4-5. ネットワ−クの再構築から (1) イントラネット残された課題 `21/01〜 * はびこるパソコンをどうする 何か管理用のソフトを入れないかん。一括でウィルスのパタ−ンファイルを配布するとか。 Windows のオフィスのソフトをいっせいにバ−ジョンアップするとか。これからは、パソ コンというのは、ちょっと大き目の共有文房具という考えでいいのでないか。小学校や中 学校の机みたいなものである。仕事のデ−タは共有のファイルサ−バに入れるようにする。 メ−ルなどプライベ−トに近いデ−タは、外付けのリム−バルメディアなんかに入れたら どうか。異動の際は、このリム−バルメディアだけ持って移るという。これなら家に帰っ ても仕事したい人にもいいかも知れない。RAS で穴をあけて社内ネットにアクセスされる よりましである。さらなる管理としては、ディレクトリ・サ−バにより、個々のユ−ザが アクセスできる資源の管理である。しかし、これからはできるだけパソコン使わないよう にせないかん、逆説的かも知れないが。ともかく何でもかんでもパソコンというのはだめ である。ちょっと前を思い出してみよ。コンピュ−タの前に座っていると何遊んでいると 思われたは、ついこないだのことだったのだ。 * サ−バ用コンピュ−タとバックアップ サ−バ用のマシンは結局どういうのを選んだらいいか。サ−ドパ−ティ製の RAID、 コン パックにつけて Linux で稼働させていた。 それが RAID の3つのディスクの内2つが同 時に壊れてしまった。一応ディスクはこれでも安全を見て SCSI タイプの RAID にしたの に。業者の対応はすこぶる悪かった。 RAID は信頼を買ったのにそれが信頼できず、サポ −トもあてにならないのでは使うことはできない。これで順調に動けばいろいろ展開して いこうと考えていたのに。やはりサ−バは Sun か。Linuxならメ−カが初めからちゃんと 作り込んだ RAID モデルを買うことにしよう。しかしどこのメ−カのを買う?。日本ゲ− トウェイは 2001/09 頃日本から撤退。コンパックはHPに吸収。 日本SGIはNECに 2001/11 買収されたし。残るはデルぐらいしかないぞ。以下参考。 Sun Enterprise 220R、 1 CPU モデルで約180万円。デルの NAS PowerVault 705N、160GB(40GB IDEx4)、約31万円。 バックアップは NetVault という市販ソフトを一度見てみたい。 * 広域ネットワ−クへの新たな要望が 例えば支店でもCADを使いたい、できるようにしたい。デ−タは本社にあるのを NFSで アクセスする。NFS は SonicWALL で制御できるのか、要確認。IP-VPN での広域LANで、 拠点の ADSL ル−タやATMル−タで、パケットがひっかからないか。CADのデ−タは 本社で、それを支店から NFS でアクセスすること自体は問題ないか。大丈夫できる。 帯 域が 512 Kbps だとか、何メガだとかある訳で、 64 や 128 Kbps しかないのとは訳が違 う。いっそ、CADを WebDAV 対応にしたらもっといいが。やはり NFS は automount と いえども負荷は大きいと思う。それに閉域ネットワ−クといえども、何でもパケットを通 してしまうのはいかがなものか。できれれば HTTP と SMTP だけにしたいものだ。それに 多分 NFS が利用できる前に、Windowsのファイル共有をしたいという方が先に出て来ると 思う。このプロトコルは何だったか、SMB だったか?。いや TCP/IP でできるはずと思う が。もう知らん間に Windows のファイル共有、本社支店などいろいろやられていました。 * テレビ会議など帯域確保 あらためてどんなテレビ会議の製品やソフトがあるのか。どれぐらいのトラフィックがい るのか。マルチキャストの方はどうなっている。1対多でのテレビ会議のような場合にマ ルチキャストが有効?。マルチキャストのIPアドレスはいかに。外とやるときはまだト ンネリングを使うのか。テレビ会議みたいなソフト NetMeeting はどうなっている。実際 インタ−ネット越しにパソコンでやっているぞ。H.323 手順ということだが。よく分から ん。参考「Software Design」`02/01 P.70〜。音声の方はどうだ、VoIPについても調べて みないかん。電話だけならインタ−ネット電話という手もあるぞ。通話料ぐっと下がって、 アメリカへ1分20円程度でサ−ビスしているプロバイダもある。まあ電話のことは横へ 置いておこう、ややこしいし、我々が手がけることとも思われない。とりあえず帯域を絞 ったりするのを Summit や NetScreen であるとかの機能でやってみたらどうか。 帯域制御を何らかの装置で実施する前に、装置を買ったりすることなく、できることはあ る。段階を追っての対策を考えるようにしよう。考えられるのは先ず、社内の皆が皆が大 きなデ−タをやりとりする訳でない。特定の人が仕事でかあるいは私的に昼休みなんかに インタ−ネットから動画を見ているとか。そうした人を探してちょっと遠慮してもらうよ う話しをするのである。説得という表現ではない。ネットワ−クで流せる量は有限である ということを話す。特定するためには幾つか既に設置しているツ−ルを使う。 Nagios や Hinemos でパソコンの状態を見る、ping による死活チェックである。MRTG でネットワ− クの状態を見る、SNMP 設定したネットワ−ク装置を流れるパケットの流量である。 これ で日頃、大きな傾向を掴んでおく。そして普段と様子が異なるのを見い出し、大まかに犯 人を特定する。パソコンの資産管理ソフトを導入していれば特定が容易かも知れない。 * セキュリティ評価・認証の動向 インタ−ネットのセキュリティの資格。とうとう出てきました。ISO 9000 とか 14000 と か、取って当り前の風潮になって、その内セキュリティについても出て来るぞと思ってい た。BS7799 というキ−ワ−ド、 2001年の秋ぐらいから目立つようになったか。5日 間で38万円のセミナ−とか雑誌に載っている。認証取得ブ−ムがまた来るのか、いや来 てもらっては困る。こんな超事務的な話に巻き込まれたんでは、実際面のセキュリティ対 策がおろそかになってしまうのは目に見えている。 ISO 9000/14000 を取ることが本当に 有効だったのか、見直す必要があると考えている企業も多いと聞く。1980年頃、デミ ング賞なる TQC の資格を取るのが流行ったことがあった。 今日、デミング賞って聞くか。 多大な労力を払って、つじつまあわせの資料を作り、工場にパネルをはりまくって。本当 にこれで品質のアップにつながったか?。皆が取るからといって自分とこも、そもそもそ んな安易な考えではセキュリティは確保できない。 * 個人認証の問題 ICカ−ドを使うということでいいのでないか。ICカ−ドを各自もって、マシンに差し 込んでパスワ−ドを入れる。ただのパスワ−ドで不安なら、ワンタイムパスワ−ドを組み 合わせればいい。ICカ−ドには X.509 証明書でも何でも記憶できる。 社内でのパソコ ンのユ−ザ認証、モバイルでの暗号化など利用範囲は広い。ICカ−ドで目についたもの、 住商エレクトロニクスが `21/07 頃紹介してくれた "ARCACLASVIS"。ICカ−ドを入れな いとパソコンが使えないとか。入退出管理、勤怠管理。RAS モバイル接続。ワンタイムパ スワ−ドの OTP。PKI などの機能がある。サイトは http://www.nettime.co.jp/。 SSCom というICカ−ドソリュ−ションもたまに目にする。もう一つ `21/11/01に出たNTTコ ミュニケ−ションズの"セ−フティパス"、カ−ドリ−ダも込みで年間千円で使える。カ− ドリ−ダなどの費用は、"セ−フティパス" を利用できるお店などが負担するらしい。 バイオメトリクス認証についても触れておこう。生体認証ともいって、眼球だとか静脈パ タ−ン認証とか指紋認証とかいろいろ開発されてきている。バイオデ−タ・ジャパン(株) の "BioID 認証" というのはすごい。顔、声紋、唇の動きで判断する。ソニ−の VAIO に CCD カメラを付けて実際に見せてくれた。`21/08静かな喫茶店内で。しかし会社で、毎度 パソコン使う度にパソコンに向かって声を出すというのもなんだな。デ−タセンタ−での 入退出管理にはもってこいだと思うが。パソコン以外のもっと汎用的な認証用途に向くだ ろう。この会社、ドイツの会社でセキュリティ関係いろいろ揃っている。ボックス型ハ− ドウェア・ファイアウォ−ル、OpenPGP & S/MIME 対応暗号化メ−ル、モニタリング & ア ラ−ト装置(工場の中の装置類にいい)、PC用ファイアウォ−ル・ソフトなど。日本では ベン・ウ−さんという人が販売チャネルである。http://www.biodata.com/。 * 部門用ファイルサ−バをどう考える 自作 DOS/V 機の Linux とか、50万円ぐらいの NASはトラブルがなければ儲けもの位に 思った方がいい。自作 DOS/V機を数台、何年か動かしているがこれまで2、3度おかしく なったことがあった。Cobalt Qube3J も NASみたいなものだが、1台は数か月に1度程度 おかしくなることがあるが、もう1台のは全然問題なく動いている。Cobaltは2003年 末で製造終了して、保守もなくなったのかな?。SnapServerなんかも業者さん売りまくっ て、これももう売っていないし。そんなもんだと割り切って使う必要がある。最近は台湾 製のばかちょん NAS の FASTORというのを売っているとか、SnapServer同士でもどうやっ たのか知らないがバックアップとれたとか。sync コマンドなんかが NAS にあるといいの だが。OSまではバックアップ対象にはしない。ユ−ザの領域だけバックアップ取ればい い。使い方としては NAS のOSは上げたりすることは考えず、 3年から5年稼働させた ら別なのに乗り換えるというのでどうだろう。 もう値段の張るファイルサ−バというのはいらないかも知れない。パソコンの性能、速度 に安定性だが、すでにかなり十分なものがあるのでないか。パソコンで Linux で RAIDで 十分である。先日 Linux での RAID ディスクが壊れて、 実際新しいディスクを入れて見 事復旧した。20〜30人で1台の部門用ファイル共有サ−バ。多分、そこそこのビルな ら1フロアに1台という感じか。 ファイル共有サ−バは2台のサ−バ同士で rsync で相 互バックアップをとるとか。