3-5. 2000年対応までの運用 '99/04〜 (1) 世間のセキュリティ動向 * インタ−ネットの社員利用の監視について 不愉快な話が出てきたものである。インタ−ネットの思想からかけ離れた、利用の監視で ある。98年春頃から少し言われるようになった。99年に入って朝日新聞なども話題に するようになった。リストラのタ−ゲットにするため、業務に関係ないメ−ルなどをチェ ックするというのだ。朝一番に会社へ出て来て、密かにメ−ルを読むのが仕事の社長とか 記事に出てきた。悲しい話しである。また社員におかしなWWWサイトをアクセスさせな いように、フィルタ−・ソフトを導入しましたと日経関係の雑誌にも載っていた。6月初 めに来たアンケ−トには、フィルタリングを実施しているかを問う項目もあった。 仕事中にエロサイトなんかを覗いて仕事の効率が落ちる。何かもっともらしいデ−タを出 して説明しているのも読んだ。確かにインタ−ネットを入れた当初は、もの珍しさもあっ て、そういうこともあるだろう。しかしすぐにあきる。一時的なことに過ぎない。漫然と ネットサ−フィンしている社員がもしいたとすれば、インタ−ネットの利用以前の話であ って、その社員は仕事そのものへの取り組みがなっていないのだ。たいがいの人は、アク セスするURLはだんだん決まってくる。個人的な趣味の範囲でのアクセスは、自宅で接 続して見るようになって行くものである。 インタ−ネットは情報の宝庫である。それに制限をかけるようなことをするのは、自分の 頭を半分切るようなものである。また社員の良識を疑う行為ともなり、士気を低下させる ことにつながるだろう。URLやメ−ルをフィルタリングするには、それなりの費用がか かる。だいたい50ユ−ザで50万円からである。こんな銭が出るならセキュリティ対策 に回すべきである。実際問題、本書での管理者はただでさえやることがたくさんあるのに、 こんなことまで引き受けるキャパシティはない。また、フィルタリング・ソフトを導入す るとなれば、セキュリティ上の問題が一つ増えるというものである。「よい子のイントラ ネット」では、管理者の技術者としての良心を信じたい。 * ついに登場セキュリティ・チェック サ−ビス '98/07 ここに来てファイアウォ−ルなどのセキュリティ・チェックをサ−ビスする会社が幾つも 現われてきた。内部ネットの管理も請け負うところ出てきた。驚くべきはその値段である。 セキュリティ・チェックは外部用WWWホストやファイアウォ−ルに穴がないか調べるサ −ビスである。現在5〜6社ぐらいあるようだが、大体1回につき50万円。年間契約で 数百万円といった値段になっている。これじゃファイアウォ−ルのソフトより高いではな いか。しかもチェックしてレポ−トを出すまでであり、穴をふさぐのは現場の管理者とい うことになる。ちょっと高過ぎると思う。まるで現代版、盾と鉾である。 JPCERT/CC のURLを見ると、クラッキングはそんな高度な方法ではほとんど起こってい ない。パスワ−ドが甘いとか、sendmail を古いまま放置していたり、 inetd が用事もな いのに動いていたりと、侵入されて当然という状態が多いようである。セキュリティ・チ ェックの会社は、こうした一般的なセキュリティ・ホ−ルのチェックの他、独自の情報と ツ−ルを使っていろいろ調べてはくれるらしい。しかし、そこまでして調べてもらう必要 があるのか。本書のユ−ザは一応 sendmail や in.named の設定を自分で行い、最低限の セキュリティ対策は講じているはずである。 そりゃ不安はないわけでない。数万円でやってくれるというのであれば、気休めにでもサ −ビスを利用したいところである。ここで太鼓判を押すことはできないが、多分だいじょ うぶである。よっぽど敏腕なクラッカ−に直に標的にされない限り、だいじょうぶだと思 う。真剣、標的にされたら、どんなファイアウォ−ルを敷いてもダメなのでないか。ファ イアウォ−ルを直接破る攻撃だけでなく、Social Engineering や金で買収するとか。 今 日会社への忠誠心はおろか、簡単にライバル会社に移るご時勢である。内部からセキュリ ティを崩される可能性は極めて高い。どうしようもない。本当にどうしようもない。 JPCERT/CC にここで注文を付けたい。一般的なセキュリティ・チェックをするサ−ビスを 無料でやってもらいたい。SATAN なら SATAN でもいい。インタ−ネット越しに、 チェッ ク対象のホストを指定すれば、 自動で SATAN のスキャンがかかるようにできるはずであ る。ユ−ザは自分でやってもいいし、幾らかの料金で各プロバイダが代行してもいいでな いか。JPCERT/CC はただ情報を出すだけでなく、日本のインタ−ネットを安全に運営して いくための、積極的な役割が求められると思うのだが。少し注意。SATAN はそのままでは ごく基本的なセキュリティ・チェックしかしない。実際に使うには sendmail のチェック バ−ジョンをあげるとか、カスタマイズが必要になるだろう。 * セキュリティの確保 まさに盾と鉾。リアルタイムに不正アクセスを検出するツ−ル、罠を仕掛けて手口を知る ソフト、どうですか−。そんなことより、業者が最初インタ−ネット・サ−バを設置する 時に、きちんと穴をふさいでおくことが肝心なのである。いい加減な設定をして、できま したと帰っていく場合が大半でなかったのか。NTT-X のハッカ−110番の結果は、まさ にそれを物語っている。にもかかわらず今度は、不正アクセス検出ツ−ルを入れましょう と来る。とんでもない話である。また最近はセキュリティ・チェックするサ−ビスが増え ている。ただではない。検査内容のサンプルが、ソフテックのサイトにあった、ISS を使 った報告書で PDF で36ペ−ジもあった。http://www.softek.co.jp/NAS/services/。 しかし実際、管理者が必要とするのは報告書ではない。穴に対する対策の具体的なやり方、 微妙な部分での対策を施すべきか、現状のままでいいのかの判断。あるいは実際に対策を 実施してくれることである。能書きはいらない。他の会社での検査内容も見たことがある。 難しい用語の羅列で、小生でも理解できないことが多々あった。いかにも検査しましたと いう報告書には違いないのだが、これではまるで役に立たない。SPAMのチェックでい えば2つのブラック・リストのサイトがある。1つはえらくシビアで実際のところ問題が 無いにもかかわらず、SPAMを受け付けますと出る。しかし実際は、もう1つのサイト で問題ないと出れば、それで問題はないのだ。そういう判断を管理者は欲しいのだ。 * 有料セキュリティ・チェック サ−ビスの例 NTT-X のサ−ビス。NTTのグル−プ会社。http://www.nttx.co.jp/xaminer/,`02/08 調 べ。ハッカ−110番という無料診断サ−ビスを `02/02/01〜29 の間やっていた。 企業、 団体、学校など対象に約300件実施したとこのこと。インタ−ネットサ−バの簡易診断 と不正中継メ−ル、電話回線の Windows の RAS 接続もチェックした。その後、セキュリ ティ診断サ−ビスを始めている。NTT-X 独自のチェックソフトを使用した基本サ−ビスと、 アメリカで修行してきたエンジニアが、市販ツ−ルも使っての拡張サ−ビスがある。料金 は不明。管理者用のセキュリティセミナ−もやっている。2日で30万円。 セコムトラストネット(株)の不正侵入検知サ−ビス。http://www.secom.ne.jp/、`02/04 調べ。センサ−をバリアセグメントにおく。24時間外部からの不要なアクセスをセコム の監視センタ−で監視、分析する。事前診断と定期診断を年2回実施し、穴があれば対策 を提案するとのこと。緊急の場合はすぐにメ−ルで知らせる。監視報告書は月1回。契約 料金は普通のインタ−ネットサ−バの構成で、1年で初期20万円、月額24万円。3ヵ 月分のログを保存する。ウィルスの監視サ−ビスもある。こちらは加入時20万円、月固 定料金3万円+100台分で 3.2 万円である。 * セキュリティのお話を一つ二つ (いったん没にしたけど) 会社によっては、私物持ち込みのチェックやそもそも禁止、部署に入退室する際は何も持 っていてはいけない。そんなル−ルを設けているところもあるとか。最近の雑誌にそう書 いてありました。どこにそんな会社が実際あるんだ。ライタ−さん本当に見たんか?。想 像で書いているんとちゃうんか。航空機の製造業で昼休みも外にでれないという話は聞い たことがあるが。