20.コンピュ−タとネットワ−ク 20-1. マトリックス実現までの間に `27/12〜 (1) メ−ルサ−バをもたせるには * メ−ルサ−バのアウトソ−シング [ 主メ−ル環境 ] メ−ルサ−バは IIJ のサ−ビスを利用。メ−ルボックスも IIJ にしてしまう。これでメ −ル関係は全部、外に出すことになる。ウィルスチェックなど。メ−ルストアを自社内に もって、メ−ルを中継してもらうのでは、バウンスメ−ルなど問題がどうしても残ってし まう。2007年3月、IIJ からそうしたサ−ビスが出てようやく整った。メ−ルは IIJ のサ−バに保存することもできる。もういつ、このサ−ビスを利用するか。その時期を決 める時期に来ているように思う。自社で迷惑メ−ル対策もして、メ−ルの保存もして、う んぬんとやっていく時代は終わりを迎えつつある。それでも尚、今しばらく踏ん張るには どうしたらいいか。なんせ外のサ−ビスを利用するには、お金はそれなりにかかる。よい 子のメ−ルのユ−ザ数からすれば5年間で1千万円は最低でもかかる。さあ、どうする!。 [ 予備メ−ル環境 ] もしインタ−ネット接続が回線ダウンなどで長期に途絶えた場合のこと。社内にこれまで のメ−ルストアを用意しておく。各ユ−ザのメ−ルソフトは、社内メ−ルストアからもメ −ルを受けるようにしておく。ん?、Webメ−ルでそんなことできたかしゃん。まあで きたとして。ここにメ−ルを送れば社内に閉じたメ−ル環境ができる。さらにそのメ−ル ストアに、メ−ルリレ−の機能ももたせれば、外にもメ−ルを出すことができる。メ−ル の普段のやりとりは IIJ 側回線を利用。緊急時はもう一つの回線 TCP を通るようにして おく。解けた、パソコンのマルチアカウント機能を使う。同じアカウントで2つのメ−ル サ−バにアクセスするということ。Outlook で簡単に設定できた。 [ツ−ル]->[オプション]->[メ−ル配信]->[アカウント] ----------------------------------------------------------------- |インタ−ネット アカウント |---------------------------------------------------------------- |すべて| メ−ル | ディレクトリサ−ビス| [ 追加 ] |------- ----------------------- [ 削除 ] |------------------------------------------------- [プロパティ] || アカウント | 種類 | 接続 | [既定に設定] ||-----------------------------------------------| || 192.168.1.1 メ−ル(既定) ロ−カルエリア.. | || | |------------------------------------------------- □ IIJ MX メ−ルボックスサ−ビス |1.1.1.1 (MX1次) Mail-Store と Mail-Relayと分 -------------------- けるのでなく1台で済ませても | | いい。Mail-Storeに中継機能も -------------------- 持たせてバリアセグメントに仮 : 想IPアドレスで出す。 □ Router □ MR 仮想IPアドレス | |.3 Mail-Relayは基本的に、外へメ ---------------------------- 202.241.128.0 −ルを出すのみ、外からのメ− | □ MR ルは受けない。FireWall-1でも |.2 |.1 メ−ルが Mail-Relay に来ない FireWall-1 □----------------- 192.168.2.0 ようにル−ル設定をする。 | □ MS □ PC |.2 |.1 |ユ−ザ ---------------------------- 192.168.1.0 [追加]で受信メ−ル(POP3)、送信メ−ル(SMTP) [ 1.1.1.1 ] にして [既定に設定]をクリ ックする。受信メ−ルサ−バ−のアカウントとパスワ−ドは一緒。[ 192.168.1.1 ] の方 は [プロパティ] で受信メ−ル(POP3)、送信メ−ル(SMTP) [ 192.168.1.1 ]のままで。以 下のようにする。これでユ−ザのメ−ルソフト Outlook は、1.1.1.1 と 192.168.1.1 の POP3 サ−バに等しくメ−ルを取りに行く。メ−ルの送信は (既定)になっている方へいく。 IIJ 回線がダウンした場合。Outlook を 192.168.1.1 の方(既定)にする。 社内のメ−ル はこれで使える。外へも別回線を通るようにすれば出すことができるはず。LinkProof が あるといいか。1.1.1.1 (MX1次)、MR 仮想IPアドレス(MX2次) としたら。MX2次 にメ− ルが来たのは Mail-Store へ中継させる。こういうことも可能かもしれないが、また複雑 さを増すだけになる。やらない方がいいと思う。 |------------------------------------------------- || アカウント | 種類 | 接続 | ||-----------------------------------------------| || 192.168.1.1 メ−ル ロ−カルエリア.. | || 1.1.1.1 メ−ル(既定) ロ−カルエリア.. | || | |------------------------------------------------- * メ−ルをメ−ルサ−バで保存する案 思いついたことが一つ、Mail-Storeの中でメ−ルスプ−ルを各自もう1つ持たせることが できないか。sendmail.cf をちょっといじればできそうな気がする。商用 Sendmail には そんな機能が入ってないものか、残念ながら聞いたことがない。IIJ はずっとメ−ルサ− バには sendmail を使っているという、そしてかなり手を加えているとのことだ。多分や ればできるな。ともかく、もう1つ用意したスプ−ルにはメ−ルはずっと溜めておくこと にする。ディスク容量は限りがあるので、適当に1ヶ月とか半年過ぎたのは消すとかする。 これによりパソコンのメ−ルのファイルが壊れたり、パソコンがクラッシュした際のメ− ルのバックアップとする。まあ POP3 でメ−ルを残す設定にしておけば済む話ではあるが、 これだと何かの拍子にメ−ルを取りましたというフラッグが壊れて、溜まっているメ−ル 全部を取りに行くことがある。個人のプロバイダでこれまで2回そんなことがあった。 * いっそ Scalix メ−ルソフトにするか Outlook と外観や操作性がほとんど一緒のWebベ−スのソフトがでた。コマ−シャルオ −プンソ−ス、ここまでは無料だが、ここからは有償とはっきりさせたソフト。このソフ ト簡単に言えば Ajax を利用したWebメ−ル。メ−ル以外にスケジュ−ル表もあり、マ ウスで移動したりできる。例えば自分の予定で会議を月曜の1時からを水曜の4時にする とか。マウスで引っぱって簡単に変更ができる、これを見た時には驚いた。ブラウザでそ んな自由度の高い操作ができるとは。プログラムの安定性はほぼ十分あるとのこと。サ− ドウェア社が日本語化している、Z-Linux を扱っている会社。Scalixと似たようなソフト WitchMail はどうか。紹介記事「Software Design」`27/06, P.94〜97,"短期集中講座 セ キュアなメ−ル環境におけるWebメ−ルシステムの可能性を探る、第2回進化した Web メ−ルの姿を知る 〜WitchMail の操作性と機能を体感"。NECソフト(株)開発。`27/04 * 社内のメ−ル有効利用の検討 CRMソフトの SugarCRM を営業部門にいれるか検討する?。Webメ−ルの Scalix と の関係はどうなるか。SugarCRM 自体がメ−ルソフトなのか。 いやいやそれ以前の話とし て営業部門で使いたいのかどうかが問題である。情報は入るようで、検討はしているみた いである。SugarCRM を入れるからといって、 これまでのメ−ルシステムに影響受ける訳 ではない。Scalix はメ−ルのクライアント・ソフトであり、 これはユ−ザには影響する。 メ−ルの一斉配信はどうするか。営業部門が適当な安い Windowsのソフトを見つけて使っ ている。1万人ほどの顧客リストになっていて、5百とか千とかの単位でダイレクトメ− ルを送る。SS5 の Mail-Relay では5百を2回流すとパンクした、 Swap Error がでてき て終わり。新しい Sun のマシンに変えたら全然問題なく、昼間にどんどん流しても、 他 のメ−ルが行かないとかそんなことはまるで起きなかった。いつ流してもOKなの−。 * (株)ビック東海のサ−ビスでは メ−ルサ−バのアウトソ−シング・サ−ビス OneOffice Mail Solution。もう2、3年の 実績があるとか。でもよく分からない。ASP方式のメ−ルシステム。ウィルス、スパム、 迷惑メ−ル、ア−カイブと監査。http://oneoffice.jp/、SPAM Filtering 2.0はIronPort 製品を使用。SPAM Filtering 1.0 はバラク−ダの製品を使用していた、 新規の受け付け はしてない。新規の契約は Filtering 2.0になる。ネットに価格表も出ている。500ア カウントで OneOffice Mail 初期2万円、1アカウント255円。 OneOffice Mail Storage 初期3万円、1アカウント255円。OneOffice SPAM Filtering 2.0 初期3万円、1アカウ ント150円。メ−ル保存、全文検索。スパム対策もして500アカウントで 202,500円/月。 1年間で243万円である。`27/02 の展示会調べ。http://www.victokai.co.jp/。 一応 載せたものの、`29/05 時点でも自分の中ではこの会社のサ−ビスの評価は固まってない。 * Gmail も積極的に利用しよう `27/09 Webメ−ルを全部禁止にする企業なんかがある。ただ漠然とWebメ−ル危険だという 具体的な理由もなくてだ、君子危うきに近寄らずということか。しかし、インタ−ネット のような技術革新の早い分野では、新しいサ−ビスをむげに拒否したのではだめだ。敵を 知って使えるものは使う姿勢が必要である。Gmail はうまく使えば確実なデ−タの受け渡 し、リアルタイム性を実現できる優れたツ−ルであることは間違いない。Gmail もWeb メ−ルの1つだが、スケジュ−ル機能など幾つかの問題じみたことがあって、懐疑的にな っている人もいるのだろう。