18.イントラネット構築2.0 `27 初め頃〜 18-1. 2007〜8年のネットワ−ク (1) イントラネット関連いろいろ * 中国などアジアの拠点接続の様相 聞いたアジアのインタ−ネット接続の様子。DNSの逆引きはほとんど設定されていない とか。DNSの1次の登録がなくて2次が生きていて、おかしなMXレコ−ドを返すとか。 いろいろ疑ってかかった方がよさそうである。本社のある日本との接続は、インタ−ネッ トVPNでもよさそうである。かつてはインタ−ネットVPNの IPSecの設定がやっかい なこと、それぞれのル−タで経路設定が必要ということ、回線速度がインタ−ネット経由 なので不安定ということで、あまり使われなかった。昨今のVPN装置は設定が簡単にな り、結構用いられるようになっている。ジュピタ−テクノロジ−(株)の InstaGate EX2を 扱っている知人がいうには、簡単にインタ−ネットVPNを張ることができる。PPTPも使 って、インタ−ネットVPNがだめになった時に、相手ネットワ−クの Windowsパソコン にログオンして、VPN装置を遠隔操作するのだとか。目の前で見せてくれました。 * 隅から隅までつながった 地球は意外に小さかった。内は日本の中の片田舎の小さな企業だ。グロ−バリゼ−ション、 そんなことは関係ないと思っていないか。インタ−ネットの世界では田舎だろうが、中小 企業だとか、それこそそんなことは関係ない。攻撃する側からすれば、そんなことを情状 酌量の余地にすることはまるでない。インタ−ネットにつなぐ以上、意識を変えないとい けない。社内のネットワ−クは世界のネットワ−クの一部になるということを。工場の工 作機械のネットワ−クもイントラネットにつながった。古いWindows OSが載った工場ラ イン用のパソコンやFA用パソコン。あまりIT関係では話題になることがないが、パソ コンまたは、中身が MS-DOS や Windows の組込み用OSであったりする箱。 何の対策も されていないのでないか。一度工作機械の展示会なりに行って、どうなっているのか調べ てみないといけない。具体的に生産ラインが止まったという話をセミナ−で初めて聞いた。 `27/06 の ForiGate のセミナ−にて。 * 自己完結ネットワ−ク 適当な無線LANの装置とDHCPサ−バは?。SI業者さん提案をお願いします。これらは 企業などで、もはや今日一般的に行われているか。先ずそれだ、まだまだ特殊なことなの か。やってくる業者さんに、それぞれ尋ねたところ、あまり無線LANをやっているお客 さんは少ない、DHCPサ−バも少ないとのこと。セキュリティを意識してか。無線LANは パケットの漏洩が問題である。DHCPは勝手にパソコンをつながれてしまう、MACアドレ スを登録したのしかつなぐことができないようにするとか。しかしMACアドレスは偽造 ができる、偽造というより好きなMACアドレスを一時的にコンピュ−タに付けることは、 コンピュ−タの機能として初めからもっている。それをできなくするかどうかということ だけ。むしろ無線LANとDHCPサ−バの利用は、家庭では当り前になってきている。無線 LAN装置は1万円そこそこでショップに並んでいる。DHCP サ−バ機能はADSL のモデム ル−タにも1万円の無線LANにも入っている。企業向けとなると、やはり製品の価格は 高くなる。しかしもう十分、企業で展開していっていいと思う。 * WWWサ−バ証明書のこと ベリサイン以外にも、いろんなところがWWWサ−バ証明書(デジタルID)を発行してい る。ベリサインは厳しい審査を一応しているが、大した審査なしで簡単に発行する会社も ある。偽のホ−ムペ−ジ、フィッシングサイトというが、これにも証明書がちゃんとある ケ−スが出てきた。あるいは本物のサイトだが乗っ取られて中身を偽造されるケ−スも出 てきている。もう今の証明書ではあてにならないということで、より取得が厳しい証明書 が出た。ベリサインは2007年の3月頃から出している。Windows Vista または XP 搭 載の Internet Explorer 7 で利用可、https://.... 表示が緑になる。これまでの証明書 は、そのWWWがちゃんと存在していることを証明しているといういい方だった。信用を 証明しているのではなかった。セキュア・サ−バ IDEV 2年間有効 330,750円税込み。グ ロ−バル・サ−バ IDEV 2年間有効 447,300円税込み。ベリサインセキュアドシ−ル、セ コムのステッカ−みたいなもの、シ−ルをクリックして確認できる。 * SSL-VPN による情報漏洩対策 小生のオリジナルのプラン、ありそうでない提案。SSL-VPN アクセスを内外で積極的に使 ってセキュリティを確保しようという。似たようなことを言っているメ−カもあるが、積 極的では全然ない。 社内にいても重要な情報には SSL-VPN を通してアクセスするように する。パケットは HTTPS になり暗号化されるので、 通信路からの情報漏洩は完全になく なる。外にいる時は、社内情報にアクセスする場合もメ−ルのやりとりをする場合も、し かもインタ−ネットのホ−ムペ−ジにアクセスする場合も SSL-VPNを使う、経由するよう にする。結局、外にいても社内にいるのと同じ環境にするのである。SSL-VPN を介してア クセスする情報は、重要情報は見るだけでパソコンの電源を落とせばその痕跡も残らない ようにする。だいたいの SSL-VPN はこの機能は入っている、 インタ−ネットカフェでも 安全に見れますというのが当初の SSL-VPN のセ−ルスト−クだったのだから。 外にいて 携帯などでの通信の場合、パソコンにWAFS用ソフトを入れておいてファイルアクセスの高 速化を計る。これでどこにいても、でかいファイルでも見ることができるようになる。 * IPアドレス枯渇の問題 いよいよ現実味を帯びてきた。2007年11月頃、JPNIC の人が講師で日曜日にあった ボランティアベ−スのセミナ−。 IPv6 も、やはりボラティアで勉強していかないとだめ みたい。新しい Mail-Relay マシン設置に当り、DNSも最新版にしてその設定で、否応 なく IPv6 に関係してきたと実感した。 セミナ−では2010年か2011年には IPv4 は無くなる。ない袖は触れない。新しい会社に新たに IPv4 アドレスを割り当てたくても 無い。アメリカが8割位アドレス空間を持っているが、再利用のために吐き出すことはほ とんどないだろうとの見方。中国がこの1年ぐらいの間、APNIC からどんどん IPv4 を取 っている。IPv4 がもらえないので、IPv6 だけでWWWサ−バを立ち上げるようなことに なる。国内のテレビのBSハイビジョン、衛星テレビでしか見えない。そんなことになっ て行く可能性がある。だから IPv6 も見える、アクセス出来るようにぼつぼつして言った 方がいいよ、ということらしい。そして、もはやインタ−ネットはインタ−ネットだけで はない。NGNもあるし、閉域網の中での IPv6 利用もある。 * Web2.0です 何でもブラウザでいけるとも思えないが。Ajax技術でブラウザで環境だけで相当なことが できるようになっている、びっくりした。新しい技術あるいはサ−ビスが出て、それが実 際に展開されるまでの時間がどんどん短くなっている。しかし Ajax がまっとうなやり方 かどうかは自分としては少しハテナだ。既存の技術でいろいろやったら、こんなこともで きた。だったら皆でこのやり方をどんどんやろう。そんな感じ。最近の流行、3つのSの SOA、SaaS、SOX法。`27/08 初めのこと。SaaSはサ−ズと読む。 SOAは とどのつまり基本的な考え方は、オブジェクト指向ではないか。ソフトウェア部品を組み 合わせて、効率よく必要なサ−ビスを構築しようという話。SaaSもインタ−ネット越 しのアプリケ−ションの利用サ−ビスで、部品化になってきている。ブラウザで使える無 料オフィスソフト ThinkFree アメリカで開発、日本語版。 ソ−スネクストがベ−タ版を 公開 `27/07。MS Office と互換性あり。これも Ajax を利用している。 * リモ−ト(デスクトップ)アクセス? Microsoft の暗号化通信のプロトコル PPTP はリモ−トデスクトップアクセス(RDP) と似 てはいるがちょっと利用の仕方が違う。RDP アクセスはそのパソコンに遠隔で入って、そ のパソコンが手元にあるかのように操作できること。ひょういしている、のりうつってい る。リモ−トアクセスとは意味合いが違う。リモ−トアクセスの代表格は telnet か、違 うなあ。原点に戻ってリモ−トアクセスは、プロバイダにダイアルアップ接続すると、パ ソコンはプロバイダのネットワ−クのIPアドレスが付けられ、そのネットワ−クに在る ことになる。RDP アクセスは社内にパソコンを置いて稼働させておき、このパソコンに外 からリモ−トアクセスし成りすますことである。シンクライアントはリモ−トデスクトッ プアクセスか、できることは同じようなことだし。いやシンクライアントは3種類位の方 式があり、似たようなのもあるが意味合いは異なると思う。シンクライアントはシンクラ イアントとして別物と考えた方がいいだろう?。いや違うか、混乱している。 * 次世代通信インフラNGN( Next Generation Network ) 2007年末のNTTのプライベ−トショ−で、展示場入ってすぐのところでNGNのデ モやってました。大阪のNTTから総出でショ−をやっていたという感じ。ありとあらゆ る分野の小さなブ−スがたくさんあって、東京まで情報収集に行く必要なし。NGNにつ いてはまだまだこれからというところだ。すでにトヨタなど6社ぐらいの大企業がパイロ ットのホ−ムペ−ジを出していた。後これまで気付いたこと。2007年3月7日かだっ たか、テレビのコマ−シャルで初めてNGNの宣伝をやっていた。なんかすごいことがで きそうなイメ−ジ、未来がやってくるという気分だった。"2007 NET&COM"でNGNが大き く展示されていた、でも日経雑誌の特集をパネルに張っていただけ。「日経コミュニケ− ション」2007年4月号にNGNのことが結構書かれていた。NGNは一体今どうなっ ているのか?