【まとめ】世界@に平和が訪れますように ● 終わりまでいろいろ覚書をメモ `2f/02〜 * 一口メモ 最後の章に何をもって来るか。どこで終わりにするか。多分それは自然と訪れるだろう。 IoT(Internet of Things)、あらゆるモノがインタ−ネットに接続されていく時代がきた。 イノベ−ションのジレンマ。成功事例に引きずられて新しいアプロ−チができなくなる。 ネットワ−クのインフラは作った。セキュリティ対策も一応やった。やることはやった。 かつてCALSといわれた時代があったが。CALSが何かに変わったのだったか。 ビッグデ−タとか M2M とかキ−ワ−ドが。やはりビッグなテ−マでWebサ−ビスか。 井戸の中から大海を見ることも。1つのベ−スに基づいて全体を観ていくということも。 最後は "一握りのパン" かも。中学生の時の教科書に出ていた話。有ると信じる希望だ。 "イントラネット構築法" 2015年2月6日、やるべきこと全てやって一応完結した。 やっぱり最後はDNS。インタ−ネットはDNSに始まりDNSに終わる。これで終わり。 標的型メ−ル攻撃が火を吹き始めた。年金機構に次いで東商も情報を盗まれたのが発覚。 プランはたてよう、ともかくプランは作ることにしよう。実際やるかどうかはまた考える。 2015年7月21日夜、25章に着手しようと自然にそう思った。やりますか。 お盆があけた。この先やっていけるのかどうか。難しい装置の導入ばかりで出来るのか。 正味5日間のお盆休みのあいだのスパムメ−ル、1日に1通ぐらいしかなかったぞ。 中国経済が急速にダウンしている、建設機械の受注が前年の40%しかない。`2f/08 天津の大爆発。もう中国には関わらない、行かない方が身のため会社のためだ。`2f/08 どこまでやるかな。設計までやって終わりにするか、設置までやってしまうか。 HP社が無線LANのアル−バ社を今年買収したと。HPの営業から聞いた。`2f/11 中日新聞 2015/09/22 付け、"サイバ−攻撃「米中に緊張」米補佐官、中国を批判"。 朝日新聞 2015/09/22 付け、"米補佐官「いらだっている」サイバ−攻撃で中国を批判"。 FMC携帯キャリアの内線接続サ−ビス。利用料金は?、すでに内でも使っている?。 AWS の Amazon API Gateway 公開。API を簡単に作成できる。`2f/07/09 アメリカ時間。 `2f/12/s、この章を変えた。変える前は "(1)その先は想像できない世界へと" としてた。 エクセルの使い方で表計算の数式を勉強した。かつて Lotus 123 は触ったけど。`2f/11 25-7.章はご縁があればやるとするか。どうかな、Office 365 がまだ課題としてあるけど。 サンドボックスは万能か。狼少年うんぬんという一文を書いた。2015/05/03 に。 雑誌「Software Design」ずっと購読していたが、そこはかとなく来なくなった。`2g/01 25-7.章をやってみるか。2016年4月16日で初めに書いて20年になる。`2g/04/06 お盆前までを目安としよう。それまでに格好をつけよう。`2g/04/07 目次を考え追加した。 そろそろ IoT のプロトコルがどういうものかとか調べておかないけないかも。`2g/04/S 2016年4月14日21時26分、熊本で大地震発生!。余震尚継続中。`2g/04/17 諺で猫を追うより皿を引け。最重要なファイルは社内ネットワ−クから隔離せよ。`2g/04 FortiMail、FortiSandbox のバ−ジョンアップ無事終了。これでやる事はやった。`2g/06 分身ロボット、NHKスペシャル `2g/06/28 やっていた。在宅勤務どころでないな。 にわかにブロックチェ−ンなるものが出てきた。日経の雑誌やらセミナ−が。`2g/07/m セキュアブラウザとかメ−ルの無害化と言うのが1年位前から出てきている。`2g/08/s シマンテックがブル−コ−トを買収することで合意した、アメリカで 2016/06/12。 分かっていること、分かったことを羅列して、まだ分からないことを知ること。`2g/11/S 2016年の末が一つの目安か。年明けにアナウンス、そして3月末で区切り。`2g/11/s いきなり真冬並みの寒さになった。セ−タ−にずぼん下を着た。炬燵にしよう。`2g/11/S 泣く子と地頭には勝てぬ、相手にするだけ時間の無駄、逃げるが勝ちと心得よ!。前から さていよいよ終わりだ。もう十分やらせてもらった。今後は南北東西道活路だ。`2g/12/e 節分が過ぎてこれから一雨ごとに暖かくなる。もう直に春が来る、どうするの。`2h/02/S 3月15日、郷里のお寺のおねはん(涅槃会)の日をもって一つ最終版としよう。`2h/03/m Firefox でURLを入れる所で about:config と打つと細かな設定画面が出た。`2h/04/m やることをやり終えたら速やかに持ち場を離れるのがやはり望ましいだろう。 `2h/06/E * 二口メモ パスワ−ドが短い(8文字)というのが危険であるかという話。相手が狙っているのであれ ば解析時間が数十秒でも数時間でも変わりない。関係ない。数ヶ月とかならば諦めるかも。 MAC認証バイパス機能、MAB という。スイッチングハブに備わっている。「日経コミュ ニケ−ション」2015/09, P.68〜69 に記事があった。 ラドウェアの親しくしている営業さんが最近、新しいセキュリティ対策製品がどんどん出 て来ていると話していた。`2f/10 頃。最近あまり日経の雑誌など見てなかった。 `2f/10/27夕方きたメ−ル。株式会社ソリトンシステムズから。件名:【ソリトン】MAC アドレス制限は効果ゼロ いま求められる無線LANセキュリティ。 シャ−プは希望退職募集。東芝は不正会計。三洋電機は無くなった。パナソニックは松下 でんきから。日本の巨艦企業が沈んでいく。時代は変わっていっている。 ネットワ−クのスル−プットについて。 bps でなく pps を使うように統一した方が分か り易いかも知れない。pps だとパケットのサイズを掛けないと転送容量は計算できない。 知らん間に "インダストリ−4.0" というキ−ワ−ドがでてきていた。 IoT で製造業が変 わるという話。NECのメ−リングリストの 2015/11/26 に来たのに書かれてあった。 2015/12/s、このイントラネット構築法の内容と目次を見直していて、 やっと整理がつい た。これで回線冗長化の装置とサンドボックスの装置を本格的に取り組みができる。 2015年は琳派の400年記念で賑わった。琳派と利休について一文を書いた。断片的 な事実を元にその間を繋ぎ合わせて一つの結論を導いた。それをここに載せるか。`2f/11 実際に個人用デジタルIDを作成してみるか。SSL-VPN 装置で試してみるか。まだそれぐ らいの時間はあるだろう。`2f/12 インシデント対応。CSIRT とは 情報セキュリティ・インシデント対応チ−ム、 これにつ いても調べてみないと。 デルはパソコンの会社ではなかったのか。SOCを世界中で運用している、日本にも設け ている。セキュリティ・オペレ−ション・センタ−、http://www.secureworks.jp/。 リモ−トアクセスはどう、SSL-VPN 装置は問題だ、できれば無くしていく方向で。いろい ろ手段はあるけど。Windows 7 との相性が悪い。Windows 10 ではどうなのかな。 続々出てくる攻撃の新しい手口。新しい用語から拾ってみる。 マルバタインジング、Web の広告で悪性広告。JavaScript IFrame を悪用。ドライブバイダウンロ−ドでマルウェア。 ドライブバイダウンロ−ドはホ−ムペ−ジを見てるだけで、勝手に悪意のあるサイトに誘 導される。広告サイトが入っていて、それにウィルスが仕込まれているとかある。 ランサムウェアはもう書いたかな。人質をとる。パソコンを乗っ取ってファイルを暗号化 してしまう。金を出せば暗号化を解く。出さなけばファイルはそのままにするという。 回線冗長化装置のまとめを書いたら完結する。頭を集中させれば半日で済む事だ。さてど うする。25-7. 章をやるか。やると言ってもおまけ、エキストラという扱いだ。`2g/03 FortiGate-80C と Ciscoのレイヤ3スイッチでタグVLANのテストをやってみた。タグ VLANでのトラブル対応の検討で。"22-7.VLANと無線でLANラン蘭" の付録に。 結局やっつけ仕事でやってしまった場合は、ドキュメントも何も残されない、残されてい ないことが多々で、次ヘと続かないのである。LinkProof の設置設定に関してのメモで。 トラブルが起きてしまって対処しようとしても、それまでに対策を検討してなければそれ 以上の対処はできない。技術的な事柄に火事場のくそ力という訳にはいかない。 ここまでやって来られたのは学生の時の研究室の助手の先生の "気持ち悪くない" という 言葉だった。2つしか歳が離れてなくてみっちり絞られた。昨日のことのようだ。`2g/04 ファイアウォ−ルでポ−トフォワ−ディング機能でもって社内設置のサ−バにアクセスさ せるのはどうか。安全性がどうなるかの検討が必要だが、多分よろしくはない。`2g/03 シングルサインオンのオ−プスソ−ス OpenAM は Sun Microsystems の商用製品 OpenSSO がベ−ス。デジタルID発行ソフトではない。シングルサインオンをやるソフトだ。 地方自治体はマイナンバ−制度のサ−バ保護のため、サンドボックス製品の設置が推奨さ れるという。企業に対してはファイアウォ−ルの設置ぐらいが推奨になっている。 nslookup コマンドで >set d2 は詳細なデバッグモ−ド、>set nod2 で解除。2014年 頃にDNSサ−バをいじっていた際のメモに書いてあった。こんなオプションあるのか。 DNSサ−バの NetAttest D3 アプライアンス。ネットにまるで情報がない。情報を出す までもなく簡単に使えるという事だろうと思う。これ設置してみるつもり。`2g/08 頃。 ホワイトクラウド。ダイレクトアクセス for Microsoft Azure、2016/0/8。ExpressRoute ともかくメモしただけ。Microsoft Azure とは Amazon EC2 みたいなものか?。`2g/08頃。 FortiToken は FortiGate に番号を記載してアクティベ−ションかけた時点の時刻に同期 する。FortiGate の内臓時計が進んだり遅れたりして来ると同期がとれなくなる。`2g/08 IIJのフォ−ラムがあった。ホテルで何と懇親会もあった。そこで名刺交換した女性の 名刺、役職とは別に名前の下にITストラテジストと書かれてあった。`2g/09/02 Windows 7 で画面キャプチャ。PrintScreen キ−を押す。クリップボ−ドに画像が一時保 管される。ペイントソフトでも起動し画面の所で Ctrl+v とやると画像が出る。`2g/10 装置の特徴を把握して適切な設定をすること。何でもそうだけど。Fortinetのサンドボッ クスは馬鹿ちょんでなかった。サンドボックスは馬鹿ちょんで使えると思ってた。`2g/10 世の中が変わる。トランプ氏がアメリカ大統領になった。EUはイギリスがいよいよ離脱 か。日本も変わらなくては、でも変われない。しかし自分は変わらなくては。`2g/11/09 Security NEXT というサイト http://www.security-next.com/、日本人が運営しているよ う。インタ−ネット関連のセキュリティ記事がある。ここはワッチしておくこと。`2g/11 Security NEXT サイトを見てたら "週2日で働くフリ−ランスエンジニア" というバ−ナ −広告が出ていた。クリックしたらITプロパ−トナ−ズという会社が出てきた。