スケジュ−ル機能は公開しないに設定しておかないとGoogle 自体の検索にひっかかり、他人さんに自分のスケジュ−ルを公開することになってしまう。 大学や旅行会社がメ−ルを Gmailに全面移行とか記事をみる。しかしどこに申し込むの?、 会社の建物はどこにあるの?。 Google の画面には会社の住所も電話番号も書かれてない ぞ。まさか、メ−ルだけで全部済まそうなんて考えではないよな。単純な疑問でした。 * Gmail の危うい追加機能 `27/09 Mail Fetcher という機能が Gmail に追加された、`26/12 のこと。Gmail が POP3アクセ スして他のメ−ルサ−バからメ−ルを取得してくる。ここまでなると、パソコンのメ−ル ソフトと遜色ないことになる。当然のことながら、これを利用するには、例えば自社のメ −ルサ−バのユ−ザのアカウントを Gmail のサ−ビスに登録する。POP3 アクセスのアカ ウントである。これはちょっとばかし考えないといけない。本人は POP3 アクセスのユ− ザ名、パスワ−ドは知っているわけで Gmail に登録しようと思えばできる。 でもそんな ことを各人の判断で勝手にやってもらっては困る。そもそも、本書では外からMail-Store への POP3 アクセスは FireWall-1 のル−ルで、一番初期に設定した時点からできないよ うにしている。`29/05時点でのこと、小生は Google の姿勢に少々懐疑的になってきてい る。ストリ−トビュ−など独善的なところが目につく。これは便利な機能だろう、きっと 皆も喜んでくれるに違いない。そんな安直さが Mail Fetcher にも感じさせられる。 * 迷惑メ−ル対策のアプライアンスの導入 `28/03 --- InterScan7 にて解決 --- 迷惑メ−ル対策のためにゲ−トウェイ型のアプライアンスをやはり導入しよう。昨年の計 画では Mail-Relay のマシンを新しい Sun にしたところで、 Greet Pause をかけて時間 を5秒から順々に上げて20秒ぐらいまでもっていき、最終的に5割はspamをブロッ クさせる。 Mail-Store の InterScan eManager のキ−ワ−ド・フィルタリングでもって "セックス" とか明らかにビジネスと関係ない文字列を50ほど登録して、 これで7割か ら8割をブロックする。大方のユ−ザはこれで文句は出まい。日に百通前後きているよう なユ−ザで、何とかしてくれと言ってきたところに FortiGate-50B をかまして、 迷惑メ −ル対策機能を使う。FortiGate は12月頃テストした際には、誤検知が1日に1つや2 つあったが、その後もう一度テストしたら、ほとんど誤検知はなく使えると一応判断して いる。Greet Pause の実際の適用のこと、これができない。順調にマシンが動き出したら もう怖くて sendmail.cf のパラメ−タをいじれないのが本音。 (2) 最後の検討はDNSであがり `27/12 -------------------------------------------------------------------------------- 最後の検討は最初にした検討。インタ−ネット接続、およそ10年前に最初に取り組んだ のがDNSだった。実験ネットワ−クを作り動作を確認していった。DNSも少しずつ機 能が追加されている。BIND 4 から BIND 8 でだいぶ変わり、更に BIND 9へと変貌してい る。やはりネットワ−クの基本である。技術に追従するため、改めて勉強が必要である。 -------------------------------------------------------------------------------- * DNSサ−バの新たな利用 最近身の回りでもよく耳にするようになった Active Directory。 情報漏洩対策とかで社 内のパソコンのユ−ザのアカウントを一括管理したい、パソコンの操作ログを取りたいだ とか、そんな場合に必ず Active Directory が必須だとか、あると便利だよとお出ましに なってくる。Active Directory は Windows 2003 Server 等に入っている。Windows 2003 Server にもDNSサ−バがある。 パソコンは Active Directory にアクセスするために、 先ずはDNSサ−バを見に行って、そこで Active Directory のIPアドレスを拾ってく る。そうしてパソコンのログオンが許可されたりする仕組みになっている。このDNSサ −バをどうするかは、ネットワ−ク的にかなり大きな問題である。 Active Directory は どちらかと言うと、我々ネットワ−ク管理者はこれまでほとんどタッチしてこなった。ま あ Windows のサ−バOSでもメ−ルサ−バ、 DNSサ−バを使ってインタ−ネット接続 してたところもあるが。あれはもう10年ぐらい前か、Windows NT の時代だ。 昨今の内部統制だとかSOX法の勢いで、ホスト系の端末パソコンをちゃんと管理しまし ょうということで、ホスト系業者さんが Active Directory も知らん間に設置しているか も知れない。もちろん Windows 2003 Server にはDNSも設定しているだろう。 そして 一部のパソコンはこのDNSを最初に見るように変更されているかも知れない。まあそれ はそれでいい。いずれ社内全部のパソコンで、ネットワ−ク設定の変更作業をすることに なるだろう。我々としても、それを一つのチャンスとして捕えたい。これまでイントラサ −バ等にアクセスするのにIPアドレスでやっていた。ブラウザにブックマ−クするなり、 画面にアイコンにするなりしていただろう。それをIPアドレスでなく FQDN でアクセス できるようにする。例えば intra.nix.co.jj というようにだ。 イントラサ−バ、メ−ル サ−バ、ファイル共有サ−バなどを FQDN とするのである。メ−ルサ−バは無理か、メ− ルのクライアントソフトに FQDN を書けるか?、基本的な話がある。 このために社内用DNSサ−バを、新しく Linux か Sun のマシンで立ち上げるか、ある いはホスト系業者さんが設置した Windows 2003 Server のDNSサ−バを使うか、 はた またDMZのマシンのDNSサ−バで view 機能を使うかである。イントラサ−バ、メ− ルサ−バ、ファイル共有サ−バなどを FQDN としてDNS管理にすると、何がうれしいか。 サ−バのホストは ping でヘルスチェックをして応答がなくなったら、予備のサ−バのホ ストにDNSのレコ−ドを変更する。変更の指示には nsupdate コマンドでやる。BIND 9 で実装になったダイナミックDNSで、何らかのプログラムを用意して変更情報を伝える ことができるはずである。ボットなんかは、そういうことを自動で全部やってサイトまで 立ち上げてしまうのだから。まあどこの会社でもこれまで、本番機がトラブルが起きたら、 予備を手動でIPアドレスを本番機のにしてということをやっているのだ。これができれ ば負荷分散装置を買わなくても、DMZ上のWWWサ−バの2重化もできるだろう。 * BIND 9 で実装された view の機能について これまで BIND 8 で使ってきた named.conf の記述。これをとりあえず内用と外用で同じ 記述にして view "NAKA" { ... } と view "SOTO" { ... } で囲む。"NAKA" とか "SOTO" は何でもいい。先に出て来る "NAKA" を見て見つかれば、それが使われて抜ける。見つか らなければ次の "SOTO" を見にいく。プログラムの if 文みたいなもんだ。 BIND 9 特有 の options {} は全体のことで適宜記述すればいい、key と controls はまた後で書いて もいい。view の記述は、その仕組みをちゃんと理解してから使うべきである。 分からな い内は無理して使う必要はない。BIND 9 にしてDNSの働きがどうもおかしい、 それで いろいろ試す過程で view の設定もやってみた。その時まだ正直 view は理解できてなか ったので、何かあるといけないと思い、DNSの Serial 番号はアップさせなかった。結 構それは正解だった。view の利用は綿密な検討が必要だというのが今の感想である。 □Router □hostA' PC は FireWall-1でIPアドレスの変換 | |.3 "Hide behind Gateway" の設定でDMZ ------------------------- 202.241.128.0 の hostA には 192.168.2.2 からのアク | □hostA セスになる。外には 202.241.128.2から .2|.2 |.1 のアクセスになる。FireWall-1 Ver.4.1 hostB □------------------ 192.168.2.0 の時の名残で "Hide behind IP Address □ |.2 □Server △PC [202.241.128.2]"にすると、hostA にも .1| | |.7 |.8 202.241.128.2 からになる。このことは --------------------------- 192.168.1.0 DNSのアクセス制限をする際に必要だ。 named.conf で view をどの様に使うべきか。例えば Mail-RelayホストのIPアドレスを zone "nix.co.jj.outer" には 202.241.128.3、zone "nix.co.jj.inner" は 192.168.2.1 を記述する。内部ネットワ−クのパソコン PC には、DNSサ−バのIPアドレスはこれ まで 202.241.128.3 だったのを 192.168.2.1 を指定する。 PC から Server にアクセス するのにこれまで直接 192.168.1.7 を入れていたのを、server.nix.co.jj と指定ができ るようになる。view機能で内部ネットワ−ク用DNSサ−バとすることができる訳である。 内部用のゾ−ン情報は外に漏れないように注意しなければならない。問い合わせができる のは内部ネットのホストだけ。ゾ−ン転送はどこにも許さないように、view "NAKA" では allow-transfer { none; }; とすべきだろう。このため、どこにも内の情報を出さないの でDNSの Serial 番号は関係ない。view "NAKA" 内ではSerial 番号は無意味である。 FireWall-1 で内部ネットのホストからDMZ 192.168.2.0 へのアクセスはIPアドレス の変換はしないようにした方がいいのでないか。