、いつからどうなる?。テレビのアナログから地上デジタルへの移行みたい なこと。電話網もデジタルにしましょうという話ではないのか。 (2) 情報漏洩とセキュリティについて * 情報が漏洩する出どころ 悪意をもって情報を持ち出そうとするのは、完璧に防ぐのは不可能である。それに対応す るための装置を入れるとかいうのはどんなものか。それとも、裸になって毎度ボディ−チ ェックをするというのか。そうでなくて、うっかりマウスをクリックしたとか、悪意では なくて情報が漏洩をするのは防止する手段はある。迷惑メ−ルを削除するつもりが、マウ スのボタンをうっかり押してメ−ルを開いてしまうとか。平成17年に発表された総務省 の統計によれば、個人情報の漏洩は96.6%が人の不注意から起きているとの報告であ る。本当かなと思うけど。残りが故意と不正アクセスによるわけで、もし本当にそうなら ば、一般にいわれる情報漏洩対策は根本的に対応を見直さないといけないのでないか。不 注意の中身はどうだったか、ノ−トパソコンを忘れた、メ−ルを間違って送ったのはそう だろう。車の中に置いていたノ−トパソコンを盗まれたのは、うっかり不注意かも。会社 のデスクトップパソコンをそのまま盗まれたのは、不注意とはいえないだろう。 内部の社員が悪意をもって行なう。 電話、ファックス。堂々と郵便で。 メ−ル、スカイプなどIM、FTP、掲示板。 紙資料をコピ−またはそのまま持ち出し。 内部の社員がうっかり出してしまう。 メ−ルの CC とかで関係ない人にメ−ルを送る。 フィッシング詐欺にひっかかる。アカウント情報の漏洩。 相手先を間違ってファックスを送る、これまでもあった話。 第三者が盗聴を計る 無線LAN、ネットワ−クケ−ブル、モニタの電磁波、ハブ。 マルウェア、ボットが入り込み外部に送信してしまう。 ソ−シャルエンジニアリングもここに入るか。 * 第三者による盗聴 無線LANの傍受 暗号化強度が弱いと解読され傍受されてしまう。一番よく話題になって槍玉にあげら れるが、盗聴手段は他にもいろいろある。解読されるといっても、解読ソフトがどの 暗号化を対象にしているかだ。ほとんど流通してなかったマイナ−な無線LANで暗 号化も独自とかいうのは、解読ソフトが対象とせず解読されにくいかも知れない。 ネットワ−クケ−ブル そこら辺にはっているネットワ−クケ−ブルにテスタ−みたいな奴を近づけると、流 れているパケットを全部拾うことができる。テレビでその様子を見たことがある。極 めて危険と感じた。しかし見たことがない人は、ただの知識がない人でしかなく、脅 威も何も感じてないのが普通みたいである。モニタの電磁波も同様である。 モニタの電磁波 5メ−トルぐらい離れたところから、モニタに映るのをそのまま傍受する。このこと は雑誌ではほとんど取り上げられないが、NHKのテレビで実際にテストしているの を見た。家の外の車にモニタをおいて、家の中のパソコンの画面と同じのを映しだし ていた。tempest というらしい。 そこら辺にあるハブ ただのスイッチングハブやレイヤ3スイッチでも空いたポ−トにパソコンをつなげる。 レイヤ3スイッチならケ−ブルを抜いてハブを一瞬でかませる。ブリッジモ−ドでパ ケットを全部キャプチャする装置をかますとか。 * 情報の種類とその扱い 概ね個人情報、機密情報、重要情報、一般情報に分類できるのでないか。一般情報は漏れ ても全然問題ない、煮るなり焼くなり好きにして。個人情報は漏れると法律で問題になる。 機密情報はその会社にとって非常に重要な情報であって、漏れてもその会社が困るだけで あって法律では問題にならない。しかし機密文書の中には顧客に関する情報も記載してい るかも知れない。それに対してちゃんと管理してもらわないと困ると、相手からクレ−ム を言われることはあるだろう。機密情報とはどういうのを指すのか、これはよく検討しな ければならない。 CADデ−タや部品リストは機密情報か重要情報か。あまたたくさんあるCADデ−タは、 漏れても構わないかといわれれば、漏れては困ると言うしかない。しかし全部のデ−タが 会社の経営や業績まで影響するものかといえば、そうではない。CADデ−タの中でも新 製品の中核となる部分、これがライバルメ−カに渡たり模倣されたら。そして自社より早 く製品を出してきたら。長年研究開発してやっとオリジナル技術を確立した、その内容が 漏れることは大きな損失につながる。そういうのをよい子では機密情報としよう。 そもそも個人情報や機密情報を含むような重要なレポ−トを、外の公園のベンチとか喫茶 店でノ−トPCで作業することが望ましいかどうか。最終的に全部が機密情報になるレポ −トは、外での作成は禁止すべきではないか。例えば、経理の仕事で銀行通帳を喫茶店で バ−と広げて作業したりするか?、そんな奴はおらんぞ−。ともかく新幹線の中でレポ− トを完成させるようなことはやめる。どうでもいい所を外では書いて、会社で個人や機密 情報に関係するところは書けばいいでないか。場所をわきまえること、常識だ。 * セキュリティ関連メモ PDFファイルを使った初めての株価操作のスパムが `27/06/20 に、世界中に50億通メ− ル送信された。画像スパムではなく、ちゃんとした証券リ−ポ−トを装っていたとか。1 ヶ月程前に初めて pump and dump という話をセミナ−で聞いたばかりだった。 セッション・ハイジャック。例えばテニスをやっていて、玉を打ち返していて、いきなり 知らん人が入ってきてプレイヤ−になっていた、背格好が一緒で似たような服装で。これ がボ−ルでなくパケットだったら。理論的にありうる攻撃だということはかなり前から知 られていたが、今や当り前に起こる攻撃だと考えた方がよさそうである。 レピュテ−ションと RBL。RBL はブラックリストであって、そのリストを見ればいいか悪 いかはっきりするというもの。レピュテ−ションは評価することであって、ブラックリス トも使うかもしれないが、それだけではなく別な判定方法もとりあわせて行う。結果は白 か黒かという場合もあるが、どの程度あやしいかという場合もある。単純な判定ではない。 UTM製品をある程度の大きさのネットワ−クで使うというのは、どうも違和感を感じる。 やはりファイアウォ−ルはファイアウォ−ル、侵入防御装置は侵入防御装置、とそれぞれ 設置するのが筋というものでないのか。幕のうち弁当みたいなことで、八方美人的なこと ではある程度の規模の場合は、実際に役に立たないのでないか。 DefenseProは買ってから何年たつやぁ。もう4年ぐらいなるのでないか。IPSの見直し も考えていかないかん時期じゃないのか。いやまだ買って3年だ。購入しようと検討して いた時、ボットなんて話はあったかやあ。2007年前後で侵入防御装置のセミナ−が多 い。たいがいマカフィ−の IntruShield なんだが。売り込みも多いです。 日本の1位2位を争う製造業でのこと。そんな企業でもIPSが分かるエンジニアはいな い。ログを見てもよく分からないと言うのが本当のところ。IPS監視の委託をその企業 が見積りをとったところ年間1千万円。さすがにそんな費用は出せない。結局のところ年 に何回かログをみてもらって、IPSの調整をお願いすることにしたという。`27/06 IPS入れて効果があるかどうか分からないが、ともかく入れておくというのが現実的な 解である。費用対効果をきっちり出すことができればそれが一番だが、そういうことだけ では済ますことができない。訳が分からないけど、ともかく買うということも必要だとい うこと。IPSを入れてないところは、かなりやられているのでないか。 拾ったものは必要以上に中身を詮索せずに、速やかに落とし主に返す。これが当り前の社 会じゃないのか。情報を漏洩した人を罰するのではなく、情報を悪用した人を罰するべき じゃないのか。法律の改正も必要だと思う、何でこのことを誰も言わない。この数年の間 どうもおかしな法律がいつの間にか作られる。根本的におかしいのでないか。 情報漏洩して、もしマスコミで取り上げられることになっても、トップは毅然とした態度 で漏れて困る情報は何もないと言い切ること。本当のことだから、すいませんとか今後こ のようなことがないように気を付けますとか、いう必要はまったくない。それにしても何 で新聞、テレビはパソコンが紛失とすぐに報道したがる。誰かに操られれている?。 一応やってますということと、実際に対策をやるというのは別ものである。ミ−トホ−プ の検査は、一応やりました。何をチェックしたのか知らないが、書類的には完全にやった ことになっているのだろう。でも、実質的には全然検査をやったことにはならない。でも 役所としては、やることをやったのだから責任問題にはならない。 Skype は何が危険なのか。 ただ単純な P-to-P(P2P) の通信ゆえツ−ツになるから危ない。 いわゆるトンネルが張られる訳で、危ないといえば危ないには違いないのだが。Skype で も Winny でもそうだが、これらのソフト自体に根本的に問題があるのではない。 ソフト のバグをついて問題がでてくる?。今少し調べてみないといけない。 2007年10月の東京での展示会にてもらっていたパンフレット。御社のLAN配線は 裸の王様?。パソコンやハブの RJ-45ジャックに勝手にネットワ−クケ−ブルをつながせ ない、外させないキャップを紹介していた。ハブのポ−トには蓋をしてしまう、鍵がなけ れば外すことはできない。セロテ−プをポ−トに貼るよりはるかにセキュアだ。 * 日本版SOX法への対応 `27/08 SOX法は少しト−ンダウンしている。なかなかどこの企業も進んでいないらしい。最低 限のところだけやればいい、そう言い切る会社のトップの話も出てきている `27/08 時点。 そんなに世の中、スマ−トになったかということ。みかけだけ。昔一時、地方で流行った 博覧会みたいに、ベニヤ板で囲ったり張ボテで作った会場。遠目夜目傘の内みたいなこと で、近くで見たらまるで子供だまし。何ヶ月しか持たないお粗末な作り。まさに格好だけ 付けたという。ログ、証拠、監査。これらはちゃんとまともに仕事をしているかというこ と。監査する人がログをチェックして、ああ確かにまともですなと判断する?。できるの か、そんなことが。そもそも何のために証拠を残したいのか。裁判とかいうけど、潔白を 証明したいのか、犯罪を証明したいのか。