個々ユ−ザの Windows パソコンのバックアップは、 あらか じめ決めたフォルダと、各自が重要ファイルと思われるのを指定できるようにする。それ を DataKeeper なんかのバックアップソフトで、ファイル共有サ−バにバックアップする。 ちなみ3〜4万円の安い NASはどうか。部下が入れてみたが、使いものにはならなかった。 家庭でせいぜい4〜5人がファイル共有する程度のものである。まあ、こんな感じでデ− タはバックアップしてます。NAS は買わず仕舞い、Linux などで rsync です。 * メ−ルを別に保存する装置を導入したい `27/12にメモしてたのを`2h/09/Sに追記 アプライアンスでもソフトでもいい。内部統制のために導入すると言うのではなく、各ユ −ザのメ−ルの保存である。パソコンがおしゃかになった時に、これまで来たメ−ルを復 旧できるようにしたいのである。ワ−ドやエクセルなどのファイルは、バックアップソフ トで戻せる。アプライアンスへのメ−ル保存は、1メ−ル1ファイルでできるのでないか。 いやその前に Mail-Store の mbox の形態を変えないけないか。パソコンに入っているメ −ルはフォルダ単位の1つの巨大なファイルになっている。ファイルの一部でも壊れると、 メ−ルが全部読めなくなってしまう。Outlook などメ−ルソフトのメ−ルのファイルがど うなっているか、もう一度確認したい。 もしもスキルがあれば sendmail.cf をいじって、 ユ−ザ毎に別ディレクトリにメ−ルを送ることができるかも知れない。製品としては一つ 聞いたのがある。ZL Unified Archived Suite、これでメ−ルをパソコンに戻せたとの話。 * 社内文書デ−タの管理について `24/12 2001年夏に部門間のファイル受け渡し場所として、1つファイル共有サ−バを設置し た。あくま一時的なファイルの置き場所として設けたものであって、そのため特にアクセ ス制限もしなかった。しかし、ファイル共有の便利さが浸透していくにつれ、一時的なフ ァイルでなく、ずっと置いておく。その部署の機密とも思われる文書まで置いてしまう例 まで出てきた。誰でも読み書き、置く消すことができるため、どこかへ文書がいってしま ったとかトラブルも起こるようになった。そのためファイル共有のフォルダを特定ユ−ザ のために別途作り、パスワ−ドをかけるような事になってきた。そんな時期、個人情報保 護法が出てきて何らかの対策を迫られることになった。会社として打ち出した方針に基づ き、ファイル共有サ−バを強化することにした。結局は個人個人のアカウント管理が必要 であると至り、2005年春までにとりあえず対応できることをやろうということになっ た。サ−バのバックアップを持ち、サ−バ自体にアカウント情報をインプットすること。 今後の方向性としては2つ考えられる。1つはアカウント情報の全社での一元管理するシ ステムを構築し、ファイル共有サ−バのアカウントもこれを利用するようにすること。ア カウント情報は多分、会社のいろいろな所で利用されていく可能性がある。パソコンでは ロッグイン、メ−ルの利用。他では出勤時間の管理、サ−バル−ムへの入退出管理、はた また食堂の勘定など。これらのことも一応、頭に入れてアカウントの一元管理システムを 設計する必要がある。食堂の勘定が果たして本当に関係するものかどうか、よく検討する 必要はあるが。もう1つは、ファイル共有サ−バはどんどん社内において、重要性が増し て行くこと。これまでのように一時保管場所ですと言っておれない。恒久的な場所として 格段のサ−バの信頼性が求められる。更にもっとマクロに見るなら、社内に散らばるデ− タベ−スをまとめ、デ−タウェアハウス的な役割まで含めていく可能性もある。 * 現状のユ−ザ認証の状況から今後 `24/12 パソコンの利用認証 > 現在はせいぜいユ−ザ名、パスワ−ド認証だけである。パスワ−ドかけているパソコン、 ないパソコンがある。 各種ファイルサ−バの利用認証 > イントラサ−バは特に制限はかけていない。性質上これからも必要ない。ファイル共有 サ−バは一部ユ−ザ認証を実施している。 インタ−ネット利用認証 > 特に制限はかけていない。概ねプロキシサ−バ経由でないと、インタ−ネットにアクセ スできないようにしている。多分、今後もこれでいい。 メ−ルのユ−ザ認証 > 今は何もしてない。社内にメ−ルサ−バがある限り、特に必要ないと考えている。もし やるとしたら SMTP AUTH 認証しかないか。LDAP の利用はどうか。 ホストコンピュ−タの利用認証 > 事務系ファイアウォ−ル内のパソコンからしか、ホストコンピュ−タにアクセスできな いようになっている。 事務系設置の専用サ−バ > 人事や経理用にサ−バを設置している。Windows パソコンで、Active Directoryは使っ てないが、簡易的なユ−ザ認証手段をとっている。パスワ−ドはかけてない。 (2) ふたたびネットワ−クを考える `22/06〜 * セキュリティ対策再考 名古屋工業大学のキャンパスネットの説明をみていたら、MACアドレスによるパソコン のネットワ−ク接続を制限しているとあった。レイヤ3スイッチや LDAP サ−バに、前も ってパソコンのMACアドレスを登録しておく。しかしこれは繁雑な手続きだと思う。 レイヤ3スイッチのアクセスコントロ−ル機能を用いる。部門用ファイルサ−バにアクセ スできるIPアドレスであるとか、アクセスできるユ−ザであるとかを制限する。関係の ない人には、ネットワ−クそのものが見えないステルス・ネットワ−クにするとかもある。 セキュリティポリシ−、インシデント(事故)対策とかいって能書きだけ対応マニュアル、 ドキュメントを作るのはいかがなものか。セキュリティポリシ−を策定しているからとい って、ウィルスを巻散らすことになったら、ポリシ−が免罪付になる訳でもあるまいし。 社内用WWWサ−バも SSL 暗号化対応にしてしまう。個々のパソコンにも SSL 用のデジ タルIDを入れる。このようにして、社内用WWWサ−バに誰でもが簡単にはアクセスで きないようにする。社内の電子メ−ルも同様、S/MIME 暗号化を当り前にしてしまう。 FireWall-1 で防御できる攻撃を再確認すること。DoS 攻撃には大丈夫だったか。 ファイ アウォ−ルのログを見直してみたい。 FireWall-1 Next Generation にもうした方がいい のかな。CTCからもバ−ジョンアップの案内がきた。そろそろ安定してきたのだろう。 外向けWWWサ−バを、もう直接置かないようにする。もちろん、今でもDMZにおいて 直接、外側のネットワ−クには置いてないのだが。それをリバ−スキャッシュを利用する とか。安心のおけるプロバイダの iDC にホスティングするとか。できれば考えたい。 社内の共有のファイルサ−バはどうする。SMB、WebDAV、WWWサ−バ?。WebDAV がいい のでないか。パソコンを全部 Windows 2000 にせないかん?。HTTP:80/TCP だけでファイ ルのアップロ−ドもできる。使うポ−トはできるだけ少ない方が、より安全ではある。 個々人のパソコンの中には、ファイルは置かないようにするというのはどうだ。ファイル は共有のファイルサ−バで一括管理する。ファイルサ−バはちゃんとバックアップをとる。 万が一侵入されても、他人さんは容易にファイルサ−バにアクセスできないようにする。 もしまだ Windows の RAS を用いているなら SSL-VPN 装置を買って RAS は廃止すること。 まだ使いたいのなら Windows NT は止めて、Windows 2000 Server にして安全性を再確認 すること。参考「日経バイト」2000/09,P.62〜83,"特集1:リモ−ト・アクセスを見直す"。 * 商談ル−ムへのネットワ−ク・コネクタの設置 そろそろ会社に来た営業マンなどのため、イ−サネットの RJ45 ジャックを商談ル−ムに 用意することも考えた方がいいのでないか。いわゆる来客用情報コンセントである。この 場合のセキュリティは?。インタ−ネットのWWWサイトへしかアクセスできないように するとか。社内ネットには、どこへもアクセスできないようにするとか制限が必要である。 来客用は Proxy-Server を通さず、直接インタ−ネットへアクセスする。商談室毎に固定 IPアドレスを決めておく。デフォルトル−ト、DNSのIPアドレスを張っておく。 似たような話で、メ−ルストアなどを置いているネットワ−クに自由にアクセスできない ようにしたい。下の図で "管理用セグメント" には、社内の他のネットワ−クのホストか らは Proxy-Server へアクセスできる、それに Mail-Store に対し SMTP/POP アクセスだ け許す。メ−ルストアでユ−ザ登録するなどの時、root でロッグインする。 この際のパ スワ−ドを盗聴されたりしないようにしたい。"管理用セグメント"のようなネットワ−ク は、他のネットワ−クからは見ることができない、ステルスラインと呼びたい。 VLANを部門単位にして、部門用のファイルサ−バを設ける。このサ−バへは、その部 門のコンピュ−タからしかアクセスできないようにする。ん−、これはレイヤ3スイッチ でやるべきことか。ファイルサ−バ自体でアクセス制限をかける方が分かりやすいような 気がする。ファイルサ−バをまるっきし部門専用とし、絶対他の人は見れないようにする というのであれば、レイヤ3スイッチでいいかも知れないが。あるパスワ−ドを入れれば 他の人も見てもいいとかしたいとなれば、ファイルサ−バ側で制御するのがいいと思う。 バリアセグメント --------------------- | ------ DMZ セグメント | |--------- Mail-Store Proxy-Server ( NetCache ) ------ □ □ HTTP, FTP, DNS Proxy | 管理用セグメント | | ---------------------------------------------- ステルスライン | | 来客用 -------- 一般社員 □ 管理者用コンピュ−タ --------|Layer3|---------- -------- ※このような制限は、レイヤ3スイッチのフィルタリ | 一般社員 ングのアクセス機能で実現できるはずである。 * ホストコンピュ−タへのアクセス アシストの MF@dvance、25同時ユ−ザ200万円前後ぐらい。カスタマイズしなくても とりあえず使うことはできる。