できるかどうか調べないと分からないが、 できる気がするが。特に意識して FireWall-1 を設定しないと変換するようになっている、 Hide behind Gateway が指定され 192.168.2.2 から hostA へのアクセスになる。 hostA のDNSサ−バを内部ネットのパソコンが使う場合、その制限の設定を match-clients { 127.0.0.1; 192.168.1.0/24; }; とする。IPアドレスの変換をしているとこの記述がも う少し必要になる、192.168.2.2 と 202.241.128.2 だ。 match-clients には基本的には 社内のネットワ−クのIPアドレスを全部、列挙するのがいいのでないか。プロキシサ− バは HTTP や FTPの代理応答であって、DNSの代理応答もできるがパソコンにはDNS は 202.241.128.3 とプロバイダの2次DNSを書くのが普通だと思う。 * 実はマシンの置き換えでもある まると10年動いてきた Mail-Relay ホスト、Sun の SS5マシンを最新マシンに置き換え る話。いきなり置き換えるのではなく、メ−ルとDNSの動作確認をできるだけした上で 実施する。新しいマシンを hostM としてDMZにテスト設置する。 hostM からもメ−ル は内外に出すことはできる、詳しくは次節を参照。DNSサ−バとしても働く。社内ネッ トの PC でDNSのIPアドレスを 202.241.128.3 でなく、202.241.128.9にしてもいい。 インタ−ネットのサイトのホスト名解決するためのDNSサ−バが、DMZ上に2つある ことになる。内部ネットだけでなく、外のパソコンが hostM' のDNSを利用することも 可能である。hostM のDNSでSerial 番号を、本稼働 hostA のDNSより上げたのを記 述しても、本稼働のDNSやプロバイダの2次DNSには影響しない。 □hostA' □hostM' BIND 9 はデフォルトで/etc/named.conf |.3 |.9 制御ファイルを使う。 -------------------------- 202.241.128.0 | 現□hostA □hostM 新 hostM Solaris 9 に最初から入っていた |.2 |.1 |.9 のは BIND 8 である。確認のためにこれ hostB □------------------- 192.168.2.0 も使った。デフォルトの制御ファイルは □ | □Server △PC /usr/local/etc/named.conf である。-c .1| |.2 |.7 |.8 オプションで制御ファイルを指定できる。 ---------------------------- 192.168.1.0 # /usr/sbin/in.named -c test.conf &。 問題が2つ起きた。新しいマシンを認識しない、DNSの名前解決がおかしい。最初のは 現在の Mail-Relay マシンのIPアドレスを変えて、 新しいマシンを 192.168.2.1 にし た。FireWall ホストが新しい Mail-Relay ホストを認識しない。ping を打ち合ってもだ めだった。FireWall ホストで # arp -d xxxx とやって旧 Mail-Relay ホストのMACア ドレスを消してみた。 そしたら即、ping が通るようになりサ−バとしてちゃんと使える ようになった。そしてすぐさま、新しいマシンからメ−ルを mail コマンドで内外に送っ てみた。すぐに送らない、遅い。数十秒して出て行くこともあれば、全然ログすら出てこ ないこともある。ping で www.iij.ad.jp とかやってみた、これも反応がなかったり遅い。 社内ネットのホストから、外にアクセスするのも同様おかしかった、できない。 同じ制御ファイルでマシンに最初から入っていた BIND-8.3.3 の in.named だとすかすか できた。インスト−ルした BIND-9.4.1 はどうもおかしい、最新のをインスト−ルしても、 コンパイルのオプションをいろいろ変えてもだめだった。#named -g で起動してログを見 ると automatic empty zone: というのが11個出て、中に IPv6ネットを見に行っている のもあるみたいだし。automatic empty zone: が出ないように、オプションを変えてもだ めだった。snoop コマンドで FireWall ホスト周りのパケットを見たら、どうもDMZの Mail-Relay から FireWallでWANに出て行ってないパケットがあるようだ。FireWall-1 で何かパケットが止められているのか。Solaris 9 ってインタ−ネットサ−バのデフォル トでないのか?。SI業者のエンジニアも、こんな現象はこれまで知らないと言っていた。 右往左往したあげく FireWall-1 の {SmartDefence} の {Application Intelligence} の {DNS} の所、〆UDP protocol enforcement のチェックを外したら、 ホスト名の解決がす かすかっとできるようになった。BIND 9 ではセキュリティが強化されているので、 そう した DNS のパケットも調べるようになっているのだろう。FireWall-1 の domain-udp オ ブジェクトは {Advanced UDP Service Properties} の Source port [] が空になってい た。チェックを外す前は確か Source port [ >1023 ]だったはず、確かそうメモをとった。 他のオプション 〆Accept Replies、〆Match for 'Any'、〆Synchronize connections on Cluster は変わらなかった。 これを試す前に FireWall-1 のル−ルに [udp-high-ports] を追加したがだめだった。今回 FireWall-1 には DNS の発信元ポ−トは任意にした。 (3) おっとどっこいほうれん草のDNS `28/07〜09 * 2008年7月発覚のDNSの問題 7月9日 JPNIC から"複数のDNS実装におけるキャッシュポイズニングの脆弱性につい て" というネ−ムサ−バ管理者の方々へのアナウンスというのがあった。これまでになく 危険性の高いDNSのセキュリティホ−ルが見つかった。昔からあるDNSの危険、キャ ッシュポイズニングの攻撃をこれまで以上に容易にできる方法が見つかったというのであ る。すでにもう攻撃は始まっていて、汚染されたDNSサ−バも報告されている。対策す る BIND のパッチもこの後、立て続けに出た。よい子で設定したDNSサ−バは問題ない のか。結論から言えば大丈夫だと思う。社内からしか再帰問い合わせができないように設 定していた。Mail-Relay ホストのDNSを BIND 9 にした際に allow-recursion にそう 記述していた。DNSクエリ−の発信元のポ−ト番号とトランザクションIDが、毒入れの 確率を上げることになるとアナウンスされているが、再帰検索を外からできないようにし ていれば、それらは関係なくなる。 攻撃の可能性としては、IPスプ−フィングで外からのIPパケットにもかかわらず内部 ネットワ−クからのように見せかける。これはファイアウォ−ルの FireWall-1 が弾くは ずである。もう1つの可能性としてIPスプ−フィングではなく、内部ネットワ−クのパ ソコンなどに入り込んでしまったボットである。ボットが今回のDNSキャッシュポイズ ニング攻撃をしかけたら。DMZにあるDNSサ−バのマシンの前には、侵入防御装置の DefensePro がある。ボットからDNSサ−バへの攻撃、大量の問い合わせを DefensePro は止めていることを期待したいが、未確認!。それよりも DefensePro の網に入ってない Windows サ−バが問題である。Active Directoryとそれ用のDNSが稼働しているはずだ。 このDNSを狙って攻撃されたら。Windows サ−バのDNSのパッチも出ている、発信元 ポ−ト番号とトランザクションID のランダム化はぜひ実施すべきである。 DNSの発信元のポ−ト番号が固定でなくランダムになっているか。トランザクションID が十分ランダムになっているか。BINDの実装は昔からDNSの問い合わせする発信ポ−ト は53番 UDP ポ−ト固定だった。 つまり簡単に問い合わせパケットを偽造できてしまう。 BINDのパッチを当てると、問い合わせする発信ポ−ト番号はランダムになる。新しいパッ チほどランダム性が高まっている。トランザクションID は、一連の問い合わせ UDP パケ ットを識別するものである。TCP パケットは自身で識別するが UDPにはそれはない。これ も十分ランダムでなければならないということである。これらパッチを当てたら、自社の ファイアウォ−ルでランダムのポ−トから通すように変更しておかないといけない。とも かく一度、攻撃の方法をちゃんと理解すること。でないと安全かどうか判断できない。 McAfee Network Security Platform、(旧)IntruShiled は対応する攻撃シグネチャをすぐ に出した。ヤマハのル−タもすぐにDNSにパッチをあてたファ−ムウェアを出してきた。 * DNSのパケットの様子 PC は FireWall-1でIPアドレスの変換 □Router □hostA' "Hide behind Gateway" の設定でDMZ。 | |.3 --------------------------- 202.241.128.0 hostA は BIND 9.4.2。P2 パッチを当て | □hostA ると、任意ポ−トでかつランダムになる。 .2|.2 |.1 hostG□------------------- 192.168.2.0 問い合わせに UDP/53 以外に TCP/53 を |.2 △PC 使うようなことが書かれているが、BIND | |.8 ではそんなことはない、TCP/53はゾ−ン --------------------------- 192.168.1.0 転送に使われるのみである。 PC ではDNSのIPアドレスは 202.241.128.3 を記述。PCから外のホ−ムペ−ジにアク セス、ただの ping でもいいが。PCは外のホ−ムペ−ジのIPアドレスを先ず調べる。PC からは、UDPパケットの任意ポ−トから 202.241.128.3 の 53 ポ−トへ、そのパケットは FireWall-1 で変換されて 192.168.2.2 から 192.168.2.1 の 53 ポ−トへ。hostAからは 192.168.2.1 の例えば 39081 ポ−トから外の問い合わせDNSサ−バのIPアドレス 53 ポ−トへ。