展示会に行くと小さな会社がいろいろソフトを 出している。認定SOXアドバイザ−、そういう資格もあるらしい、名刺に書いてあった。 パソコンの操作ログをとるようにしたと言うだけで、日経の雑誌にのる `27/12 時点。と いうことは、操作ログをとっている企業はまだまだ少ないということか。 * はびこってきた携帯電話 もうパソコンと一緒だ。PHS、PDAも同じこと。 PDAなんかもろに Microsoft の OSが入っている。 画面は小さいながら Word や Excel のファイルも見ることができる。 パソコンを紛失したり盗難にあったりすると、すぐに新聞にのる。しかし携帯電話ではそ ういうことは聞かない。多分はるかに携帯電話を亡くす盗まれるのは、パソコンよりも多 いはずである。なぜそれが問題にならないか。個人の携帯電話に得意先の電話番号なんか が入ッ手いる。これは個人情報保護法の対象になる。以上2005年ぐらいまでのはなし。 その後、2007年4月頃に聞いた話。多分、国内のSI業者の中で一番厳しいセキュリ ティポリシ−を掲げている会社のこと。打ち合わせをしていて、携帯電話を取り出し、こ れ見て下さいよ−、こんなんじゃ仕事になりませんと愚痴っていた。その携帯電話にはま るで相手先が登録されていない。手帳にメモした電話番号を見て、打っていくのだそうだ。 会社のシステムの接続すれば、相手先の電話番号は検索できるようになっているらしいが。 それに携帯電話にきたメ−ルはいっさい残すなとのお達しが出ている。すごいです。 * 参考 「日経コミュニケ−ション」2007/04/15, P.34〜35,"株価操作を狙った攻撃が多発中 巧妙 > さ増す「だまし」のテクニック"。企業に人が忍びこんでデ−タを盗む。 Pod Slurping、 USBフラッシュメモリ−等にコピ−して盗む。1、2行の DOSコマンドでパソコンの ファイルをコピ−する。そりゃそうだ。この記事には pump and dump は出ていない。 「NETWORK MAGAZINE」2006/03, P.88〜91,"企業セキュリティ「カイゼン」策、第3回重要 > 度の増す内部セキュリティ"。内部セキュリティは手つかずのまま、InterSpect 内部セ キュリティ。なかなかいいことが書いてある。 (3) 情報漏洩対策とフォレンジック `27/05〜 * フォレンジックの検討 フォレンジック・サ−バをファイルサ−バとして使えないか。どっちにせよ、メ−ルや社 内の文書サ−バへアクセスしたファイルがずっと入る。フォレンジック・サ−バから、所 要のファイルを抜き出すことができれば、いざという時のバックアップサ−バとして使う ことができる。メ−ルのア−カイブとか別途アプライアンスを立てなくても済むし。でも そう言う訳には行かない。基本的にどの製品でも管理用のパソコンからしかアクセスでき ないようにしているし、とったデ−タは改竄できなように容易に取り出すことができない ように設計されている。それに全パケットをキャプチャするといっても、デ−タの抜けは あると考えた方がいいようである。このため懇意にしているSI業者は検討した結果、そ の会社では扱わないことにしたそうである。裁判などの証拠としたり、メ−ルのバックア ップにしたりするのに、デ−タが虫食いではいざという時に使いものにならないと判断し たと話していた。その会社、SOX法に内部統制は強力に推進している会社である。 SOX法のセミナ−では、メ−ルのログや本文の保存が必要だといっているセミナ−も結 構ある。その割にはフォレンジック製品への関心は低いようだし、懇意にしているSI業 者の営業さんにも問い合わせしたら PacketBlackHole の名前も知らなかった `27/09。東 京での展示会やフォレンジック製品を扱う会社の営業マンの話。何人かと話したがSOX 法うんうんの話は、彼等はまるでしなかった。従業員が就業時間内に、仕事に関係ないホ −ムペ−ジを見ないようにという抑止力になる。皆さんそういう使い方をされている。溜 め込んだ内容のチェックは、1年に1回やる程度。これもつぶさに検証するという訳でな く、パケットが概ねとれているかどうかちょっと調べる程度。毎日、専任監視人がおかし なことをやっている人がいないか、検閲するということはまずないという。パソコンの操 作ログをとるようにしたと言うだけで、日経の雑誌にのる `27/12 時点。ということは操 作ログをとっている企業はまだまだ少ない、ましてやフォレンジックなんかまだまだか。 社内に流れるパケットは全部記録するというポリシ−は。そのため部門毎にフォレンジッ クサ−バを置く。外のホ−ムペ−ジのアクセス、社内共有、イントラ。パソコンのIPア ドレスは DHCP サ−バで振られたのは固定でなくなる、ログにはMACアドレスなどパソ コン固有の値を入れる。何日、何ヶ月どれだけ保存するかは要検討。例えばメ−ルは1年 それ以降は添付なしの本文だけかログを5年間保管するとか。各自のパソコンには基本的 にメ−ルはずっと残す。フォレンジックサ−バでの保管メ−ルとパソコンにあるメ−ルで 証拠能力は高まる。パソコンのメ−ルは意図的にまたはトラブルで消えてしまわない限り 残っている。社内の各サ−バでもログは取っておく。履歴のメインはフォレンジックサ− バとする。同じログが2ヶ所で記録されていれば、より証拠能力が高いといえる。メ−ル サ−バ、ファイルサ−バ、イントラサ−バなどなど。ログなどは取る以上、いざという時 に証拠として提出でき得るものでありたい。そうでなければフォレンジックの意味はない。 * フォレンジック製品 --- 全パケット・キャプチャ型製品 どのメ−カの製品でも HTTPS パケットはキャプチャしても、 暗号化されているので内容 は再現はできない。誰がどこにアクセスしたかまでは分かるのみである。内容を再現した ければ暗号化する前の所で基本的にはパケットをとるしかない。しかし BlueCoat のプロ キシ・サ−バをかませば、HTTPS パケットも BlueCoat で一時的に復号化されるので、内 容も分かるようにできる。 どこにフォレンジック・サ−バを設置するか、よく考える必要がある。展示会でざわざわ している場所で見た際は、何でも復元してしまうすごい装置だと感心した。しかしよくよ く見てみると HTTP のWeb画面でも相当に抜けている。プロキシサ−バをかましている と、更に抜けがひどい。プロキシサ−バでもキャッシュをするのがひどいのでないか。 溜めたメ−ルをそのユ−ザのパソコンのメ−ルソフトに戻せるか、2007年の展示会場 で尋ねた。一応できそうなのは PacketBlackHole だけだった、 マウスでここからここま でと指示して戻そうと思えばできる。 三菱の MSIESER ではできんこともないが簡単には できない。ファイルをほんの1つ2つ、幾つかの操作をしてやっこらせ戻せる程度だった。 [ PacketBlackHole ] http://www.packetblackhole.jp/ ネットエ−ジェント(株)の製品。ネットワ−クに流れるパケットをキャプチャして、内容 を再現する。再現できるのはWeb、メ−ル、Webメ−ル、掲示板、RDB、Windowsファ イル共有、VoIP、Telnet、FTP。 パケットの取りこぼしがないように、デ−タ取得端末装 置と称する専用のリピ−タハブかネットワ−クタップEtyherGazer1000 約39万円をかま すのが望ましい。製品は例えば PBH-NR1、HDD 500GB 最大6TB、2U、 想定対象ユ−ザ数 50〜500人。パケットの種類に応じてどれだけとるか指示できる。例えば HTTPは全部のパ ケット、HTTPS はどこへアクセスしていたかのログ程度。キュ−ブ型のアプライアンスは 結構静かだった。溜めたパケットでのメ−ルの検索は、差出人アドレスや宛先アドレスや 件名などでできる。例えば ikken@henomohe.co.jj 宛のメ−ルを検索して出して mbox 形 式のファイルに書き出すことができる。このファイルを ikkenのパソコンのメ−ルの所の フォルダ−にコピ−すれば、メ−ルのバックアップとして使うことができる。同様にファ イル共有アクセスのファイルも、こうやって戻すことができる。 気になったことで OpenSSL の脆弱性についても調べた。PacketBlackHole は OpenSSL ラ イブラリのバ−ジョンには該当しないので、影響なしとサイトに記述されてあった。パケ ット取得専用ポ−トを設けてプロミスキャス・モ−ドで稼働、無差別取得モ−ド。IPア ドレスを 0.0.0.0 にしてステルス化できる、 デ−タの送信はできないようになる。ハブ でミラ−ポ−トの設定をする。 ついでに PacketBlackHole と似た様な製品の記事があっ た http://www.npa.go.jp/cyber/research/h16/research.pdf このレポ−トに載っていた、 平成15年2月頃に発売の警察庁の平成17年の報告書、 "アクセス制御機能に関する技 術の研究開発の状況等に関する調査" PDF 160ペ−ジ。2007/08 に見た。 [ 三菱の MSIESER ] http://www.mss.co.jp/businesfiled/security/mseiser/ 三菱スペ−スソフトウェア(株)国産開発。 通信パケット記録装置 MSIESER エム・シ−サ −、沖縄のシ−サ−のこと。この手の製品はパケットのとりこぼしがある。ともかくパケ ットをとりこぼさないようと開発した。開発は6年前で、元々はサイバ−テロへの対応で、 どんな攻撃がきているか調べるために日本政府が絡んで開発されたとか。ともかく全部の パケットをキャプチャするが、CIFSなど再現対象ではないのは再現も検索もできない。2 テラ、3テラで数ヶ月ディスクでとっていて、その後はテ−プに保存する。ハ−ドはHP かIBMを使用。操作はWebブラウザ。ソフトは Linuxで稼働。製品はスタンダ−ドが HTTP, SMTP, POP, FTP対応、それにメッセンジャ−もキ−ワ−ドで検知して管理者に知ら せる機能あり。価格はオ−プンプライス、だいたい500万円は超える。エンタ−プライ ズはHTTP, SMTP のみ、ハ−ドは3台使って1千万円を超える。 