より使いやすいWWW画面にしたいのなら、2日程の講習 も用意されている。 仕組みは、ユ−ザはブラウザから MF@dvance サ−バにアクセスする。 MF@dvance サ−バが代理でホストコンピュ−タへ telnet でアクセスして、ユ−ザのアク セスを中継する。ホストコンピュ−タへアクセスする端末ソフト自体、だいたい4〜5万 円、高いのでは10万円とか。これを考えれば、そう高いソフトではないと話ていた。端 末ソフトを使わずに、こっちのソフトを使ったブラウザ・アクセスの方がやりやすいとい うユ−ザもたくさんいるとか。それでこのソフトを買うユ−ザもいるという話も。 (株)電算システム、大垣のソフトピアジャパンにある会社。ここでもホストコンピュ−タ へアクセスするソフトを開発販売している。構築費用含めて130万円からぐらいだった か。http://www.densan-s.co.jp/、汎用コンピュ−タiモ−ド連携システム。2000年 12月に、自分の出身学校の産学共同の集まりで話を聞いた。iモ−ド開発キットを利用 すると簡単に携帯電話からホストの在庫照会・受注入力が可能になる。iモ−ド用WEB サ−バが外からアクセスするのに必要。DMZに設置するのが望ましい。余談、産学共同 の集い、この後1回あったけど、学長が定年退官されて変わったらそれきりになった。産 官学うんたらは、だいたいそんなもんです。期待してはいけません。 ホストコンピュ−タへのアクセスのこれらのソフト、仕組みとしてはそんなに難しいもの ではないような気がしてきた。かつて、今でもあるが VT100 端末、テクトロ4014 ミュレ −タのソフトとかあった。これら端末ソフトを動かしておいて、ソフトの中から電話回線 やネットワ−クでアクセスする。ホストコンピュ−タとのやりとり、つまりプロトコルを 見て、入出力部分を抜き出し、それなりの画面を用意してあげる。画面を HTML で作れば Web対応という寸法である。画面を使い勝手のいいものにするのに、業者にお願いすれ ばそれなりに費用もかかる。しかし、やっていることといえば、小生の友人が全銀手順の ソフトを Basic で昔作った。その程度の物のようである。 (3) インタ−ネット接続の次ステ−ジ `23/10〜 * インタ−ネットサ−バの保守切れに伴う再検討 すべて賞味期限になってきた。インタ−ネットのサ−バ、ファイアウォ−ルにWWWにメ −ルサ−バ。1997年に設置したものだ。Sun のマシンの保守が切れて、かろうじて1 年延長してもらったような状態である。ファイアウォ−ルやウィルスチェックのライセン ス数も上げないけない。今度は、もう無制限ライセンスか。社内のファイル共有サ−バに している Cobalt Qube3 も、そろそろ役目は終わりだ。1ヶ月に1回は勝手に止まる。再 起動も効かず電源の入れ直しで、10分ぐらいディスクのチェックをしている。当初は部 門間のファイル交換用の一時的なファイル保管場所のつもりで設置したのだが、いつの間 にかパ−マネント的な使い方もされている。この Cobalt ちゃんがクラッシュしたら、そ のデ−タは元も子もなくなるという寸法だ。 ファイアウォ−ルは NetScreen にしようかと思ったが、 これまで通り FireWall-1 を使 うことにする。どうも NetScreen は、動きが腹に入らないとこがある。しかし Sun のマ シンではなく、アプライアンス製品にするつもりでいる。現状のマシンの Ultra 10 はま だ保守はあるが、DOS/V 機はやっぱり不安定である。2〜3ヶ月に1回程度、音もなく止 まっている。おかしくなって中味一部交換してもらって、その日夕方またおかしくなって 結局中味ほとんど全部交換した。まあ、それからはいいのだが。FireWall-1 Version 4.1 のサポ−トが 2003/06/30 で終了した。Ultra 10 使うのもうやめてノキアで FireWall-1 Next Generation にするか。あるいはノ−テルのアプライアンスか?。SI業者さん、前 回お世話になった、特に伊藤忠テクノサイエンスさん、指針をお願いします。 レイヤ3スイッチの Summit は2台ある。保守は2台共これまで入って来たが、今度の年 間保守契約の更新で1台だけにする。もし壊れたら、その分で新しい Summit を買うこと にする。来客用のセグメントを新しい Summit のOSで切ることにする。今のでもできな いことはないが、機能としてはすっきりしたものではない。今度買うとしたら Summit は どんな機種になるか。安いレイヤ3スイッチも一杯出てきた、パソコン雑誌でも頻繁に記 事が載っている。方針としては、よい子では安いレイヤ3スイッチは買わないことにする。 レイヤ3スイッチは今や完全に、基幹ネットワ−クの装置になっている。信頼性が一番重 要である。しかし冗長構成は、シンプル・イズ・ベストということで採らないことにする。 アライドテレシスの総合カタログというのが、パソコンショップにあった。2004年8 月〜10月、154ペ−ジ。Summit も載っている。 Symantec Gateway Security アプライアンス。最近はこれが売れているのだとか。でも販 売が開始されたのは、実際のところ2003年10月頃からである。5つの機能が最初か らビルトインされていて、ライセンスを買えば機能が使えるようになる。前は Webshield というウィルスチェックのアプライアンスしかなかったよな。2003年の半ば位からで てきた。セキュリティ関連製品では、世界ではNo.1だとか。エントリ−モデル Model 5420、推奨ノ−ド 50〜500、無制限ライセンス版のファイアウォ−ル、VPN、アンチウ ィルスで約332万円のところ、キャンペ−ン価格で約265万円。保守1年付き。ひょ っとすると結構安いかも。ファイアウォ−ルのデファクトは最初が FireWall-1 で、次が NetScreen。もう次が Symantec Gateway Security ということな訳?。その後の様子では Symantec Gateway Security、そんなに出ているようには思えん。NetScreen が強いかな。 iDC の利用は?。名古屋地区にもデ−タセンタ−ができてきた。3社ぐらい既にあるかな。 アウト−シングそろそろ本気で考える時期に差し掛かってきたような気がする。会社で停 電が休みの日にあった時、外向けWWWサ−バを金曜日の夕方から月曜の朝まで止めると 社内にアナウンスした。営業からクレ−ムが出た。WWWサ−バは会社の顔だ、1日たり とも止めるのはだめだという。いつの間にか大きな顔をするようになったものだ。これか らは会社見学もバ−チャルで見れるようにしたいとか。それなら、もはや自前でWWWサ −バを手元で、自主運用するような事態ではない。それに今後のコンテンツとしては、フ ラッシュを使うとか映像なども含むことになって行くだろう。信頼性と回線速度を考えれ ば、バックボ−ン直結の iDC にWWWサ−バを置くしかない。 HTML に紛れ込んだウィルスもできればチェックしたい。スペインの Panda Software社の ウィルスチェックのアプライアンスはどうか。GateDefender7100 は HTTPウィルスチェッ クのスル−プット 12 Mbps、7200 は 35 Mbps。買うとしたら 7200 かな。 透過型ブリッ ジとして設置できるので、ファイアウォ−ル直下か直上に設置する。メ−ルのウィルスチ ェックは従来通り、メ−ルストアの InterScan VirusWall で行う。 メ−ルはファイアウ ォ−ルも通って来るのだから、パンダでもメ−ルのウィルスをチェックさせるか。ダブル チェックだ−!。 ひょっとすると外に POP3 や IMAP4 アクセスしている輩もいるかも知 れない。こんなのはメ−ルストアのウィルスチェックでは引っかからないから、パンダは 結構有効かも知れない。しかし HTML ウィルスは、そんなに脅威ではないような気が。 * メ−ル運用の今後 社内でのメ−ルは今後も POP3 でいいと思う。集中管理方式の IMAP4は、よい子にはなじ まない。認証もこれまでの通常のパスワ−ドでいいだろう。 APOP とか POP before SMTP とかいろいろあるようだが、社内利用に限定すれば、そこまでの安全対策はとらない。社 内ではメ−ルはいわばハガキみたいなものとして位置付ける。誰でもみようと思えば見る ことができる。いわばそうしたものとして、今後も利用してもらう。重要な内容について はメ−ルではなく、紙の文書で直接相手に渡しにいくとかする。メ−ルソフトは通常のメ −ルクライアントのソフトを使う。そしてできればセキュリティホ−ルの多い Microsoft のソフトはやめて、Netscape か市販ソフトを使いたい。 メ−ルを全面的にWebメ−ル にするというのは?。大学なんかではいいだろうが、企業においてはいかがなものかと思 う。メ−ルリレ−においてはSPAM対策の強化が必要である、qmail に変更するか。 インタ−ネット回線がBフレッツとか 100 や 10 Mbps イ−サネット接続と高速になって 来ると、メ−ルサ−バを外部のサ−ビスを利用して、 POP3 でやりとりするというのも検 討してもいいだろう。社内のメ−ルもいったん外のメ−ルサ−バに行くというのが、少し やらしいが、暗号化されれば問題はないと言える。今後、メ−ルの暗号化が比較的簡単に できるようになれば、実際的な選択肢に入ると思う。とりあえず、現状プロバイダがサ− ビスしているメ−ルのアウトソ−シング・サ−ビス、費用をだして見た。IIJ ポストオフ ィスサ−ビス、300アカウントの場合である。基本 10,000 + 200x250 = 60,000。1年 では72万円。ウィルスチェックも ( 10,000 + 500x40 + 450x200 + 400x50 )= 140,000、 1年168万円。ウィルスチェック+監査も ( 50,000 + 800x200 + 650x50 ) = 242,500、 1年291万円。結構かかると思う。そう気軽にメ−ルアドレス出せなくなるぞ。 * Sun の製品はどうなっている `24/10 Sun Enterprise 220R, 420R は 1999/11 末から出荷。サイズ4U、奥行き 69.2cm。もう Enterprise シリ−ズは売ってない。2001年秋頃に尋ねた価格では、22OR の 1CPU で 150〜200万円だった。その後 Sun Fire シリ−ズが出た。Sun Fire 280R だと4U、 電源2コ、73 GB ディスク最大2台、1 CPU で150万円から。 