百歩譲ってそうだったとしよう。我々、中小企業のコンピュ−タのエン ジニアは何をやってきたか。新しい技術を勉強するため、本は大方自腹で購入した。パソ コンなんかどれだけ自前で買ってきたか。ちょっとしたパ−ツなんかもパソコンショップ でついつい買ってしまう。そんな涙ぐましい努力をしてきて、それでこそ今日のネットワ −クができているのだ。プライベ−トもパブリックもない、会社の本棚や机には自前で買 った本やパ−ツが一杯なのだ。大企業で、何不自由なく買いたい物を買えてきたのと同じ にしてもらいたくはない。 社内の輩で、友達に大企業なんかに勤める奴がいると、いろいろその友人から聞いてくる。 内ではセキュリティポリシ−ってのがあって、ファイアウォ−ルも定期的に監査が入るよ うになっているし、トラフィックの監視も定量的に把握できるようになっている。おまえ んとこの会社のホ−ムペ−ジ、昼間ちっとも出て来ないが、誰が管理しているんだ。ひょ っとして今時、ネットワ−ク運用のポリシ−もないんとちゃうか。そんな風に焚き付けら れているかも知れない。そんで、知ったかぶりをして、当社はどうなっているだ。ちゃん とやっているのか、そんな改善要望書を所属長名で出してきたりしてはいないか。おいお い待ってくれよ、大企業と同じにしてくれるなよ。それにその企業たるや、いわゆるIT そのものの会社じゃないか。そんな会社ではやっていない方がおかしい訳で、それが飯の 種じゃないか。一緒にすること自体間違っているぞ。 * ユ−ザ認証のためにデジタルIDは 実際問題デジタルIDが必要になった時、具体的には社員のコンピュ−タのWWWブラウ ザ用ということになるか。認証局を自前で果たして運営できるか。本書で想定している会 社、その管理者では無理というしかない。非常に厳格な運営がもとめられる。どこかそこ らのパソコン1台でデジタルIDを発行する、失効管理もする。やってやれないことはな いが、まるで信頼性がない。社内ユ−ザのみを対象にするなら、多少信頼性がなくとも済 むかも知れないが。ともかく運用の負荷が管理者にかかってくる。管理者1人や2人では とてもや無理である。最低、鍵がかかり空調管理された部屋に、認証局用のコンピュ−タ を設置できること。社内でのセキュリティポリシ−が確立されていることが運営する場合 の必須条件だ。WWWサ−バとWWWブラウザのデジタルIDについて、かなりテストも して検討したが、かなり癖があるというか安定してない。運用は一筋縄ではいかない。 (2) さらなるセキュリティ対策 -------------------------------------------------------------------------------- 日曜日('99/06/06)久しぶりに名古屋の大型書店にいってみた。 なんとクラッキングの本 が山積みされているではないか。悪のなんたらとかいった類の本である。これにはびっく りした。近くの本屋さんでは数冊おいてあった程度で、まさかこんなことになっていると は思いもしてなかった。地方の人にはなかなか分からないことなので、あえてお知らせし ておく。インタ−ネットのセキュリティ技術は難しいものだが、その部分だけに焦点をあ てた適当な資料があれば、中学生にだって理解はできる。事実そういうことになっている らしい。この分野、予想以上に年齢層が広がり、クラッキングは特別なものでなくなって いるのだ。とりあえず何冊か買って読んでみるとしよう。 -------------------------------------------------------------------------------- * 検討 現状WWWホストは、侵入対策として不要デ−モンをいっさい稼働させないようにしてあ る。inetd も Sun RPC の portmap も稼働してない。これで侵入口をほとんどふさいでい ることになる。あとはWWWサ−バや sendmail、 DNS など数少ないデ−モンのバグをつ いて侵入するケ−スしかない。ファイアウォ−ルのホストは FireWall-1 ががんばってい る。FireWall-1 は一応信用するとして、 WWWホストのセキュリティ確保がやはり少し 心配である。本書のこれまでのシステムでは、どのようなアタックを受けているか、また 侵入されているか、そうした情報は収集していない。枕を高くして寝るにはさらなる対策 が必要である。 これら2台のホストを、セキュリティ的により信頼性を上げるには、セキュリティ・ホ− ルのチェックをフリ−ソフトの Tigger、COPS、SATAN で調べる。または市販品の ISS に よりチェックを業者に依頼するとかある。SATAN は有名なソフトだが、今となっては基本 的なセキュリティ・ホ−ルしか検出できないと思ってよい。ISS は業者が使ってやってい るが料金は非常に高い。しかしその割には有効でないと思う。これらのチェックソフトは セキュリティ対策に十分手が回らずにいて、不安だからチェックして欲しいという場合に 有効なのだ。あるいは当社はこれだけ安全なんですよと、外部(取引先とか)にアピ−ル するにはいいかも知れない。もし自前でチェックするなら Nessus alpha2 はどうかな。 tcp_wrapper とか Tripwire の利用はどうだ。 tcp_wrapper は inetd から呼び出される デ−モンのフィルタリングとログ機能である。 本サイトは inetd はサ−ビスしてないの で関係ない。ダミ−で inetd を稼働させてログを収集し、 アタックがある証拠をつかみ、 セキュリティ対策の必要性を説く材料にすることも考えられる。しかしそんなことでシス テムを少しでも危険にさらすのはやめよう。 Tripwire の方はディスクファイルのかいざ んを調べるのに使う。フロッピ−ディスクや CD-ROM 等に元ファイルのチェックサムを記 録し、上書き禁止にしておく。チェックサムが元と生で違っていれば、ファイルが変更さ れたことになる。できれば、このようなチェックを cron で定期的に行いたいものである。 Swatch というソフトで、WWWホストのログを監視することも考えてもよい。Swatch は ログを常に監視し、おかしなメッセ−ジが出たら、直ちに管理者にメ−ルなどで知らせる ようにするソフトである。 先の tcp_wrapper や Tripwire はいわば後から分かるソフト であり、事後対策しかとれない。対策はおかしい時すぐやらなければならない。そうは言 っても夜中に知らせがあったのではしょうもないけど。 Swatch の仕組みはログのパタ− ン・マッチングであり、マッチング用のキ−ワ−ドは用意する必要がある。まあ、本や雑 誌からいろいろ拾ってくるかだな。それに Swatch の稼働には Perl がいるのでWWWホ ストではやらない方がいいだろう。ちなみに fwtk にも同様なソフトがあるが Swatch で いいと思う。 最後にログの必要性について述べておこう。99年に入ってインタ−ネットのセキュリテ ィについて紙面をにぎわせていたのは、 "不正アクセス行為の禁止等に関する法律案" で ある。警視庁はインタ−ネットの安全対策としてログを3か月保存するようにと言ってい た。幸いにも結局ログの義務化は答申に含まれなかった経緯がある。その時、どのような ログをどれだけの精度でとるのか、そこまでの議論はなかったようである。もしログの義 務化が制定されたりしたら大変なことだった。本書のような管理者はパニックに陥っただ ろう。今後またどう転ぶか分からない。管理者は syslog の働き程度は、今のうちに理解 しておいた方がいいだろう。 * 対策 さらなるセキュリティ対策は、先ずWWWホストのログを Swatch で監視することにする。 次に何らかの監査デ−モンを仕掛けることにする。Swatch でのログは syslogd 同士で内 部ネットのホストに転送して、そこで Swatch を動かすことにする。転送先ホストは管理 者用のEWSである。問題は syslog でとれるログしか対象にできないことである。あま りそのログがないのである。ちょっと考えなければならない。デ−モンとログの対応をも う一度整理して検討する必要がある。考え方としては何も問題がない時は、定常的なログ が出るか、全くログはないかどちらかである。これ以外のログが何か出ればおかしいこと が起こったとみなすことができる。 もう1つの対策、監査デ−モンであるが、これはこれから勉強しなければならない。