PacketBlackHole としば しば競合するとか、MSIESER の方が50万円から100万円ほど高いらしい。 HTTP は画面の操作の {ペ−ジ組み立て}で、ほぼ完全に復元する。プロキシサ−バがある と抜けるデ−タがある。HTTP でウィルスなんか入って来ると、それは "部品"と言うアイ コンになっている。本当にそれがウィルスだと、ブラウザを使用しているパソコンに感染 してしまう。だいたい見た感じ、アサヒコムのホ−ムペ−ジでも記事の文字部分は出てい るが、大方アイコンや空欄になっていて、見た目が再現されているにはほど遠い。HTTPの メニュ−には GET と POST のアイコンがある。POST を見ていくと2chに書き込んだ内 容がでる。Webメ−ルも復元する。操作画面は大体シンプルである。展示会での営業さ んの話では銀行系にはだいたい入っていると話していた。 [ NetPARTOR ] NetPARTOR、国産ソフト、(株)イ−ジ−ネット開発。 Web、メ−ルなどのパケットを全 てキャプチャする。パンフレット文句、J-SOX/内部統制対策、通信パケット取りこぼしな し。再現プロトコルは HTTP, SMTP, POP。メ−ルは添付ファイルの中まで検索できる。独 自の全文検索エンジン搭載で検索が速いのがうりだとか。他の製品は1つキ−ワ−ド入れ て検索結果がでてくるのに5分ぐらいかかることもあるとか。パケットは1/10にして 保存。2007年秋の東京の展示会で、上2つのメ−カと並んででていた。メ−ルをパソ コンに戻すのは、やはりできないといっていた。 2014年4月にフォレンジックサ−バの製 品を調べてみた。NetRAPTOR はまだあった。http,https,pop,smtp,ftp 対象。https は内 容は見れないがどこからどこへのアクセスとかいうのは分かると説明があった。 [ その他の製品 ] 他、手元のパンフレットにアプライアンス製品の inetSNAPs というのもあった、 日本語 の画面メニュ−だった。LaneCat Outside Edition というのもパンフレットをよく見たら フォレンジック製品だった、アプライアンスではなくソフトウェアらしい、国産開発ソフ トらしくメニュ−は日本語だった。他にも雑誌を見てたら NetDetector、netevidence と いうのもあった。以下蛇足、フォレンジック(forensic) かフォレンジックス(forensics) か。フォレンジックは形容詞でフォレンジックスは名詞である。 * ログをどこで、どれだけ、何を取るか メ−ルは Mail-Relay と Mail-Store の syslog は。Mail-Store の InterScanの全メ−ルのロ グは。PacketBlackHole で全部とるか、アプライアンスのメ−ルタンクとかは。 社内ファイル共有は Samba サ−バのログ。ハブのミラ−ポ−トで CIFS パケットだけをとる市販ソフトの VISUACT とか。ちいさな会社を初めこの手のソフトはいろいろ出ている。 ログを集めて管理するソフト いろんなところで取ったログをつきあわせていくと、その人がどういう動きをしたか 見えてくる。それぞれのログを別々に見ていたのでは、分かりにくい。 パケット一括収集 PacketBlackHole とか、究極これしかないのでないか。PacketBlackHole の前に一方 向のファイアウォ−ルをかませておけばネットワ−ク経由での改竄はできない。 プリンタ−の出力ログは こんなのとれるのかな。ICカ−ドで認証して使えるようなプリンタ−もあるようだ が。2007年の東京の展示会で、プリンタ−のこと結構大大的に宣伝していた。 メ−ルのログ InterScan のログ。ずっと残っている。これを使えないか。1日 4MB位。2年分ぐら いはゆうに取れる。添付ファイルはログに記載されているか確認のこと。 パソコンの操作ログ パソコンにエ−ジェントのソフトを入れる。クリップボ−ドに入ったのは記録できる。 カット&ペ−ストしたは分からない。ファイルを見たことは分かる。 * ログを取る草分けソフト LanScope Cat3 が草分け的存在、とか。パンフレットはだいぶ前から手元にはある。パソ コンの資産管理など内部統制がらみことは皆できる。似たような名前のソフトで LaneCat というパンフレットも手元にある、パソコンのフォレンジックと操作ログをとる、資産管 理の機能はない。参考「日経SYSTEMS」P.112〜117, "プロダクト 賢者の選択 IT資産管 理ソフト" の記事から。エ−ジェントレス製品 LogVillage、パソコンには ActiveX コン トロ−ルがいる。ユ−ザが一度はパソコンから LogVillage にアクセスしないといけない。 2004年当時はパソコンの操作ログを取れるのは LanScope Cat3 しかなかった。 IT 資産管理ソフトは22個表にのっている。1サ−バで管理できるパソコンの数、LanScope Cat3 はパソコン500台、他のソフトは数千から5万台とか。 導入目的は情報漏洩に対 する牽制効果が主である。 これらパソコン管理の総合的なソフトは、例えば Asset View は安い、LANDesk はファイルの配布に強いとか特徴がある。ログはどこが強いのか?。 * 情報漏洩対策ソフト McAfee Data Loss Prevention。これが2007年の5月頃セミナ−で聞いた奴か。 文書 のカット&ペ−ストや画面をキャプチャ−した際のログもとる。2007年10月初めで たもよう。これは強力な情報漏洩対策ソフトだ。パソコンの操作ログを取るという、これ までのソフトなんかへみたいなものだ。やるならここまでやらないと。仕組み的にはパソ コンの全部のファイルを何がしか管理対象にするわけだ。フィンガ−プリントを全部のフ ァイルに生成してデ−タ−ス化する。デ−タフィンガ−プリントのサ−バ/デ−タベ−ス は DLP Gateway といって1Uアプライアンス、Windowsのサ−バが必要で Microsoft SQL Server, Microsoft .NET Framework, Microsoft IIS がいる。パソコンにはエ−ジェント ソフトを入れる、DLP Host という。マカフィ−はアクセス可否うんぬんでなく、 アクセ スされて転用されるのをコントロ−ルすべきと考える。McAfee ePolicy Orchestrator と 連動させて、統合的な管理をする。 ESS REC と言うソフトも McAfee Data Loss Prevention と同じようなもの?、 数年前か らあるそうな。エンカレッジ・テクノロジ(株)の製品、国産ソフト?。2004/08 リリ−ス。 内部統制強化ソリュ−ション。McAfee のソフトと似たようなものかと思ったが違う。 ビ デオカメラでパソコンのモニタ画面を録画するようなものだった。ESS( Encourage Super Station ) 動画で操作画面を記録する。画面をロックしてパソコンの操作をできなくする。 ESS REC シンクライアント・シリ−ズ。シンクライアントのCitrix Presentation Server にも対応。ソフトはビデオの操作のような画面がある。記録開始とか再生とかのメニュ− がある。http://www.et-x.jp、`27/10初めて知った。展示会でもらっておいたパンフレッ トを眺めていたら、もう一つ同じようなソフトがあった。パソコンの画面をそのまま画像 として記録するのは一緒、考えたらそんなに難しい仕組みではないな。 ※パソコンでは "カット&ペ−スト" ではなく "コピ−&ペ−スト" という。 * メモ パソコンを各部署でそれぞれ調達して自由にネットワ−クに繋ぐことを認める。但しフォ レンジックサ−バが全デ−タのやりとりを記録する。フォレンジックと言う非常に厳しい ポリシ−を掲げる代わりに自由度もそれなりに与える。管理をしない管理、一見して管理 してないかに見えて、大きな掌の中で管理されている状態。決まりをどんどん増やしてい く方向は取らないで済むならそうしたい。 ここからは `2h/09/E に記述。以上の話は2008年頃、世間で情報漏洩対策ということ がやかましく言われていた時、自社でも対策をすべしと部署や社内でそうした雰囲気がで きてしまった。IT部門とは別に経営何がしというような社内の他部署が絡んで来ること にもなった。インタ−ネットの利用が完全に企業活動の一つとして認知され始めた証拠だ ったとも言える。パソコンやネットワ−クについてどんどん社内規定が整備されていった。 そうした事態でもユ−ザの事を第一に考えたい。社員を信用しない会社は終 わっている。それがフォレンジックで監視の代わりに自由という発想である。 フォレンジック装置は入ったものの今に至るまで何の活用もない。そんな事だろうと初め から分かっていた話である。透過型で入っていることもあり存在さえ忘れられている。も しITに明るい人材が経営何がし部署にいたら、リストラ対象者をピックアップし、その 人らのメ−ルを密かに監視し首切りのための証拠集めをしたかも知れない。事実、テレビ で中小企業の社長が毎日メ−ルをチェックしてるおぞましい様を何回か観た。 (4) IP-VPN から広域イ−サヘの乗り換え `27/12 * なかなか検討は手強い インタ−ネットVPNはどうか、IIJ がマネ−ジドVPNというのを出してきた、なかな かよさそうだ。もうごちゃごちゃ検討しなくてもこれでいいのでないかと思った。インタ −ネットVPNとは拠点間の接続の仕方が異なっている。ハブ&スポ−ク型といっている。 IP-VPNとトポロジ−は似ている。拠点でも同じプロバイダを使うことが条件になる。プロ バイダの装置にそれぞれの所からアクセスしあうというイメ−ジである。しかし仕組みは インタ−ネットVPNであることには変わりない。SSL-VPN との相性みたいなことはない か。パケットを IPSec で暗号化したところに HTTPS でまた暗号化する訳で。少々不安材 料ではある。多分 IIJ さんであれば、いろいろ検証はしているだろう。 信頼性と速度的 なことはあまり心配することはないと思う。今でも IP-VPN の足周りはフレッツ・ADSLや アッカのADSLだし、インタ−ネット接続もフレッツ・ADSLである。