`2g/11 やっぱり最後までDNSをみている。FortiGate のDNSサ−バとプロキシサ−バの機能 をテストしていて。インタ−ネットの技術はDNSで始まりDNSで終わる。`2g/11/E DNSサ−バの名前解決で、問い合わせドメイン名に、あらかじめ設定した別のIPアド レスを知らせる機能というのがある。RPZ( Responce Policy Zones ) という。`2h/05/s Fortinet 社の新しいサ−ビスができた、FortiCare Advanced Service。 これでホ−ムド クタ−的な Fortinet 社製品の運用サ−ビスを受ける事ができるかも知れない。`2h/05/e トラブルが起きた時は実はチャンスである。もし貴方に部下らしき人がいるのなら、傍に いさせてその人にメモを取らせていくこと。育成にも繋がることである。'2h/05 トラブルが起きた時は、何が起こって何をやったか。日付けと時刻を記した上で記録して 行くこと。後で時系列でどうだったか見直すことができるようにすること。'2h/05 分かっていることは何か、そして未だ分からないことは何か。トラブルが起きて初めて分 かる事がある。トラブルが起きた際には沈着冷静に短い時間に的確な判断を。'2h/05 停電のこと。FortiGate-600D、FortiMail-2000B、FortiSandbox-1000D はログインして画 面からシャットダウンする。復電したらこれら装置は自動で起動してくる。'2h/07 テレビのコマ−シャルでないが "集中"。 集中できない要因が幾つか社内の身の回りにあ る。孟母三遷、集中できる環境に身を移す事が肝要である。'2h/07 * 三口メモ LAC社セミナ−に東京のLAC本社に行った `2b/11/30。上海に進出している日本企業 は千社に登るとか。現地で起こっているITのセキュリティに関する問題に、実際に対応 している中国のLAC社の具体的な事例の話があった。何でも相談してくれと言ってた。 FortiGate をプロキシサ−バにできるか。DNSサ−バの機能はどうなっているか。2日 間で確認できた。`2f/11/S。これはこれでよし。FortiGate のファ−ムウェアを最新にア ップしてメニュ−を見て動作を確認した。 APIPA( Automatic Private IP Addressing )。Windows 98 以降でIPアドレスを DHCPで 自動割り当ての設定をしていて、割り当てらなかった場合。1分間待ってWindows OSが 割り当てるという。169.254.0.1 - 169.254.255.254 でランダムに。 「日経NETWORK」2015/09, P.76〜、 基礎を学んでトラブルを防ぐ ネットワ−ク達 人の知恵 今回のテ−マ ル−ティング制御、制限をかけた経路情報が伝搬する OSPF でお きた現象。想定しないパケットがル−タやL3スイッチを越えてくるということか。 メ−ルシステム Office 365 のこと。pac スクリプトを実際かいてみて動作を確かめない と。メ−ルシステムの移行手順は、メ−ル維持の重責からの解放。その実なかなか移行は 進まない。「日経コンピュ−タ」2015/10/15, P.18〜45, 日本列島、総クラウド化の記事。 メ−ルをクラウドのサ−ビスに移行する場合でも、社内のメ−ルストアとメ−ルリレ−は そのまま残すのはどうか。いざという時、社内同士のメ−ルはやりとりできる。外へもメ −ル送信はできる、拒否される所もあるかも知れない。外からのメ−ルは受信できない。 FortiGate でポリシ−のル−ルに FQDN を使いたい。社内の特定パソコンからインタ−ネ ットの www.asahi.com にしかアクセスできないようにする。 FortiGate の中でDNSの 名前解決をやらないといけない。はて、この設定はどうやればいいのか。`2g/03 何かお腹の具合が悪い。`2g/04/12 機嫌よくちょっと飲んだ。翌日と2日経ってもおかし い。先週の木曜に風邪引いたようで土曜日はずっと寝ていた。日曜は京都に出て茶席をや って終わって皆で飲んだ。ちょっとハ−ドだったのかも。変な事でなければいいのだが。 メ−ルによる OTPの事を改めて調べてみるか。日本へのリモ−トアクセスの認証のことで。 海外に出張または駐在で行った場合にメ−ルはどうしているのか。中国でのことになるか な、現地のプロバイダにはメ−ルのサ−ビスがないという。SMS を使っているとか。 25-7. 章の "(4)FortiGate でC&C通信を防御、(5)尚 FortiMail と FortiSandbox" は 連休明けから気合い入れて取り組むことにしよう。2016年5月の連休のこと。後もう 少しだ。FortiMail と FortiSandbox のファ−ムウェアのアップが最後の仕事になる。 アマゾンからメ−ルが来た "AWSクラウドの検証、ご利用体験に使える無料利用枠のご 案内"。12か月間無料で利用できる。プロダクトの Amazon EC2 は750 時間の t2.micro インスタンス利用ができる。さあクレジットカ−ド番号が利用にいるのかな。`2g/08/04 FortiGate-80C を FortiOS v5.4.1 にした。最新である。認証で FortiToken を使おうと するとコ−ドを入れたところで拒否されてしまう。この前のバ−ジョンでは全く問題ない なく使えていたのに。FortiToken は4年ぐらい前に試しに買っておいたもの。`2g/08/M FortiGate-80C の FortiOS v5.4.1 はメモリもCPUもくう。メモリは80%ぐらい常時 なった。挙動がおかしくなることがある。画面も緑ぽく応答が鈍くよろしくない。テスト が頗るやりにくい。そんなことで FortiOS は v5.2.8 にダウングレ−ドした。`2g/08/E トレンドマイクロからのメ−ルで "人気資料のご案内 AWS 環境の公開サ−バに対する セキュリティ検討ガイド 詳しくはこちら >>"。DIRECTION News Letter 2016/10/27 に来 た。ダウンロ−ドして読む。AWSで立てたWebにもセキュリティ対策がいるのか。 Windows OSのファイルの種類で拡張子 .rar というのがある。圧縮形式のファイルであ る。メ−ルのウィルスの添付ファイルにしばしば見られる。新しいファイル形式ではなく、 はるか DOS の時代からあるらしい。一般的には殆ど使われることはないと思う。`2g/09 無知ほど怖いものはない。知らないことを知る。自分がまだ知らない分かってない事を知 るということ。そのためには広い見識が必要である。目の前のことしか見えてない輩には できない。そうした輩は全部分かったつもりでいるので、扱いは厄介である。`2g/11 サンドボックス製品で FireEye は最近とんと耳にしない。どうなっているの。 まだ売っ ているのかな。UTMは FortiGate で決まりという感じ。 これまで Junniper を使って いた企業も新しく買うのは FortiGate という話。まだ PaloAlto は聞くけど。`2h/03 かつて日本には国産の組込型OSでトロンというのがあった。アメリカの意向で普及しな かったと言われる。調べたら昨年6月に IoT用のプロジェクトが発足していた。トロンに は脆弱性は聞いてない。今後の注目株かも。`2h/03 雑誌「日経コミュニケ−ション」2017年7月号で休刊に。松田氏の "新間違いだらけ のネットワ−ク作り ネットワ−クエンジニアは死なない"、最後の記事はサ−ビスインテ グレ−ションということだった。松田氏の記事はずっと目を通していた。`2h/07/m * 四口メモ 一昔前のようにWANを変更するのは一大事という感覚ではなくなった。IIJの営業い わく中東やロシアやアジアの国々を手がけている。中国は別にどうってことない。普通の 営業マンでやれると話していた。回線を引き込んで設定されたル−タにネットワ−クケ− ブルを差し換えるだけ。ル−タのIPアドレスはこれまでのと同じでいい。2005年頃。 ノ−テルのアバイアというネットワ−ク装置が斬新らしい。SDNとはまた違ったア−キ テクチャらしい。SDNは今一つ普及に弾みがつかない、そこに登場したのがアバイアら しい。これは製品の名前かな。`2f/08/28 にSI業者に出向いて話していたときに向こう のエンジニアさんがこんなの知ってますか?と話してくれた。 インプレスからのメ−ル customer@impressbm.co.jp、送信日時: 2015/09/15、件名: IoT 展開の要件を情報・物理セキュリティの側面から議論する 【IoTセキュリティフォ−ラム 9/30開催】すべてのモノがつながる時代の安心・安全を考える。自動車会社の研究部門の 人の発表もあり、そこのところが気になったのでメモしておいた。 ヤマハのファイアウォ−ルは前からあった SRT100。 後継機種が 2012/11 に出た FWX120。 SRT100 はファイアウォ−ルル−タという名前。FWX120 ははっきりと、ファイアウォ−ル と位置づけた。これらは透過型ファイアウォ−ルができる。RTX1200 とかはブリッジ接続 であるとか透過型接続はできないみたい。みたいでなく、出来ない。`2g/01 25章の目次、項目を書いてみたが、どこまでやれるか。まさに "25.やれるところま でやってみる" ということになると思う。付き合いのあったSI業者の営業さんは東京に 行ってしまい、後任は紹介されたものの一向何も言って来ない。営業が話が通じないとで きるものも出来なくなる。ITは機器装置ではなく結局、人が設置設定するのだ。 "25-7.世界@に平和が訪れますように" のこと。"世界@"と言うのはインタ−ネットでつ ながった世界のことを言う。実世界全体をいうのはちょっと無理がある。せめてインタ− ネット並びにイントラネットでは安全な世界が欲しい。そして自分がやれる最後まで現実 的なセキュリティ対策をやっていこうではないか。これで本当に最後の章にする!。 トヨタが在宅勤務を8月末から実施のニュ−スあり。総合職の半数1万3千人が対象。思 い切ったことをするものだ。トヨタで大きなプロジェクトが動いているという噂は昨年辺 りからあった。中部のSI業者はかなりの人材が関わっているという話を聞いていた。ト ヨタの動きは中部の他社にも大きく影響する。もう会社に毎日来んでいいぞ。`2g/06/09 重要なのは事実だ。何か対策を考えるとして、候補となる対策製品の幾つかで実際に何が できるのか。それを調べること、見極めること。それができれば自ずからどうすればいい か答えは導かれるというものだ。得てしてそうした事実が分からないまま、雁首寄せて会 議を何回もやって、ああだこうだ無駄な時間を費やすことはよくある話である。 日経の雑誌をパラパラっと見ていたらネットワ−クの設計には2年ぐらいかかると書かれ ているのを最近見た。3ヶ年計画とかでネットワ−クの見直しをするとか言うことだろう。 そして5年持つ設計を行なう。昨今なら標的型攻撃の対策、インタ−ネット接続回線の冗 長化とか。大きくはクラウド時代のネットワ−クのあり方を検討するということだろう。 Windows 7 での画面キャプチャ。PrintScreen キ−を押す。クリップボ−ドに画像が一時 保管される。Windows の "ペイント" ソフトでも起動し、画面のところで Ctrl+v とやる と画像が出る。忘れた頃にこの操作をやって一時保管のフォルダがどこだったか、時間を 浪費してしまう。Google で探して、そういえば Ctrl+v で張り付けていたと思い出した。 パソコン用のウィルスチェックソフトは大体、専用装置の物より厳しくチェックするよう になっているらしい。