次に Sun Fire の低価格製品が出た。Sun Fire V100、20万円から、1U、IDEディスク、 40 GB ディスク最大2台、奥行き 48.7cm。Sun Fire V120、40万円から、1U、SCSIデ ィスク 36.4 GB ディスク最大2台、PCI スロット1コ、電源1コ、奥行き 48.7cm。しか し V100, V120 ともちゃんとしたサ−バでの利用は?というところである。 Sun Fire V210,V240 は 2003/06 頃発売。V210 は1U、1CPU で約50万円から。36.4GB ディスク搭載、最大2台、PCI スロット1個、電源1個、10/100/1000 Ethernetポ−ト4 個、奥行き 63.5 cm。V240 は2Uで、ディスク最大4個、PCIスロット3個、電源をもう 1個搭載できるのが特徴。オプションの SSL アクセラレ−タ・モジュ−ルは内臓である。 CTCが運営する SunNavi サイト、http://sunnavi.ctc-g.co.jp/。ここは Sun製品だけ の構成と見積りができる。2001/04 開始。ユ−ザ登録が必要、2004/08 登録してみた。デ ルのWWW販売画面とにたようなものだった。V210の見積りを出してみた。どうもWWW やメ−ルサ−バのソフトは扱ってないみたいだった。 Solaris 8 に対応したサ−バ管理ソフト HDE Controller 2.4.1 Solaris 版、2002/07/26 に発売。Apache や qmail をバンドル。Solaris 8 バンドルの Apache や Sendmail は管 理できない。通常版 149,800 円。2004/09 聞いたところによると Solaris 版はなしにす るとのこと。代わりにフリ−ソフトの Webmin でいいらしい。 Sun は Cobalt を 2003/11/20 に販売終了した。管理画面のソフトは、日本コバルトユ− ザ会 http://open.cobaltqube.org/ から Blue Quartz として無償入手できる。Cobaltの 管理画面ソフトの製品版は ClassCat Cute Server Manager Standard Edition、 2004/01 に発売された。「Software Design」2003/09 に記事あり。 Solaris 8, 2000/03/06 発表された。IPv6 対応。LDAP の Sun ONE Directory Server が バンドルされた。Secure Shell、SunScreen 3.2。いずれも無料。 Solaris 2.9 にバンド ルされた Sun ONE Directory Server は、20万エントリのライセンスつき。実際使うに は、ソフトウェアサポ−トを別途契約すること?。 Solaris 9 について。2002/06 リリ−ス。SunScreen 3.2 無料、Sun Cluster 3.0 も入っ ている。Solaris 9 のパンフレットには、Sun Plex システムによる可用性、Solaris 9と Sun Cluster による Sun Plex 環境はミッションクリティカルなサ−ビスを管理するため の業界最高水準のプラットフォ−ムと書いてある。Solaris 10 は 2005/03 に箱が来た。 V210 にバンドル、いや Solaris 9 にバンドルされているソフトといった方が正しいかも。 Sun ONE Web Server(Trial Version)、 Sun ONE Application Server(Platform Edition)、 Sun ONE Messaging Server、Sun ONE Directory Server、Sun ONE Studio他。これらソフ トの説明は http://jp.sun.com/javasystem/ に簡単な製品概要がある。 Sun Blade 150、横置き、中味はパソコンそのもの DOS/V。Ultra 10 の後継。Ultra 5 と は比べものならないぐらい静か。電源ファンや前面パネルにあるケ−スのファン、そして CPUファンもたいへん静か。「UNIX MAGAZINE」2002/11, P.147, "ワ−クステ−ション の音より。Blade 1500 は長く販売してきてもうじきに終わりになる。 * ウィルスチェックの InterScan VirusWall について InterScan VirusWall は 2005/09/30 で保守打ち切り。InterScan VirusWall エンタ−プ ライズエディションに変更してくれとのこと。エンタ−プライズエディションに変更した ら、これまでの InterScan VirusWall は使えなくなる。 保守契約の更新時に変更すれば、 特に費用はかからない。 保守契約の更新時以降だと CD-ROM のメディア費用 3,900 円が 必要になる。価格は InterScan VirusWall と変わらない。対応OSは Solaris 8,9 であ る。InterScan のマシンの設置をお願いした業者さん、別にはっきりとどこどこ会社と言 ってもいいのだが、そのエンジニアに相談したところ、エンタ−プライズエディションは 他のお客さんでインスト−ルして使ってもらってはいるが、どうもそこはかとなく動作が おかしい。今、入れるのはあまりお勧めでない。しばらくは、これまでのを使った方がい いだろうということだった。ちなみ、このソフトには以下の3っつの製品が含まれている。 ・InterScan Messaging Security Suite ・InterScan Web Security Suite ・Trend Micro Control Manager 集中管理ソフト * インタ−ネット・サ−バはどうする `24/01〜10 Sun のマシンなら1Uの Sun Fire V210 でいい。V210, V240 は V120 と 280R の間の製 品で、インタ−ネットのサ−バと言えばどこの業者でも V210 を昨今、勧めてくる。今回 はWWWとメ−ルで使ってきた SS5 の置き換えで2台買うことにした。 これまでのは予 備としてスタンバイさせておくことにする。購入業者さんは、大方7年前 SS5を買ったと ころ、設定も同じエンジニアがやってくれることになった。事前に一度打ち合わせをして 現行の設定状態、メ−ル/DNS/ファイアウォ−ルなどを出しておいた。お願いしたこ とは、Sun Java Enterprise System に InterScan VirusWall のインスト−ルと設定、メ −ルサ−バのパスワ−ドファイルの移行、一応DNSの設定。実際の稼働はこちらがタイ ミングを見て切り替える。皆の溜めているメ−ルの移行もその時に、自分でやることにし た。業者設置の日、Cisco のル−タで一応疑似環境を用意し、メ−ルの受け渡しのテスト も行なった。メ−ル移行の前に、メ−ルの動きをもう一度確認しておきたいと思っている。 V210 のスペックについて。OSは Solaris 7,8,9 から選ぶことができたが、 Solaris 9 でいいということ。ディスクは2台入れることができる。73.4 GB を2台で、ホットスワ ップでミラ−リングにした。ミラ−リングはOSも含めて行うことができる、ディザスタ リカバリに対応できると言っていいだろう。ディスク2つの上に仮想的なインタ−フェ− スがのっかり、そこから2つのディスク同時に書き込みというイメ−ジで処理される。こ の処理は Sun の DiskSuite というソフトで行う。以前は有償だったソフトだ。ストライ ピングかミラ−ができる。ストライピングは2台のディスクに分散して、書き込み/読み 込みをすることにより、ディスクのアクセスを速くする。しかし今時のディスクは十分速 い、ここでストライピングにする意味はない。またストライピングだとどちらかのディス クが壊れたら、ファイルは死んでしまう。 ディスプレイはどうするか。通常の運転では必要ないが、一応ディスプレイもあった方が いいだろう。ディスプレイを V210 に付けるには、グラフィックスカ−ドとキ−ボ−ドを 別途購入すること。グラフィックスカ−ドは PCI拡張スロットに入れる。キ−ボ−ドは英 語タイプにした。ディスプレイは液晶にしたかった、できるだけスペ−スをとらないよう に。純正品は19インチ液晶モニタで 172,000 円、かなり高い。 話を聞くとパソコン用 のものでも周波数が合えば使えないことはないらしい。PCIカ−ドには DVI-D と HD15 の コネクタがある。手元の BUFFALOの3万円程度の液晶ディスプレイを付けてみた。全然問 題なかった。他、共通してメモリは 512 MB 増設して 1024 MB、DVD-ROM ドライブ。メ− ルのマシンに外付け DAT ドライブ、バックアップの NetVaultも5クライアント分をつい でに入れた。UPSはマシン2台めんどうみれるもの、APC社製 1500RM 2Uを入れた。 さて費用的な面は。Sun のマシンは3ヶ月分の保証である。9ヶ月分追加して1年分とし た。ざくっとこれで2台とUPSで230万円。設定費が1台40、50万円。NetVault は基本3ヶ月保証に9ヶ月プラス、クライアントに Windows でも Linux でも使えるよう にして、自分含めて5台分で約67万円。 マシン購入と前後して、InterScan VirusWall のライセンス数もあげた。メ−ルアドレスを改めて数えてみたら、結構な数になっていた。 250から350へ、Hランクで (250*2145)+(100*4290) = 536250+429000 = 965,250円。 FireWall-1 のライセンス数も上げた。250から無制限ライセンスへ。 アップグレ−ド 費用195万円。日本語マニュアルは別で8万円。保守費用は年間71万円になった。以 上、税抜き価格。メモ:UPSは50台分の Windows や Linux の電源コントロ−ルでき るソフトライセンスが付いているとか。1500RM 結構重い、この上の3Uなんか持てんぞ。 購入 V210 マシンの仕様。Sun Fire V210 1GHz UltraSPARC IIIi、1MB 2次キャッ シュ、512MB メモリ。オプションで 512MB メモリ追加した。最大 4GB メモリ。キ ャッシュはメモリではない?。メモリは 512+512 MB = 1GB メモリ搭載ということ。 * Sun Fire V210 はかなりの音がします 最近の1U、2U製品はかなり大きな音がする。 