インタ−ネットVPN とはいっても、IIJ のバックボ−ン近くを通るはずで、遅延も押えられている。 あるいは近くは地域系のネットワ−クの広域イ−サネットにして、支店は IP-VPN を使う というのはどうだ。あるいは遠方でしかもユ−ザ数が少ない拠点があるとすれば、それは インタ−ネットVPNにするというのはどうだ。そんな異なるWAN接続の相乗りができ るようになってきている。それぞれの特徴を活かして使い分ける、メリハリネットワ−ク と最近言っている。また KDDI が CTC を 2008/04/01 に子会社化すると発表 2008/01/25。 さらに相互乗り入れが容易になってくる。回線速度を 100Mbpsとかギガビットまで上げた いのなら、ダ−クファイバを使う手がある。NTTのでも電力系のでも使える。もはや現 実的な選択肢になってきている。ダ−クファイバは局内折り返しといって、伝送遅延を一 番小さくできる。Windows のファイル共有で、速度を上げてもファイルが落ちてくる時間 がそう大して変わらないとぼやいている所には、かなり有効かも。もうこの際だから、最 大限やれることをやって遅いとかどうとか言わせないようにしてもいいだろう。 すでに別の会社で IP-VPN か広域イ−サネットを敷設しているわけで、同じ会社または他 のサ−ビスに変更する、乗り換えするのにはどうするか。実際の回線の作業はどうするか。 現状すでに ADSL なんかが引かれているはず。別にもう1本 ADSL を引いて、タイミング を見て、せ−ので切り替える。何日間か ADSL のラインなんかが重複するが、こうした切 り替えのやり方は普通に行われている。もう1本の社内のNTT回線ケ−ブルの引き回し は、出入りの電話設備の会社にお願いすることになる。もっと問題にすべきは本社や支店 のネットワ−クのIPアドレスである。方式を変えることによってIPアドレスを全部変 えなければならないのか、そのままでもいのかということである。 IP-VPN は全部、別な IPアドレス。広域イ−サネットは基本的に同じIPアドレス。 IP-VPN から広域イ−サ ネットに変更、その逆。あるいはIP-VPNと広域イ−サネット両方を使うプランもある。先 ずはこれらのIPアドレスがどうなるか、下の図でイメ−ジを確認したい。 * IP-VPN と広域イ−サネットの相互乗り入れ [ 広域イ−サネット ] 1.0 1.0 1.0 ただのリピ−タハブのイメ−ジ。これが元々 -------- -------- --------- の広域イ−サネット。電話線の代わりにRJ45 | | | のイ−サネットのコネクタが来ている。光の 1.0 | | | コネクタかも知れないし。網の中は MPLS と / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ かいった技術でパケットをカプセリングして \________________/ いるが、細かいことは気にしなくてもいい。 1.0 2.0 3.0 1.0 2.0 3.0 -------- -------- --------- -------- -------- -------- | | | → |.1 |.1 |.1 □ □ □ □ □ □ | | | | | | 4.0 |.1 |.2 |.3 |.1 |.2 |.3 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ ============================ 4.0 \________________/ ユ−ザがル−タをかますと拠点に異なるIP アドレスを付けることができる。網の中は同 じネットワ−クIPアドレスとみなしてよい。 広域イ−サネットのL2ネットワ−クとは。先ずは1本のネットワ−ク・ケ−ブルありき。 ネットワ−クを網で丸を描くと理解しにくい。Powered Ethernetのサ−ビスでは足周りに NTTのBフレッツ、フレッツ・ADSLは使えない。アッカの xDSL は利用できる。フレッ ツ網は PPPoE接続であるため拠点内のネットワ−クは別IPアドレスでなければならない。 PPPoE接続するには ADSLモデムル−タの PPPoEソフトを使うか、パソコンに PPPoEソフト を入れてその1台だけ接続する。モデムル−タでは拠点内のネットワ−クのプライベ−ト IPアドレスをNAT変換してWAN側にパケットを流す。アッカは PPPoA接続のため同 じIPアドレスでも行ける、ル−タまたはブリッジとしても働くようである。実際の構成 ではそれぞれの拠点でル−タをかまし、ブロ−ドキャストが他にはいかないようにする。 [ IP-VPN ] 1.0 2.0 3.0 1.0 2.0 3.0 こちら側 -------- ------- -------- ------- ------- -------- にも実際 | | | | | | < にはル− |.1 |.2 |.3 → |.1 |.2 |.3 タがある。 □ □ □ □ □ □ / ̄ ̄| ̄ ̄ ̄ ̄| ̄ ̄ ̄ ̄| ̄ ̄\ | | | | 4.0| 5.0| 6.0| | =========================== | ―――――■――――― | 網の中に大きなル−タがあって、それぞれの \_______________/ 契約者に分けて経路制御しているイメ−ジ。 [ 相互乗り入れ ] IP-VPN 広域イ−サ 広域イ−サネットは基幹ネットワ−クとして / ̄ ̄ ̄\/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ 捉えるのが通常だから、拠点毎にIPアドレ \___/\___________/ スは分けているのが普通である。2つサ−ビ スが相乗りしても全体を IP-VPN のように考 えればいいと思う。それゆえ IP_VPN に広域 IP-VPN 広域イ−サ イ−サを組み合わせても、各拠点のIPアド / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\/ ̄ ̄ ̄\ レスはこれまでのまま使えるはずである。で \___________/\___/ きないとすれば、業者側のただの都合である。 * CTC EtherLINK 中部電力出資の中部テレコミュニケ−ション(株)の広域ネットワ−クのサ−ビス。電柱か ら光ファイバを事業所に引き込んでくる。フルメッシュ型のサ−ビス、網である。平均伝 送遅延時間は 20 msec を超えないことを保証。 超えた場合は料金を幾らか返還するとか。 IEEE802.1Q に準じた拡張タグを透過するので独自VLANを構築できる。CTCはだいたい において安いが、そうでもなくなる場合もある。クラス1で 100Mbps で保証が 1Mbps は 7万円、10Mbps 保証は22万円、100Mbps 保証になると64万円にもなる。 税抜き価格。 カタログメニュ−の他にダ−クファイバでの利用もある、この場合は顧客と直接契約する ということになっている。ギガビットで近くの拠点をトライアングル接続ができる。 まあギガビットまでの速度はそうそう必要ない。3次元CADのすごいボリュ−ムのデ− タを頻繁にやりとりするとか。Word や PowerPoint がでかいと言っても 100MB 超えるよ うなのはないだろう。たとえば内の地区は利用者が他に出て来ないので、独占利用と一緒 なので保証が 1 Mbps でも速度は十分出るという。都市部では保証帯域を上げて契約しな いとだめかもしれない。中部5県以外とも接続できる、例えばイ−サネット方式 5Mbpsは 338,000円。メガデ−タネッツ方式 5Mbps、50%保証は 292,700円。 高速デジタル方式 は 128Kbps, 512 Kbps, 1.5Mbps などあり。EtherLINK アクセス回線に KDDI の Powered Ethernet が追加された。さらに CTC は `28/04/01 に KDDI に統合されることになった。 1.0 工場1 2.0 工場2 本社 3.0 4.0 支店1 5.0 支店2 -------- -------- ------------------------ --------- --------- |.1 |.1 .1| 1.0,2.0|.2 | | □ □ ■ → ← ■ | | | | / 4.0,5.0 \.1 |.1 |.1 |.1 |.2 /.3 □ □ □ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ / ̄ ̄| ̄ ̄ ̄ ̄| ̄ ̄ ̄ ̄| ̄ ̄\ | 6.0 | | 7.0| 8.0| 9.0| | \________________/ | ―――――□――――― | \_______________/ 地域系広域イ−サネット 別な会社の IP-VPN 網 こういうトポロジ−のサ−ビスが現在、一番いいプランかも知れない。近くの工場などは 地域系の広域イ−サネットにする。電力会社などがサ−ビスしている光ファイバでの接続 である。工場1、工場2、本社は同じセグメントで構わない。これをル−タをかまして既存 のネットワ−クに合わせる。CTC のメニュ−なら 100M で保証1M、7万円で十分いけるだ ろう。遅延は他のプランの中で一番小さいはずである。IP-VPN網はこれまで利用してきた としようか。支店がこれまで ADSL だったのならBフレッツにしよう。これで上りの速度 も下りと一緒になり、全体の速度アップを計る。IP-VPNの本社接続は、経路制御の関係上 KDDIならやはりATM回線ということか。いや Powered Ethernet の特定県内のメニュ− が使える、10M 207,000円。WAFS は本社近隣はなし、支店に設置でいけるのでないか。 * KDDI IP-VPN KDDI IP-VPN は本社へのATM回線部がどうしても高物につく。地域系の光ファイバ−利 用(CTC)でも 100 Mbps 出るところ、MAX 10 Mbps に IP-VPNでは制限されているし、しか も料金はATMよりも高くなるという。`27/12 に KDDIの人と話していて、もう一つ方法 があるよと紹介してくれた。 