マカフィ−やシマンテックなどセキュリティソフトを出している会 社を幾つも渡り歩いた人に聞いた。ESET はその中でも結構性能がいいらしい、 感触とし て誤検知もほとんど無いような感じ。サンドボックスのアプライアスはもう要らないか?。 FortiGate の VDOM のこと、忘れてしまった。2、3ヶ月ほか事をやっていたらどうだっ たかなとなる。 FortiGate-80C で SSL-VPN とプロキシにDNSを VDOM を作ってテスト していたのだが。これだけ詳しく書いていても、直ぐにもそうだったと思い出せない。ま してやメモ程度のものしか書き留めてなければ、まるで思いだせなくなるぞ。`2g/11/e "25-7.インタ−ネット接続モデル{j}" にびっしり詰めて FortiGate の VDOM をやってみ た設定の記述。 これを読み解くため先にテストで設定した FortiGate-80C の画面を見な がら、丁寧に設定を1つずつ書きだした。そしてもう一度、前にやったテストをして動作 確認をしてみよう。システムというのは少し気を抜くとシステムではなくなる。`2g/11/e 自宅のノ−トパソコンを買わないと。友人のおすすめはレノボをネットで買うこと。何や 会員価格というのもあり数万円安くなるので一時的に会員登録してしまう。Core i3 でも 4〜5万円とか。クレジットカ−ドの番号は登録せずに、その都度に入れるようにすれば いいだろうとも。OSは個人で買う分には Windows 10 Home Edition しかない。`2g/11 インタ−ネット接続モデル{j}、FortiGate のプロキシ機能を使うところ、 DNSの絡み もあって検討はなかなか厄介だったが、1週間執拗に動作確認をしてプランを作ることが できた。DNSサ−バだけはアプライアンスを別途設置することにした。他は FortiGate 1台でプロキシ機能を始め SSL-VPN 機能も含めることができた。完了だ!。`2h/01/28 "シュミレ−ション" と書いていたのを直した。"シミュレ−ション" が正しい。英語だと simulation。 どっちが正しいのか迷うとこだが、エミュレ−ション との比較で分かるの でないか。シミュレ−ションとエミュレ−ションの違いも迷う。シミュレ−ションは模擬 実験、エミュレ−ションはコンピュ−タや何らかの装置を模倣して代替させる。`2h/08/e "26-8. 縦と鉾とそれに0.1%との戦い" にて。さて、どうするかな。Apollo はいつま で動いてくれるのかな。見通しを付けるまでにするか。実際に設置設定までやるとなると かなり大変である。いやそうでもないかも。でも終わりヘのカウントダウンの日にちが定 まった。自然にそうなった感じがする、これでよしよし。`2h/10 FortiGate v5.4.3 のセキュリティ機能を挙げてみる。Web Application FireWall( WAF )。 Webフィルタ、アプリケ−ションコントロ−ル、アンチウィルス、 アンチスパムフィルタ、 エンドポイントコントロ−ル、侵入防御、ドメイン&IPレピュテ−ション、 脅威ウェイ トトラッキング、DLP。DNSフィルタ− というのもセキュリティ機能になるかな。`2h/10 * 五口以上メモ IPAのセミナ−資料より、2012年10月19日大阪であった "Email Security Conference"。 標的型サイバ−攻撃に立向う為に 〜攻撃の流れを把握し、総合的な対策を〜。 他にも参 考になりそうなのがあった "「脅威を入れない対策」から「実害を防ぐ対策」へ。" 外部 からの脅威をブロックする「入口対策」、情報が外部に持ち出されない為の「出口対策」。 http://www.ipa.go.jp/security/newattack.html 件名:[LACメルマガ20140414]不正送金対策に関する注意喚起情報を公開しました!、対策 の肝はネットバンキング利用者の意識と対策。緊急対策セミナ−『被害急増!不正送金ウ ィルスから身を守れ』〜口座残高0円で倒産の懸念も!? 不正送金被害の実態と対策〜、東 京にて 2014年4月16日3社により開催された。(株)ラック。(株)セキュアブレイン。(株) Doctor Web Pacifil はロシアから見た日本では、 最新の被害状況と今後の予測の話しが あった。その後どんどん被害が拡大している模様、テレビのニュ−スにもなってきた。 `2a/01 任せるか自分でめんどうみるか。 正直なところ任せたくても次に続く人がいない。 これはどこの会社も学校も役所も同じだろう。お任せの一番の問題はパケットのポ−ト番 号すら理解の範囲外になり、外に依頼するにも何をお願いするのか、しまいにはそれさえ 分からなくなってしまうこと。ファイアウォ−ルとても、もはや単純なものではなくいろ んな機能を取り込み複雑化している。IPSは更に難しい。機能や仕組み全部を理解する のでなくエッセンスを速やかに掴み取ること。それができる人材が近くにいるかである。 米FireEye の CTO がマクニカネットワ−クスのイベントで講演。 97%の企業が標的型 攻撃でマルウェアに感染している。2014年07月10日の記事だった。これを 2015/08/10 に みた。最初つい最近の記事かと思った。Macnica Networks DAY 2014。 1216組織を調 べたところ、97%が何らかに感染済み。有事のメンタリティで臨むこと。コンプライア ンスは弁護士が守るものでセキュリティとは異なるもの。なんと1年前の記事だった。や はりもうおまえは死んでいるは、相当に現実味がある。ITmedia エンタ−プライズの記事。 ネットワ−ルドニュ−ス 2015/11/19 に来たメ−ルで。11/19 の名古屋のセミナ−の案内。 進化していく標的型攻撃によるマルウェア感染をリアルタイムで検知する次世代の出口対 策 "RedSocks" をデモを交えて紹介。サンドボックスの製品ではない。C&Cヘの通信を IPアドレスだけみて判断し止める。C&Cサ−バの情報を高い精度でかつ30分毎に装 置に送る。入口対策では完全にマルウェアの侵入を止めることはできない。出口対策で情 報漏洩を止めるというやりかた。RedSocks Malware Threat Defender オランダ製。 NTTは "フレッツ・ADSL" の新規申込受付を 2016/06/30 で終了すると 2015/7/31 に発表した。これまでのフレッツ・ADSLの利用者はそのまま使える、打ち切りについ てはアナウンスはない。これからは FFTH サ−ビスの "フレッツ光ネクスト" を使ってく れ。フレッツ光ネクストが利用できない地域では、これからもフレッツ・ADSLの申込 み受付を継続する。でもパブリックIPアドレスを増やすのはできないかも知れない。 ZDNet Japan のホワイトペ−パ−ランキング、1位は "【レポ−ト】2014年はインタ−ネ ット崩壊の年 -- 情報セキュリティ−の世界に何がおきたか"。`2f/08/s にこの題名を見 た。CNET_ID でログインしてレポ−トをダウンロ−ドして見られるようになっている。こ の手のユ−ザ登録はしてない。日本アイ・ビ−・エム(株)作成の資料。これまでも毎年セ キュリティ動向のレポ−トを作成している。 マイナンバ−について。コ−ルセンタ− 0570-20-0178 平日9:30-17:30。個人番号カ−ド はICチップ搭載で顔写真や住所など記載で身分証明書として利用可能。将来電子マネ− など民間業者による活用を想定。平成28年1月から交付開始。通知カ−ドは身分証明書 として利用は不可。ただ番号が記載されているだけ。勤務先に番号を知らせないといけな い。会社での年金の天引き処理などに必要。 `2f/12/10 昨日パソコンをシャットダウンしようとしたらパッチを当て始めた。そのまま にした。今朝電源ボタン押すとパッチ当ての画面がでて、数分してログオン画面になった。 Outlook を開けたらいつもの画面でなく、カレンダ−も右にでていた。メ−ルも今日、昨 日、火曜日とかで出ていた。勝手に画面を変えたりしては困るぞ。昨日から FortiMailの 予備機も使ってサンドボックスのテスト環境を作るのをやっていたところなのだ。 NHKスペシャル「CYBER SHOCK 狙われる日本の機密情報」2016年2月7日(日曜日) 21:00〜21:50 放送犯行グル−プを追跡して中国の地方のIT会社にいきついた。 しかし そこまでだった。犯行をあばくことはできなかった。この番組、日曜日の一番いい時間に 放映された。さぞかし皆、観ただろうと思ったが翌日、話題になることはなかった。IT 部門の人は必見、会社の上層部の人も必見。だと思うのはワタシだけ−。 これまでお世話になってきたSI業者の営業さんに技術の人、セキュリティ会社のメ−カ の営業さん。お礼奉公ということか。それはそれで。しかし、やはり限界かな−。SI業 者とメ−カのエンジニアや営業さんの厚い支援で、限界を感じながらもやり遂げることが できた。彼等の後押しがなければやれなかった。最後の取組みとなる可能性が大の回線冗 長化装置にサンドボックス装置のこと。案外すんなりできた。まだまだやれるかも。 結局やっぱり自分で設定して動作の検証をしてというのをやらないとだめだ。SI業者は 設定資料の紙の1枚ももってこない。毎度のことでまるで想定内なのだが、やはりがっく りする。設定は英文マニュアルをメ−ル添付で送るので、見てちょうだい。気合い入れて 装置を触ってみるか。LinkProof のドキュメントではメ−カの技術者から感謝のメ−ルが きたぞ。それから幾つか教えてもらったので、こちらも大いに助かったのだが。 ファイル交換のクラウドサ−ビスで3時間はまった話。URLがドメイン名に加えて後ろ にもある。https://xxx.xxx.xxx/xxx/usr_index.action?nantokaId=henomohe こんなんが あってログイン画面がなかなか出せなかった。紙に書かれてあって nantokaId の I が小 文字の i なのか l(エル) なのか迷った。usr_index はアンダ−バ−でなくブランクに見 えた。さらに usr のとこ、user としてやっていた。何んて分かりにくい、紛らわしい。 FortiGate の DNS 指定のこと。ファ−ムウェア v5.2.4 では FortiGuardサ−バを利用を 選択するとあらかじめのIPが2つ灰色で記入されている。どうもこのIPでないとライ センスを認識しない。自社の DNSのIPなどを書いてもダメみたい。いったんライセンス が認識されたら、自社のに変えても認識されたままになるみたい。v4.0 では DNS 指定画 面には FortiGuard うんぬんのメニュ−はない。IPを2つ入れる所があるだけである。 トレンドマイクロからのメ−ルで "徹底解説 - ランサムウェア緊急対策セミナ−"と言う のが来た。"〜法人を脅かすランサムウェアの脅威とその対策〜"。2016/04/14名古屋のト レンドマイクロ支社にて、午後から。すぐに満席になって午前にも追加開催にしたという。 申し込みには"トレンドマイクロ・パスポ−ト" の登録がいる。IWSS の保守契約で1つか 2つユ−ザ登録しているが、これは別口である。登録したものの結局所用で行けなかった。 .リモ−トアクセスは FortiClient でやってもらうか。 F5社のでもデル社のでもどうも 専用アプライアンスはよろしくない。SSL-VPN のクライアントの Camail パソコン用ソフ トはインスト−ルすらできない場合だってある。ましてや設定だって悪戦苦闘させられる ことも多々。もうお付き合いできんバイ。FortiClient をちゃちゃっと試した。ユ−ザ認 証は FortiToken で One Time Password、これなら時と場所を選ばない。