いろ いろ読むとC2セキュリティのシステム監査デ−モンだとかある。 「UNIX MAGAZINE」の '96/07, P.93〜 "転ばぬ先のセキュリティ25, Tripwire" には、 BSDI OSに標準で実 装されているセキュリティ・チェックについて書かれている。 cron で /etc/daily とい うスクリプトを走らせ、変更されたファイルやパ−ミッションがないか、あるいはファイ ルが増えてないかなど種々、調べるようになっている。似たようなソフトは Solaris 2.6 にも何かあるはずで、本書での対策はここまでとしたい。 /etc/daily と Tripwire の違いは、 比較する元ファイルを安全に置いておくかどうかで ある。/etc/daily はマシンの中のただのディレクトリにおく。Tripwire はマシンの中で も、CD-ROM ドライブでも指定できる。元ファイルを CD-ROM に焼いてしまえば、 絶対ク ラッカ−は変更できない。腕利きクラッカ−は、 侵入の痕跡が残らないように Tripwire の元ファイルさえもいじって、比較のチェックに引っかからないようにするという。そん なことで、本当は Tripwire を仕掛ける方がベタ−だと思う。しかしWWWホストにそこ までの投資はできない。大変過ぎるのでないか。Solaris 2.6 に /etc/daily 相当のソフ トがなければ、元ファイルをマシン内部においた Tripwire でかんべんしてもらおう。 監査デ−モン syslogd -------Solaris 2.6 -------- | WWW | |Router| ------- -------- | | -------*-------*----------*----- | Solaris 2.6 管理者用EWS ------- ------- ------ Virus Checker | Gate| | Mail| |UNIX| syslogd ------- ------- ------ Swatch | | | -------*----------*----------*------ そしてできれば、ウィルスチェックのソフトをファイアウォ−ルのホストなどに導入して いきたい。どうもコンピュ−タ・ウィルスというのは知らない間に入り込んでいるようで ある。Windows アプリやメ−ルの添付ファイルにくっついているのがほとんどのようであ る。友人が試しに自分の Windows パソコンでチェックかけたら、 5個も見つかったと言 っていた。ともかく身に覚えのないメ−ルがきたら即、破棄すること。特に添付ファイル は開けてはならない。このこと一般ユ−ザにも徹底させたい。しかし、できればウィルス が社内に入りこまないように水際で防止することが望ましい。 ソフトは Solaris 用では InterScan VirusWall というのがある。トレンドマイクロという会社が扱っている。 * 新たなセキュリティの課題 2000年を前後したぐらいに、技術系ネットワ−クと事務系ネットワ−クの統合という 話がでてきた。もともと企業にはホストコンピュ−タの端末の専用ネットワ−クがあった。 1996年位からインタ−ネットが一般に使われるようになり、企業では技術系部門がと りあえずそれに手をだした。それ以前のインタ−ネットでは大学を中心に UUCP でのメ− ル利用と NetNews 利用のためインタ−ネット接続していた。 1997年ぐらいになると パソコンに Windows 3.1 なるOSが載ってきて、SMTP と POPによるメ−ルが利用できる ようになり、商用ホ−ムペ−ジもだんだんと増えていった。よい子では1995年に普通 の電話回線をモデムで INDY に繋ぎ Zmailでとりあえずメ−ルをやりとりし、Web画面 を見始めた。1997年には専用線 64Kbps を結び本格接続化していった。実は1995 年に既にホ−ムペ−ジ立ち上げを提案していた。しかしまるで理解を得られなかった。 だんだん技術系部門でインタ−ネットにアクセスしたいというユ−ザが増えていった。メ −ルも使えるようにした。その頃、ホストコンピュ−タのネットワ−クが独自プロトコル から TCP/IP に移行してきた。そうなってくると隣のコンピュ−タはインタ−ネットにつ ながる、メ−ルもできるのに自分のは何で出来んの?、ということになって来る。そこで 技術系部門とホスト系部門が話し合いをもった。ホスト系部門のネットワ−クをそのまま 接続するのでなく、ファイアウォ−ルをかましてホストコンピュ−タには誰彼なくアクセ スできないようにしようとなった。これは自分が提案してファイアウォ−ルもこっち設置 した。ファイアウォ−ルはホスト系部門から業者に依頼して設置するのが筋だと思ったが、 ホスト系部門の人、ホストお守りの国産家電メ−カは、まだその時点でもインタ−ネット には関心が薄く、ましてやセキュリティの意識すらなかった。それが現実だった。 * ファイアウォ−ルのDMZ構成について `2h/09/S 2000暮れから2001年中ばにかけてインタ−ネット接続口の設計として、ファイア ウォ−ルに DMZセグメントを設けた。この時にファイアウォ−ル、メ−ルストア、メ−ル リレ−という3台のマシンによる構成となった。マシンは Sun 社の Solaris 2.6 だった。 これは結構重要なことで、いつ DMZ構成にしたのかこれまできちんと書いてなかったよう な気がする。2017年9月 "イントラネット構築法" を改めて全般的に眺めてみて分か った。それに DMZ にマシンなり装置なり置くという意味を考えてみた。 どうやら2つの やり方があることが分かった。そのことをここに書いておくことにする。 [ パタ−ン0 ] ↑ -----------------|----- DMZ セグメントに装置を置いてない場合。ファイアウォ− WAN| ip1 ルの WAN 側セグメント、バリアセグメントともいう。 こ NAT---*--- こはパブリックIPアドレスでければいけない。社内から | | Fire 外部へのアクセスはファイアウォ−ルでIPアドレス変換 -------------| ↑ | Wall NAT されて、ip1 からになる。インタ−ネット接続のため PC SV | | ル−タをつなぐので、どうしてもこれにも1つパブリック △ ■ ------- IPアドレスが必要である。 | → | ―→ | LAN ------------------------ [ パタ−ン1 ] ↑ -----------------|----- DMZ にサ−バなど装置を置くには3通りのパタ−ンがある | ip1 ことになる。パタ−ン1 はあくまでも内部ネットワ−クに ---*--- 装置をおくというものである。パタ−ン0 ではパケットは DMZ| ↑| ファイアウォ−ルの LAN ポ−トに入って WAN ポ−トに行 -------------| → | き、インタ−ネットへ抜ける。 それが LAN ポ−トへは行 PC |↑ | | かずに DMZ ポ−トへ行って、 インタ−ネットへ抜けるよ △ ■SV ------- うにしたのが パタ−ン1 である。 | → | | ------------------------ [ パタ−ン2 ] ↑ ------------------|---- DMZ に装置を置いている。しかしこの装置に仮想IPアド SV | ip1 レスを付けることはしない。DMZ から外部への一方向の通 ■ ---*--- 信だけある。外部からこの装置へアクセスすることはない ↑|→ | | 場合に使える設置方法である。自社のホ−ムペ−ジである ------|-----| | WWWサ−バ、SSL-VPN 装置には適用できない。来客者に PC | | | 社内のサ−バにはアクセスできない、インタ−ネットだけ △ → ------- は利用できる。そんな用途のために利用ができる。 | | ------------------------ [ パタ−ン3 ] SV'↑| これがよく見られるパタ−ンである。取得しているパブリ ■ |↓ ックIPアドレス分、このように DMZに装置を設置、仮想 仮想IP|ip2 IPアドレスにパブリックIPアドレスを付ける。応用と ------------------------ して DMZを1本だけでなく複数本を設けるというのがある。 SV | ip1 サ−バ−ファ−ムという考え方らしい。複数のSSL-VPN 装 ■ ---*--- 置だけの DMZ。