住商エレクトロニクスの NetContinuum を見た時もそう感じた。どうやら、デ−タセンタ−なんかにラックマウントすることを前 提に作っているかの感がある。V210の電源を入れた瞬間、ありゃこりゃ失敗だバイ。予想 外でした。確認しないことは必ず問題が起きる。事務所の中でラックに入れて稼働させる には、ちょっと無理がある程の騒音です。ファンからすごい音がするのです。ジェット音 といってもいい。ラック自体にもファンが付いてますが、購入する際にオプションで静音 タイプのにしてもらいました。ほとんど音はしません。それで V210 のファンも静音タイ プにできないか考えてみました。でも、それを実際やるとメ−カの保守対象外になってし まう。一応それは念頭においておいて、できるかどうかです。 筐体開けてみました。ネジ1本外せばパカッと真ん中辺りからカバ−が開きます。4つの ファンが並んでいました。メ−カは DELTA ELECTRONICS, INC MADE IN CHINA でした。特 別なメ−カでも何でもなく、自作パソコンでも使われているメ−カのものでした。型番は FFB0412SHN、13000 回転、騒音は 51.5 dB-A。こりゃうるさい訳だ。http://www.delta.c om.tw/products/dcfans/pdf/FFB404028.pdf に仕様がありました。これを見ると、同じサ イズのが幾つかあります。同じ 12 V で 13000/51.5、9500/41.9、8000/36.9、6500/32.1、 5000/23.9 回転/音のものがありました。8000/36.9 なんてのはどうか。 あるいは、4つ の内、夏になる前までなら2つ動かすだけとか。コネクタはプっと外せます。ラックで防 音効果のあるものがないか、出入りの業者さんに聞いてみてもいますが。無いです。 * Netscape Enterprise Server について もういろいろ名称が変わるので訳が分からん。SI業者さんでも??です。CTCのサポ −トセンタ−にメ−ルしたりして聞いてみたりしたが、今もってピンと来ません。結局見 積りで入ってきたのには、Sun Java System Web Server 6.x Enterprise Edition for So laris SPARC の1CPU ライセンス 242,000 円。Sun ONE Web Server Enterprise Edition for Solaris SPARC の1年保守 57,600 円。Java Enterprise System Media Kit For Sol aris 10,000 円。OSのメディアにもエンタ−プライズ何々と入っていたり、幾つも似た ようなのがある。下記のエンタープライズ、1万円のメディアキットは必要なかった。こ のソフト、ただでとりあえず入っている、インタ−ネットからも取れるのだが、ちゃんと 使うにはライセンスと保守料を払ってネということらしい。でもそれ払って一体どうなる のか?。払わななんぞ不具合があるのかな。LDAP の Directory Server も同じ話だ。 iPlanet Web Server Enterprise Edition。Java Servlet/JSP 実行環境あり。ウィル スの Code Red や Nimda の攻撃にも問題なかった。Sun Fire V100などに入っていた。 ↓ Sun ONE Web Server Enterprise Edition。`22/04 頃 iPlanet から Sun ONE ブラン ドに変わった?。1CPUライセンス 23.1 万円から。Solaris 2.6,7,8,9 に対応。 ↓ Sun Java System Web Server Enterprise Edition `24/03 頃ブランド名をまたまた 変更。Solaris 2.9 にバンドル?。ちゃんと使うにはライセンスに保守料がいる?。 << ともかく来たパッケ−ジに入っていたメディア >> Solaris 9 OSの箱のビニ−ルのケ−ス 2002/06/29 に箱がきた  ・Accessory Software : Management Center CD-ROM 2枚、Enterprise CD-ROM 4枚  ・Sun Java Enterprise System : DVD-ROM 1枚 エンタープライズの箱のビニ−ルのケ−ス   ・Sun Java Enterprise System : DVD-ROM 1枚   ・Accessory Software : Enterprise CD-ROM 4枚 (4) 性悪説時代のセキュリティ対策 * 検討の経緯 ともかく FireWall-1 それに InterScan VirusWallの最新バ−ジョンで、何が新たにでき るようになったのか。FireWall-1 NG と InterScan VirusWall の Enterprise Editionで ある。ちゃんと使えるのか調べないことにはいけない。その上で IPS( Intrusion Preven sion Service ) とか IDS( Intrusion Detection System ) を入れるとどうなるか。機能 的に重複することがあるのでないか。そして個々のパソコンに対してはどうするか考える。 IPS でネットワ−ク内でのウィルスの拡散が防止できれば、そうシビアに個々のパソコン でセキュリティ対策をしなくてもいいかも知れない。ゲ−トウェイでのファイアウォ−ル とウィルスチェック、この他に侵入防御もこれからはやっていかなければならないだろう。 認証VLANとか検疫ネットワ−ク(シャワ−ネットワ−ク)とかいうキ−ワ−ドもでてき た。2004年8月末、やっと何となくこれら新しい製品が分かってきた。IDS は誤認知 が多いとかで運用が難しく、これまであまり有用には使われてこなかった。 「日経システム構築」特別編集版, 2004 Vol.2,"企業ネットワ−クのセキュリティ最前線"、 > 検疫ネットワ−ク、認証VLAN、IPS、暗号化ツ−ル、フォレンジック/ログ関連等。 「NETWORK MAGAZINE」2004/04, 06〜11 月号に FireWall-1の仕組みや新しい機能について > の記事あり。新しい用語が幾つか出てきて理解しずらい。 「日経パソコン」2004/10/25, P.18〜19, "セキュリティ対策で動き出す「検疫ネットワ− > ク」"。こんなややこしげな話がパソコン雑誌にまで降りてきた。 「NETWORK MAGAZINE」2005/02, P136〜143,"仕組みを知れば見えてくる 検疫ネットワ−ク > の光と影"。よくよく考えて導入しないとロ−カルでもパソコンが動かなくなる。 「認証ネットワ−クと無線LAN」2005/11/10, 日商エレクトロニクスのセミナ−資料。 > 認証ネットワ−クは必要か?。日立電線(株)の認証スイッチ Apresia の紹介があった。 「Cisco が提供する自己防衛型ネットワ−ク&CTCの取り組み」2004/11 資料。 > ル−タがとうとう検疫するセキュリティ機能をもってきた。Cisco NAC ソリュ−ション。 * NetContinuum Web セキュリティゲ−トウェイ、DMZ用の次世代ファイアウォ−ル 住商エレクトロニクスの名古屋でのセミナ− "Web Hacking LIVE!"、 2004/06/15 で見た。 公開するWWWサ−バがDMZ上や内部ネットワ−クにたくさんある場合、うまいことさ ばくのに利用とするという設置の仕方。ポ−トはLAN側、WAN側それに管理用で3個 あるのみ。ファイアウォ−ル、キャッシュ・サ−バ、ロ−ド・バランサ−、SSL アクセラ レ−タの機能が1台にまとまっている。Instant SSL 機能はただのWWWサ−バをSSL 対 応にできる。Web Address Translation はURL名やドメイン名の変換機能、社内ネット ワ−クにあるWWWなどを外向けに置くことができる。サイズは2U、奥行きが 60.96cm。 かなりブワ−という音がする、465万円。 NetContinuum 社1999年アメリカで設立。 3年間ひたすら ASIC のチップを作っていたとか。 ライバルは Sanctum、Kavado、Teros。 別のソフト WebInspect と連携して、WWWサ−バのより深い脆弱性チェックもできる。 WebInspect 4.0 Webアプリケ−ション脆弱性検査ツ−ル。SPI DYNAMICS 社製。HTTPと HTTPS パケットを対象にする。Windows 2000/XP 対応。4000以上の脆弱性情報をもつ デ−タベ−ス SecureBase と連携し、最新の脆弱性情報をインタ−ネット経由で取得する。 毎日アップデ−ト。発見可能な脆弱性。SQLインジェクション、コマンドインジェクシ ョン、クロスサイトスクリプティング、hiddenタグ不正操作、強制ブラウジング、認証・ セッション管理、ヘッダリクエスト不正操作、アプリケ−ション・ロジック、バッファ・ オ−バ−フロ−、既知の脆弱性。従来のツ−ルは過剰検知が非常に多かった。精度の高い 検査は多くの時間と人手が必要とされていた。このソフトはそれを軽減する。検査プロセ スとは Crawl, Audit, Report を行うこと。Crawl とはWebサイトの構造調査を行なう。 Audit は脆弱性の有無を検査する。それで NetContinuum には WebInspect はいるのか?。 * ラドウェア社の DefensePro DefensePro セキュリティスイッチ、不正侵入防御装置。我々レベルでは DefensePro AS2 5G16FE セキュアシナプスモデル 498 万円、でどうか。オプションの AS2用ストリングマ ッチエンジン 299 万円は必要ないだろう、高速にパタ−ンチェックする専用の ASICであ る。2005年3月末まで半額キャンペ−ンをやっている。物は2004年8月に名古屋 でのラドウェアのプライベ−ト・セミナ−で見た。暑い日で会場のビルが分からず歩き回 ったことを覚えている。NetContinuum を先に見ていたため、 同種の製品らしいがどこが どう違うのか理解することができた。 早い話、NetContinuum は守るということに関して は、WWWサ−バだけしか守ることができない。しかし DefensePro は、内部ネットワ− クのセグメントも複数守ることができる。他の似たような製品はどうか。