`2g/04 自社で持つインタ−ネット系サ−バを減らす。メ−ルリレ−とメ−ルストアはクラウドの メ−ルサ−ビスを利用。WWWサ−バも適当なクラウドのサ−ビスを利用。SSL-VPN 装置 もなくす、P-to-P 型のリモ−トアクセスのサ−ビスを利用するか IPSec VPN をファイア ウォ−ルで設定して使う。社内ネットワ−クにはプロキシサ−バとDNSキャッシュサ− バはどうしてもいるか。プロキシサ−バはクラウドのサ−ビスを利用できるかも。`2g/04 ."FortiClient インスト−ル" でも検索してみたら、日本語サイトも結構でてきた。 大学 のサ−ビスでの設定手順も結構でてきた。SSL-VPN 接続での例が多いかな。何年か前にリ モ−トアクセスの大学の状況を調べた時は、FortiClient の名前は出てこなかった気がす る。それとも FirePass とか市販製品名で検索したのかも知れない。いずれにせよ昨今は FortiClient を利用している大学は結構ある。それなりの信頼性も有るということだろう。 ファイアウォ−ルの FortiGate の置き換えのメドがだいたい着いた。 これまではフィル タリングのみだった。次の FortiGate ではサンドボックス連携を始めプロキシ、SSL-VPN、 IPS、アプリケ−ション制御、 Webフィルタなど盛りだくさん機能を利用することを考 えている。でも置き換えの一番の課題はフィルタリングのル−ルである。次の FortiGate はファ−ムウェアは最新で VDOM も使う。慎重にル−ルを見直して行かねば。`2g/07/e あわや Apollo がダウン。ハ−ドディスクがディスクレス機の起動の最終段階の辺りのと ころが異常をきたしたみたい。ディスク付きの親機はモニタにちゃんと映らない。もう1 台のディスクレス機に前に外付けハ−ドディスクを付けてセットアップした物で、復旧さ せることができた。親機ディスクで作業していたファイル等は、そのままコピ−して外付 けハ−ドディスクに移すことができた。Apollo がなければ仕事にはならない。`2g/09/s 自分の手の分身のようにつかってきた Apollo コンピュ−タが、とうとう寿命が近づいて きた。風の盆から帰って Apollo のエディタを触った瞬間におかしくなった。一応、別な Apollo を動くようにしたが、いつまでもつか分からない。ファイルの uid が一部壊れて いるみたいである。"イントラネット構築法"の既に書いた所にはできるだけ手を付けずに、 "[付録]j.イントラネット構築のメモ書き" に追加分は書いていくとしよう。`2g/10/s Apollo コンピュ−タのこと。かろうじて動いています。 別なマシン用に外付けのハ−ド ディスクにOSを入れておいた。これが動いたので壊れそうな Apollo とト−クンリング でつなぎ作業していたファイルをコピ−することができた。数週間経ってディスクのエラ −が起きて rgyd が効かなくなった。ロ−カルレジストリで自分のアカウントも root ロ グインもできなくなった。前に root ログインした状態で作業しているのだが。`2g/10/E ダウンディテクタ−というサイトを知った。多くのインタ−ネットのサ−ビスの稼働状況 を読者からの情報を元に出している。Office 365 の様子を調べていて、 ここの Outlook に辿り着いた。昨日起こった障害が件数のグラフが出ていて、読者からのコメントが寄せ られていた。MXレコ−ドが引けなくなっていてメ−ルがエラ−になっている、早くなん とかして下さいとか。マイクロソフト社のWebメ−ル、 かつて Hotmail という名前で 提供されていた。Outlook.com とか Outlook メ−ルとか名前が変わっている。`2g/11/s .IoTデバイスを狙った Mirai というマルウェア。 ボットネットを形成し史上最大の DDoS 攻撃を引き起こした。Iot には家庭用ル−タ、Webカメラ、防犯カメラ、DVRなどこ れまでにもある製品も対象である。 インタ−ネットにつながる物は何でもが IoT だから そうなるが、自分の思っていたのとは違った。冷蔵庫やテレビなんかはスマ−ト家電と言 われ前から IoT 候補になっていると思うが、もう実際に載っているのだろうか。`2g/11 .SSH の鍵まで作ってくれた Amazon EC2 を触ってみた。それがどういう事なのか1日でほ ぼ分かった。インスタンスは既に作ってあって、 つまり Linux マシンは仮想で出来てい た。SSH でアクセスしWebサ−バでもある NGINX を yum コマンドでインスト−ルして 起動してみた。これで社内から http://ec2-xxx とアクセスできるはずなのだが、できな かった。ping も ec2-xxx に出来ていたはずが反応なし。何か設定に触れたか。`2g/11/S .正味4日間で Amazon EC2 にWebサ−バを立てて、DNSサ−バも動かしてブラウザか らURL名でアクセスすることまでを確認した。http://web.nix.con と。 とりあえずこ こまでにしておこう。 DNSの named でパッチを当てるのはインスト−ルのアップ指定 するだけで出来てしまうのでないか。今回は Amazon Linux インスタンスだったのだがバ −ジョンアップはどうするのか。次回触る際にはそこら辺りを見てみよう。`2g/11/m Apolloをだましだまし使っています。マウスの右ボタンでファイルの名前をクリックする と通常はファイルが開くのだが、反応しなくなった。これまでもちょくちょく起こってた。 この場合は "Command: cmdf /usr/apollo/japan/knj2/cmdf/kdm_kdf3.cmd" とやればいい。 "Command: fl kf16b" と "Command: beep -off" もやること。開いたファイルのフォント が kf16b がちょうどいい。beep -off は半角全角の切り替え等で音がしないようにする。 10月の終わり頃、健康診断で胃カメラやって組織を採られて、その後どうもお腹の具合 がよろしくない。途中3日か4日ぐらいはどうってことなかった気もするが。しっかりし た便が出ない。大丈夫かな。胃カメラやって1時間して紙パックのコ−ヒ−飲んだ、2時 間ぐらいしてカレ−うどん食べた。刺激が強くて胃に穴があいたりしてないか。組織の診 断結果は出てない。胃の具合、かかりつけの医者に診てもらった方がいいかな。2g/11/M やっとお腹の調子が治った 2016/11/M。土曜日は便秘で日曜日はかろうじて少し便が出た。 月曜日に少し日にちの経ったス−パ−のコロッケを食べた、多分これがいけなかったと思 う。ちょっと味が変わったかと思いながら1つ食べたのだ。そして火水とおかしくて木曜 になってようやく収まった。いやよかった、胃がどうかなったのでないかと心配していた。 アマゾンの EC2 の動作、検討もできた。基本的なことは押えることができたと思う。 Apollo のロ−カルレジストリのファイルが壊れたらしく、外から ftp など root ログイ ンができなくなった。Cobalt Qube3 を設置してこれを ftp サ−バにし、いったんApollo から Qube3 にファイルを送り、パソコンから ftp してゲットするようにした。Qube3 ヘ のアクセスに時間がかかったり time out になったり。原因が分かった。 FortiGate-80C を手元でテスト、同じセグメントに WANポ−トをつなぎ、DMZには SSL-VPN を VDOM で設 置してた。SSL-VPN の仮想IPアドレスが Qube3 とかちあっていたのだ。 胃カメラの検査結果は白でした。約25日間も冷や冷やさせていただいた。たまったもん ではない。胃はストレスを受けやすいのでこうしたのはよろしくない。11/22 9時ちょう ど目がおかしくなった。モニタを見ていても5センチぐらいの四角の透明なのがふわふわ しているので。手帳にメモするのもそれが邪魔して書きにくい。こりゃ午後休んで眼科に 行かないけないかと思った。20分ぐらいして収まってやれやれ、しかし何かの前兆かも。 "FortiGate-600D"サ−バル−ムでないと耐えられない様な音がするかと思いきや全然だっ た。FortiGate-80C よりも小さい音だった。800D 自分の机の所に持ってきて、 ちゃっと テスト環境を作ってポリシ−ル−ティングの動作を確認した。現在の物のコンフィグレ− ションを 800D に入れて、ファ−ムウェアを順々にアップして行ったものを送ってもらっ た。Cobalt Qube3 をWAN側に置きLAN側からパソコンでアクセスして。`2g/12/s 800D ヘの置き換え順調に終えました。 SI業者の技術者と一緒に休みの日に二人でやっ た。正味停止時間は5分で済ますことができた。2台のHA構成なので1台をラックから 抜いても稼働、抜いた所に 800D を入れた。そしてラックにあるもう1台に差し込んであ あるネットワ−クケ−ブルを 800D に差し換えた。これでメ−ルが送受信できるかなど動 作確認した。それからもう1台 800D を入れてHA構成が機能するか見た。 年が明けてから体の調子が芳ばしくない。胃カメラからひきずっているような気がするぞ。 逆流性食道炎のケがあると健康診断の胃カメラでの検査結果がでていた。何じゃこれはと 思っていたら、どうも本当にそうなってしまったみたい。昨年の12月に風邪なのか気管 支の付け根辺りがムズムズした。近くのいつもの病院に健康診断の結果も持って診てもら った。風邪と食道炎の薬が出た。1月の半ば何かひどくなった。体が冷えるのは別か。 2017年になっています、頑張っています。 NetAttest D3 というDNSアプライアン スを3日程触りほぼ機能は把握した。DNSのル−トファイルを持っている、 FortiGate はそれがないのでどうしても別なDNS装置が必要だった。FortiGate のプロキシ機能と DNS機能を詳しく調べ、かつ NetAttest D3 も調べた。これでどう組み合わせて使うか だが、もうその設計はできる。インタ−ネット接続モデル {j} の設計である。`2h/02/01 インタ−ネットのDNSのヒントファイルの D.ROOT-SERVERS.NET のIPアドレスが、何 と2015年12月1日に変更になっていた。半年間、旧のIPアドレスも有効だったが とっくに過ぎてしまっている。 最近のDNSの実装には priming という仕組みがあって IPアドレスが変わってもあまり影響は無いようになっているらしい。変わったなんて知 らんかった。もうちょっと気が付くようにアナウンスしてくれんかな。JPRSからメ− ルが時たま来ている。メ−ル内容を検索してみたが、らしい記事はなかったぞ。`2h/02/S .そろそろ Fortinet の設置製品、ファ−ムウェアのバ−ジョンアップを考えないと。少な くとも半年毎、できれば3ヶ月に一度ぐらいアップするのがセキュリティ上、望ましいだ ろう。新着のリリ−スノ−トや、SI業者のサポ−トサイトを見たりしてアップのタイミ ングを計らないと。FortiGate-80C を試しに新しいOS系列の FortiOS v5.4.1 にした際、 メモリもCPUも食うことが分かり画面もだいぶ変わっていた。80C の代わりのテスト用 で 100D を先ずは手に入れて、それで1ヶ月ほど様子を見てからにしようか。`2h/03/S .外でパソコンで SSL-VPN やっている際、SSL-VPN装置で社内の許可したホスト以外、特に なにもしなければ Yahoo でもどこでもアクセスできる。 そのパソコンが社外と社内への アクセスの中継装置になっている訳で、やはり安全性は問題視すべきだと思う。 SSL-VPN 装置はDMZに設置するの。