複数のWWWサ−バだけの DMZ、こっちは ↑|→ | | ロ−ドバランサ−で大量トラフィックを捌くとか。 ------|-----| | PC | | | △ → ------- | | ------------------------ (3) 2000年問題への対策 * 現行システムの構成 Solaris は SPARCstation 5 | メ−ルリレ− Solaris 2.5.1 64 Mbyte Memory, 2 Gbyte Disk -------- ------- in.named 4.9.7 DNS1次 |Router| | WWW | sendmail 8.9.1 + SPAM対策済み -------- ------- Netscape Enterprise Server 2.0a | | -------------*-------------- | ------- Solaris 2.5.1 ------- メ−ルサ−バ | Gate| FireWall-1 Ver.2.0 | Mail| SunOS 4.1.4-JLE ------- (IPアドレス変換) ------- | | ---------*----------------------------*------- [ 2000年対策の情報収集 ] http://www.sun.co.jp/y2000/ Sun の公式2000年問題のペ−ジ。 http://www.forval-c.co.jp/faq-fw1-3.html FireWall-1 について。 http://www.sun.co.jp/security/FW-1/wp/ Solstice FireWall-1 について。 http://www.ctc-g.co.jp/~SDB/ CTC Solution Data Base。 CTCでマシンの保守契約を結んでいるユ−ザは、SDB から対応パッチをとることができ る。メディアも含めた保守契約をしているユ−ザには、99年3月 CD-ROM にパッチを収 めたものが配布されている。`21/02 追記:CD-ROM ドライブの調子がおかしくなって、久 ぶりに SDB 覗こうとしたら登録が無効になっていた。昔 SunOS を買った時の登録で、そ のマシンの保守を切っていたのだ。仕方ないので、その後購入したマシンで登録し直した。 URLは http://www.ctct.co.jp/~SDB に変更になっている。SDB どうも内容が古いよう な気がする。肝心の CD-ROM ドライブの情報はあまり無かった。 * 各ソフトの対策検討 [ SunOS 4.1.4 ] 4.1.4 用パッチをあてるだけ。作業は簡単にすぐ終わる。パッチをあてたら一度リブ−ト する。カ−ネルを作り直したりする必要はない。パッチサイズは約 10 MB である。 ディ スク容量が足りるかどうかチェックしておくこと。足りなければ、サンプルとかゲ−ムと か消去する。ウィンドウ・システムもサ−バとしては必要ないので、 X Window 関係のフ ォントなんかは消去してもよい。パッチをあてると sendmail のプログラムなんかも変わ る可能性がある。要チェックである。 [ Solaris 2.5.1 ] Sun Solaris 2.5.x の2000年対応のパッチはまだ対策不十分らしい。パッチにまたパ ッチが出ているような状況らしい。 Sun としては 2.5.x のパッチは99年6月ぐらいで ケリをつけたいということらしい。2.5.x を使い続けたいなら、それまで待った方がいい かも知れない。Solaris 2.6 は最初2000年対応になっているとのことだったが、そう ではないらしい。やはり少しだがパッチが出ている。 対応には現行 2.5.1 にパッチをあ てる、2.6 にあげる、一挙に Solaris 7 にあげるやり方がとれる。 2.5.1 にパッチを当てるやり方だと、パッチの量も結構あり、うまくいって5時間ぐらい かかるらしい。パッチサイズは 30 MB ぐらいある。次のやり方。 ディスクを初期化して 2.6 をインスト−ルする。これは2時間程度らしい。 2.6 と 2.5.1 では一応バイナリ互 換なので sendmail、named のバイナリはそのまま使えるはずである。 2.6 にする場合デ ィスク容量がちょっと問題になる。2.5.1 に比べてOSが大きくなったのである。できれ ばハ−ドディスクは 4 Gbyte 欲しい。この際だからディスクを追加するか、 交換するか したいところである。 三番目のやり方、Solaris 7 にあげてしまう。これはやめた方がいい。まだまだこなれて いないと見るべきである。Solaris 7 のスペックを一応示すが、 64 ビット環境もサポ− ト。32 ビット環境かどちらかが選択できる。sendmail 8.9.1、BIND 8.1.2 をサポ−トす る。多分ディスクも現行 2 Gbyte では足らないだろう。2年前では 2 Gbyte あれば結構 十分という感じがしたが、もう今では最低 4 Gbyte である。すでに 2 Gbyte のディスク は入手が難しい。あっても 4 Gbyte の品よりも高いということだ。 さてただ2000年対応するといっても、何が具体的に問題なのかはっきりしない。これ はメ−カに問い合わせてもはっきりこれこれですとは答えられないようである。 Solaris のOSカ−ネルとしては 2037 年までは問題ないとのことだ。 PROM の内臓クロックの話 である。どうもライブラリやアプリケ−ションで問題になる場合があるだろうという、漠 然とした話である。多分ホスト系の COBOL プログラムの日付問題のようなのは、 EWS 系では実際少ないのでないか。 [ FireWall-1 ] バ−ジョンアップする必要がある。 保守に入っていれば 3.0 のパッケ−ジが来ているは ずである。保守に入っていなければ定価の35%で購入できるとある。2000年対応は バ−ジョン 3.0b からだいじょうぶとのことだが、フォ−バルクリエイティブのホ−ムペ −ジで確認したら次のようになっていた。フォ−バルの大元からはバ−ジョン4がもうす でに出ているが、Sun の Soltice FireWall-1 はバ−ジョン3までしか出てない。'99/04 追記:どうやら Sun からはバ−ジョン4は出さないみたいである。 その後、新日鉄情報 通信システム( ENICOM )に扱いが移っている。 FireWall-1 Version 3.0b with SP83083 で2000年対応。 FireWall-1 Version 4.0 + Service Pack 2 が最新。 [ Netscape Enterprise Server ] 97年の時点では問題ないとなっていた。それを鵜呑みにして、対策不要と思い込んでい たのだが。今回あらためて調べてみたら。 その後のアナウンスで 3.5.1 からだいじょう ぶとのことだった。詳しくいうと Version 2.x, 3.0, 3.0x はダメで Version 3.5.1[ja] にパッチをあてることで2000年対応になる。 Netscape Enterprise Server の前身で ある Netscape Commerce Server、 それに Communication Server も2000年対応では ない。Version 3.5.1 にあげなければならない。 * 対策実施の検討 0. 現行システムのバックアップ 現行システムの設定をちゃんとバックアップしておくことが肝心である。できればプリン トできるものはプリントしておこう。 Solaris 2.5.1 と 2.6 はバイナリ互換ということ なので、とりあえずバックアップを戻しやってみる。もしだめならコンパイルする。新し くインスト−ルされる in.named と sendmail はそのまま使うことはできない。バックア ップするファイルはシステムの設定関係、/usr/local/source などに入れたフリ−ソフト のソ−ス、それとWWWサ−バのデ−タにカウンタ−・プログラムなどである。 1. メ−ルサ−バのホストの作業 SunOS 4.1.4 のマシン。パッチをあてるだけ。メ−ルの配送は /etc/hosts による静的配 送にしてある。このホストからドメイン名によるアクセスはできない。DNS を使うために NIS のダミ−を運用するということもしてない。SunOS 4.1.x はOSとしては古い。