そのパケットは hostG で変換されて、202.241.128.3 の 39081 ポ−トから外 の問い合わせDNSサ−バのIPアドレス 53 ポ−トへ。 "13-4. DNSの動作を調べる、 (3) tcpdump で DNS の動作を見る" も参照のこと。 * DNSサ−バの安全性チェック 2008年8月18日付けの ITpro の記事、"詳細が明かされたDNSキャッシュ・ポイ ズニングの新手法"。b) のチェックサイトが先に出来た。次に a) のチェックサイトが出 来た。自社のをチェックしたら a) は問題なし、b) は発信元ポ−ト番号が危ないと出た。 a) "Cross-Pollination Check" IANA という組織からリリ−ス `28/08/06 このチェックでは発信元のポ−ト番号がランダムになっているか。再帰問い合わせ機能が 無効になっているかをチェックする。再帰問い合わせ無効になっていることがもっとも重 要である。トランザクションID のことはチェックしてない。 -------------------------------------------------------------------- |http://recursive.iana.org/ |------------------------------------------------------------------- | iana | internet Assigned Numbers Authority |------------------------------------------------------------------- | Cross-Pollination Check | The discovery of a highly-effecitive cache poisoning attack ... | | Provide a domain name to analyse [ nix.co.jj ] [クエリ−の実行] | | Safe. | The servers tested for NIX.CO.JJ appear to not be vulnerable to cache poisoning. | | Name sever IP Address Results | NS0.NIX.CO.JJ 202.241.128.3 Not recursive | NS1-TCP-NET-AD-JJ.NIX.CO.JJ 10.10.10.1 Not recursive | NS2-TCP-NET-AD-JJ.NIX.CO.JJ 10.10.10.2 Not recursive b) "Web-based DNS Randomness Test" DNS-OARC という組織からリリ−ス `28/07/17 画面の [Test My DNS] をクリックすればいい。 パソコンで設定してあるDNSサ−バの IPアドレスに対してチェックする。DNSサ−バのIPアドレスの変更は、インタ−ネ ット プロトコル(TCP/IP) の画面ですぐに反映される。ここでのチェックは発信元のポ− ト番号がランダムになっているか、トランザクションIDがランダムになっているかを調べ る。ここは別に怪しいサイトではない、大丈夫である。すぐに結果の画面が出て来る"DNS Resolver(s) Tested: 1. 202.241.128.3 (ns0.nix.co.jj) appears to have POOR source port randomness and GREET transaction ID randomness."。source port randomness は ポ−ト番号はサンプル25個で同じ 39081 1つだった。 transaction ID randomness で は ID番号が 6540 から 64219 の間でランダムに25個出ていた。39081 は例えばである。 * IPA情報処理推進機構のアナウンス 2008年8月18日付けの "複数のDNS製品の脆弱性について"。 対策としてDNS サ−バの問い合わせポ−トのランダム化をパッチをあてること。不要なDNSキャッシュ サ−バを公開しないこと。外からの再帰的検索に応答しないようにすること。発信元ポ− トのランダム化は、BIND 8 はそもそも対応できないので BIND 9にあげること。パソコン で問題になるのは Windows 2000/XP Service Pack 2と 3、Windows Server 2003 Service Pack 1,2。ただの一般使いの Windows パソコンにも問題があるということに注意、 パソ コン内にDNSキャッシュされるということか。サ−バでは最新の BIND のパッチをあて ること。 BIND 9.3.5-P2、BIND 9.4.3b2、BIND 9.4.2-P2、BIND 9.5.0-P2、BIND 9.5.1b1。 BIND 9.4.2 では BIND 9.4.2-P1 が2008年7月9日にリリ−スされて、さらに続けて BIND 9.4.2-P2 2008年8月4日リリ−スされている。緊急度の高さが伺い知れる。 2008年9月18日付けの"DNSキャッシュポイズニングの脆弱性に関する注意喚起"。 ―放置すれば情報漏えい〜信用失墜に至る可能性も。ウェブサイト運営者は早急にDNS サ−バのパッチ適用や設定変更を!―。この記事の中で「実際に運用しているウェブサイ トのDNSサ−バに対策が実施されていないのではないか?」という旨の届け出が昨今激 増しています、とある。これはどういう意味だ?。IPAには被害の届け出をする窓口が ある。自分ところで被害を受けた場合に届け出をするのがその主旨だと思う。その他にど うも他所で被害を受けているような場合にも、届け出を受け付けるのだろうか。先の文面 はそう取れる。どうも他所のDNSサ−バが汚染されて、フィッシングサイトに誘導され る事が起こっているのでないか。それが一番分かるのは ADSL 接続などをしている個人ユ −ザ、再帰検索をオフにできないプロバイダのDNSサ−バが汚染される可能性は高い。 * 新たなDNSキャッシュポイズニング攻撃の仕組み http://www.tokai-ic.or.jp/kaminsky、`28/08/28 の脅威の説明追加に攻撃の仕組みが紹 介された。"DNSの危機に対応を! 〜キャッシュ毒入れ新手法 kaminsky Poisoning〜"。 オ−プンソ−スカンファレンス 2008 Nagoya のセミナ−の一つ、緊急DNS勉強会で東海イ ンタ−ネット協議会の鈴木氏が話した。初めて今回の問題について話を聞いた。 http://jpinfo.jp/topics-column/009.pdf、JPRSトッピクス&コラム 新たなるDNSキャ ッシュポイズニングの脅威、〜カミンスキ−・アタックの出現〜。私はその名前は知らな いが www.example.jp が知っている。ここ注意、図も見ると分かるが www.example.jp は NSレコ−ドのことである。Aレコ−ドだと思うと意味が違ってくる。 http://www.nttv6.net/files/DKA-20080723.pdf、`28/08/19。 "DNS Cache Poisoning の 概要と対処"。13ペ−ジの内の11ペ−ジ、(参考) Dan Kaminsky's Attack の手法概説。 9ペ−ジに気になる記述が、内部ネットワ−ク利用者が Botに感染するくだり。内部ネッ トのパソコンがボットに感染し、今回の攻撃をやられたらかなり脅威だと思う (1) (2) a.nix.jj ? 問合せ a.nix.jj=xxx と権威DNS の応答(3) a.nix.jj ? ―――→ より速く返事する。加えて毒情報も ● ―――→ ■ ←――― ◆ nix.jj の ===> ● ―――→ ■ 返事してしまう。 攻撃者 ↑| (3) 権威DNS 次の 攻撃者 追加 nix.jj NS ns0.nix.jj (4)|↓(5) 瞬間 情報 ns0.nix.jj A xxx □ ユ−ザ DNS www.nix.jj A xxx 上の図は nttv6 での説明を参考にした。■はDNSキャッシュサ−バを表わす。●の攻撃者 は FQDN の a.nix.jj のIPアドレスを■に問い合わせる。■は nix.jj を管理している 大元のDNSサ−バ、つまり◆権威DNSサ−バに問い合わせをする。 権威DNSサ−バが回答す る前に攻撃者●がすかさず回答をする。■と◆の距離より■と●の距離が短ければ、応答 時間が短ければ攻撃は成功しやすい。 a.nix.jj は●から■への適当な問い合わせであっ て、■が◆から回答を得る待つための状況を作り出すことである。そうしておいて●が嘘 のDNS情報を、おまけの情報として回答する。おまけの情報、DNSの追加情報が実は問題で あって、今回の攻撃の眼目になっている。攻撃者は a.nix.jj でだめならb.nix.jj、これ でもだめなら c.nix.jj というようにしてどんどん FQDN を変えて問い合わせを送り付け る。DNSの付加情報に毒入れすることにより連続攻撃ができる。 [1] 自分とこのDNS権威サ−バまたはDNSキャッシュサ−バに、他所の情報が毒入れされた 場合。 社内のパソコンから http://www.asahi.com/ にアクセスしたつもりが偽のサ イトだった。これは自分とこにある DNSサ−バだから対策はできる。 [2] 他所のDNS権威サ−バまたはDNSキャッシュサ−バに自分とこの情報が毒入れされた場 合。そこの社内のパソコンから、自分ところのサイト http://www.nix.co.jj/アクセ スしたつもりが偽サイトだった。これは自分とこでは手の打ちようがない。 攻撃にはトランザクションIDと発信元ポ−ト番号のことがある。しかし、これらは攻撃が 成功する確率に関することであって、キャッシュポイズニング攻撃の本質ではない。とそ うは言っても非常に重要なファクタ−である。今回のこの攻撃手法を理解する上では、一 応分けて考えた方がいいだろうということである。10個の穴があって1つだけランダム に開くとする、玉は数打ちゃいつかは入るが、もし穴が3個なら格段に入り易いという話。 DNSキャッシュサ−バはいろいろある。BINDの named では権威サ−バを再帰検索するよう にしていると、DNSキャッシュサ−バでもある。プロキシ/キャッシュの NetCacheなどの アプライアンスや Squid ソフトにもDNSキャッシュサ−バの機能が入っているのでないか。 それに内部ネットワ−クで Active Directory を使うようにしていると、その Windowsサ −バで DNS の設定も大体していて、ここにも DNSキャッシサ−バがあるはずである。 * Active Directory の危険性 マイクロソフトが Active Directory を出したことにより、WANとLANとインタ−ネ ットの境界が取り払われることになった。 Active Directory はもうだいぶ前からあるに はあったが、あまり広まってはいなかった。それが2005年の情報漏洩対策の法律的対 応、それ以降の J-SOX法や内部統制ヘの対応により急速に広まった感がある。この数年や ってくるSI業者さんの口ぶりでは、 Active Directory は既に設置してあるのが前提の ような話をしてくる。しかし業者が提案して来たからと安易な気持ちでActive Directory を社内に設置すると、知らずにダイナマイトを抱きかかえたようなことになる。2008 年の8月頃この危険性を本書で指摘した。Active Directoryの設置はつまり社内にDNS サ−バを設置することであって、インタ−ネットの仕組みが社内に入り込んだ形になるの である。このことにどれだけの人が気付いているのか。あるいは気付かなくても小生の勘 違いか理解不足で、社内のDNSは何ら問題ない。そうであればいいのだが。 社内の Windows サ−バのDNSは、Active Directory が稼働しているパソコンのレコ− ド以外の問い合わせは、多分インタ−ネット用DNSに送るように設定されていると思う。 内部のDNSが直接インタ−ネット上のDNSと通信することはないように、だいたいの ところ設定されていると思う。 しかし実際 Windows のDNSの設定がどうなっているか 確認した方がいい。全っくキャッシュしないようになっていれば問題ない、しかしそんな 事はなく、キャッシュは持つだろう。社内に入り込んだボットがDNSキャッシュポイズ ニング攻撃をしたとしたら。社内にあっては、どこが内で外でという区別はできない。イ ンタ−ネット用のDNSなら社内からしか再帰問い合わせができないようにすることで対 策は打てるができない。 Active Directory は情報漏洩やパソコンの操作ログを取るとか でセキュリティポリシ−を強化するため導入する場合が多い。それが汚染DNSにより偽 のホ−ムペ−ジに誘導され、かえって情報漏洩の危険性を高めることになりかねない。 ボットと今回のDNSの脆弱性が相見えると、侵入防御装置を社内に幾ら設置したところ で無駄かも知れない。社内のパソコンから偽のサイトにアクセスした瞬間に、自社のIP アドレスを元に専用のボットが動的に生成されダウンロ−ドする。こんなシナリオが自分 でもパット思いつく。全てのパケットを仮想環境で動かし振る舞いを見る最新の侵入防御 装置でなければ、このボットは検知できないだろう。こんな懸念があるのだが下の記事で も、あくまでもインタ−ネット向けのDNSについて書かれている。敵は外でなく内にも あるのだ。ITの担当が会社でも雑誌社でも分かれているのでないか、インタ−ネット系 とその他で。その他はホスト/LAN/WAN/パソコン。管理者もインタ−ネット系と その他で、相互の意思疎通があまりないことはしばしば指摘されることである。DNSは インタ−ネットの技術でホスト系の人はよく知らない。 Active Directory はホスト系の 話でインタ−ネット系の人はよく知らない。誰も知らない分からない穴が空いている。 * FireWall-1 でも防御できるかも `29/05 メディア・アラ−ト 2008年07月10日付け、SmartDefense により最新のDNS攻撃を防御。 VPN-1 および UTM-1製品とConnectra に統合された SmartDefense でDNSキャッシュポ イズニングの脅威からDNSサ−バを確実に保護できると発表。DNSのリクエスト・ス クランブル機能でソ−スポ−トとリクエストIDをランダム化し攻撃を阻止。SmartDefense の2005年3月から提供されている。Check Point社の SMARTDEFENSE SERVICES のとこ ろに記載あり "複数ベンダ−のDNSにおける不十分なソケット・エントロピの脆弱性に 対する防御" アドバイザリID:CPAI-2008-092, 発行日:08-Jul-08, 最終更新日:22-Oct-08, 情報ソ−ス:マイクロソフト セキュリティ情報 MS08-037。 ここには Microsoft Windows DNS サ−ビスのDNS実装にDNSがスプ−フィングされる脆弱性ありと書かかれている。 それで今の FireWall-1 で対応できるのか。SmartDefense の画面で"Last Update"を見た ら2005年より前だった。メニュ−の Update をクリックするだけでいいのか。要確認。 * 参考 「日経コミュニケ−ション」2009/02/01,P.28〜33, "インタ−ネット緊迫の裏側 現場が支 > える薄氷のインフラ"。 日経の雑誌でDNSキャッシュポイズニングの危険性について、 初めて大きく取り上げられた記事。問題発覚から半年も経っている。取り上げが遅いぞ。 (4) マトリックス実現までの繋ぎ * イントラネット構築2.0 `29/01 メ−ルサ−バはどうだ、SaaS クラウド型のでいいのでないか。 社外向けメ−ルサ−バも、 自社内に社内向けメ−ルサ−バをもはや立てることもないだろう。社内のユ−ザ同士のメ −ルもいったん外に出て行く。出て行くというより外のサ−ビスを利用するのだからイメ −ジが違う。これまでの Outlook のようなパソコン用のメ−ルソフトではない、Gmailの ようなWebメ−ルの利用だ。Webメ−ルの中でデフォルト暗号化になっていれば、外 部にメ−ルの内容が知れることはない。もうこれでいいではないか。 社外向けのWWWサ−バはどうだ。これもアウトソ−シングを利用することでいい。IPv6 でのサ−ビスもこれですればいいだろう。これからは IPv6 のIPアドレスでも自社ホ− ムペ−ジをサ−ビスする必要性が出てくると思う。社内、つまりDMZ上のWWWサ−バ を置いたまま IPv6 でもサ−ビスするには、IPv6のIPアドレスも取得して、それ相応に 勉強もしないといけない。もう、そんなことはやっていられない。Linux で VMware でサ −バを自前で立てているところもあるだろう。そんなマシンもいらなくなる。 社内ネットワ−クは今のままでいい、IPv4のままでいい。それで問題が生ずるとは思えな い。幾ら IPv4 が足りなくて、新たにWWWサ−バを立ち上げるのに IPv6 でしかだめと いうことにはならないと思う。デ−タセンタ−にはそれなりの数の IPv4 アドレスはある はずである。コンピュ−ティングの世界がクラウドになろうとも、小生提案のマトリック スになろうとも社内ネットワ−クは今の枠組み、IPv4 のままだろう。理想的には Apollo DOMAIN のネットワ−クなんだが、やはりそれは無理な相談だと思う。 Windows パソコンはどうだ。現在企業など組織では Windows 2000 か XP を大方使ってい るだろう。一部の企業などではシンクライアントに切り替えたところもあるだろう。しか し今後、もはや Windows パソコンでもなければシンクライアントでもない。Google のア ンドロイドの画面を大きくしたようなもの。業者に言われるまま、マイクロソフト社の戦 略に乗せられて、この数年こぞって Active Directory(AD) を導入した企業も多いだろう。 AD は Windows PCがあってこそ意味がある訳で、必然的に AD は無用の長物と化す。 WANはどうだ。これまでの全面的な IP-VPN から、隣接工場は広域イ−サネットに変更 したら、もう5年や10年やることはない。広域イ−サネットの足周りはNTTか地域系 電力会社の光ファイバ。超高速にしたければダ−クファイバ契約にする手もある。海外の 支店はインタ−ネットVPNだ。UTMを入れて安全性を確保する。海外支店のインタ− ネット接続はこれまでの、パブリックな動的IPアドレスの割り当てのままで、IPSec の NATトラバ−サル/IKEアグレッシブモ−ドで本社と接続する。UTMは20万円位か。 この先3年か5年ぐらいの間に WAFS 装置を除いて、何か新しい装置を入れることがある か。ないんじゃないか。ボット対策専用の装置が東京の展示会で DefensePro の横におい てあったが。多分こなれてもいないだろうし、そこまでやる企業も少ないだろう。WAFSは 多分、WANを増速した後、距離のある営業所などで思った程速度がでない、導入はそれ からだろう。しかし WAFS は世に出て数年、実際に導入してみるといろいろ問題があると も聞く。今少し待ってみた方が無難かも。その前に WAFS なしでやれる工夫を考える!。 * 新しい装置を入れることあり `29/03 この大不況下、1年先もまったく不透明だ。侵入防御装置は高価過ぎてとてもや買っても らえないと考えた方がいい。あるいは装置を買うのではなく、侵入防御のサ−ビスを利用 する手もある。しかし、それとても結構な料金である。事実上サ−ビスも利用することは 無理だと思う。侵入防御装置がいかに社内の安全を守っているか、それを示さないことに はいけない。止めているパケットを見ると、とんでもない攻撃の量だ。ヒッチコックの鳥 どころの騒ぎではない。侵入防御装置は理解も普及もまだまだである。しかし侵入防御装 置がなければ、もはや企業ネットワ−クは守れない。もう安全性をキ−プすることを諦め て放棄するか。現実的な解を我々、企業エンジニアは探っていかなければならない。 万が一、次の侵入防御装置を買えない事態も考えておかなければならない。持ち駒の1つ であるUTMの FortiGate を使い、せめて会社のWWWサ−バを守るか。 FortiGate を DMZの口に設置する。FireWall-1の SmartDefense という機能も調べて、できれば使っ てみたい。SmartDefense は現に機能している。FireWall-1 のデフォルト設定で機能して いる。 SmartDefense のせいでDNSを BIND 9 に上げた際に問題が起きたことがあった。 DNSのパケットが SmartDefense で知らずに止められていた。このため既にいい印象は もってない。SI業者にも SmartDefense の評判を今一度ヒアリングしてみないことには。 しかしこれまで SmartDefense でIPSもできる、OKって誰からも聞いたことがない。 不幸中の幸いか DefensePro は保守が切れたからといって、直ちに機能しなくなるという 代物ではない。その時点でのシグネチャで稼働はする。 DefensePro は導入して3ヶ月ぐ らいの間に、問題のない通信で、通らないパケットを通すようにル−ルを作成したりした。 それ以降はまるで何もいじっていない。WWWサ−バへの侵入とかボットの侵入とか、新 しい攻撃はどんどん出て来るだろう。