ファイアウォ−ルで WAN->DMZ へのポリシ−にIPSとかサ ンドボックス利用などセキュリティのチェックを適用すべきだろう。以前から分かってい た事で内はやってるけど、注意から漏れやすい気がしたので敢えて書いた。`2h/03/m .ひょっとして危ないかもと最近思っている IoT のこと。パソコンから 6to4 という IPv6 パケットが出ている。IoT は Linux で IPv6 を使っているのがほとんど。 ファイウォ− ルのフィルタリングのル−ルで IPv6 は特に意識してない。ひょっとして社内のパソコン がボット感染し、IPv6トンネリングがインタ−ネットのどこかと張られ、抜け道が作られ ていないか。IPv6 はこれまでずっと関係ないと思っていたが、 いつの間にかそうではな くなって来ていた。IPv6 を扱う方式は幾つもあるようだし、勉強しないと。`2h/03/m .FortiGate の VDOM で SSL-VPN 機能を設定するのはやった。root に設定するにはどうす るかと疑問は自身出したがそのままにしていた。どうなるかやってみることにしよう。し ばらく VDOM でプロキシサ−バを設定するのと、プロキシサ−バが利用するDNSのこと で細かな動作確認をやっていて時間をくった。DNSは結構ややこしい挙動だった。プロ キシサ−バは別に FortiGate を専用で設ける方がすっきりすると思った。それでSSL-VPN の方はすっかりご無沙汰して分からなくなった。復習も兼ねてまた触れてみる。`2h/03/E .今後セキュリティ対策を強化するとすれば、インタ−ネットへのアクセスの監視が挙げら れるだろう。SNSを見るのはダメ、見るのはいいけど書込みはだめとか。Dropbox も同 様なことで。FortiGate のアプリケ−ションコントロ−ルで、そうしたことができるよう なのだが、実際やってみると挙動がおかしい。Facebook で試してみようとした。 先ずは アクセスそのものをブロックにしたが Blocked! の画面が出てこない、出る時もあるとか。 FortiGateのバ−ジョンは v5.2.8、これだとまだこなれてないのかも知れない。`2h/04/s FortiGate の方はいったん置いておいて、FortiMail を今度はやっている。メ−ルの暗号 化対応の検討である。1日2日調べてみて、かなり厄介な感じがする。どこを暗号化する かいろいろあるみたい、クライアントとメ−ルサ−バ、送信先組織のメ−ルサ−バとの間 とか。暗号化方式も SMTP over SSL、SMTP TLS/STARTTLS の2つ。前者は個人向け、後者 が法人向けとか。FortiMail の"サ−バ−モ−ド" で暗号化の設定をして Outlook で暗号 化送受信、先ずはこのテストから。まだ証明書の扱いが今一つ分かっていない。`2h/04/m セキュリティ関係の専門セミナ− Security Days 2017/02/23 で聞いたこと。プロトラブ スという会社の話。この会社は切削加工や射出成形の試作品を短期間に制作するという国 際的な企業。営業マンはいなくてネットワ−クで、Web画面で3次元形状をお客さんと 確認する。モ−ルドフロ−解析も即時に行なう。ス−パ−コンピュ−タ?で切削パスなど 計算すると話していた。ITをフル装備した機械加工工場であり、ITで儲ける会社だ。 自分のホ−ムペ−ジを WordPress で作り直す。 4月終わりからの連休前半の方で作業し て少し格好になった。5月の3日からの連休に仕上げようと目論でいた。それが3日の早 朝からお腹の具合がおかしくなり、4日にはかかりつけの総合病院に救急外来で点滴を打 ってもらった。お腹が収まったのは5日の夕方だった。5月1日に京都に行って例の元お 茶屋に寄った。掛軸、花瓶、敷板その他もろもろ殆ど無くなっていた。この光景をみてス トレス性胃腸炎になった可能性が高い。'2h/05/s Apolloのモニタ画面で目がすごく疲れる場合というのが分かった。26章を作ることにし て、それまで25章などの付録に書いてきたのを、26章にまとめようとやった。一日中、 頻繁に Apollo のエディタを上下にスクロ−ルした。ここ数ヶ月かそこらはそんなにエデ ィタでスクロ−ルするようなことはなかった。ほぼ書き終えて所々、書き足す程度だった ので。目もほとんど疲れなかった。ひょっとすると液晶モニタを5センチぐらい前に出し たのも影響しているのかも知れないが。ともかく画面のスクロ−ルが影響してた。`2h/06 Apollo があわや使用不能になるところだった。これまで使って来た node_aaaa のレジス トリが壊れていて、かろうじてロ−カルレジストリでログインできた ikken で、 マシン を落とすことなく動かしてきた。事務所の停電でやむなく電源を落とした。その復帰でア カウントが expire していると警告が出てログインできなくなった。もう1台 node_bbbb は ikken でも root でもログインできた、 でもこちらのマシンもレジストリが壊れてい る。/sys/node_data/etc/daemons/ に rgyd ファイルはあるが稼働してなかった。`2h/06 node_bbbb に root ログインしてダメ元でこんなコマンドを打った。$ /etc/server /etc /ncs/llbd &、$ /etc/server -p /etc/rgyd create &、$ /etc/rgyd をやってみた。そし て node_aaaa では時刻を node_bbbb のに合わせ起動し直した。node_aaaa で ikken、そ して root でログインできた、何か見慣れない警告らしきものが出たが、ログインさえで きればこっちのものだ。node_bbbb のマシンをシャットダウンし、node_aaaa だけ稼働に した。node_bbbb のディスクは異音がし、ソニ−のモニタで映りがおかしいのだ。`2h/06 大塚商会からのメ−ル 2017/08/03、オンラインセミナ−の案内で "SSL-VPN専用機で世界 シェアトップクラス、SA・MAG は順次サポ−トが迫っています。入れ替え先の PSA、その 実力は?"。PSA はパルスセキュアジャパン(株)。アメリカ Juniper Networks 社から分離 してできた会社。日本法人は 2015/07/28 設立。Juniper がこれまで販売してきた MAGは なくなり、SSL-VPN アプライアンス Pulse Secure Appliance が後継機種ということにな る。2017/04/19 いろいろある製品を Pulse Access Suite として提供すると発表。 何か また名称がころころ変わる。直販はしなくて、代理店はマクニカネットワ−クス(株)。 たまたま間違った認識の上司が不幸にしている場合。いかに説得し、必要な提案を通して いくか。それ自体が我々ネットワ−ク管理者の一番の仕事であり、そのための戦略が必要 である。それこそ酒のみの上司なら正月に酒をさげていくとか。実際それやったことあり ます。効果てきめんでした。博士課程にいっている息子さんがいれば、どうされています か息子さんはの一言もききめがある。30年ぐらい前の話で。 事務所の自分の席に座っていて左胸のポケットの辺りから時折りカチカチという音がする。 `2h/10/S ぐらいから。何かな。足元に古いHP社のスイッチがある。Apollo をつなぐの にT字コネクタのネットワ−クケ−ブルを使っている代物。耳を近づけても特に音はしな い、しかしいったいどこから音がているのか。分かった3メ−トルぐらい離れた所に座っ ている人のマウス音だった。こっちの何かと共鳴しているのか、初めてだこんなことは。 中国でのWANを調べていて NNI というキ−ワ−ドあり。Google で [ 中国 NNI ] と検 索。NTTコミュニケ−ションズ www.cn.ntt.com/jp/services/network.html、中国国内 に閉じたネットワ−クを構築したいお客様、インタ−ネットの品質にご不満のお客様へ安 価な専用線サ−ビスを提供... CT NNI. 中国複数拠点の、グロ−バルネットワ−クをお考 えのお客様、NTTコミュニケ−ションズの Arcstarサ−ビスとの相互接続...。 IWSS は機能しているようだ。マシンで #df -k を久しぶりにやったら /dev/sda2 が Use 93% になっていた。半年に一度ぐらいはディスク容量をみないといけない。InterScan の パタ−ンファイルが溜まっていくのだ。/opt/trend/iwss/data と /opt/trend/iwss/data /actupdate 内の "... 47606917 Dec 19 2016 lpt$vpn.101" から "... 51892357 Aug 18 02:00 lpt$vpn.599" を消去したら 33% になった。ちゃんとパタ−ンファイルを出してる。 まだ背中が痛い。主治医に診てもらったら筋肉通でしょうと痛み止めの薬と湿布を出して くれた。そして次の診察は来年の1月に。しかし1ヶ月以上経っても代り映えしない、良 くも悪くもなってない感じがする。左肩甲骨の下の痛みは今はあまりなく、右の方の筋肉 が張っている。右の首下も張っていて首が右に回りにくい。それにお尻の穴から周辺の筋 肉も張っているようで、歩くのにぎこちなさが出てしまう。`2h/11/20 に蟹江温泉に行っ てしっかりつかって来た。本当に筋肉痛ならばもうそろそろ良くなってもいいと思うが。 2017年11月26日、午後9時から9時50分。NHKスペシャル「あなたの家電が 狙われている〜インタ−ネットの新たな脅威〜」。5千円で売っていたホ−ムカメラが突 然カメラの目が動いて自分の目と合った。Webカメラで外から家の中の様子がスマ−ト フォンでみることができる。すごく便利な代物だが、何者かに乗っ取られて覗き見されて いたという恐ろしい話。去年出たボットの Mirai の話もあった。去年から IoT の攻撃は 百倍になっているという。人間の無知がパンドラの箱を開けた、いや悪魔の棺の蓋か。 背中が痛いのは治らない。それどころか広がりを見せている。右の首、頭の付け根あたり か。臀部の左も痛くなって、痛みがなくなったかと思えば右が痛くなり。右の脇腹あたり もずきずき。1週間前からは座薬を使わないと体がもたなくなった。座薬は早朝に入れて それで何とか起き上がり会社に行っている。帰ってから寝るまでは飲み薬の痛み止めを飲 むが夜12時前ぐらいから痛みが増してきて、寝返りも打てない状態になる。かなりやば で状況である。よい子のイントラネットの最終更新日を 2017/12/16としよう。`2h/12/13 痛みによりもう思考も鈍って来ている。夜はほとんど寝られない。寝返りを打とうとする 度に激痛と戦っている。近くMRIの読影をした医師の見解も含めて整形外科の医者から 説明がある。首の辺りを撮ったMRI画像を先日取り敢えず見せてもらった。貴方の主治 医ではないので詳しいことは言えないというので、参考意見で構わないと見せてもらった のだ。横から撮った画像には骨の中に丸い黒ぽいものがあった。丸だから良性の腫瘍のよ うだ。首から下も調べる必要がある。今後どんどん検査を受ける事になると。`2h/12/14 * 今起きている潮流をよく目を開けて見よ `2f/11〜 ・人工知能はビッグデ−タと共に本物になる。IoT で全ての物がネットワ−クに繋がる。 ・ここ1年の「日経コンピュ−タ」を読むこと。大きなコンピュ−タのうねりがきている。 ・イントラネット構築は安全性はまだみていかないといけない。その他はもういいだろう。 ・インダストリ−4.0 製造業もこれで変わる。真の産業革命以来の革命になるだろう。 ● イントラネット構築法の総括を * 備えあれば憂いなし 普段からトラブルが起きたことを想定して準備しておくことが何よりも大切。