IDS (侵入検知) の老舗の IIS 社は RealSecure は止めて、Proventia の IPS に乗り換えを勧めていると いう。だいたい他の製品は監視できるセグメントが1つか2つしかない。 DefensePro AS2は8つのセグメントを別々に監視できる。2つのポ−ト1組でセグメント の間にケ−ブルをはさむ。侵入検知のウィルスチェックは、メ−ルの添付ファイルの中身 までチェックはしない。InterScan VirusWall などの代わりになるものではない。チェッ クするパタ−ンはシグネチャという。今は1500個程度ある。 スル−プットは 3 Gbps。 IPS では唯一帯域制御機能 BWM(Bandwidth Management)がある。リアルタイムで攻撃して くるのをグラフィカルに見ることができる。ウィルス, ワ−ム, トロイの木場, DoS,DDoS などの攻撃から守る。管理ポ−トはIPアドレスがいる。それ以外のポ−トは透過型のた めIPアドレスはいらない。3〜4時間で対策シグネチャが出る、遅くても6時間で出す という。Configware Insite で管理監視できる。 StringMatch Engine は我々には必要な いと思うが、千個位シグネチャをチェックすると、どうしても遅くなるという。その場合 は付けるかだ。シグネチャについては Snort でちっと勉強するか?。 * Check Point 社の InterSpect 内部セキュリティ専用ゲ−トウェイ。2004年2月頃から出荷。 InterSpect 210 から 610の4つのモデルがある、全て1Uアプライアンスでソフトウェア制御。 ネットワ−ク 内でのワ−ムや攻撃の拡散をブロックする。疑いのあるパソコンは自動的に隔離する。ネ ットワ−クを複数のセグメントに分けて感染の拡大を防ぐ。既知の攻撃と未知の攻撃に対 処する。ワ−ム防御は Application Intelligence 技術を応用したもので、 Intelligent Worm Defender という。ワ−ムは Nimda や CodeRed など。クロスサイトスクリプティン グ攻撃も防御する。これらチェックする内容は FireWall-1 の SmartDefence と同じみた いである。筐体は Dell 製。ということは DOS/V マシンか?。 セグメントを分けるとい うのは異なるIPアドレスのネットワ−クのことでなく、同じネットワ−クをVLANで 分けることのようである。 InterSpect は基本的に明示的に遮断するパケット以外は全て 通す。ファイアウォ−ルでは明示的に許可するパケット以外は全て通さない。 設置はブリッジ、スイッチ、ル−タのモ−ドがある。ブリッジは透過モ−ドのこと。ル− タはレイヤ3スイッチとして働く。製品は 210 はスル−プット 200 Mbps、検知ポ−ト2、 VLAN8個、約170万円。次のモデルの 410 はスル−プット 500 Mbps、検知ポ−ト 3〜10、VLAN128、約340万円。610, 610F はギガビットネットワ−ク用であ る。SmartDefence のサブスクリプション1年分含む。`24/10/26 にバ−ジョン 2.0 を発 表。2004年末に Zone Labs 社を買収し、 この会社のパ−ソナルファイアウォ−ルを 元に Integrity という個々のパソコンに入れるソフトも出した。 このソフトと連携して セキュリティポリシ−に合致しないとネットワ−クにアクセスさせないようにできる。セ キュリティパッチ、ウィルス対策ソフトのパタ−ンファイルの適用状況を判断する。認証 VLANのような機能もやれるということか。 * Teros Secure Application Gateway Web情報漏洩防止装置 こんなのも見たということで。`24/07東京のセキュリティショウでもらったパンフレット から。WWWサ−バを守るアプライアンス。 Teros 100 with Enterprise Security のた だの Teros 100が590万円。1U、LAN用ポ−ト、WAN用ポ−ト、制御用ポ−ト各 1個。コンサル、評価、設置全部で80万円。次の16種類のWebアプリケ−ションへ の攻撃から守る。バッファオ−バ−フロ−、CGI-BIN パラメ−タ不正変更、Hiddenフィ− ルド不正変更、フォ−スブラウジング、Cookie/Sessionリバ−スエンジニアリングと不正 変更、パスワ−ド総当り攻撃、クロスサイトスクリプティング、コマンドインジェクショ ン、SQL インジェクション、故意のエラ−発生による重要情報の漏洩、リバ−スエンジニ アリングによる暗号情報の復号化、サ−バの設定ミス、バックドア/デバッグオプション 攻撃、ホ−ムペ−ジの不正改竄、一般的なOS/アプリケ−ションの脆弱性、未知の攻撃。 その後、この装置のことは聞かないな−。これを扱う業者と付き合いがないだけ?。 * 個人情報保護法でおおわらわ `24/09 2005年4月から個人情報保護法が施行される。このために、セキュリティポリシ−も 何がしか作って、それなりの対策を講じなければいけないだろう。セキュリティポリシ− は企業で言えば、総務であるとか経営本部であるとかいった部門が作るのが望ましいのだ ろう。技術的な既成概念のない人らが理想的なポリシ−を立案する。それをわれわれ技術 部門が実現すべく努力する。現時点で対応できる対策、適当な製品を投入すればできそう なこと。日新月歩の早いこの業界、今対応できなくても直に対応する製品がでてくるかも 知れない。新しい製品を使うには、十分な検証が必要である。強引にやってしまうという のはよくない。業者に依頼すると、おうおうにして強引にやる場合がある。期日を限って やれといわれれば、何でもいいから見かけできたようにするしかない訳で。ただし理想的 ポリシ−を強制でやれと言われると困る。あくまでもこのようにするのが望ましいに留め てもらうようにする、あるいはそう仕向けることが肝要である。 個人情報保護法対策に "秘文" を入れるか。ファイルサ−バ上の共有デ−タを暗号化。共 有機密フォルダ単位にアクセス権を、設定デ−タの参照だけできるとか。プリント、コピ −、編集の制限をかける。パソコンを起動すると Windowsのログオン画面に代わって、秘 文ログイン画面が出る。内部的には Windows ログオン認証を使っている。Windows 98/Me では、別に秘文のユ−ザ名とパスワ−ド入力が必要である。結構この時期、いろんなとこ ろが売り込みにきた。その後2005年4月時点でどうだったか。引き合いは一杯あった が、どうも実際導入したのは1割か2割。話を聞いただけということだった。そして導入 した話では簡単にパソコンにインスト−ルできるかと思いきや、無茶無茶苦労したという。 実際のところパソコンのWindows OSのバ−ジョンがまちまち、入っているソフトもいろ いろ。Windows 2000やXPだとバックグランドで動いているプロセスが、何やら一杯ある。 そんなんも "秘文" を入れるのに引っかかって来るのだそうだ。 * 自宅の物理的なセキュリティ対策 -------------------------------------------------------------------------------- 自宅のセキュリティ対策も考えなければいけない。パソコンのインタ−ネット接続のセキ ュリティ対策はもちろんだが、物理的に泥棒など侵入盗難の対策もである。 -------------------------------------------------------------------------------- よい子で残っていたテ−マに、ちょうどお誂え向きのが見つかった。自宅の中をテレビカ メラで監視し、そのデ−タをプロバイダの自分のディスク領域に蓄える。デ−タは毎日毎 日更新する。できれば、何らかの動きがあればセンサ−で感知し、携帯電話に連絡すると かメ−ルで知らせるとかできれば望ましい。泥棒が入って、テレビカメラを発見されても、 リアルタイムに映像デ−タはアップロ−ドしているので、心配することはない。部屋の中 に記録装置をおいておくのではないので、記録装置を壊されたりする心配はない。記録さ せるのに、どの程度の容量が必要か。テレビカメラにはどんなのがあるのか。仕様の検討。 カメラは固定でいい。つまり外からカメラをコントロ−ルできないくていい。カメラの映 像デ−タをストリ−ミングでプロバイダのディスクに送れればいい。カメラまたはパソコ ンはパブリックIPアドレスでなくていい。ブロ−ドバンドル−タは5千円ぐらいと、も う安いのでル−タを使うことにする。ル−タのDMZ機能で、プライベ−トアドレスのカ メラまたはパソコンに外からアクセスできるかも知れない。2003/12 の事件より * 没にしていた記事をここに記載した `2h/09/S もしフォレンジックサ−バを導入することになっても、社員を監視するために導入するの はやめよう。社員を守るという観点で導入したい。貴方たちのパソコンを仕事を守ってい る、そういうことならフォレンジックサ−バを設置するのは、抵抗は少なくなるのでない か。各パソコンの操作ログを取るソフトを入れるのも同様のことである。オンラインゲ− ムのアカウントを盗むウィルスが2009年5月頃に世間に蔓延した。どうも入り込んだ ウィルスによって、社内の他のパソコンにも感染したのでないかと感じた。しかしそれを 調べる術はなかった。社員それぞれのパソコンで何が起きているか正確に知る術が欲しい。 そうなると単なる表面的なログよりも内容まで記録がある方がいい。パソコン内に入って しまっては、なかなか何が入り込んだのか知るのは難しい。全パケットをキャプチャして おけば、いつどのパソコンにどういうアクセスがあったか、ファイルが入ったか分かる。 * セキュリティ対策の今後の指針 内部にも悪い人がいる ------------------ レベル2 | 性悪説に基づく | 対策:機密情報漏洩防止 |----------------| レベル1 | 高度化する攻撃 | 対策:侵入防御装置、認証ネットワ−ク |----------------| レベル0 | 性善説に基づく | 対策:ファイアウォ−ル、ウィルスチェック ------------------ 悪い人は外だけにいる これは2004年頃に描いた図である。この時期にもはや性善説ではやっていけない事態 になっていた。悪意を持った人は社外のみならず社内にもいるだろうという前提で、セキ ュリティ対策を見直さなければらない。自動車部品の大手メ−カで設計図面の持ち出し事 件が起こったのもこれぐらいの年だったと思う。