KDDI Powered Ethernet と接続する KDDI IP-VPN サ−ビス の "フリ−ゲ−トウェイ"である。 これは結局、KDDI Powered Ethernet の足周り回線は CTC EtherLINK を使うことになる。 KDDI の IP-VPN 網でインタ−ネットに抜ける本社接 続のATMメガデ−タネッツだけをこの電力系光ファイバ−に変える。本社に隣接する工 場もフレッツ・ADSLから KDDI Powered Ethernet にしてしまうプランも考えられる。 地域系イ−サネットを足周りに使うというKDDI Powered Ethernet の料金プランは、特定 県内料金、特定エリア料金、全国料金の3つがある。近間は特定県内料金である。KDDIの ホ−ムペ−ジに料金表が出ている。特定県内で 0.5M から 1G まで細かくメニュ−がある。 回線や装置の使用料など全部で例えば 10M 207,000円、100M 385,000円、1G 1,560,000円。 特定エリアだと 10M 270,000円、100M 505,000円。これら全部イ−サネット方式(Type G)。 特定エリアとは例えば中部地区の幾つかの県の範囲。全国料金だとさらに高くなる。料金 はNTTとの競争らしく柔軟に対応する模様。Powered Ethernetではアクセス拠点のトラ フィックをブラウザで見ることができる。IP-VPN との関係で QoS は制限があるもよう。 * IIJ のサ−ビス2つ IIJ Internet-LAN、ブロ−ドバンド広域 Ethernet サ−ビス。企業など既存広域イ−サネ ット利用からのリプレイスを狙う。高品質な IIJのバックボ−ンを利用。安全で速度も出 て故障も少ない。 足周りは フレッツ・ADSL、Bフレッツ、アッカ、専用線、コミュファ、 BBIQ。イ−サネットのカプセル化 L2TPv3、IPsec/IKE も使う。VLAN(802.1Q) で、広域イ −サネットのタグVLANとは異なるとどこかに書いてあったような。ともかくレイヤ2 接続なのでIPパケットだけでなく、IPv6/IPX/SNA/FNA/DECnet/AppleTalk などなんでも オッケ−なの〜。拠点のトラフィックを見ることができる、これはいいサ−ビスだ。手元 のパンフレットは2006年12月作成。サ−ビスは 2005/11 開始?。 IIJ マネ−ジドVPN PRO。フルマネ−ジド型インタ−ネットVPNサ−ビス、`27/07 入手 のパンフレットより。ル−タを顧客はつなぐだけ、自動的に IIJ に接続して、 ル−タの 設定ファイルをダウンロ−ドしてくる。インタ−ネットVPNは IPSecによる接続のため、 設定はやや難しいとこがあった。それをプロバイダ側で初期設定とリモ−ト監視の設定を するようにして、ユ−ザ側は手を出さなくて済むようにしたサ−ビス。 IIJ Backbone 内 の遅延は 30ms 以下。参考「IIJ WAN Solution Seminar」`27/10/16名古屋、"高度なイン タ−ネットVPNソリュ−ションによる社内網の構築事例"。 ル−タをサ−ビスアダプタ といって NetScreen まである。拠点からインタ−ネット接続ができるメニュ−などある。 * NTTのサ−ビスはどうか 先行して光ファイバが構内に引かれていたら、Bフレッツのサ−ビス圏内でなくてもダ− クファイバという裏技がある。名古屋の都心部でダ−クファイバを引くという話は聞いて いたが、田舎でもあったとは。内でもかれこれ5年以上前にNTTさんは光ファイバを構 内に引き回していた。広域イ−サネットを、AQStage 広域イ−サネットと AQStageイ−ジ −LANというサ−ビスでつなぐ。AQStage 広域イ−サネットに通常はメガデ−タネッツ なんかを使うのだが、ここにダ−クファイバをあてるのである。広域イ−サネットのサ− ビスなのでIPパケット以外でもいいし、RIP/OSPF/BGP なんでもOKである。 ル−タは こちらの設置になる、Yamaha なんかのでいい。 AQStageイ−ジ−LAN、フレッツ・ADSLとBフレッツのベ−シック。フレッツ・ADSL の 利用料は月約1.9万円、Bフレッツは約2.8万円。専用のイ−サネットVPN装置 Fleboで ハ−ドウェアでIPカプセリングをする、スル−プットが低下しない。アッカの ADSL は 使えない、ライバル会社になるので。ダ−クファイバは Neoイ−サアクセス専用線という。 NTT西日本の光ファイバで工場と本社とかの2拠点を接続する。それを広域イ−サネッ トで利用する訳である。提供エリアは愛知県内 10/100/1000Mbps 帯域確保、P-to-P 接続 形態。料金は個別見積り。ざくっと 10Mbps で50万円、100Mbps が100万円。料金は 結構高いです、電力系のサ−ビスと比べるとこれでは見劣りがする。 2008年10月、NTTのNGNのことを調べていて、インタ−ネットや IP-VPN の足 周りに使えるNTTのサ−ビスがあることが分かった。 フレッツ・光プレミアム エンタ −プライズタイプ、NTT西日本 2006/08/25 から提供開始していた。継続利用の割引し て約2万円、最大概ね 1 Gbps、帯域確保なし、基本セッション数20。 よくある質問か ら、接続可能端末数制限はあるのですか?、制限は特に設定しておりません。ひかり電話、 テレビ電話も使える。家庭のインタ−ネット接続をフレッツ光にとよく宣伝している話で、 安心のセキュリティというのは確かマカフィ−のソフトをパソコンに自分で入れてという こと、NTT側でクリ−ンにしたパケットを提供するということではない。 * そしてNGN利用の見通し NGNの商用サ−ビスの名称がフレッツ光ネクストに決まって、2008年3月末に大阪 から試験開始された?。しかもひっそりと。10月時点でもまだサ−ビスは東京と大阪だ けみたい。NTT西日本のホ−ムペ−ジを見てみた http://flets-w.com/next/ngn/ でフ レッツの一つのメニュ−みたいな感じである。一応、品質確保 QoS、セキュリティ、信頼 性、オ−プンなインタ−フェ−ス。こんな説明は出ていたが。これまでのサ−ビスと微妙 に名称を違えている。これまではフレッツ・光プレミアムとかフレッツ・ADSLとか。今回 のは "フレッツ 光ネクスト" でフレッツと光の間が半角のスペ−スになっている。 フレッツ光ネクストは2010年度末までには、現行の光アクセスサ−ビス提供エリアま で拡大の予定。ということは今現在、Bフレッツも来てないところは範囲外ということか。 Bフレッツは住宅地の契約数を多く取れる場所でサ−ビスをしている。名古屋市内でも港 の方の工場がある地区には、今もBフレッツは来てない。そんな話も聞いた。「日経コミ ュニケ−ション」2008/09/01, P.22〜29, "特集1:エリア充実を推進力にNGN拡大フェ −ズへ"。この記事では全国展開はまだまだ全然。 当面は拠点間を結ぶVPNを売ってい くことに力を入れて行くのか。SaaS やクラウドの展開も考えているようだが。 フレッツ光ネクスト ビジネスタイプ。NTT東西日本 2008/10/02 から提供。 約4万円 +税、継続利用の割引あり、最大概ね 1 Gbps の超高速サ−ビス。帯域確保あり。基本セ ッション数2、プロバイダに同時に接続できる数のこと。接続可能端末台数は無制限。し かしこれまでのように回線の1つとして使うのなら、NTT西日本にはフレッツ・光プレ ミアム エンタ−プライズタイプというのがあって、こっちの方が安い。 このままではフ レッツ光ネクストを選ぶメリットはない。NGNにはひかり認証サ−ビス(仮称)というの があり、リスクベ−ス認証、2WAY-SSL認証を利用する場面が出てきた際に価値を発揮する。 * 参考 「日経コミュニケ−ション」 `27/08/15, "特集1フレッツ大研究"。P.36〜40, "運用負荷 > と設計の自由度で手法を選ぶ"。 マルチホ−ミング装置、モバイル通信をバックアップ に使う。この記事は手元においておきたい。 「NETWORK MAGAZINE」`26/06, P.118〜127, "徹底比較「インタ−ネット代行」だけでない > マネ−ジドVPN"。NTTコミュニケ−ションズ、IIJ SMF sx サ−ビス、ソニ−の法 人向けVPNサ−ビスの "Digital Gate VPN プラス" を紹介。 「図解・標準 最新VPNハンドブック」秀和システム 2,800円+税 `23/05/15刊。`2a/03 > にこんな本があったのを知った、絶版になっていた。"7-7 パワ−ドコムの IP-VPNサ− ビスと広域イ−サネットサ−ビス、"7-8 KDDIの IP-VPNサ−ビスとEther-VPNサ−ビス"。 (5) WAFS装置の導入は必須か `28/04 * BlueCoat 社の製品 RA シリ−ズは SSL-VPN 装置。AV シリ−ズはWebのウィルスなどの防御。SG シリ−ズ は Proxy Edition がプロキシ/キャッシュサ−バにオプションで URLフィルタ−。SG シ リ−ズの MACH5 Edition はファイルアクセス高速化。BlueCoat のパンフレットにはファ イルアクセス高速化装置のことを WAFS とは書いてない、 MACHA5 という技術でWANの 最適化とうたっている。WAFS といっているのは Cisco だけかも。Cisco Wide Area File Services。いやそんなことはない、他のメ−カもいっている。2007年6月にBlueCoat 社はキャッシュサ−バの筐体に WAFS 機能も載せた製品を出荷した。SSL-VPN は別になる。 パソコンに MACHA5 のソフトを入れて、モバイルでノ−トパソコンから本社サ−バへのフ ァイルアクセスを高速化するのもでてきた、SG Client という。`27/02時点ではベ−タ版 だった。パソコンに MACHA5 のファイルのキャッシュ機能をもたせ、これでどこにいても 本社のでかいファイルにアクセスできるようになる。対応OSは Windows Vista と XPは OK、2000 はダメである。当初、有償ソフトで出したが、1年程して SG付属として無償 になった。