トラブルが 起きてしまってからどうしよう、何とかしないと。慌てても無い袖は振れない。インタ− ネット回線やWAN回線のモデムやル−タなどの場所とか接続の様子、ちゃんと把握でき ているか。営業所なんかの拠点でのモデムやル−タやハブの状況はどうか、拠点にそれら が少なくともどこにあるかぐらい知っている人がいるかどうか。業者がやってきて機器を 設置して、だれもそれを把握していないことはよくある話だ。はびこってきた無線LAN も問題だ。どんどんパソコンを有線LANから無線LANにかえてしまう。するとある日、 ネットワ−クにつながらないパソコンがぽろぽろ出てくる。使用電波が飽和してしまうと か。有線LANのハブなら遅くなってもつながるのは維持されるはずだが。 * サイバ−攻撃は今や本物で日常 .今日、進行形で進んでいるサイバ−攻撃による情報漏洩事件、これに立ち向かう備えがほ とんどの企業、学校、役所などで出来ていない。もうやられて当然。ケンシロウの台詞で "おまえはもう死んでいる" じゃないが、もうすでにマルウェアは侵入している。 我々は 気付かないだけだ。侵入しているかどうかを検知するツ−ルを、おおかたの組織はもちあ わせていない。ツ−ルはあるにはあるが買ってない。サンドボックス製品はどこのSI業 者もまだ自信をもって扱えますという状況にはなっていない。年金機構の事件があって初 めてというか、ようやくサンドボックスじゃないと守れないということに気付いた。それ から慌てて社内で検討を始めたという按配である。それにまだ十分にこなれている状況で もない。サンドボックスの機能が入ってからの月日がまだ浅いのがめだつ。 * 限界を感じながら 歳食うと何に関しても面倒になるというが、その事が分かるようになってきている。若い 時のようにじっとしてない。未知の可能性にチャレンジするのが楽しい。そんなようには 行かなくなる。もっと歳を拾うと人に会うのが億劫になるという。まだやれるか。1つ1 つ追っていけばやれるとは思う。精神的な負担がのしかかってくるというか。それにこま ごましたことが気になって、大きくやれるという気持ちが出ないというか。一歩引いて大 きく見ると全貌が暗雲のように広がっていて不安を覚えてしまう。それは四国遍路のよう なもので、四国全土の地図を見ると愕然とする。しかし次の札所を先ずは目指すと言うよ うに一歩ずつと考えればやれる。それと同じように一つずつ手順を辿りながらやっていけ ばいい。確実に次の一歩を歩いて、お寺を一つずつ回って行けばいい。 * ITの先進装置の自身の取組み SI業者も満足にできない。そんな状況でも自身で決めていかなければならない。SI業 者の提案をまっていては歳が明けてしまう。情報が断片的で皆目全体像がつかめないとか。 IT機器の導入はやはり自前でやるというのを基本にしないといけない。ファイアウォ− ル、侵入防御装置、サンドボックス装置、メ−ルサ−バ、プロキシサ−バ、回線冗長化装 置などなど。本当のところはSI業者にお任せにしたい。でもそれではスム−ズな導入が 実質できない。回線冗長化装置とサンドボックス装置の導入を2015年から計画を始め た。そして2016年の初めに設置した。細かな打ち合わせ資料や設定資料を作成し数回 の打ち合わせで本番に臨んだ。やっかいな代物だったが無事終わった。これでおしまいに したい。終わりにするか。どうする。もう来週には3月になる、2016年の。 * ここから先がまとまらない `2g/02 最後の課題としたサンドボックスと回線冗長化の装置のまとめが書けない。FortiSandbox の設置はあまり問題にならないと踏んでいた。ほぼ同時に進めていた回線冗長化装置の方 が問題と思い昔、買った LinkProof Branch を引っ張り出してテストをやっていた。もう 頭も回転しなくなっているのか。FortiSandbox と FortiMail の挙動がどうにもすっきり しない。どういう順番でどういうチェックをしているのか、かなり肝心なところだが、そ れがどうもあやふやなのだ。つぶさにログを追いかけて書き出してみるのだが。例えばス パムと判定されているのに総合判断は問題なしで通過とか。こういうはSI業者の方で挙 動の様子を書いたのを用意すべきである。そもそもバグなのか仕様なのかさえ分からない。 また時間をみて自身でサンプルのメ−ルをいろいろ送って、動作確認をしてみたい。 * 盾と鉾にことわざが今も 昔から言われていることだが、防御する側より攻撃側の方が有利であるということ。あや ふやな防御をしていてはやられる。ファイアウォ−ルでもサンドボックスでも装置の機能 それにバグを把握して適切に設定しなければならない。防御のメカニズムを把握すること、 どういう防御機能があって、どういう順番で適用されるのかとか。例外処理はどうかとか。 製品が海外製だったりすると、なかなかその辺りが業者でも把握できていないことがまま ある。国内で利用しようとするところは、お互い情報交換などして、設定の精度をより高 める努力をしなければならない。業者に設定を任せてよしでは早晩、防御は破られてしま うだろう。装置の導入時に設定して、そのままではダメである。適当な時期に新しいファ −ムウェアやパッチをチェックし、それに新しい機能をワッチしていかなくては。 * 検討し始めて3日で設計 これは回線冗長化装置のことだが。LinkProof を設置して設定するのに神経を集中してい た。ほぼすんなりと稼働ができた。それから半月足らずで今度はサンドボックスの装置を 設置設定した。こちらはほぼSI業者さんにやってもらったのだが、それでもログの見方 であるとか装置の設定をできるだけ詳しく見ておくように努めた。その間にログを見てい て挙動がおかしいのでないかとSI業者とやり取りしたり。設定を細かく調整したりして いた。そんなことをやってまた半月がたって、ようやくサンドボックスも安定して稼働す るようになったとみえる。両者の社内マニュアルを書かないけない。書いておかなければ いけない、そう思いつつもなかなか取り組みができなかった。サンドボックスの方は何と か書けそうだが、回線冗長化装置の方はてんで忘れてしまっている。思い出さないと。 * ITセキュリティの防御 例えばミサイル攻撃から守るには。1)ミサイル発射基地を破壊する。2)飛んできたミサイ ルを打ち落とす。3)人や物を疎開しておく。ネットの世界では攻撃は大方ボットという攻 撃である、いきなり着弾して爆発するのでなく、侵入型爆弾というべきか。アフガニスタ ンの山中に落とされた恐ろしい爆弾のようなものだ。地面を掘っていって、地下トンネル で四方八方に窄烈するという。ネットワ−クのセキュリティ対策というのも同じこと。1) は一般企業では対処できない。2)はファイアウォ−ルや侵入防御装置で攻撃をブロックす る。3)は万が一攻撃を受けても大丈夫なように重要なものはコピ−をとっておくことであ る。ここから `2g/03 に追記。1) は昨今ならスクラビングサ−ビスを使えば DDoS攻撃の パケットを回避できる。飛んでいるミサイルを空中で向きを変えるということか。 * ITの締めはただの木辺で `2g/10/E ファイアウォ−ルの FortiGate の置き換えのこと。 ラックの敷板に1Uを2台設置して いる、HA構成なので。その上に1Uのアプライアンスが何台か金具なしで乗っかってい る、FortiGate よりも奥行きが少しある。 この FortiGate 2台をラックの正面から抜い て新しいFortiGate を差し込む。サイズは同じ1U。抜くと上のアプライアンスが宙ぶら りんになって下にたわみポッキとなる?。それでアプライアンスと敷板の間に木辺を挟む ことにした。ちょうど1Uの厚み位のがあり、2つを重ねてアプライアンスを少し持ち上 げればちょうどいい按配にかませられるのを確認できた。これで置き換えができる。結構 重要なことだと思う。下手したらノミを自宅から持ってきて木辺を削らないといけないか もと思っていたのだが。ちょうどいいのが自宅の方にあったので良かった。 * またまたITの締め付けが `2g/11/M いろいろ来るメ−ルに、改正個人情報保護法が来春から全面施行というのがあった。これ までは5千人以上の個人情報を持つ企業が対象だったのだが、人数は関係なくなるとのこ と。中小企業でもこの法律の対象になってしまう。そのセミナ−の案内だった。またまた ITインフラの管理面の強化が要求される。メ−ルサ−バはきちんと動いているのか、ウ ィルスチェックソフトのシグネチャは最新になっているのか。ファイアウォ−ルは適切に 設定されているか。際限なくチェック項目が増えて行く可能性がある。中小企業ではそん な対応は無理だぞ。そもそも必要なセキュリティ対策を実施することができる人材がいな い。公衆便所に見る清掃チェックシ−ト、そんなようなことをITでやっても本質的な対 策にはならない。まだ分からないのか。だから日本はダメになっているのだ。 * ネットワ−ク設計の新潮流 `2g/11/e そろそろSDNは取り組みを始めた方がいいと思う。どんどん組織のネットワ−クは大き くなっていく。多分いろんな要望が出て場辺り的にセグメントを追加したり、無線LAN のアクセスポイントを増やしたり。はたまた企業買収する/されることにより相互のネッ トワ−クがNAT技術などで複雑に絡みあってくる。ネットワ−クの構成要素の基本はレ イヤ3スイッチとWANル−タであり、物理ネットワ−クとしては限界に近づいて来てい るのでのでないか。ネットワ−クをソフトウェアで制御しましょうというSDNの考え方 は、この複雑さの問題を解消する唯一の打開策になるだろうと思う。自社単独のネットワ −クを考えるだけならまだしも、関連会社全体でとなると親会社が全体設計をしないこと には始まらない。いやソフトウェアだから、後で何とでもできるかも知れない。 * あともう少だがんばれ! `2g/11/e この2ヶ月ほどメ−ルが1週間に1通か2通、 誤検知するのでずっと FortiMail のシス テム隔離をチェックしている。FortiSandbox が Excel のまっとうな添付ファイルを誤検 知するのだ。これは誤検知でしたよと FortiSandbox に教えることができないのか。それ こそ昨今の話で人工知能で、そうでなくてもちょっとしたパタ−ン解析でできそうな気が するが。FortiSandbox のホワイトリストに登録しか対処はできないみたい。 スパムの方 は誤検知はない、自分のユ−ザ−隔離をたまに見ていて。ともかくそんな状況なのでこれ に気を取られて FortiGate の置き換え、FortiSandbox との連携で情報漏洩の対策。こち らの段取りがなかなか手に付かない。もっとも自身の集中力の欠如も年齢にふさわしいも のになって来ているのかも知れない。やはりそろそろ潮時というか、この案件が最後かも。 * ネットワ−ク設計の新潮流2 `2h/03/S SD-WAN は回線冗長化装置の代わりになるか。 負荷分散装置を設置するのと似たようなこ とになるのでないか、これもソフトウェアで設定し動作を制御するのだから。DMZがあ る場合は無理だと思う、どうしたって LinkProofのような専用装置がないと対応できない。 もう1つ SD-WAN は企業統合に役立つという話。親会社の社内ネットワ−クは手を付けず 買収先や子会社の方に SD-WAN を適用して対応できるのでないか。いろいろお互い要望が 出てきてル−タやUTMのNATやマッピングで、相手のサ−バを使えるようにしたりし ている。そうしたことをその都度やって、どんどんネットワ−ク設定は複雑になっていく。 収支付かなくなる。それを SD-WAN プログラミングで制御する。単純に子会社に同じIP のネットワ−クがあれば SD-WAN のコントロ−ラで違うIPにすればいいではないか。 * イントラネット構築の完結へ向けて `2h/05/s きちんとイントラネット構築を完結させる、そう腹をくくった。これからは茶道家として やっていくという気持ちが強かった。しかし現実では赤津の茶室にもレギュラ−となる人 が現われる気配はなし。昨年末までやっていた京都の茶席でも鳴かず飛ばずで。5月1日 に京都に出向き現状の様子を見せてもらい今後のことを話し合った。話しをするまでもな く何もかも無くした建物内の様子を見れば、もはやこれまでという感がした。自分が今や るべきことはやはりイントラネット、2つ残った課題に取り組むことだ。DNSサ−バを 手元から解放しクラウドサ−ビスにもっていくこと。もう1つはメ−ルリレ−をかつての EWSから FortiMail にすること。この FortiMail でもスパムチェックやウィルスチェ ックなどを行ないメ−ルストアの FortiMail、サンドボックスの負荷を減らす。 * メ−ルは無害化をすべきでないか `2h/08/M FortiMail それに FortiSandbox の導入でも、ウィルス入りメ−ル、昨今では多くが身代 金要求のランサムウェアなのだが、すり抜けてしまう。FortiMail にはまだ幾つものチェ ック項目があるが、1つでも有効にすると誤検知が増えることが予想できる。今でも誤検 知はあるが稀に起きるだけ、そんな重要でなさそうなメ−ル。誤検知のメ−ルを各ユ−ザ の隔離に入れて自身でチェックするようにすると、きっと不用意にメ−ルを開く輩がいて 感染してしまうだろう。メ−ル無害化を考えた方がいいのではないか。FortiMail でも出 来る。設定資料もあるので、一度 FortiMail の予備機で動作を試してみようか。 サンド ボックス装置が出て、当初はこれで大丈夫と思ったのだが。悪人はすぐにそうしたバリア を乗り越える。サンドボックスでの検知を逃れるウィルスを作っている。もうダメだ。 * 最後の最後で全ネットワ−ク設計 `2h/10/E どこまでやるかまた考えている。郷里の祭り明けに終わりにしよう提出しようと思ってい た。精神的なストレスのせいなのか祭りに帰る1週間前、朝起きたら背中の左肩甲骨下辺 りが痛い。それが10月13日のことだったか。まだもって痛いのだが、たまにお世話に なる接骨院に3日間行って少し良くなったか、それが10月の終わり。ともっかく10月 の初めプロキシサ−バの置き換えについて、プランは一応検討しようと FortiGateの機能 を見直していた。プロキシ機能を元にしてWAFSもできそうだと気付いた。海外拠点か らもこれでファイルアクセスが高速化できるかも知れない。拠点には FortiGateを透過型 で設置するのだが、WAN回線の冗長化を WAN LLB機能で、現地からのインタ−ネット利 用はポリシ−ル−ティングで。世界的なネットワ−クの設計がこれらで出来る。なかなか エキサイティングな事である。ただもう気持ちが着いていかない。やはり瀬戸際か。 * いろんなことが手詰まり感が出て `2h/11/m いろんなことが手詰まり感がでている。FortiGate のWAFS機能をテストしたかったの だが、100D は問題ないが 80C はこの機能がない。ディスクが無い?らしい。人工知能に よるメ−ルのウィルスチェックも芳ばしくない。手元のテスト利用のパソコンには既にト レンドマイクロ社以外のウィルスチェックソフトが入っている。ウィルスバスタ−クラウ ドを入れようとしたら "同時にインスト−ルできないソフトウェアが検出されました" と 出て先に進めない。先に入っているソフトを削除するしかないみたい。[msconfig ] 画面 の {スタ−トアップ} でこのソフトの〆を外しても変わらなかった。インスト−ルの最初 のところで "動作環境を確認して下さい"、 Internet Explorer をアップグレ−ドしてく ださい" と出る、ここで [いいえ] を押したら終わった。 IE 11 か Mozilla Firefox 最 新か1つ前のバ−ジョンでないといけない。全く面倒くさい話だ。どうするべ。 * FortiGate のDNSの動きをようやくすっきりできた `2h/11/m 書いたのがいろいろ散らばってしまった。検討していった過程でもあるのだが。どんな筋 だったのかここに書いておく。章としては3つある"25-7.インタ−ネット接続モデル{j}"、 "26-2.引続きインタ−ネット接続モデル"、"26-6.FortiGate 80C にはそろそろ暇を"であ る。ポリシ−ル−ティング設定しても FortiGate指定DNSへは、DNSパケットはデフ ォルトル−トを行く。FortiGate 内のDNSサ−バはル−トは見ない、社内用DNSサ− バとして使える、http://serve1 等いうエントリも作ることができる。FortiGate 内で指 定されたDNSを先ずみる、DNSサ−バがあればそれを見る。ずっと勘違いしてたのは FortiGate 内に設けたDNSサ−バは1個のDNSアプライアンスみたいな物だろうと思 っていた。それにしてはル−トDNSを見ないのは解せない。それにこのDNSサ−バは FortiGate本体で指定したDNSとは関係ないと思っていたことである。 * 社内用DNSサ−バ NetAttest は無しの方向に `2h/11/M "26-8.縦と鉾とそれに0.1%との戦い, (5)拠点も FortiGate で安全かつ高速に" にて 社内用DNSサ−バの DNSc、NetAttest D3 は基本的に使用しないと書いた。一番の理由 はル−トDNSが変更になったらそれを装置に反映する作業が必要になる。大したことで はないのだが、やはりDNSの仕組みをそこそこ理解しておく必要がある。残念ながらそ んな知識をもっている人は社内に他に居ない。 NetAttest の Soltion から時たまバグと かパッチとか案内のメ−ルが来る。幾ら社内利用といえども対外的に危険なバグもあるだ ろう。パッチやバ−ジョンアップも必要かも知れない。そんな判断をできる人材も勿論い ない。DNSはインタ−ネットの仕組みの要なのだが、今もって自身でも難しいと感じる。 挙動が把握仕切れてないところも事実ある。だいたいDNSのキャッシュが分かりにくく している元凶だろうとは思う、とりあえずそこら辺り今一度調べ直してみようと思うが。 ● イントラネットはシステム構築 * システム構築と言うものの正体 システム構築と言うものの正体は。事実の断片を拾い集めて、それらを繋ぎ合わせ意味の ある全体像にすること。事実の断片とはある物の機能、実際にやれることの見極め。自分 の持つ技術、他者がもつ技術。お金。組織での立場。つきあいのある業者。個人的な人脈。 ありとあらゆるリソ−ス。一見して関係のなさそうなものでも、つながりが見い出せるか もしれない。幅広い見地が必要である。システムはこのような基に築かれる。 少ない情報を元にどう判断するのか。間違っていたり、勘違いをした情報もあるかもしれ ない。だいたいこうした情報はまとまってなくて、断片的である場合が多い。それらを取 捨選択して、組み合わせて、一つの流れをつくる。そうすると選ぶべき道がみえてくるの だ。そうした事例として長谷川等伯と千利休の関係を調べて書いてみた。歴史的には両者 にはあまり接点は無いかのように書かれていることは少ない。いやでも深い関係があった。 その後2016年5月末に追記。大徳寺の三門の金毛閣の天井の格子画を、長谷川等伯が 千利休に依頼されて描いていたことを知った。同じ2階にあった利休の木造は秀吉の命に よって、一条戻橋に張り付けになった。天正19年2月28日、利休自刃。この年の11 月には朝鮮出兵を始めている。秀吉は狂乱したと言っていい。よくぞ等伯の絵が残ったも のだ。天井画の中に利休の意図を受けて描いたメッセ−ジが残されているかも知れない。 * システムというものの一つの例え << 今年最後のさえの会は琳派で >> `2f/11 京都は琳派四百年ということで今年初めから賑わいを見せています。漠然と尾形光琳がど うかしたのかと、何を言っているのかなと思っていました。琳派の元になった本阿弥光悦 が鷹峰に芸術村を開村して400年になるのを記念してのこと。この琳派なるもの、今少 し調べようと思う前触れがありました。 今年の初め家元の玄関で頭を下げた後、すぐ近くの本法寺に30年振りぐらいに寄ってみ たのです。ここで長谷川等伯の大涅槃図に圧倒されていました。等伯の利休画像のことは 勿論知っていましたが、あまり気にも留めてはいませでした。しかし一枚だけ何故、利休 の肖像画が等伯によって描かれたのか。 何かしら特別な関係があったのでないか。当時、絵師の世界は狩野派で占められ公家大名 御用達でした。等伯も初めは狩野派に絵を学んだのですが、早い内に自分の一派を立ち上 げました。狩野派の隙を突くように、有力な町衆であった堺の豪商の襖絵を描いて糊口を 凌いでいたこともあるようです。 どうやらその時期から利休とは親交があったのでないかと思われるのです。茶の湯と絵の 対比で見ると、狩野派は利休以前の唐物数寄。等伯は既成の絵画からの冒険者、利休も茶 の湯の変革者だった。お互い相通じるものがあったのでないかと思うのです。等伯の楓図 を見ればそれが分かると思います。 楓図の何と大胆な構図。日本画、特に昔の障壁画というのは部屋の装飾であり、ほとんど 絵画としての見方はされて無かったと思います。西洋における絵画のような価値はない。 しかし日本のそれは相当にデザイン性に優れ、色彩豊かで、かつ大胆。尾形光琳の紅白梅 図屏風、その最たるものだと思うのです。 琳派というのは師匠はなく、残された作品を私淑して行った系譜です。本阿弥光悦亡き後 数十年を経て尾形光琳が光悦を学び、百年を経て酒井抱一が学びというように。その前に 光悦や光琳は等伯に学んだのではないだろうか。紅白梅図と楓図は中央に大木、川という 違いこそあれ精神性は似通っている。 利休自刃の時、等伯は53歳、光悦は32歳ぐらいだった。等伯も光悦も日蓮宗の本法寺 の檀家だった。本阿弥家は本法寺の創建から関わっていた。今も本法寺には光悦作の巴の 庭が残されている。ここで等伯と光悦の接点が見出される。さらに尾形光琳は、これまた 近くの妙顕寺にお墓が残されているという。 妙顕寺も日蓮宗のお寺である。何を隠そう、このお寺で一週間寝泊りしたことがある。表 千家短期講習の宿舎だった。朝の勤行から始まり掃除、朝食を済ませ着物に着替え家元の 稽古場へ。そしてかちかちの畳にずっと座りぱなしという。まさに茶道三昧の日課だった。 妙顕寺にはその後も何度か行った。 どうやら初期の琳派は日蓮宗と関わりがあるようである。鷹峰というのは京都駅からだい ぶ離れている。当時はそれこそ都の果ての地。家康は日蓮宗に影響力のある光悦を、辺境 の地へやったという説もある。等伯は晩年、帝から有力な位を賜っていて、彼の影響力も 無視できないものがあったに違いない。 家康は等伯が70歳という高齢にも関わらず、江戸に下向するように命じている。道中病 にかかり江戸到着して2日後に亡くなったとされている。信長、秀吉は本願寺派の一向宗 にてこずった。家康はその轍を踏むのを嫌って、日蓮宗を遠ざけたのでないか。等伯の死 はいかにも不自然、家康によって殺されたのやも。 徳川の時代になり自由闊達さを排除し、規範を重んじることとなった。秀吉亡き後から家 康が天下を制し戦の無い世の中にしてから。下克上の世界から秩序の世界になった時、利 休のような既成概念を破るような茶の湯者は必要なくなった。それは絵の世界でも同じこ と。御用絵師、狩野派が重用されることになる。 利休の打ちたてた侘び茶は、それ以降どんどん形骸化して行った。形ばかりに囚われる窮 屈なものになって行った。利休の言葉を集めた南方録には、十年を過ぎず茶の本道捨たる べしと書かれている。しかし利休の精神は、絵という世界で等伯から光悦につながり、さ らに今日まで琳派という形で連綿とつながってきた。 