しかしほとんどの攻撃は十分知れた方法で来るので ないか。だとしたら DefensePro のシグネチャが最新のが供給されないからといって、そ れで直ちに攻撃されてしまう。そういうことにはならないのではないか。これはあくまで も小生の感覚に過ぎないのだが。裏付けを得るには深いIPSの理解が必要である。 * FireWall-1 の侵入防御機能 `29/04 FireWall-1 の SmartDefense、これはそもそも今の FireWall-1 のライセンスで利用でき るのか。それで何ができるのか。そこそこのIPS機能があるのか。2004年1月に入 手したIPS製品の比較資料がある。とあるSI業者が作成した一覧表だ。CheckPoint社 の InterSpect アプライアンス、4社の製品の内で一番評価が低い。完成度が低くシグネ チャ数も少ないと記されていた。この資料を久々に見てそういえばと InterSpect という があったと思い出した。あまり期待できないかも知れないというのが、第一印象。その後 調べていっても、どうもチェックポイント社自体が迷走しているような感じが。ライセン スは入ってはいるがどうも限定版のようで、ちゃんとしたのは別途購入するらしい。 自社ホ−ムペ−ジのWWWサ−バがまだDMZにあるなら、できればもう外に出そう。外 部のサ−ビスを利用するのだ。もしそれができなければマシンのOSと Apache は最新で かつパッチも常にこまめにあてる。できれば Tripwire でマシンのファイルがいじられて いないか監視すること。そして更にできれば Linux と Apache は止めて、 マシンは Sun にしてWWWサ−バは Netscape Enterprise Server にする。DMZにあるのは SSL-VPN 装置と Mail-Relay ホスト。狙われやすいWWWサ−バがないまたはWWWサ−バはみな くてもいいとなれば、FireWall-1の侵入防御機能でもいけるのでないか、そう考えたのだ が。内から外へのWebアクセスぐらいでしか、攻撃する穴はないのでないか。 先ずは今現在、稼働している FireWall-1 のバ−ジョンやパッチは。どうやって確かめる のか。SmartDefense の Last Update はメニュ−画面にでている、だいぶな年数ほかって いる。FireWall-1 のバ−ジョンを上げておかないと、SmartDefense のアップデ−トのメ ニュ−をクリックしていいものかどうか。とりあえず SmartDefense のメニュ−画面にど んな項目があるかみた、ざっとみたところ20項目もなかった。因みに DefensePro は数 百はある。FireWall-1 を設定してくれたSI業者のエンジニアに、SmartDefense のこと 聞いてみた。東京でもほとんど設定、利用の実績はないとのこと。あるお客さんの要望で SmartDefense をいじろうとしたが、ライセンスを取得するのも分からなかったとのこと。 * トレンドマイクロのメ−ルサ−ビス `28/10 今流行のフレ−ズを冠した In the cloud SaaS型のメ−ルホスティングサ−ビス、`28/08 から開始。InterScan Messaging Hosted Security( IMHS )。 海外では1年半前からやっ ていたとのこと。トレンドマイクロはアプライアンスからは撤退する、この数年の急激な ウィルスの増加には対応して行くことが困難と判断した模様である。このサ−ビスはMX レコ−ドを変えるだけで利用ができる。SaaS ではIMSS が動いているとみていい。迷惑メ −ルはレピュテ−ションなどで弾く。他ウィルス、スパイウェア、フィッシング、コンテ ンツフィルタリング。EQU スパムメ−ルの隔離、再配信は各自で制御できる。LDAPサ−バ は不要。Eランクの 250〜499 アカウントで年額 2,870円。次年度以降も一緒。値引なし。 これまでとは別製品なので、ライセンスの変更はできない。買い直しになる。つまり新た に製品を購入するということ。契約する前に1ヶ月のお試しができる。しかし簡単に試す ことなんかできるものではない。MXレコ−ドを変えるというのは、DNSの TTL時間と かシビアに検討しなければならない。サブドメインでも作って、そっちでのメ−ルアドレ スで試してみるとか。メ−ルを転送するなどして自分だけのメ−ルで、迷惑メ−ルの性能 をチェックするとかできるだろうが。ともかくお試しに関してのノウハウは各自で用意し てねということ。トレンドマイクロは特に何もしない。ユ−ザ登録を先ず行なう。IDと パスワ−ド。IDはメ−ルアドレス。最初はWeb画面で管理者が1つずつ登録していく。 IDを CSVファイルで一括登録するというのはできそうにない。隔離されたメ−ルは管理 者も見ることができる。しかしID単位、つまりWeb画面でメ−ルアドレスを1つ入れ て、その分だけ出してくる。一括で今日はこんだけのメ−ルが隔離されてますという見方 はできない。ついでにCTCが出してきたメ−ルのアウトソ−シングのサ−ビスも紹介し ておく。CTC Secure Premium、http://www.secure-premium.ne.jp/、2008/05/07 開始。 同じくMXレコ−ドを変えてメ−ルリレ−をCTCのを利用する。メ−ルリレ−が外にあ ることになるのでファイアウォ−ルのル−ル調整が必要になる。CTCはその後 Gmailも かつぐことにした、一体どうまとまりを付けるつもりなのだろうか。 * メ−ルサ−バで今後やること `29/10〜 InterScan7で各人のメ−ル隔離をずっとやるつもりでいたが、止めることにする。メ−ル の誤検知の数による判断である。これまでの運用ではメ−ルの誤検知は2日に一通ぐらい しかない。メ−ルの管理者なり日々のIT運用者が1日に数回ざっとチェックすればすむ。 これを各ユ−ザが自分の責任においてチェックするとなると、全体の工数はとんでもない ものになる。トレンドマイクロから定期的に電話がかかってくる。他の会社などではどん な運用してますかと聞いてみた。やっぱり管理者が一人でチェックしているのでないだろ うかと。そしたらそんなかんじとのこと。IT部門で分担してチェックしている、運用係 にお願いしているところが多いようですとのことだった。 社内用メ−ルサ−バでまだやることは、ユ−ザ管理の SMTP AUTH と LDAP、それに暗号化 である。小生がやる自前メ−ルサ−バのお守りはお仕舞いにしたい。できれば社内に存在 しないユ−ザへのメ−ルは InterScan7 で隔離対象にしたくない。溜めるだけ無駄である。 そのために Mail-Store の MTAで SMTP AUTH によるユ−ザ認証をやる。LDAPサ−バとMTA サ−バの間ではメ−ルユ−ザのアカウントが流れる。盗聴により情報が取られないように したい。通信を暗号化するなり同じマシン内のことなら大丈夫とか検討すること。LDAPサ −バの予備を別なマシンに持つ場合、稼働機と予備機の間で流れるアカウントも暗号化す るようにしたい。これらをやっておけば3年やそこらは持つだろう。 その間にメ−ルのクラウドサ−ビスも確固としたものが出て来るだろう。現時点の選択肢 の一つ Gmail を直ちに全面的に導入するのは如何なものか。Google は10分以内であれ ばダウンタイムとは見なさず、その上で99.9%のダウンタイムを保証している。しか し文字化け対策としてWebメ−ルの限定的な利用を考えなければならないかも知れない。 日本企業は景気のいい中国にどんどん進出している。メ−ルのやりとりで Outlook等で中 国語の文字化けが頻発している。"Google Apps Premier Edition" は年6千円、99アカ ウント以下は年50米ドル、独自ドメイン可。`29/11/26 に公開された無料の "サイボウ ズ Live"、今のところ mixi みたいに招待制で20名までのグル−プ利用である。`2a/03 * ユ−ザ管理を何とかしてくれ `2b/03 LDAP 周りのややこしさ。こりゃSI業者にやってもらったら、 相当に費用がかかるのは 仕方ないぞ。だいたい1つの案件で、大学とかケ−ブルテレビとか、最低でも半年、1年 ぐらいはかかりきりになっているようである。UNIX系のOS。関係するソフト、プロ グラム、モジュ−ルの依存関係が入り組んでいる。 もはや Red Hat のフリ−ソフト Red Hat Linux 9 は古くてだめだろう。2002年頃に最終リリ−スされた。手間ばかりかか る。SuSE はどうなのか、触っている人が少ないので、情報も少ない。 Solaris 9 はもう だめだ。Solaris 10 と freeSolaris はどうなのか。これらも情報が少ない。実質選ぶこ とができるのは CentOS、お金に余裕があれば Red Hat Enterprise Linux ということ。 LDAP サ−バをやるというのは意味はある。 しかしフリ−ソフトを今後も使っていくこと に意味があるのか。Sun の Solaris 9 で Apache、Samba、Postfix、Dovecot などコンパ イルやってみた感じでは、まるでダメである。 LDAP を対応にしたコンパイルができない。 もはやフリ−ソフトはだめということか。CentOS か Red Hat なら、 LDAP をビルトイン したのが入っているのか。今度、HPのマシンで仮想化サ−バを買う。必要なフリ−ソフ トは、あらかじめ LDAP 対応になっていて、十分安定して使えるものと想定しよう。それ でどう設定したらいいか改めて検討してみることにしよう。やる?、もう止めようよ。と もかくファイル共有については LDAP は検討は止めにしよう。もう疲れた。 統合ユ−ザアカウント管理として LDAP サ−バを立ち上げることを考える。これまではメ −ルサ−バで存在しない発信ユ−ザのメ−ルを排除するため、LDAPにユ−ザがいるか問い 合わせることを考えてきた。今後はそれだけのために LDAP を稼働させるということでは なくしよう。iPad のような Windows OSではないパソコンみたいな物がでてきて、もは やマイクロソフトでなくていいぞ、そういう雰囲気が濃厚になってきつつある。そうなる と企業や学校などにはびこってきた Active Directory は存在価値がなくなるのだ。そう なると Active Directory に変わって、汎用的な LDAP が俄然脚光を浴びてくるはずであ る。そのために取り敢えず LDAP を稼働させようよ、という事にしたいのである。 * 購入を急げさもないと景気が悪化 FireWall-1 の置き換えで 民主党が崩壊の危機。`2a/06/02 首相辞任。ようやく景気が回復してきた感がでてきたの に、これで日本はもうだめだという烙印が世界で押されたようなものだ。世界の中で三流 国家への転落。