でき れば、Solaris 2.6 のマシンを新たに購入してあてたいところである。もしそうできれば、 GNU や純正のコンパイラは、このマシンに移した方がセキュリティ的に望ましい。 2. WWWホストの作業 WWWホスト作業中は、1台代替機を用意して外部用WWWサ−バの運用をする。DNS の サ−ビスはなくてもよい。外部からのWWWアクセスは、 代替機に named が動いてなけ れば、プロバイダに設定されたセカンダリ−の named を見にいくので問題ない。 内から 外へのアクセスには、DNS の2次アドレスも各ホストに記述してあれば特に問題ない。も し DNS を稼働させるのであれば、 named の設定ファイルをコピ−してそのまま運用する。 named 制御ファイルのシリアル番号はそのままとする。電子メ−ルのリレ−のサ−ビスは やめておく。つまり sendmail は稼働させないでおく。 ・この間外からのメ−ルは相手メ−ルサ−バにたまる ・社内から外へのメ−ルは、社内メ−ルサ−バにたまる。 ・ダイアルアップではプロバイダのメ−ルサ−バにメ−ルはたまる。 WWWホストの作業をおわえて、こっちのメ−ルリレ−のサ−バを再開すれば、メ−ルは くることになる。メ−ルサ−バはメ−ルの配送ができないと、スプ−ルにためて、時間を おいて配送するようになっている。代替機で sendmail も稼働させて、極力メ−ルをとど こおらせないようにすることも考えられるが、WWWホストを戻す際にややこしいことに なってしまう。代替機では sendmail は動かさない方が、かえってメ−ルを受けるのに確 実だと思う。作業前、先ずル−タから専用線のケ−ブルを外して、WWWホストで qmail とやってメ−ルがこのサ−バにないことも確認しておこう。 他注意すべきこと。WWWホストの作業する時は、ホストをネットワ−クから外して行う。 戻す際とりあえず別なIPアドレスを付けて、そのアドレスに HTTP アクセスしてWWW サ−ビスが大丈夫か確認するのもよい。代替機といえでもセキュリティ対策は施しておく こと。不要なデ−モンは全て稼働させないということ。それに、WWWホストの代替機を 運転開始する際、ル−タやハブの電源は入れ直した方がいいだろう。機器内部のIPアド レスとMACアドレスの対応を、一度クリアするためである。これをやらないとWWWホ ストにアクセスできない場合がある。 3.ファイアウォ−ル・ホストの作業 ファイアウォ−ルホストは、代替できないので仕方ない。この時は社内からのWWWアク セスはできなくなる。代替できない理由は、 FireWall-1 でIPアドレスの変換をしてい るからである。ん−、考えれば何か方法はあるかも知れないが。 FireWall-1 を入れた別 なホストをもう1台、用意できればそれが一番だが。予算的に無理だわな。たまにはイン タ−ネットが使えなくするというのもいいぞ。あまりにも当り前だと、有難みがない。緊 急な場合はダイアルアップを使ってもらう。 ・この間、内から外へのWWWアクセスはできない。 ・外からのメ−ルはメ−ルリレ−のWWWホストにたまる ・内から外へのメ−ルは、社内のメ−ルサ−バにたまる。 作業は、Solaris 2.5.1 マシンをディスク・フォ−マットから始める。これでもし変なフ ァイルがおかれていたり、ファイルを変更させらていたりしても、真っ白になる。それか ら Solaris 2.6 をインスト−ルする。これはWWWホストも同様行う。 2000年問題 対応のついでにセキュリティの対策もやろうという考えだ。 そして FireWall-1 Version 3.0b をインスト−ルし、さらにパッチをあてる。 セキュリティ・ポリシ−も再設定して マシンをリブ−トすればOKである。社内外にたまっていたメ−ルは、この時点で配信さ れることになる。と、うまく行きますか。綿密な計画が必要である。 * その他マシンについて [ Silicon Graphics ] IRIX 5.3 からパッチが出ている。しかし 5.3 対応のソフトが減ってきている状況も考え ると、この際 IRIX 6.5 にバ−ジョンアップした方がいいと思われる。 ただし 5.3 ぐら いのマシンは INDY で、もうすでに5年ぐらい経っている場合がある。当時はディスクが まだ高価で1ギガバイトぐらいのマシンも多かったのでないだろうか。そのようなマシン を IRIX 6.5 にバ−ジョンアップするには、ディスクとメモリの増設が必要になるだろう。 ディスク 2 GB、メモリ 64 Mbyte が最低の推奨スペックである。 ここで一つ問題がある。INDY も O2 も、 ディスクなどパ−ツの純正品がもうないのであ る。このためサ−ドパ−ティ製を購入して使うしかない。すると、サ−ドパ−ティの部品 を組み込んだマシンは、厳密なことをいえば SGI の保守対象にならなくなる。 このこと はどんなメ−カのコンピュ−タでもそうなのだが、困ったことだ。しかしまだ5年なのに もうパ−ツがないとは。SGI は7年だったか保守してくれるらしいが、最近の動きを見て いると雲行きはやや怪しいような気がする。 サ−ドパ−ティ製のディスクやメモリは日商エレクトロニクスが扱っている。 INDY 用に は内臓の 2.2 GB と 4.5 GB があったのだが、いつの間にか 2.2 GB の方はなくなってい た。まだマシンを使って行くつもりの人は、買いだめしておいた方が無難かも。注意点は ディスク、メモリの内臓スロットの数である。メモリは確か4スロットだったと思う。う まくやりくりしないと、せっかくのメモリを放り出すことになる。 [ Windows パソコン ] 多々問題があるようだが。よく分からない。OSレベルで問題なのか、アプリケ−ション レベルで問題なのか。Windows 95 は2000年対策はダメで、Windows 98 は対策済みと いうことだったが、Windows 98 でも問題らしい。Windows 95 から 98 へのアップグレ− ドは、98 のインスト−ルCDを入れて簡単にできるということだ。 適当な時にやってお いた方がいいようである。さて、2000年になりました。小生自宅の VAIO ちゃんはま だ Windows 95 のままです。何も問題ありません。問題ないのでそのままにしてあります。 (4) 2000年対策の実際作業 -------------------------------------------------------------------------------- インタ−ネット・サ−バについて述べる。WWW ホストでバックアップした in.named では うまく行かなかった。同時に sendmail もダメとなり、コンパイルからし直した。うまく 行かなかった人は "15-3. sendmail と DNS のアップデ−ト" を参照されたい。 -------------------------------------------------------------------------------- * 概要 全部の作業を自前でやれれば、それにこしたことはない。 普段 Sun を触っていないのな らば、OSと各ソフトのインスト−ルは業者にお願いした方がいいだろう。 in.named と sendmail の設定、それに WWW ホストのセキュリティ対策は、自分でやるようにするので ある。各ホストの設定は、基本的には現状の設定をプリントしておき、それを見ながら手 作業で設定し直した方が確実だと思う。 FireWall-1 は新規インスト−ルだと前の設定情 報はロ−ドできない。全部設定し直すことになる。 FireWall-1 をあまり細かくル−ル設 定していると作業が大変になる。ル−ルはできるだけ単純にしたいものである。ル−ルを 増やす度にセキュリティ強度が落ちると考えた方がいい。 Fire --- ディスク初期化。Solaris 2.5.1 から 2.6 へ。 FireWall-1 Version 3.0b with SP83083 をインスト−ル。 WWW --- ディスク初期化。Solaris 2.5.1 から 2.6 へ。 Netscape Enterprise Server 3.5.1[ja] + パッチをインスト−ル。 Mail --- SunOS 4.1.4 にパッチをあてる。 sendmail が入れ替わっている可能性があるので注意。 [ OSバ−ジョンアップ後の確認 ] a. プロセスの状態 # ps -ef( 2.6 ) or # ps -ax、/etc/rc2.d b. 