ここ一週間ぐらい琳派のことが頭を離れず、ついにこうした一文を書いてしまった。さて 上七軒の12月の会は、琳派をテーマとしてみたいと思う。何かしら道具はないか考えて いるところである。あるいは家元界隈を歩き、本法寺や妙顕寺の拝観をするとか。何とか この琳派四百年に間に合わせることができるやも知れない。 蛇足だが妙顕寺では11月24日から11月30日まで、琳派の四百年祭に寄せて光琳曲 水の庭を公開し、上記の間は呈茶もあるという。最後に琳派を考えるきっかけを与えて下 さった、会社の食堂で同席し親しく声を掛けて下さった方に感謝します。 ● イントラネット構築の指南役に `2e/11 -------------------------------------------------------------------------------- もう自分が第一線でやるのではなく、人材を育てることをしないといけない。若い人を育 ててこれからのITを担ってもらう。情幇技連はその役目をするべきだと思う。もはやお 金儲けということではなく。日本の世界のこれからの人類の幸せと繁栄のためにも。 -------------------------------------------------------------------------------- * イントラネット構築の指南役 若いエンジニアを育てていこう。情幇技連ではできるエンジニアを募るだけでなく、これ から有望なやる気のある若者も含めることとしよう。IT企業の中にいて、連日の午前様 に加えて休日出勤、そんな働き方をしていたんでは、基本的なITの理解はおぼつかない。 大学の研究室のような集まりが望ましい。若い人を手足として使う。細々したテストや確 認をやってもらう。方向性を誤らないように少しの指導をすれば、それで人材育成はなる。 科学的なアプロ−チを取り入れた技術の習得ならびに検討の場である。 求められるならばSI業者の技術顧問になる。形態はいろいろあるだろう。情幇技連研究 所として契約するとか、契約社員で入るとか。そんなことより実質的に指導することが必 要なのだ。それをSI業者の会社が真に小生に求めるか、小生に依頼したいかである。 * イントラネット構築法の表紙 長きに渡ってイントラネットの構築を、典型的な日本の製造業の会社の中にあって取り組 んで来ました。その終着点が見えた時、新たな展開をしようと考えました。2011年の 5月頃、ふと浮かんだキーワードが情幇技連、じょうほうぎれん。情報技術を助けるとい う意味で"幇"という字をあて、技連は技術者の集まりということにしました。今なお複雑 かつ多様化するネットワークは留まることを知りません。一人で今後もこの世界を見極め て行こうとするのはもはや困難です。これからは他のエンジニアも巻き込み、広く叡智を 結集する場を作って行きたいと考えました。それが情幇技連であり、その窓口をFacebook に置いてみることにしました。優秀なITエンジニアを募りメンバーに加え、ディスカッ ションの場とします。そしてある時はボランティアとして他の人の相談に乗ることから始 め、後には有償での相談にも応じる組織に発展させて行きたい。ITのネットワークのモ デルを常に検討し広く多くの企業など組織にも適用していく。ITのベースとして信頼性 と安全性を確保するモデルを提案したい。行き当たりばったりのSI業者のスタイルから の脱却。システムとしてのITインフラを構築して行くのである。セキュリティの確保は その上に構築されるものです。賛同あるいは興味を持たれた方は、小生にどうかメールな り Facebook でコンタクトして下さい。2012/01/07〜05/26 の表紙にて。 * 情幇技連の創設の意味とは 動機もしくは使命、日本のIT基盤のボトムアップ。優秀なITエンジニアは日本のIT 基盤を底上げするため、さまざまな企業や組織の手助けをしなければならない。特に人材 のまるでいない中小あるいは中堅企業の手助けが必要である。それを支援するのが情幇技 連である。情幇技連はいわば同好の士による組織、コミュニティとして出発する。後に非 営利団体に発展させるか、あるいは会社として発展させるかは、また考えることにする。 情幇技連の場としてSNSの Facebook に Facebook ペ−ジを用意する。これで賛同する 人を集め、具体的にIT関連の有益な情報の交換をやっていくこととする。Facebookペ− ジは情幇技連研究所という名前を付ける。その中に情報交換の場として情幇技連の掲示板 のようなコンテンツを置くものとする。情幇技連研究所は書込みされた情報を取捨選択し、 かつ自身の持つノウハウや知識を加味し、整理した情報としてまとめる役目を担う。 エンジニアはこの組織に属してもいいし、支援を受けるだけで仮想的に属してもいいとす る。そしてその中から有志を募り、行く行くは1つの会社としていくことを画策する。そ れが例えば株式会社情幇技連である。個人としては、これまでのイントラネット全体の構 築をやってきた経験と知識を活かし、全体としてのネットワ−クやセキュリティのバラン スを考慮したアドバイスないし指南を行なうこととする。 ・ITエンジニアのコミュニティを "情幇技連" とする。 ・"情幇技連" のまとめ役を "情幇技連研究所" とする。"情幇技研" と略す。 * 情幇技連のコンセプト検討 Information Assist System Laboratory か Information Assist System Lab.。どちらが いいか。Lab. の方がいいかも、ラボと呼んで。"情幇技連" は2011年の5月20日か 4月22日、岐阜の満豊に向かう電車の中で浮かんだ。思いついたのは情報技連ではなく、 情幇技連で幇間の幇だった。情報の方がやはりいいかとか考えたが情幇で行こうと思う。 "情報技連"と"情幇技連"の2つを設けるというのはどうだ。`2b/09/23。"情幇技連"と"情 幇技連研究所"というのも浮かんできた。株式会社にした時は、株式会社情幇技連 としよ うか。それまでは"情幇技連研究所"としようか。まだ個人事務所な訳で、そういうことで は"情幇技連研究所"がいいだろう。代表は会社にした際に代表取締役にするとしよう。 情報技連は情報技術連盟という意味合にするか。えらく壮大なネ−ミングだ。そんなよう に解釈してもらってもいいし、ともかく情報技連でいいか。`2b/08/23 出勤の車の中で浮 かんだIAS、IASはイアスと読む。ias.jp はお名前.comで取得されている。ias.com と ias.ne.jp とかも全部、取得されている。isa-lab.info などまだ取得できる模様。 情幇技連は優秀なITエンジニアの集まりの名前ともする。IT関連の技術情報の議論の 場所とする。個人または企業を応援する組織でもある。無料で会員制にする。非営利団体 に将来的にはして行くか。将来的にはNPOとは別に、さらにできるエンジニアで会社組 織の株式会社情幇技連にしていくかだ。情幇技連研究所はその前哨戦の位置付けである。 情幇技連のは二つの意味合いがある。ITエンジニアの仮想的で緩やかな組織と、実際に 活動するコミュニティないし会社としての組織である。大震災の際にいろいろな人が仮想 的に連携して無料のサ−ビスを直ちに立ち上げた。これは新しい形態の組織と言っていい だろう。これと似たような形だと思うが、新しい概念のため適当な言葉や文字がまだない。 * 情幇技連を創設する背景 いつまでたっても個別で別途ご相談というSI業者。似たような規模の会社なり組織なら ば、どこでもやりたいことは似通っているはず。1つ雛型を作って、それを監視しチュ− ニングして行って、それをベ−スにして他の会社にも適用すればいいではないか。会社な り組織は学校や官公庁も組織に含んでの話。なぜそれができない。小生が十年来言い続け てきていることだ。もはや自分でやるしかないではないか。そういう結論に達した。 オンサイトの保守に入っていても、昨今、ともかく電話1本ですっとんで来るということ がなくなってきた。こんな状況では普通の企業のIT担当もどきの人には、装置の故障を 直してもらうのでさえ、できないという話になりかねない。いやもうそうなっている企業 は多々あると思われる。動かない、あるいはかろうじて動いているネットワ−クが続出す るぞ。そういう事態になっている事すら、把握できてない企業も潜在的に多いのでないか。 大学の教官と事務。役割分担。大学の先生がインフルエンザの予防接種のお知らせを学生 にするか?。そんなのは廊下やホ−ルなんかに事務方が貼紙している。奨学金の受け付け を先生がやるか?。やらんぞそんなことは。研究室の備品を買うのに、事務方が購入許可 のハンコを押す権利をもっているか。こうした住み分けを民間企業でもやるべき。優秀な 技術者を事務処理周りの部課長にしてはだめだ。そうした人材を埋もれさせたくない。 * モデルネットワ−クの作成 `2b/11 SI会社にこういうことやりませんかと提案する。共同でお勧めのネットワ−クのモデル を作る。ファイアウォ−ルは FortiGate でIPSは Radware で、メ−ルサ−バはどこど こ、クラウドはこれこれ利用して。そうした1つのお勧めのモデルを提案する。これは小 生が10年以上前から言って来たことである。1つの部屋に検証ネットワ−クを作り、顧 客が見学できるようにする。あれもこれもいろんなメ−カ、製品には手を出さない。 また別なSI会社がそれぞれモデルネットワ−クを作ればいい。その間で情報交換して一 部検証することにする。製品はメ−カから貸与か寄付してもらう。 大きな展示会で IPv6 コ−ナ−とかある。いろんな会社が製品を出して1つのブ−スを作っている。そういう感 じでモデルネットワ−クを作る。SI会社の部屋の1つに設置する、あるいはエントラン スか商談室の一角とか。このモデルに合致する、これでいいという会社に利用してもらう。 これを主導するのが情幇技研となる。さあこれで、どうやってお金を頂けるのか。まさに 研究所だ。協議会とかアライアンスとか、そこまではやらなくてもいいか。得られたノウ ハウ、ドキュメントはどこに置くか。Facebook の情幇技研のペ−ジか、 別にホ−ムペ− ジを立てるか。お勧めのネットワ−クモデルを一部でも導入してくれた企業は無料で利用 できるとする。また無料で見られるところも用意し宣伝することにする。 * 終わりはロングテ−ルか `2g/03 滅多にやらない装置の設定、5年に一度ぐらいしか起こらないトラブルに備える。これは たやすいことではない。なかなか難しい話である。たとえ自分で機器を設定したり、業者 の作業に立ち合っていたりしても、何をやったのか忘れてしまう。記録に残していたとし てもうる覚えになってしまう。機器をいじる自信も薄れてしまうし。やはりSI業者が何 社も面倒みることによってトラブル事例をたくさん経験することが必要である。 個々の会社が数少ないトラブルを頼りに対策を打つ、的確にかつ迅速に対策を打つのは容 易なことではない。SI業者がやらないのであれば、これからは情幇技連がやるしかない。 これまでは、このイントラネット構築法がそれを意図して、その時々のイントラネットの 一つのモデルを示してきた。大方20年になる。すでに腐沈化してしまった情報も多々あ る。しかしイントラネットをシステム構築という観点では、今も参考になるはずである。 情報は整理されていることが命。このキ−ワ−ドは是非、書いておきたい。インタ−ネッ ト上にはIT関連のことだって無数に書かれている。しかしそれが正確であるかは見る人 の判断に委ねられる。また大方の情報は断片的であり、一貫性が乏しい場合が多い。しか しそれは仕方ないこととも言える。日進月歩が早いIT分野のこと。情報は少ないのは当 り前である。製品は外国製の場合がほとんどで有償のサポ−トでも多くは期待できない。