USBにCADデ−タをコピ−して盗ん だ。その会社ではすぐさま朝の出勤時に持ち物検査を実施し、カメラ付き携帯電話は守衛 に預けるようになったと聞いた。どこの会社でもファイルサ−バのアクセス権の見直しと 設定、パソコンでのUSB利用の申請など各種行われるようになっていった。 このように一般ユ−ザへの多少の利便性の犠牲は致し方ない。しかしできるだけ難しいこ とは要求しないようにしたい。パスワ−ドを毎週変更して、それを所属長がチェックする ようなことはしたくない。会社の本業はパソコンやネットワ−クではない。パソコンやネ ットワ−クはいわば道具である。道具に振り回されてはいけない。そうしなくても済むよ うにIT部門が安全を出来る限り守るようにする。例えば、万が一パソコンから重要な情 報が漏れるようなことがあっても、それをインタ−ネットの出口で食い止める。そうした 装置やソフトウェアを整備(選定、導入、配備)して行くのがIT部門の役目である。 * 機密情報管理の2つの方法 `24/12 [ 機密情報を盗まれないようにする ] 機密情報の入ったコンピュ−タを社内ネットワ−クにつながない、本当に漏れて困るよう な情報はそもそも誰でも見れる必要はないはずである。どうしても見たいなら、プリント して紙で見るようにすればいい。このコンピュ−タから社内共有が使えないとか、幾つか 使いづらいことは出てくるかも知れない。もう1台パソコンを用意することによって、会 社にとって致命傷を負うことを防げるならば、その方がいいのでないのか。実際、このよ うな選択をする企業、組織は多々あるようである。また究極は個人の住所、氏名などの情 報が一番漏れて困る。このような情報は、もうそもそも消去してしまうとこもある。 [ 機密情報を消されないようにする ] Apollo のようなア−キテクチャの異なるコンピュ−タを使うのはどうか。Windowsパソコ ンに入っている、作成した Word や Excel のデ−タの保護。 いつか強力なウィルスが現 われてデ−タを消去したり改竄したりするようなことが起きはしないか。現在蔓延してい るウィルスでも十分可能なように思える。どんなにセキュリティ対策を強化しても、この 脅威は完全には無くならない。それならば、いっそ攻撃の対象にならないコンピュ−タで ドキュメントを書いたらどうか。Apollo コンピュ−タは Windows とはまるで違う。コン ピュ−タの仕組みが異なっているので、侵入のしようがないのである。 (5) 再構築のネットワ−ク・モデル `24〜 * グル−プウェアとファイル共有のこと グル−プウェアはどうだ。小生のところでは今もって導入してない。多分、これからも入 れないと思う。早い話が銭がかかる、そのコストメリットを出せない、説明できないから である。巷で Lotus Notes が流行っていた時、 会社でも何やら委員会ができて入れるこ とを一応決めたのだが、うやむやになってそれきりである。そして、先日CTCの営業さ んが持ってきた小冊子、なぜ情報共有がうまくいかないのか。なかなか文書を登録してく れない、見てくれない。運用が成功しているところはほとんどないような気がする。面倒 で遅くて使い物にならないと分かっていても皆、仕方なく最低限で使っている図式が見え る。小生の友人の会社では外注にWebで作らせた、見せてもらったところ入っていた文 書は僅だった。文書を登録するのに検閲が入るとか。 そんな中で "Net-It Central"とい うWeb文書公開システムなるソフトは、簡単でいいよ−と書いている。文書を共有する ことに特化しているソフトで、グル−プウェアなどの文書管理機能はないという。 小生のところではグル−プウェアの話が立ち消えになって、とりあえずファイルを共有で きるようにしよう。Samba で誰でも登録、読み書きできるサ−バを用意した。各パソコン に Samba 共有のアイコンを出しておき、ドラッグで登録、 クリックでファイルのオ−プ ン。かなり便利とみえてどんどん使われるようになっていった。問題は誰でもアクセスで きるので、誤ってか知らずしてかマウス操作のちょっとしたことで、ファイルが無くなる ことがままあること。たいがい他のフォルダへ行ってしまっているのだが。もう一つの問 題は結構、重要な文書も入れたり、マスタ−デ−タとして置いてしまう輩も出てきたりし たこと。個人情報保護法うんぬんがでてきて、"秘文"のようなドキュメント管理ソフトを 入れるか検討したが、会社としてはとりあえずユ−ザとパスワ−ドでアクセス制限できれ ば良しとするとなった。それで同じく Sambaを使うが、全社員にパソコンのアカウントを 作り、ファイル共有にアクセス制限を設けることになった。 * はびこるパソコンの悩ましい問題 このよい子を書き始めた時、先ず何から手をつけるべきかということで、はびこるパソコ ンを何とかせなと書いた。そして7年8年が過ぎて、どこの企業、官公庁、学校などでも はびこれしはびこってしまった。また最初に戻って、パソコンを何とかしなければという ことになった。そして本当に個人情報保護法に対処させるためには、勝手にパソコンをは びこらせていてはだめだ。どんなセキュリティ・ポリシ−を掲げたところでだめだと思う。 Sun Ray のような集中管理する体系でなければ管理なんかできるものではない。 Sun Ray、 学校関係では一部導入が進んでいたようだが、企業で導入したという話はあまり聞かない。 これからは、かなり有望株だと思うのだが。もう、これしか最終的に手がないと感じてい る。手始めに端末5台分ぐらいを購入して、どんなものか試してみたいものである。5台 ぐらいなら、集中管理にキ−となるソフト MetaFrame は20〜30万円で買える。Sun社 も最近はセキュリティ管理を前面に出して、再度宣伝をしている。 しかし MetaFrame はパソコンの台数が多くなると結構、料金がかかる。 コストダウンを 期待しての導入はできない。オフィス系はいいが、CADなどグラフィックス系のアプリ ケ−ションは実際使えるかどうか分からないという。費用をざっと出してみよう、パソコ ンは500台とする。MetaFrame はパフォ−マンス的に50台位毎に分けないけないとい う。50同時ユ−ザで約300万円。掛ける10で3千万円。MetaFrame のライセンスだ けで、こんなにかかる。 これに MetaFrame を稼働させるマシンと Windows 2003 Server で1台50万円として、10台で500万円。個々のパソコンはディスクをもってない訳 で、ファイルサ−バが更に必要である。Sun Ray の端末でなく、Windows CE搭載のシンク ライアントというのでも MetaFrame を使って同等のことができる。 5万円ぐらいでハ− ドディスクもファンもない。ディスプレイはこれまで使ってきたパソコンのが使える。高 丘製作所だったか、昔 X-Window 端末を作っていた会社が出しているのでないか。 * ユ−ザのアカウント管理は `24/10 SI業者さんいわく、1年位前から LDAP 設置の依頼がすごく増えてきたとか。それ以前 から LDAP はあるにはあったが、泣かず飛ばずという感じだった。特に個人情報保護法に 絡んでユ−ザ管理、サ−バへのアクセス制限などで話が増えてきたという。Windows には ActiveDirectory というのがあるが、どうもこれだけでは済まない場合もあるようである。 ActiveDirectory の上位に LDAP サ−バをおくという形態をとることもあるとか。小生の とこは Windows サ−バはほとんどないので、やるとしたら LDAP管理のみである。しかし LDAPは最初に管理の階層構造をよく考えて設計しないと、設置後の変更は困難である。今 のところ LDAP 導入の考えはない。へたすると LDAP サ−バが動いてないばかりにメ−ル も使えないことになる。LDAPが全ての中心に来るのである。とは言っても、アカウントは 身の回りに増えてきている。メ−ル、パソコンのログオン、ファイル共有、勤怠管理など など。困った。これからは、何をするにしても何らかのユ−ザ管理が必要になるだろう。 * 増え続けるデ−タのバックアップは `24/11 個々のパソコンのファイルはここではさておき、一応重要なデ−タや文書は部門毎の共有 ファイル保管場所用のコンピュ−タに入れているとしよう。 それは Cobalt Qube3J であ ったり、自作の Linux マシンであったりする。Samba サ−バでの Windows ファイル共有 である。CADデ−タも似たようなことだ。一応これまでもその部門でテ−プにバックア ップするとか、他部署のコンピュ−タにデ−タを rsyncなんかでコピ−しているとしよう。 加えて全社で共有するファイルサ−バも今時はどこでもあるだろう。 Linux,Samba,rsync, RAID。これらを使ってあまり費用をかけずに結構重要なデ−タや文書を、なにがしかバッ クアップにしている訳である。さてそれで、この先そんなことでいいのか。デスクワ−ク はほとんどがパソコン作業で、日々コンピュ−タのファイルを作り続けている。それなり の信頼性のあるコンピュ−タにファイルは保管すべきでないか。EMCや NetApp ファイ ラ−といったのをそろそろ一度、真剣に検討する時期が来たのでないか。 * ネットワ−クの見直しをそろそろ本格的に `25/05 部門用ファイアウォ−ルを SonicWALL から NetScreen に変更した。SonicWALL 内側でネ ットワ−クを追加しようとしたら SonicWALL が経路制御できんかった。それでSonicWALL はお払い箱になり、NetScreen の予備機が必要になった。NetScreen-50 のお値段は約115 万円、平日保守が年約26万円。しかしもう部門用ファイアウォ−ルは廃止しよう、何かと 評判がよろしくない。部門用とはいえ、その内側に結構な数のパソコンがぶら下がってし まった。そもそもホストコンピュ−タを守るために、後から接続した事務系ネットワ−ク との境界点にファイアウォ−ルをかましたのだ。大きなセキュリティ確保にはDefensePro が大方その任を果たすだろう。ホストコンピュ−タを本当に安全に稼働させたいなら、そ の直前に透過的にファイアウォ−ルを設置すべきである。部門用ファイアウォ−ルは NAT の役目もしていた訳で、代表IPアドレスで済まなくなる。全社ネットワ−クで経路制御 を見直す必要がある。WANの IP-VPN のル−タの設定変更など、影響は大きい。 * インタ−ネット三種の神器 `25/10 DNS、メ−ル、WWW。