WAFSは拠点間に装置をおいて、これが装置とパソコンに入れたソフトとした訳 である。他メ−カもこのパソコン用のソフトを、その後出してきたようである。 SG シリ−ズ装置は片側設置でもファイルアクセスは速くなる、CIFS は Windowsパソコン からは 4KB でやるのを、装置をかますと装置と Samba サ−バの間は 64KB でとってくる。 CIFS のプロトコルは 64KB が最高になっている。Windows パソコンは 4KB でとってくる ようになっている。装置は 64KB で取りにいくので速いということ。大体これまでのダウ ンロ−ドの時間の半分ぐらいになるらしい。 しかしファイルを Samba からWebに置く と、例えば10メガの PowerPoint のファイルで、名古屋と大阪で半分の時間にすること ができる。人数の少ない支店なら、片側設置で MACHA5 パソコンソフトでもいいだろう。 Server WAFS-1 WAFS-2 PC WAFS-1 とWAFS-2 の間で file をやり取りす □file ■file ■file □ る。PC から fileの要求があると変化のあっ | | | | た所だけ差分を WAFS-2 はWAFS-1からもらう。 --------------〜〜〜----------------- Server WAFS-1 WAFS-2 PC の中に WAFS 機能がはいると、SG Client。 □file ■file file ■□PC file のキャッシュが PCにできて、差分だけ | |キャッシュ | WAFS-1 から送ってもらう。 --------------〜〜〜----------------- * プロキシ/キャッシュと WAFS の導入には ファイルアクセス高速化装置 WAFS はとりあえず小さいのを買って試してみる。どの程度、 有効なのか先ずみてみないといけない。身の回りの会社でも事前テストしたという話も聞 こえて来るようになった、買ったという話はまだ耳に入ってないが `28/03。BlueCoat の 製品で、あるグル−プウェアのソフトが速くならない、他は問題なかったとか。出た当初 の BlueCoat SG では、Windows Update にうまくアクセスできなかったらしい?、でも今 は問題は解決しているとか。Samba の CIFS や社内のWWWサ−バのアクセスでは、特に 借りて事前にテストするまでもないと思う。すでに十分こなれていると思う。 SG Client については BlueCoat の SSL-VPN装置と一緒に使う場合は、若干問題があるらしい。また SG Client は今はオブジェクトキャッシュだが、2008年夏にはバイトキャッシュもサ ポ−トするという。機能的にはどんどん進化して行っている。 SG210-25 Proxy Edition 1台、SG210-5 MACH5 Edition 1台。 SG210 2台購入して手元で先ずはテストしてみる。WAFS 機能の確認は FortiGate で帯域 を絞ってみてテストすればいい。テストの後 SG210-5 は支店に実践配備する。 SG210-25 はプロキシ専用で配備する、既存設置の NetCache の置き換えである。懸念すべきは全社 パソコン台数が約400から500で SG210-25 でいいかということ。これまで使ってき た NetCache C1100 は 8.5GB SCSIディスク、256MB メモリ、10/100 Base-T。SG210-25は IDE 250GBディスク、1GBメモリ、筐体は小さいがスペック的にはいけるのでないかと思う。 URLフィルタリング、HTTP のウィルスチェックはしない。パソコン台数は半分が工場での 現場での使用で外部サイトを見ることはあまりない。もしSG210-25でプロキシ能力が足り ないとなれば、本社用の WAFS として用いることにする。プロキシ装置としては、新たに SG510-10 を導入することにする。ハ−ド代だけで252万円もする?、要確認である。 * WAFS の設置の仕方 [ 一般的な設置の仕方 ] レイヤ3スイッチで PBR( Policy-Based Rou ting )機能を使って特定のプロトコルのパケ ---- ------ ------ ---- ットだけを、レイヤ3スイッチの指定ポ−ト --|L3|--|WAFS|---〜〜---|WAFS|--|L3|-- に通す。BlueCoat のは装置の中で、 高速化 ---- ------ ------ ---- 処理するかスル−させるか選択ができるので、 レイヤ3スイッチでこんなパケットの振り分 [ CIFSだけ高速化する ] けはしなくてもいい。WAFSは基本的には対向 で設置する。 F5の製品は TCP または UDP □WAFS □WAFS を全部やるかやらないか、アプリケ−ション | | 別とかで高速化をやるやらないは、選択でき ------ ------ ない。2007年の展示会のF5のブ−スで ----| L3 |-------〜〜-------| L3 |---- 聞いた。多分それだけ、F5は装置に自信を ------ ------ 持っている現われなのか。 * WAFS 装置設置の見通し `28/04 それはWANのネットワ−ク構成と関係してくる。WANの最適な構成は、費用は。WAFS は本社には、透過型でもインタ−フェ−ス1つでの WAFS 装置での設置もできる。本社設 置は間にかまさなくてもいいということ、これまでキャッシュサ−バを設置して来たのと 同じ形でもいい。この方がネットワ−ク的には安心である。支社は間にかます設置にする。 IP-VPN からのWANル−タのすぐ上辺りでいい。 このように支店はどこにおくかは明白 だが、本社はどこに置くかちょっと考えないといけない。 基本的には高速化装置は、支店と一番近いところ、例えば#の辺りである。高速化したい コンテンツが全社用の Samba とWeb、ファイル共有サ−バとイントラのサ−バであるとは っきりしていれば、下図の位置が望ましい。地域系広域イ−サネットの方、工場にはWAFS は設置しないでおく。地域系広域イ−サネットはパケットの遅延はかなり小さく押えられ ているはずである。WAFS を入れるまでもないし、 もし入れるとすると最大ユ−ザ数が数 百となって、装置も高価となる。WAFS アプライアンスは結構なお値段がする。 | Proxy WAFS Samba Web FireWall□ □ ■SG210 □ □ | | |-10 | | R1,R2 はL3でまと --------------------------------- 10人 20人 めることができる | 支店1 支店2 □ ----- ----- 工場1 工場2 本社 |L3 | | ----- ----- ------------------------ SG210-5■WAFS ■WAFS | | | |# | |SG210 □ □ □R1 R2□ Router□ □ -10 | | / \ | | | | / \ | | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ | 地域系広域イ−サネット | | IP-VPN 網 | \_____________/ \_________________/ 参考記事「NETWORK MAGAZINE」2007/06, P.74〜79,"プロトコルから理解する Windows ネ ットワ−ク トラブルレスキュ−、第3回 SMB コマンド トラブル事例・その2"。 Excel ファイルだけが遅い。SMB コマンド数が多いのが原因、テキストファイルでのコマンド数 は80個、Excel ファイルは213個。WAN回線の遅延を最小限に抑えるとか。 * WAFS の導入は慎重に 2008年当時かなり前向きに BlueCoat の WAFS を導入しようと検討していた。WAN でのネットワ−クの遅さは、多くの場合 Sambaサ−バのファイル共有プロトコルがおしゃ べりなこと、それにWANの拠点間の遅延が大きく関係する。先ずはこれらのことが社内 でなかなか理解されない。それに WAFS なる装置を導入すれば見かけファイルのやりとり は速くなることもなかなか理解されない。これらを押し切って装置を購入し、成果が現わ れれば結果オ−ライでいいのだが、なかなかそうはいかないようである。懇意にしている SI業者などから話を聞くに、体感できるよう速度アップが出ない場合も多くあるようで ある。BlueCoat の WAFSは幾つかあるメ−カの中でもかなり期待できる方である。しかし BlueCoat にしても、かなり注意深く扱わないと成果を引き出せない。 しかしながら家電 系SI業者がWANの見直し WAFS も入れたプランを2010年4月にもってきた。とい うことはそこそここなれて来たのか。Steelhead がどうもいいような気がしてきている。 * FortiGate の WAFS 機能は ファイルのキャッシュができるモデルというのがある。どれでもできるということではな い。FortiOS 4.x でないと対応してない。FortiGate-50B は対応してない。ざくっと金額 をSI業者にだしてもらった。キャッシュができるモデルは50万円とか100万円のモ デルだった。こりゃ2台もは買えない。キャッシュはSI業者が機能を確認しているとこ ろで4月位になりそうという。 いずれにせよ FortiGate でファイルのキャッシュまでや らせるのは、今時点はちょっとどうかなという印象である。実際に海外とインタ−ネット VPNを張る時に、 SI業者にその時点で FortiGate のキャッシュ機能が使い物になる かどうか見解を聞こう。使えるというのであればキャッシュありの FortiGate2台を買う ことにする。テストで使ったのは予備機として置いておき、別なテストにも使用する。 下位機の旧モデルはメモリ−容量が少ないため、FortiOS 4.0 にアップグレ−ドできない。 先に購入したモデルは 50B でアップグレ−ドできる。DMZができるモデルなら、 次の ファイアウォ−ルの検討もできる。50B 以外は全部DMZ対応みたい、でも 60Bはどうか な。