この先、景気は不透明になる。それどころか再び悪化に転じる可能性が大 きい。うかうかしておられない。どうしても買わなければいけない物は、早々に製品を選 択して購入申請をあげないといけない。特にファイアウォ−ルとIPSは、会社が景気が 悪かろうが良かろうが関係ない。ちゃんと設置しておかないと、最悪の事態をまねくこと になる。景気が悪いから次のファイアウォ−ルは買わんでよろしいということにはならな い。技術だけでなく現実的な話もこのようにしてある。我々ネットワ−クのエンジニアの 仕事は、ネットワ−ク装置やセキュリティ装置を選択し設置設定するということだけでは なく、そもそもどんなことがあっても安全を確保することが使命である。 (5) クラウドとR・マトリックス `28/10〜`29/01 * Webサ−ビスの意味合いを広げる これまではWebサ−ビスはWebの部品としての意味合いである。 SaaS とクラウドは、 そういう意味合いではない。インタ−ネットのどこかで提供されているソフトを利用する ということ。SaaSはそれぞれの企業が契約して何らかのソフトを利用するということ。だ いたいそれはWebソフトである、でも別にWebソフトに限っているわけではない。昔 のクライアントサ−バ型のソフトでもいいわけだし。マッシュアップとよくにているのは SOAか。SaaS はまた概念が違うぞ。 マッシュアップは Google の地図情報の、公開さ れたいわば関数を用いてカスタマイズし、別なサ−ビスを作り上げるという意味で元々使 われたと思う。その実態はWebサ−ビスそのものと言っていいと思う。 * SaaS( Software as a Service ) とは `27/07〜 アスクルが電子購買の SaaS に進出。18億円のシステム。2007年11月から大手製 造業に提供。オフィス用品だけでなく工業部品を11月から扱う。企業の会計システムや 在庫管理システムとデ−タ連携する機能や電子決済などの機能を持つ。電子購買サ−ビス を次に柱にするとのこと。SaaS の話で一番初めに目についた記事だった。 feedpath Zebra。Outlook を Ajax で似たように作った。初期費用は10万円。SaaS型サ −ビス。フル機能の Zmibra Black 1ライセンス約2,500円/月。米ジンブラはヤフ−に買 収された。日本では住友商事が販売する?。 大手印刷会社が Notes からすでに移行した。 `28/05記事から。従来のWebメ−ルは操作性がひどく日常的に使える代物ではなかった。 `27/07/26 の atmarkit の見出し ソ−シャル表計算を指向、まるでライトウェイトExcel SaaS 型表計算「OnSheet」を使ってみた。インフォテリアがベ−タ版をサ−ビス開始。個 人向けは無償、法人向けは10月に有償でサ−ビス開始予定。`27/07/30 の atmarkit の 見出し 製造業の40%以上が SaaS への移行を検討。`29/01 入ってSaaSの記事が目立つ。 SaaS の次に出た用語、PaaS( Platform as a Service )、 SaaS サ−ビスを開発する環境 のこと。Google の App Engine ベ−タ版を `28/05に公開。クラウド時代の新しいアプリ ケ−ションを開発するためのプラットフォ−ムを提供。マイクロソフトは2008年10 月にクラウドの戦略を発表、Windows Azure 開発環境。Azure にはユ−ザID管理、アク セス管理などアプリケ−ションを稼働させる機能が一通り揃っている。 * クラウド時代のパソコンは クラウドで使うのはWWWブラウザだけでしょ。SaaSはWWWブラウザだけではないので ないか。SaaSはサ−ビスやサ−バをインタ−ネット上で貸すということでしょ。ずばりの サ−ビスが計画されている。「日経コンピュ−タ」`28/12/15, P.104〜107, "デスクトッ プもクラウドに仮想化使い「DaaS」始動"。 パソコンの中身はすべてインタ−ネット上の 「クラウド」に移動するかもしれない。ソフトバンクテレコム、伊藤忠テクノソリュ−シ ョンズが DaaS( Desktop as a Service ) の商用サ−ビスを準備している。 もうこれまでのようなパソコンいらない。数年前に部下達に話していたことがもう現実味 を帯びて来た。文書や表を作成したりできれば、別に Word や Excelでなくても構わない。 さらにパソコンでなくても構わない訳で、もはやシン・クライアントでもない。Webが できるだけの箱があればいい。Googleがその実現に向けて動きを加速させている。Google のオンライン情報管理のサ−ビス Google Apps Premier Edition、Gmail を中心に文書作 成、文書共有、スケジュ−ル管理。富士ソフトが代理店になって年6千円で提供している。 しかし社内の Windows パソコンはまだまだ使われる。 2年や3年は無くならないだろう。 そうするとその間はSOX法絡みで、例えば Active Directory を導入するならして、そ の管理も行なわれるだろう。でもその先はわからない。Windows パソコンは無くなると思 う。そうなると Active Directory も使われなくなる。情報漏洩や内部統制ででも購入導 入したのは、ほとんどが用をなさなくなる。パソコンの操作履歴なんか、クラウドで取れ ばいい。クラウドでのオプション料金で操作履歴を取ってもらうようにすればいい。 Google の Android も注目しておく必要がある。携帯電話用のオ−プンソ−スのOSだが 画面を大きくすればそのままパソコンでも構わない。グ−グルは必要なら自分とこで作っ てしまう。アプリをだれでも開発することができる。2008年10月22日の夜の報道 番組でも紹介された。Android 搭載のスマ−トフォンをアメリカで発売。日本アンドロイ ドの会 http://android.siprop.org/ 5百人程いる。新たなビジネスチャンスだ。アンド ロイドというスマ−トフォン用のプラットホ−ム。ベ−スは Java のようだ。 * クラウドとマトリックス 2008年10月の12日だったかNHKの番組で、クラウド・コンピュ−ティングのこ とをやっていたのは。正確なところを今、ネットで調べてみよう。そうそう10月15日 だった。クロ−ズアップ現代「新情報革命"クラウド"の衝撃」パソコンにソフトをインス ト−ルしなくても、空から降ってくる。インタ−ネットは、クラウドにアクセスするため の土管?。そう土管でしかない。 クラウドのコンピュ−タ環境に小生が提案するマトリックスの世界を作ればいいではない か。作ってもいいではないか。似たような話がインタ−ネットとは別のNGN内でサ−ビ スするSaaS、これは個々の企業が専用で使うサ−ビスでクラウドの一つ。もう一つのクラ ウドが共有サ−ビスのマトリックス。クラウドは1社でも利用開始ができる。マトリック スは皆が話に乗ってくれて利用ができるというもの。 ・ということはクラウドは、個々の企業や組織で使用するアプリケ−ション用。 ・マトリックスは他の企業や組織や個人で使用するアプリケ−ション用。 クラウドの欠点は、社内ネットワ−クよりもインタ−ネット経由する方が可用性がどうし ても低くなること。人事や経理のアプリケ−ションをクラウドで利用するのは、今の時点 ではまだ冒険という気がする。しかし社内にサ−バをおいてでのこれまでの形態でも、ト ラブル0というわけではないだろうし、そう考えれば導入してもいいという判断は下すこ とができる。情報系と基幹系の違い、信頼性、ダウンタイムの違いということだ。 マトリックスでのメ−ルは、これまでのインタ−ネットのものよりもはるかに可用性は高 い。sendmailなどのメ−ルサ−バは使わないし、DNSサ−バも使わないのだから。もし マトリックスが実現できれば、世界は IPv4 のままでもいい。改めて社内ネットワ−クに IPアドレスが本当にいるのか。いらないとなると Apollo のネットワ−クでいかんのか。 社内サ−バのコンピュ−タを何らか識別ができればそれでいいはずである。 クラウドでのユ−ザ認証はどうなるのか。SaaSのメニュ−にユ−ザ認証機能と掲げてある のも最近見る。Windows OSである必要はもうないのだから Active Directory はなくて もいい。ならば LDAP か?。LDAP もクラウドで用意されるのか。OpenID というのはどう だ。ひょっとするとクラウドでは OpenID が有力になるような気が漠然とする。`29/01に Yahoo! JAPAN ID を取った、無料。この ID は無料で OpenID も使えると書いてあった。 パラダイムシフトだ。しかし社内のパソコンが全部、クラウドベ−スになるとも思われな い。処理の比較的重たいCADソフトは、手元にちゃんとしたコンピュ−タが必要だろう。 プログラム開発はどうなるかな、これもちゃんとしたコンピュ−タが必要だと思う。ちょ ろっとしたプログラムならクラウドベ−スでもいいかも知れないが。こうした用途の社内 のパソコンはクラウドでもマトリックスでも考え方や扱いは一緒のことである。 * やっぱりマトリックスがいる クラウドではメ−ルは自社は自社となる。Lotus Notes みたいに自社用のグル−プウェア をサ−ビスとして利用することになる。これまでの IIJなんかのメ−ルの外部サ−ビスの 利用とどこが違うというのか、同じだ。それではいけない。どことでもやりとりできるメ −ルでなくては。それができるのはクラウドでなくてマトリックスだ。 今回メ−ルストアの InterScan を7にバ−ジョンアップして spam対策をできるよう にする。こうした作業はもうこれでお仕舞い。お仕舞いにしたい。今回、これをやれば3 年やそこらメ−ルサ−バはもつだろう。その間にマトリックスが広まっていけば、もはや 各会社などでそれぞれメ−ルサ−バを置く必要はなくなる。 クラウドというのが出て来て、出て来たことによりマトリックスというのを分かってもら える下地ができたような気がする。新しい概念が人々の脳味噌に浸透していくのには時間 がかかるというものだ。クラウドというまさに雲をつかむような話に比べれば、マトリッ クスのアイデアは単純明快で分かりやすいと思う。 1999年作の映画マトリックス、第一作目を`28/12/20 位に観た。前に観たのはもうだ いぶ前になる。正直分からない所が幾つかあった。話しているのを今回よく聞いて、ぼや −としてたころが分かった。エイリアンの巣みたいな所に、無数の人間がチュ−ブに繋が れているシ−ン。やはり衝撃的だ。映画のマトリックスの何ておぞましい世界か。 -------------------------------------------------------------------------------- 小生のアイデアでは、汚れ切って混沌とした世界の救世主としての"マトリックス"である。 