設定経路の確認。 # netstat -rn c. 一応バ−ジョンの確認。以下 WWW ホストの場合を示す。 # uname -a << OSのバ−ジョン。Fire も同じ。 SunOS www 5.6 Generic_105181-14 sun4m sparc SUNW,SPARCstation-5 # /usr/bin/showrev -p << 当てられているパッチを確認してみる。 だ−と出 て来るはず。 # /usr/sbin/in.named -d 1 & << デバッグ・モ−ドで起動。 named.run というファ イルができる。この named のバ−ジョンではダメ。 # cat /usr/tmp/named.run Debug turned ON, Level 1 Version = named 4.9.4-P1 # telnet localhost 25 << 万能 sendmail.cf をとりあえず使用してみた。。 220 mail.nix.co.jj ESMTP Sendmail 8.8.5/nix.1.0 ready at Mon, ... * ファイアウォ−ルのホスト Fire [ 作業の注意 ] 前もってライセンスを、一応IPアドレス指定で取得しておく。メ−ルに必要事項記入し て送る。1日で返事がくる。ライセンスは4つのファイルが来る。一応プリントしておく。 FireWall-1 は前バ−ジョンと同じく /etc/fw/bin にコマンドは入っている。IPアドレ ス変換のル−ル設定は前は fwxlconf を用いたが、このバ−ジョンでは使わないことにな った。新たにできた fwpolicy か、前からの fwui を各ホストの設定ともに使う。どちら かというと fwui の方が使い易いようである。 [ バックアップ ] /etc/fw/bin/fwxlconf FireWall-1 に設定したIPアドレス変換ル−ル。 /etc/fw/conf, database これぐらいはバックアップしておく。セキュリティ・ル−ル。 /etc/hostname.hme0 hostname.hme0 でなければ、hostname.le1 だと思う。 /etc/rc2.d/S69inet ip_forwarding のパケット転送禁止の設定。2.6 も同じ設定。 /etc/hosts これ以下 WWW も同様。/etc/hosts --> /etc/inet/hosts。 /etc/hostname.le0 # ifconfig le0 とやって後で確認すること。 /etc/defaultrouter デフォルト経路。 /etc/rc2.d/S72inetsvc セグメント分だけの経路設定がある。 /etc/nsswitch.conf デフォルトのまま。WWW は hosts: files dns。 /etc/resolv.conf なし。WWW の方はいる。 * WWWホスト WWW [ 作業の注意 ] Netscape Enterprise Server はアップグレ−ドによるその都度買い取りなので、 事前に 注文しておく。2.0a -> 3.51 で、50クライアント・アクセス ライセンスというので約 14万円だった。このライセンスって何でしょうか。分かりません。内部ネットのユ−ザ がWWWサ−バのコンテンツを入れ込んだりするライセンスみたいだが。後作業としては コンテンツのディレクトリに chroot をかける。前やってみたができなかった、再度挑戦 する。それにコンテンツは内部ネットのホストから HTTP 経由で入れるようにする。以下 はOSを Solaris 2.6 に上げたところでの作業である。 /etc/rc2.d/S72inetsvc ---------------------- |#/usr/sbin/inetd -s << コメントにする。 /etc/default/login ---------------------- |CONSOLE=/dev/console << 外から root でロッグインできないようにする。 # cd /etc/rc2.d << 以下を mv コマンドで Kxxx に変えた。K20spc は最初 # ls K* からなっていた。 K20spc K73nfs.client K77dmi K90loc.ja.cssd K60nfs.server K74autofs K80lp K94Wnn6 K71rpc K76snmpdx K85lmgrd K99dtlogin ↑ # cd /etc/rc3.d これは S のままでもよい。その方が便利。 # ls README s15nfs.server K76snmpdx K77dmi S76snmpdx, S77dmi を K76snmpdx, K77dmi にしておくこと。 Solaris 2.5.1 の時は Kxxx とデフォルトでなっていたか、そもそもなかったと思う。 ともかくほかってお くと SNMP 関連の snmpXdmin, mibiisa, dmispd デ−モンが動いてしまう。WWWサ −バでは SNMP は必要ない。へたするとクラッカ−に SNMP 経由で情報をとられてし まうぞ。 まあデフォルトのままでは /etc/snmp/conf/ 以下の SNMP 制御ファイルが、 何も設定されないので害はないといえるが。 # ps -e PID TTY TIME CMD 0 ? 0:00 sched << OSの基本的な機能として多分、nscd までは必要。 1 ? 0:01 init PID( Process ID ) の番号は適当です。 2 ? 0:00 pageout 3 ? 0:18 fsflush 228 ? 0:00 ttymon << STREAMS ベースの TTY ポートモニタ。 225 ? 0:00 sac << service access controller。 162 ? 0:00 powerd << power manager daemon。 140 ? 0:07 nscd << name service cache daemon。 173 ? 0:00 utmpd << utmp and utmpx monitoring daemon。 207 ? 0:00 vold << CD-ROM, floppy を使う時にいる。普段は必要なし。 134 ? 0:00 cron << 使わないのならなくてもいい。 125 ? 0:01 syslogd << 使わないのならなくてもいい。 110 ? 0:20 in.named << DNS の BIND-4.9.7。/usr/sbin/in.named。 172 ? 0:01 sendmail << メ−ルリレ−。/usr/lib/sendmail -bd -q15m。 151 ? 0:00 uxwdog << 以下3つ Netscape Enterprise Server 関係。 152 ? 0:09 ns-httpd 262 ? 0:00 Cgistub [ バックアップ ] /usr/lib/sendmail バ−ジョン 8.9.1、DNS 対応。-l44bsd リンク。 /etc/sendmail.cf SPAM対策済み。CF ツ−ルで作成。 /etc/named.boot, named.hosts, named.rev, named.ca, named.local /usr/sbin/in.named, /usr/sbin/named-xfer, /usr/sbin/nslookup /usr/lib/libresolv.a, /usr/lib/lib44bsd.a /etc/aliases リンク /etc/aliases --> /etc/mail/aliases。 Fire ホスト同様バックアップする。 * メ−ルサ−バのホスト Mail [ 作業の注意 ] POP のメ−ルは作業の前に全部、各自取り込んでもらうこと。すぐにメ−ルを読んでいれ ば、例えば katou というユ−ザでは、/var/spool/mail 内の .katou.pop と katou ファ イルは0になっているはずである。 各メ−ルソフトで POP サ−バにメ−ルを残す設定に してあると0ではないが。 しかしパッチを当てる作業では /var/spool/mail 内のファイ ルは影響は受けない。一応念のため。 [ バックアップ ] /usr/lib/sendmail 8.8.5 の静的配送。