析: 障害箇所を特定する最も効果的な方法は、利用者のデバイスから割り当てられたMyLOFT IPアドレスへの接続試行が、ネットワークログ上でドロップまたはブロックされていないかを確認することです。

4. セキュリティとデータプライバシーに関するFAQ

Q1:MyLOFTプロキシは安全ですか?

A: はい、MyLOFTプロキシは完全に安全です。貴機関が契約している電子リソースのドメインのトラフィックのみを処理し、それ以外のトラフィックはすべて無視します。アクセスはセキュアな認証メカニズムによって正規の利用者に限定されます。また、アプリのヘルプセクションでプロキシ対象となっているドメインを表示することで、完全な透明性を確保しています。

Q2:ファイアウォールのログでMyLOFTへのリクエストがHTTPとして表示されています。ユーザーデータは漏洩していませんか?

A: いいえ、ユーザーデータが漏洩することはありません。HTTPSサイト(現代の出版社プラットフォームのほぼすべて)にアクセスする際、当社プロキシは HTTP CONNECT トンネルを使用します。プロキシは利用者のデバイスと出版社のWebサイトの間に直接的なエンドツーエンド暗号化(TLS/SSL)トンネルを確立します。プロキシは接続を仲介するだけであり、通過するHTTPSトラフィックを復号化したり検査したりすることはできません。利用者のプライバシーとデータの完全性は十分に保護されます。

Q3:MyLOFT用のファイアウォールルールを作成すると、ユーザーが当機関のフィルタを回避して未承認のWebサイトにアクセスできてしまうのではないでしょうか?

A: いいえ。このルールはMyLOFTプロキシへのアクセスのみを許可するものです。プロキシ自体が二次的なフィルタとして機能し、貴機関の承認済み電子リソースリストに含まれるドメインのリクエストのみを処理します。プロキシ経由で非ホワイトリストドメイン(SNS、エンターテインメントサイトなど)へアクセスしようとした場合、すべてブロックされます。プロキシ対象の電子リソースリストは、図書館チームが完全に管理できます。

免責事項: 本書に記載の設定手順および例はあくまで参考情報です。実装方法は、ご利用のネットワークハードウェアおよびソフトウェアベンダーによって異なる場合があります。Eclat Engineering Pvt. Ltd. はネットワークの設定不備について責任を負いません。詳細は、ご利用ベンダーのドキュメントまたはサポートをご参照ください。