映画のマトリックの逆の発想だった。"R・マトリックス"ということにしようか。`28/12 -------------------------------------------------------------------------------- * R・マトリックスはしぶとく `2c/05/e 貴方はアカマイを知ってますか。アカマイのネットワ−クとそのエッジ。R・マトリック スの基盤になるのでないかと思った。2012年5月22日のこと、茶道の講習会に出て いてひらめいた。リバ−スキャッシュを利用すれば、安全にR・マトリックスの中にコン テンツを置くことができる。企業などの既存のWebサ−バのコンテンツである。幾許か のマッピングで変更しないといけないコンテンツも一部あるかも知れないが。うまくやれ ば自動的にリバ−スキャッシュサ−バにコンテンツを吸い上げることができるかも知れな い。"キャッシュサ−バはそれなりに" ではなく、 キャッシュサ−バの技術が世界の救世 主になるかも知れない。知人の会社、リフレクションのリバ−スキャッシュサ−ビスはど うよ?。ともかくアカマイさんにはもう一段、野望を持ってもらおう。どこかの広告でも うけるIT企業ではない真のIT企業になってもらおうでないか。アカマイさん、いつで も協力します。とは言ってもできることはアイデアを話、一緒に議論することですが。 * 立っているのは親でもつかえ `2c/10/s R・マトリックス実現のためなら、立っているのは親でもつかえ。自分の顔が効かないの なら人気のある人をかりだせ。インタ−ネットの分野で世界的に知られた日本人、伊藤譲 一氏。クロ−ズアップ現代に出ていた、2012/10/03 のこと。 顔の広さは世界的な男とい うことか。しかし彼自身が何か創造したのか。コネクタ−として他人の発想をより詰める 媒介になっているとしても。それって仲人だ。どうも賦に落ちない。そんなにワ−ワ−言 ってあげないかん人物か。元祖SNSの申し子みたいな奴か。一杯お友達がいますという。 誰にも想像できないことをやりたい。それにインタ−ネットによる民衆の政治参加の仕組 みを作りたいと番組の最後の方で言ってたぞ。小さな国とか州とか町とかでは実験的にや られていると。何か違うぞ。まるで文屋の発想だ。先ずはインタ−ネットを十分安全な世 界として再構築することが何よりも重要だ。そこのところ、こうした影響力をもった人達 が気付いてくれないものか。どこぞの大学でが研究してないのか。研究して下さい。 * やはりR・マトリックスが要るか `2f/08/m 楽観的にみようとしても無理。今のインタ−ネットに未来はもはやない。映画、タ−ミネ −タの乗っ取られたスカイネットになってしまった。インタ−ネットはもはやリビルドす るしかない。沈没しかけた船の水を精出してかい出している状況。あるいは末期癌の患者 にモルヒネを投与しているような状態とみなしていい。救世主はR・マトリックスしかな い、やはり。安全な領域の核を最初に作る。これがR・マトリックスの核そのものであり、 これを拡げて行き最終的にはインタ−ネットとは別のインタ−ネットを作る。それがとり もなおさずR・マトリックスである。 2015年8月お盆が終わった時点、Google では "イントラネット" を検索すると上から3番目に出ている。 これだけ知名度があるのに内 容についてはまるで反応がない。一体どうなっている。イイネぐらい押してもらいたいも のだが。宣伝しようとしてない、宣伝の仕方ができてない、そこから問題なのだろうけど。 小さくてもいいから形ある物を作り、見えるようにするのが肝心なことかも知れない。 * 参考 「クラウド化する世界」 2008/10/10 翔泳社、ニコラス・G・カ−著、2,100円税込み。 > いいたいことは分かる。但し無駄な話が長すぎる。買って読むまでもない。 「日経コミュニケ−ション」 2008/10/15, P.15〜, 編集長 松本敏明。 > "一触即発クラウドが招くレイヤ−間競争 通信回線は土管になるのか"。 「日経コンピュ−タ」 2009/01/01, P.34〜53,"特集1エンタ−プライズクラウドの幕開け > 基幹系システムを捨てる日"。クラウドコンピュ−ティングの大特集だ、すごい。 ------------------------------------------------------------------------------------- [ 付録 ] Scalix と SugarCRM それにセカンドライフというのもあったよな * Scalix 電子メ−ルとのコラボレ−ション 2007/04/22 名古屋であった "第15回オ−プンソ−スソフトウェアセミナ−" ここで紹 介された。初めて聞いた、知った。新しいソフトに対して、実績はどうかと聞くのはまる でナンセンスだ。貴方が新規に導入するのだ。だいたいソフトはアメリカ発なわけで、ア メリカでは千セット導入されているとか、ダウンロ−ド数が100万とか。大多数のユ− ザが使うメ−ルソフトに関しては、Scalix で置き換えることができる。ブラウザの Ajax で使える。ブラウザは FireFox もよい。つまり Windows パソコンである必要はない。 HP社が販売していた OpenMail。2001年にバ−ジョン 7.0 をだして最後となってい た。OpenMail はコマンドレベルでしか管理ができなかった。それを ScalixではGUIで できるようにした。Outlook と外観に操作性がほとんど一緒のWebベ−スのソフトがで てきた。簡単に言えばWebメ−ルであって外観に操作性がOutlook と同じというソフト。 結構すごいと思う。Ajax を使って、ここまで Windows ソフト互換にできるとは。スケジ ュ−ル表をマウスで移動したりできる。たとえば自分の予定で会議を月曜の1時から2時 を、水曜の2時から4時にするとか。マウスで引っぱって簡単に変更ができる。 Linux で稼働。エンタ−プライズエディションは1ユ−ザ 19,500円、 50ユ−ザから販 売。スモ−ルビジネスエディションは50ユ−ザパック 164,000円。コミュニティエディ ションは無償でフリ−ダウンロ−ドできる。このソフト、どうも社内用メ−ルサ−バとし ての位置付けなのか。Outlookのネイティブサポ−ト(MAPI)、IMAP & POP Access、Scalix Web Client Access(SWA)、グル−プウェア機能はスケジュ−ル管理/権限委譲/共有フォ ルダ。Microsoft Exchange と同等なことができるとか。 このソフトは(株)サ−ドウェア の関連会社の日本スケ−リックス(株)が日本語化と販売促進をしている。 * SugarCRM 営業支援パッケ−ジソフト 2007/04/22、Scalix の話の前に SugarCRM の話があった。このソフトは顧客情報管理CRM ( Customer Relationship Management )/営業支援ソフトSFA( Sales Force Automation ) のオ−プンソ−スと有償製品である。国内では(株)ケアブレインズが販売窓口で社長さん が話をした。開発はアメリカの会社で約100名、30億円のベンチャ−キャピタルを引 き出して数年の間、ずっと開発を続けてきたという。ワ−ルドワイドで300万ダウンロ −ド、1200社の実績があるという。2007年2月の東京の展示会で、パンフレット を1枚もらっていた。多分、会場内で差し出してきたのをもらったのだと思う。 フリ−ソフトというかオ−プンソ−スというか、そうした形態のソフトでCRMは300 ぐらい世界中にあるとか。営業さん用のメ−ル有効利用ソフトというべきもの。あくまで も営業部門で設置して管理してもらいたい。2004年7月に有償製品を投入した、部署 や役職の階層構造の管理、アクセス権限の設定ができる。ケアブレインズの社長が話すに は日本企業での販売のポイントは実績、品質、コスト。それに日本語化のネックは例えば 日付けの捕え方の違い。文化的なことになる。サフィックスとデリミタ−の違い。どうい う意味?。デリミタ−は単なる区切り記号、サフィックスは拡張子で意味がある。 http://www.sugarforum.jp/。「Software Design」2007/03, P.74〜74、"次世代グル−プ ウェアがっやてくる Scalix インタビュ−"。有償版のお値段は SugaraCRM 3年で7百万 円と話しているのをメモした。例えば他の売れ筋のソフト Salesform.com Enterprise は 3年で3千万円、Salesform.com Professional 3年で千4百万円とのこと。 サ−バのス ペックは Linux または Windows 2003 Server、MySQL または Oracle または SQL Server、 PHP 4.4.x 以降。有償版ソフトはコマ−シャルオ−プンソ−スと言っていた。上のScalix もそう言っていた。コマ−シャルは宣伝という意味ではなく市場の意味のようです。 * 新しいうねりセカンドライフ 2007/05/15 お世話になっているSI業者の人から、 初めてセカンドライフの話を聞いた。 Second Life 何をしていいか分からない。これは実際にやっている人から聞いた。どうす るの、何をするの。訳がわからないまま、放置されてしまった気分。ともかくこれまで無 かったもので、実際入って見ないことには分からないようである。インタ−ネット商用利 用の始めの頃のような、何でもいいから店を作って看板を立てるだけで注目される時かも 知れない。本が2冊でていた。1冊はアメリカのリンデン・ラボの公式本の日本語訳。 2007年6月初め、朝の民法の番組で紹介していた。ダンスしていたぞ。アバタ−とい う分身をコンピュ−タグラフィックスで作る。バ−チャルリアリティ(VR)だ。峰竜太の 番組だった。彼を仮想空間の住人として登録し、アバタ−が別の女の人のアバタ−と踊っ ていたぞ。パソコンはかなりのハイスペックでないと、仮想空間ではお散歩できないとの こと。2007/07/13、日本語のベ−タ版登場、http://secondlife.com/world/jp。アメリカ のリンデン・ラボ運営。5月時点の会員は600万人。毎月100万人ずつ増えている。 2008年10月、いつもの飲み屋のマスタ−から聞いた話で、セカンドライフはもうだ めとのこと。半年以上ワッチしてなかったらこのザマだ。一時のブ−ムだったという訳か。 仮想の土地を仮想の通貨リンデンドルで買って仮想の建物を立てた。先行投資のつもりで 参入した企業は、まるで馬鹿をみたという話で終わり。ゲ−ムぐらいに止めておけばよか ったのに。どういう風にだめになったのかまでは知らないが。リンデンドルはアメリカの ドルに換金できるので、儲けるだけ儲けて売り抜けた奴が居たのかも知れない。