/etc/resolv.conf なし。 /etc/sendmail.cf 万能 sendmail.cf。 /etc/aliases 後で /usr/ucb/newaliases やること。 /etc/inetd.conf POP サ−バの記述を追加している。 /etc/passwd POP ユ−ザのエントリが入っている。 /etc/hosts SMTP でメ−ル配送するアドレスが書かれている。 /etc/rc.local 経路制御が書かれている。 /etc/defaultrouter デフォルト経路が書かれている。 /etc/group 以下、一応バックアップする。 /etc/hostname.le0 マシンのホスト名。 /etc/syslog.conf 必要とあれば。他 /var/log/syslog などのログ。 * メ−ルのチェック 1. Mail ホストから自分宛にメ−ルを送ってみる。成功したら内部の他ユ−ザにも送って 見る。newaliases コマンドを先ずたたいておくこと。WWW ホストも同様。 # /usr/ucb/Mail -v katou@nix.co.jj 2. WWW ホストから自分宛にメ−ルを送ってみる。 # /usr/ucb/mail -v katou@nix.co.jj 3. Mail ホストから外部にメ−ルを送ってみる。また外からメ−ルを送ってもらう。最後 にSPAMのチェックをして終了。筑波大学のチェックサイト利用。 http://www.sweet.lang.esys.tsukuba.ac.jp/security/sendmail.html (5) アウトソ−シングの検討 '99/04〜 * その背景と解 インタ−ネットサ−バの運用を信頼のおける業者に外部委託する。そろそろ考えていかな ければならないことである。もはや自前での運用管理は、一企業の管理者の範囲をこえて いる。WWW、メ−ル、ファイアウォ−ルのサ−バを預かってもらって、全部お任せする としたらだいたい月100万円はかかる。2、3業者にあたって、どこもその程度の見積 りを出してきた。管理者がこそこそやっている分には、この費用は表面に出てこない。い わば個人の努力によって吸収されている訳である。アウトソ−シングするには結構費用が かかるのである。インタ−ネット接続は、今やセキュリティが絡む話になった。PL訴訟 とも絡み、もはや安全に関することは、ボランティアでやる時代ではない。安全はお金で 買う時代になったと認識すべきである。 しかしどうアウトソ−シングしていけばいいのか、これが難しい問題である。いっそ何も 考えず、ともかくお任せと言うのが一番いいのだろう。これまでホスト系で商売してきた 業者は喜ぶだろうな−。99年の4月頃から考えているが、こうすればいいというのが見 えてこない。何故か?、業者にメニュ−がないのだ。別途ご相談で、内はこれこれできま すというのがないのだ。そして出てきた見積りがやたら高いと来る。毎月100万も50 万も業者の管理費用に払えるか?。社内の管理者の人件費を考えれば、そう高いものでは ないかも知れない。一応そういうことにしよう。銭は出そう、それでちゃんと仕事してく くれるのか。セキュリティ対策をちゃんとやってくれるのか。とても心もとない。一応こ のこともクリアしたとしよう。 WWWサ−バを外に出すことを考えてみる。ホスティングでもハウジングでもいい、マシ ンは借りることにする。これでWWWホストの保守やらセキュリティ対策は、手を離れる。 しかしコンテンツはどうだ。ただの会社案内程度を載せているのならそれで構わない。独 自の cgi-bin プログラムを書いた、Java の Servlet や JSP もやりたい。ECサイトも これから構築していきたい。デ−タベ−ス用のホストも追加したいとかなったら。そうな るとマシンを自前で用意し、持ち込むことになってしまうのでないか。ハウンジングセン タ−を利用する一番高い形態になってしまう。そして、こうしたコンテンツをリモ−トの 操作だけで実際問題、扱えるのか。幾ら手元に同じ環境を作ってテストしても、現場での 作業が必要になって来るのでないか。 ハウジングセンタ−、今はデ−タセンタ−と言うようだが、場所も問題である。たいがい 東京にしかない。99年末位からの続々とデ−タセンタ−が立ち上がってきている。すで に20社はある。しかし地方に拠点を開設している会社はわずかでないか。名古屋なんか にはないぞ−。WWWサ−バの作業をしに、東京にいくわけ?。現実問題そんなことでき ん。仮に近くにあって、実際その場で作業ができるのか。ICカ−ドなどによる厳重な入 退出チェック、予約せな入ることができないとか。ディスプレイは場所をとるため、普段 は設置せずに、その都度借りるのだとか。今、デ−タセンタ−を利用している人にここら 辺りのこと聞いてみたいものである。写真では整然とラックが並んでいるが、実際は本や マニュアルが足元狭しとあって、パン食いながらやっているのでないか。 もうどこかにお任せしたいとする場合。自社基幹系コンピュ−タのお守りメ−カ、IBM とか国産家電系メ−カとかに全部お任せが一番楽かも。基幹系では国内など支店とも何ら かの回線を引いているし、 VoIP も含めて全体の提案してもらうのがコストメリットも出 るかも知れない。某国産家電系メ−カのサイトを見たら、いろいろソリュ−ションを持っ ている。OBN(Open Business Network)もあるし、FireWall-1 も設置しますとか。一度 話しを聞きたいものだ。いやどうか、おんぶにだっこ過ぎはしないか。ならばインタ−ネ ットのプロであるプロバイダ系を使うのはどうか。AT&T Jens は93年8月、国内で最初 にIP接続開始したプロバイダである。 アウトソ−シングサ−ビスも '98/09/07 開始し ている。AT&T の次にIP接続を始めたのは IIJ である。こちらも十分な信用がある。 WWWサ−バを皆で共同で使う。いわゆるディスクの間借りで、費用が安く済むのが特徴 である。コンテンツのデ−タの管理はユ−ザの責任で行なう。WWWホストのセキュリテ ィ対策は概ねやってくれるようである。とりあえず独自ドメインでWWWを立ち上げたい 場合にはいい。ドメイン名やIPアドレスは一体どうなるのか。WWWサ−バのバ−チャ ルホスト機能を使うとか。 多分自社のDNSで www.nix.co.jj IN A "ホスティング先の IPアドレス" で行けるのでないか。ホスティングの費用はWWWのコンテンツの量に左 右される。数百メガ位までなら概ね格安に利用できる。しかしそれ以上の量になると御相 談という感じになってしまうようである。ホスティングでもマシン1台を専有するのもあ る。これだと、もうハウジングということになってしまう。ハウジングとしてのメニュ− だと、マシンのセキュリティも自前で面倒みることになる。また厄介な話に戻ってしまう。 * 外注委託プラン [ プラン1 ] 社内のホスト数が千ぐらいないと割に合わない。 WWW、ファイアウォ−ル、メ−ルなど全部のサ−バを預かってもらう。何かしたい時は、 メ−ルなどで連絡し、やってもらう。一番手間いらずだが、一番費用もかかる。あるとこ ろの見積りでは初期費用が1千万円。毎月の運用費が150万円だった。しかもEWSは 持ち込みでだ。嘘みたいな値段である。しかし多分どこでもこのぐらいとるだろう。メ− ルサ−バやDNSサ−バは業者が設定し直すことになるだろう。業者それぞれの設定の仕 方があるだろうから。現状の設定のまま預かって欲しいという訳にはいかない。安くする には業者が用意するマシンに、既存設定を使うことだ。その方がいいだろう。業者のセン タ−と自社は、近ければ専用線で接続、遠ければVPN接続ということになるだろう。 ちなみにDNSやメ−ルサ−バ、個々の設定料金は大体50万円である。全部ではなくて 個々である。以前20万円というのもあったが、しかしそれはその場1回限りのことだっ たから、50万円と言うのも妥当な線かも知れない。それにしても高い。DNSの named の設定なんか、分かっていればものの5分だ。それで50万円か−、ひでえ−。ドメイン 名とIPアドレスはどうなるか。多分、プロバイダは変えることになる。これにともない 今のIPアドレスは今のプロバイダに返却しなければならない。次のプロバイダからあら ためてIPアドレスをもらうことになる。ドメイン名はそのまま使える。