インタ−ネット接続と情報発信に必要なサ−バである。これま で全て自社でコンピュ−タを設置しソフトウェアの設定して運用してきた。そろそろ、そ ういう時節ではなくなってきつつあるように思う。DNSとメ−ルの Mail-Relay は自前 運用は止めて、信頼のおけるインタ−ネット・プロバイダのサ−ビスを利用する。WWW はデ−タセンタ−のホスティング・サ−ビスを利用する。三種の神器の内、社内において 自前で運用管理するのはメ−ルの Mail-Store だけにする。他ファイアウォ−ル、キャッ シュサ−バ、イントラのコンピュ−タも自社で管理する。外部に対するDNSとメ−ルは 自社の存在を証明することが、今後必要になってくるだろう。 そのような機能が、named や sendmail に追加されてきている。もはや我々、社内エンジニアでは技術的に追従でき そうもない。IIJ のようなプロにお任せした方がいいだろう。 めんどうだで Mail-Store も外に出してしまうか。SPAMもウィルスチェックもやってもらう。 * メ−ルは IIJ でお願いするか `2h/09/S 以前にメモしてたのを追記 社内にメ−ルサ−バはもう持たない事にするか。Mail-Relay 兼 Mail-Store をIIJのサ− ビスを利用する。社内間のメ−ルもいったんインタ−ネットを通って戻ってくる。何とな くやらしい気がしないでもないが、OCNのメ−ルとか使っているところはずいぶん前か らそういう事になっている。懸念すべきはインタ−ネットをメ−ルのプレ−ンのテキスト が流れることである。2009年5月、IIJ のセミナ−で確認したところ暗号化経路が仕 様に書いてあった。つまりパソコンのメ−ルソフトと IIJのメ−ルサ−バの間で、暗号化 してメ−ルのやりとりができる。Outlook Express なんかに標準で入っている機能だそう だ。クライアント用のデジタルIDが必要ということもないらしい。知らんかった。もう これでよし、いいだろう。それにメ−ルのア−カイブサ−ビスも利用すれば、フォレンジ ックにもいい。第三者がメ−ルを保存していてくれるという事で信頼性が確保される。 * 負荷分散装置を用いたサ−バの冗長化 `25/06 ラドウェア社の WSD-Pro の資料を見ていて、 DMZ上のDNSとメ−ルリレ−のホスト に、この装置を適用すればサ−バ機能の二重化ができるのでないかと思った。これらのソ フト、サ−バはディスクにファイルを溜めるという訳ではない。DNSサ−バは応答を返 すだけ、メ−ルリレ−は文字通りメ−ルを通過させるだけである。メ−ルストアのサ−バ には用いることはできない。メ−ルストアは POP3 サ−バでもユ−ザがメ−ルを取りに来 るまで、メ−ルというファイルを溜めておくからである。下の図は、ユ−ザはIPアドレ ス .1 のDNSサ−バにアクセスしている。.1 のところを負荷分散装置にして、 この装 置が .2 と .3 に置いたDNSサ−バにアクセスする。ユ−ザはあくまでも .1 へのアク セスである。実際のところDNSサ−バに負荷分散装置を適用するのはあまり有効ではな い。DNSサ−バはそもそも分散システムで、別にプロバイダなんかに2次ネ−ムサ−バ になってもらっているからである。メ−ルリレ−のホストへの適用は検討の価値はある。 ------- ------- ------- | DNS | | DNS | | DNS | ------- 適用 ------- ------- |.1 ---> |.2 |.3 ----------------------- -------------------------------------- | | |.1 □ ユ−ザ □ユ−ザ □ 負荷分散装置 ラドウェア社 WSD-Pro 100 ロ−カルサ−バ用負荷分散装置 > 2005/09/30までのキャンペ−ンで、定価約200万円のとこ120万円に。高速なレイ ヤ4サ−バロ−ドバランシング。URL,Cookie,HTTP ヘッダによるレイヤ7インテリジェ ントロ−ドバランシング。F5ネットワ−ク社の BIG-IP しかできないと思われていた アプリケ−ションサ−バのセッションを維持する。以前からあるWSD-Pro は約350万 円からだった。WSD-Pro 100 はこの廉価版で2005年早々ぐらいに出たのでないか。 米国 CoyotePoint Systems 社 Equalizer ( このメ−カの装置でもいいのでないか ) > レイヤ−7コンテンツスイッチング機能を搭載、E350 モデル約115万円、E450 ギガ ビット対応172万円のがある。1Uラックマウントタイプ。(株)ネットワ−ルド扱い。 E350,E450 は2002年12月販売開始。WWWサ−バ用の負荷分散装置。クライアン トのソ−スIP、Cookie、セッションID情報をもとに接続を維持する。URL による負 荷分散、Cookie への情報の埋め込み機能。Equalizer はイコライザ−と読む。 ------------------------------------------------------------------------------------ [ 付録 ] いろいろ * 「UNIX MAGAZINE」のレイヤ4/7スイッチの記事から `26/06 よく読んでみた 2001/11,12, 2002/01号 "連載:UNIX Communication Notes、高性能サ−バ−を目指して"。 2001/11のP.51〜55 は、最近の大規模WWWサ−バ−の構成ということで、レイヤ4/7 スイッチを使って HTML アクセスと CGI-binアクセスを振り分けて、更にレイヤ4/7ス イッチで HTML アクセスを最終的なWWWサ−バへと振り分ける。要素サ−バという。2 番目の振り分けは発信元のIPアドレスの番号、奇数/偶数で分けたりする。市販装置に は Foundry Neworksの ServerIron とか Extreme Neworksのロ−ドバランシング・カ−ド。 要素サ−バは2つのインタ−フェ−スで背後のネットワ−クにコンテンツ確認用のWWW サ−バをおいたりする、ステ−ジング・サ−バ( Staging Server ) と言う。 2001/12、P.50〜58 には、レイヤ4スイッチを使ってメ−ルサ−バの耐故障性を高める手 法。ハイブリッド型のメ−ルサ−バ構成。クラスタ化した MTAシステム。処理効率も向上 する。要素サ−バには同じIPアドレス、ホスト名を付ける。これは上の WSD-Proうんぬ んと同じことである。2002/01、P.55〜65 は、十分な処理速度が得られるサ−バ。レイヤ 4/7スイッチでの高速化。要素サ−バ側 100Base TX 8ポ−ト程度なら百万円前後で買 える。PC UNIX で Apache は一般的なベンチマ−クで、1,500 HTTPコネクション/秒程度 のアクセスが処理できる。1ペ−ジあたり平均 50 HTTPリクエスト。超有名サイトでもな ければ 10,000 HTTP リクエスト/秒程度あれば十分でないか。と以上抜粋。 * Sun Microsystems 社の Sun Ray について `22/06〜 弁当箱程度の箱の Sun Ray 1 は 48,000 円、キ−ボ−ドも込み。 ディスプレイはそこら にある DOS/V のが使える。Sun Ray はX端末ではない。サ−バで全部処理し、 その結果 の画像を差分ピクセルで受ける仕組みになっている。 箱には CPU もディスクもファンも OSもない。あるのはICカ−ドを差し込むスロットで、ICカ−ドを入れないと使えな い。ICカ−ドを抜いてワ−クグル−プ内の別な端末にいき、カ−ドを入れるとパッと先 の作業していた画面が出る。それにIPアドレスもいらない。これはすごい。1年ぐらい 前に営業マンさんがパンフレットを置いていったが、やはり現物を見ないと分からないも のだ。2002/06/21、住商エレクトロニクスのブロ−ドバンド・セミナ−で見た。大学の計 算機センタ−なんかにどんどん導入されているとのこと。これだけで企業のパソコン全部 が置きかえれるとは思えないが、これで済むところはどんどん入れて行けばいいのでない か。1024x768 dot, TFT 液晶モニタ−も一体型の Sun Ray 150 は 171,000 円である。 サ−バ側はどうかというと、先ずある程度のスペックの Sunのマシンが必要である。これ に中核となるソフト Sun Ray Enterprise Server を入れる、 1999年9月に日米で発 表されている。ユ−ザ認証、セッション管理をする。ICカ−ドは ISO-7816-1 タイプの もの。Sun から買うと高いので、シュルンベルジュなどそこらで売っているもので構わな いとか、説明していたお兄さんが言ってました。 それに Word/Excel/PowerPoint 互換ソ フトで Sun 開発の StarSuite 6.0、2002年5月から販売を、入れればいい。 もう実 用レベルで互換性があるという話だ。ワ−プロ Writer、表計算 Calc、プレゼン Impress。 教育機関での利用はタダ、企業ユ−スでは1万何某。 Microsoft Office だとバ−ジョン アップで4万円はいるとか。StarSuite のフリ−ソフト版の OpenOffice というのもある。 Linux、Windows でも動く。企業ユ−スでは互換性を考え製品版を使うのが無難とのこと。 否、ちゃんと Microsoft 社の Office ソフトを使いたい。 そのためには、Sun のマシン の中で Windows NT や DOS アプリケ−ションを実行させるため、SunPCi COPROCESSOR の PCI カ−ドをスロットに差し込む。これ自体がコンピュ−タと思っていい。OSはDR-DOS で、ライセンスは含まれている。ただしWindows OSのライセンスは別途必要である。さ らに Citrix 社の MetaFrame というソフトも入れる。 このソフトが、Windows のアプリ ケ−ションを Windows 2000 サ−バで管理する。 Word なら Word の実行をサ−バで行い、 その画面イメ−ジのビットマップを転送する。この時も画像の差分をとるようにして、転 送するデ−タを極力少なくしている。64 Kbps 程度のWAN回線越しでも問題ないという。 5同時ユ−ザで85万円位から。ちょっと高目の価格である。NetWorld+Interop 2002 で の説明では 10 Kbps でOKといっていた。MetaFrame 今後、伸びて行く感じである。