ファイルのキャッシュによる高速化機能 WAFS はWANを介した先にある FortiGate 及びクライアントソフトの FortiClient との通信を高速化できる。WAFS にはキャッシュ 用のストレ−ジが必要である。ストレ−ジを内臓した FortiGate、 または SAS カ−ドや iSCSI でストレ−ジを増設できる非内臓モデルで WAFS は利用できる。できればストレ− ジを搭載した FortiGate を1台買い、FortiClient ソフトで WAFS を試めしてみたい。 2009年10月にリリ−スされた FortiClient 4.1。このバ−ジョンから FortiClient Endpoint Security という名前になった模様。Standard版は無償で使える。ダウンロ−ド は http://www.forticlient.com/ から。 http:/www.vector.co.jp/ でもダウンロ−ドで きる。Preminum 版は1ライセンス1年14,000円、更新6,000円。2から9ライセンスでは 1年9,900円、更新3,600円。どうもトレンドやシマンテックなどのパソコン用セキュリテ ィ対策ソフトと同じものと見ていい。Windows Mobile、Symbian およびポケットPC向け の FortiMobile というのもある。WANの最適化は Standard でもきる、Standard でで きないのはアンチスパムと集中管理機能とWebコンテンツフィルタリングの再レ−ティ ング(一体これは何)。FortiClient の有償版は取り立てて必要ないような気がする。 ------------------------------------------------------------------------------------ [ 付録 ] ファイルアクセス高速化装置 WAFS のメモ `28/04 * BlueCoat の製品のメモ BlueCoat SG Client。Windows XP 対応、2000 はだめ。検疫的なセキュリティ機能が入っ た。URLフィルタ−機能が入った、WAFS装置でURLフィルタ−のライセンスを購入し ておくこと。SG Client は SG210 など WAFS装置にURLアクセスして、ダウンロ−ドし てインスト−ルする。ブル−コ−トがパケッティアを買収した、発表 `28/04/21。パケッ ティアはWAN最適化製品では老舗、これにより SG シリ−ズにも帯域幅管理機能はある が、更に強化されるかもしれない。SGはシリ−ズはプロキシ/キャッシュサ−バとしては かなり価格は高いと思う、ファイル高速化のMACH5 が含まれているためか。今後、純粋に プロキシ/キャッシュサ−バだけの製品が出て来るかも知れない、出て欲しい。 SG Client のテスト。PowerPoint のファイル、約2メガを CIFS でとってくる。ping で 相手サ−バ 250 ms の値。ファイルは内容を変えないまま。最初は30秒、2回目は10 秒、圧縮とプロトコル最適化が効いている。3回目は5秒、オブジェクトキャッシュ、従 来でいうキャッシュが効いている。3回目はパソコンにキャッシュしたファイルと向こう にあるファイルを比較チェックする時間が5秒かかったということ。夏にバイトキャッシ ングがサポ−トされたら、向こうにあるファイルの変更したところだけを、差分だけもっ て来ることができるようになる。より高速化される。 支店に WAFS 装置を設置して、支店のパソコンにも SG Clientソフトをインスト−ルした とする。この場合 SG Client での処理が優先される。 SG Client はアプリケ−ションレ イヤ−で高速化する。WAFS装置はレイヤ2で高速化する。支店ではパソコンの使い方を考 えた方がいい。支店のパソコンの台数が10台位だったら SG Client だけ使って、 WAFS 装置は設置しないでおく。WAFS装置を設置する場合は、デスクトップパソコンを日々使用 することにする。外出する時に SG Client と SSL-VPN のクライアント・ソフトを入れた 共有のノ−トパソコンを持って行ってもらうようにする。 支社の WAFS は本社の WAFS のIPアドレスを指定する。 SG510-10 はプロキシ/キャッ シュ専用に設置。もし SG510-10 が壊れたら、 SG210-25 をIPアドレスを1番に変更す れば代わりになる。PC はファイル高速化は単になくなるだけ。 保守で修理など対応して くれる、ユ−ザには前の遅い状態で1日がまんしてもらう。プロキシ/キャッシュサ−バ としてはインタ−ネット回線速度が ADSL なら SG210-20 6Mbps でもいい。100Mbps とな ると SG510-10 25 Mbps 252万円がいいだろうとの業者の勧め。同じシャ−シであれば 中身は同じ、後からアップグレ−ドができる。このことも考慮してみたい。 Proxy Proxy MACH5 マニュアルは英語。日本語 SG510-10□ ■SG210-25 ■SG210-5 △PC 版が2008年の夏頃出る予定。 本社 |1 |2 支社 |3 | -----------------------||------------------------ * BlueCoat SG の設置 WWW Proxy ブラウザ ■は暗号化され ------- https ----------- https --------- Proxy指定IP2 たHTTPパケット。 | ○| <-------- | ■<->□ | <-------- |■<->□| | | --------> |BlueCoat | --------> | | IPアドレス □は暗号を解い ------- ■■■ ----------- ■■■ --------- IP3 の WWWに たHTTPパケット。 |IP3 |IP2 |IP1 HTTPSアクセス ---------------------------------------------------------- BlueCoat プロキシ/キャッシュサ−バで暗号化WWWも内容が分かる。 この手の製品は 今や BlueCoat 製しかないのでないか。 NetCache は BlueCoat 社に買収されてしまった。 BlueCoatの製品は装置が壊れた際は、パケットはそのままスル−させることができる。し かしキャッシュが働かなくてもいいが、プロキシの機能が働かないのは困る。 SG210-10 SG210-25 SG210-10 PC のブラウザで Proxy を 2.1 PC WAFS Proxy WAFS Samba WWW にする以外他、設定なし。 1.2 △ ■ ■ ■ □ □ の WAFS は PCから Samba のア |1.1 |1.2 |2.1 |.2 |.3 |.4 クセスを横取りして高速化する。 --------------〜〜------------------------------- * BlueCoat のサイトに出てるハ−ドウェアの代金 タイプ | Proxy Edition 最大ユ−ザ数 | MACH5 Edition 最大ユ−ザ数 | Interface ---------|----------------------------|-----------------------------|----------- SG210-5 | 90万円 30 | 54万円 10 | 10/ SG210-10 | 117 150 | 99 50 | 100Base-T SG210-25 | 128 無制限 | 108 無制限 | ---------|----------------------------|-----------------------------|----------- SG510-10 | 252 500 | 180 100 | 10/100/ SG510-20 | 414 1200 | 380 300 | 1000Base-T サイズは SG210 36.6W*19.1D*4.4H、SG510 58W*44D*4.4H。 SG210 は静かである、SG510 はかなり音はするという。 Proxy Edition は MACH5 も含んでいる、プロキシ/キャッシュとファイル高速化。 プロキシ/キャッシュは両方とも付物なので以下、単にプロキシということにする。 MACH5 で最大ユ−ザ数を超えるパソコンでは高速化はされない、元の遅いだけ。 最大ユ−ザ数はそれを超えると、この装置を介して直ちにアクセスできなくなるというこ とはないらしい。Proxy Edition ならURLフィルタ−が効かなくなるとか、このIPア ドレスからはプロキシのキャッシュを使わないとか、そういう細かな設定が効かなくなる ということらしい。SG210-25 の最大ユ−ザ数が無制限というのは Proxy Edition では推 奨数が 200 で、MACH5 Edition が 50 とのこと、 200 や 50 を超えてもきちんと機能す るという意味で無制限と表示しているらしい。SG210-25 の Proxy Edition のWAN回線 速度は 6 Mbps ぐらいまでを想定しているらしい。インタ−ネットへの接続がアッカやフ レッツのADSL回線なら SG210-25 でもいいだろう。 同じモデルで Proxy Edition と MACH5 Edition で最大ユ−ザ数が違うのは。MACH5 の方 が少なくなっている。MACH5 の方が負荷がかかる。 Proxy Edition は MACH5 の高速化機 能が入っている、これも使う場合は、MACH5 での最大ユ−ザ数として見積ること。やはり プロキシとファイルアクセスの高速化は装置を分けた方がいいだろうとのことだ。ちょっ と注意、MACH5 Edition の "コントロ−ル -- プロキシ・サ−ビス" はプロキシのサ−バ になるという意味ではない。どのプロトコルを高速化するか、その指定などを行なうとい う意味である。上の価格はあくまでもハ−ドウェア代のみ、ソフトウェア代というのはあ るのかな、ないと思うが。設定費用はいる。保守が初年度から付くのかどうかだ。