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \________________/インタ−ネット : : : : -----------------------:---------------- : | : | : インタ−ネットへ | Mail □ WWW □ Router | □ Router のアクセスは、い | Relay| DNS | | | ったん iDCを経由 | ------------------------- Public IP | ◇ VPN することになる。 | | | | | | Mail □ ■ Fire ◇ VPN | ----------- Private IP | Store| | Wall | | | | | ------------------------- Private IP | △ △ ----------------------------------------- iDC( Internet Data Center ) 東京とか 名古屋とか、自分とこの会社 [ プラン2 ] これが現実的か、それでも高い。 WWWサ−バはホスティングすることにする。ドメイン名は変えないようにする。ファイ アウォ−ル、それにDNSとメ−ルリレ−のサ−バは、自社に設置する。これでリモ−ト でメンテンスしてもらう。それ用に別に ISDN 回線が必要である。リモ−トでできないメ ンテンスも、業者に責任もってやってもらう。管理者が例えば Sunのサポ−トセンタ−に 電話してというようなことはやめる。そんなことしてたら外注に出す意味がなくなる。異 常はできるだけリモ−トで見つけてもらい、それでも分からない不具合を管理者が、業者 に連絡するということにする。費用は全部で月50万円てところか。ファイアウォ−ルだ けでも、FireWall-1 クラスで数十万円という料金が普通である。 社内の管理者がやることは、メ−ルアカウントの追加と削除だけにする。この作業はしれ たものだし、いちいちメ−ルなどで連絡してやってもらうより早い。それに社内のメ−ル サ−バならセキュリティ的に問題になるところがないので、安心である。もうここまでの 管理だろう。セキュリティ以外のところ。メ−ルサ−バの負荷の監視、メモリ追加などの マシンの増強、またはマシンの入れ替えなども、できればやってもらうようにする。まあ これは特にやらなくても、そうそう問題はないと思うが。マシンはリ−スにするのがいい かも知れない。3年経ったら新しいマシンを入れる。まあ何でもいい。固定資産がどうの こうの、保守契約がどうのこうのいう必要もなくなる。 * IIJ を全面的に利用すると `02/10 電子メ−ルとDNS1次、2次のサ−バ。 それにファイアウォ−ルを IIJ にお任せする プラン。WWWサ−バだけ手元に置いておく。WWWは Application Server などまだ発 展段階にあるためである。WWWサ−バは仮想IPアドレスのテクニックで、バリアセグ メントにもって来る。東京、大阪支社は 64 Kbps で IIJ に接続、IIJ 推奨のル−タでも って NAT、DHCP でマシンのIPアドレスの管理をする。 支社にファイアウォ−ルが必要 かどうかは改めて IIJ と相談されたい。 メ−ルは全員 IIJ の Post Office Service に POP で見にいく。外出時に本社の社内用WWWにアクセスするには、IIJ のIDゲ−トウ ェイサ−ビスを使う。これはダイアルアップ接続でセキュアな話である。 さてまたまた問題が。支社から本社の社内用WWWにアクセスできないのだ。やはり何ら かのVPNが必要になる。IIJ と相談すれば何とか解決できそうである。基本的にVPN といっても暗号化までなくてもいい。 ダイアルアップも含めて全部 IIJ のネットワ−ク 内に閉じているので、この中での盗聴は不可能と言ってよい。 これは IIJ を十分信用し ていいと言えるからなのだが。別な手で、支社を専用線接続するのでなく ISDN ぐらいに して、ダイアルアップのIDゲ−トウェイを使うのだ。1つの支社でメ−ルなどインタ− ネットを使う人数が、実際4〜5人ならこの手は使える。でもこれはやはり苦しいと思う。 とりあえず以下、VPN部分は無しで月額費用を算出してみた。 IIJ T1 スタンダ−ド 11.7 '99/10/01 開始。IPアドレス 1/32C で6個。 CTC 専用回線, 15 Km以内 14.9 NTT だと 16.2 万円、30 Km 区分で 35.2万円。 CTC ONU 料金 1.9 1.5 Mbps の DSU みたいなもの。 IIJ DNS サ−ビス 0.3 DNS 1,2 次お任せする。 IIJ セキュリティスタンダ−ド 5.0 レポ−トはなし。WatchGuard FireboxΠ。 IIJ エコノミ− 64 Kbps 3.8 x 2 東京、大阪支社と IIJ ヘの接続。 DSU 料金など 0.35x 2 NTT DA64 Type2, 15 Km以内 3.1 x 2 IIJ ポストオフィスサ−ビス 4.0 電子メ−ル200人分。( 1.0+200円x150 ) IIJ セキュアリモ−トアクセス 8.0 50人分。(IDゲ−トウェイサ−ビス) ------------------------------------ 60.3 万円/月 + VPN設置利用料? Post Office □ 200人分 □ nix.co.jj DNS1,2次 Service | | / ̄ ̄ ̄ ̄ ̄ ̄\ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\|インタ−ネット|/ ̄ ̄ ̄ ̄ ̄\ | IIJ ネットワ−ク |\______/|IIJ アメリカ| \_________________/ \_____/ : : :ロ−ミング対応ダイアル 64Kbps: 1.5Mbps: :アップアクセスポイント : □ ONU : Router □ | ▼ Dialup 50人分 SEIL |NAT/DHCP □ Router --------- 利用 | SEIL T1 支社(東京) ------- △ WWW自社運用 ル−タは買い取りにする。 | | | SEIL は DSU 込で約5万 ID-Gateway ◇ ■------ DMZ △ 社内用 円。SEIL T1 はCSU 内臓 本社(名古屋) | |FireboxΠ | WWW で約17万円である。 -------------------------- 電子メ−ルサ−バ:IIJ ポストオフィスサ−ビス。独自ドメインでできる。初期費用5千 円。50ユ−ザ分で1万円/月。追加1ユ−ザ、200円。APOP,SPAM にも対応。メ−ル の保存は2週間。メ−ルのアカウントの追加と削除は、IIJ に用意されたWWWにアクセ スして行う。今やほとんどが社内のコンピュ−タは Windows だから POP だけでも問題な い。99年に調べた時は初期3万円、50ユ−ザ分で 1.5 万円/月だった。 ファイアウォ−ル:WatchGuard FireboxΠ。初期費用12万円、利用料金毎月6万円。保 守、24時間自動監視の運用込。これは安い!。レポ−トが入り用なら1万円/月。コ− ルドスタンバイサ−ビスは3万円/月、これはもう1台置いておくということだと思うが。 NAT、IP マスカレ−ド、DMZ 対応。1.5 Mbs 接続の T1 スタンダ−トと使うなら1万円安 くなる。300ユ−ザまでの利用を想定している。300ユ−ザ以上の機器もある。 外から社内アクセス:IIJ セキュアリモ−トアクセス。初期費用約20万円、毎月8万円。 IIJ が用意するサ−ビス用のホストを設置する。このホストを通ってダイアルアップで社 内のコンピュ−タにアクセスする。認証は IIJ に置かれたサ−バも使い、 IPアドレス でのアクセス制限を行なう。ダイアルアップ50アカウント含む。1アカウントに付き月 2時間分含む。超過分は1分5円。`02/08 まではアカウント分なしで月10万円だった。 IIJ セキュリティプレミアムサ−ビス:`02/07/03 開始。FireboxΠ よりも、よりセキュ アな NOKIA FireWall-1 の設置サ−ビスである。初期20、毎月15万円。 VRRP テクニ ックを用いたホットスタンバイ構成がとれる、2台で月23万円。これに加えて NOKIAの タイプ IP330/440/650/ とノ−ド数によって 4.5〜18.5 万円が加算される。 これで機器 にOSの保守、運用、毎月のレポ−トを受けことができる。概ね妥当な価格だと思う。