4-7. イントラネット構築最終章 (1) 2005年からの基本ネットワ−ク `25/12 * インタ−ネット接続の見直し 現状、フレッツ・ADSL を2本利用。LinkProofで冗長化すれば十分と考えたが。できれば IIJ 側のフレッツ・ADS をBフレッツか CTC NetLINK( 100Mbps、保証 1Mbps ) にしたい。 NTTでない別な回線会社を使うことで信頼性をアップさせ、ついで速度もアップさせる ことができる。CTC の回線は某自動車会社でも採用を検討しているとかで、十分安定して いると思う。CTC NetLINK は IIJ で使うと月26万円、 CTC 直接の契約だと約12万円。 今の IIJ の契約やめるとなると、IPアドレスを返さないといけない。 新たにIPアド レスを CTC からもらって LinkProof の設定を変えないけない、これはやらしい。 IIJ さんとはこれからも何かとお世話になるかも知れない、やっぱり一流のプロバイダだ から離したくない。いっそBフレッツが来るまで待つかだ、この地区はまだNTTの工事 の予定は入ってないのだが、NTTはBフレッツの全国展開をやめた訳ではない。待って いればその内来るだろう。ADSL2本ともダウンするのは、3年に一度あるかないかぐらい である。もう1回ぐらい皆に目をつぶってもらおうか。とりあえず今のフレッツ・ADSLは 24 Mbps と遅いので、今時の速いメニュ−に変えることにしよう。 ※ CTC NetLINK は CTC NetLINK Business 最大 100Mbps の高品質インタ−ネット接続サ −ビス。CTC ネットワ−ク内では最大帯域 100Mbps/保証帯域 1Mbps。CTC ネットワ− クからインタ−ネットへのル−タでは 100Mbps/最大20ユ−ザ共有。IPアドレスは 16個までの契約で月額 119,000円+税、 回線終端装置使用料と配線設備使用料含む。 故障受付復旧は24時間365日対応。2004年7月時点でのパンフレットによる。 * インタ−ネット接続回り インタ−ネット JPNICのDNSの登録イメ−ジ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ ------------------------ \________________/ |nix.co.jj 202.241.128.3 << DNS-1 |TCP ISP |IIJ ISP |nix.co.jj 9.1 << DNS-2 9.1 □―/ ̄ ̄ ̄\ / ̄ ̄ ̄\ DNS-2 \___/ \___/ : : ADSL: ADSL: ----------- 取引先ネット ■ ■↑50.27 で外へ : 202.241.128.1| 50.25| | ̄ ̄ ̄ ̄ ̄|地域IP網 |lp1 |lp2 50.29 50.28 |_____|ADSL --|-----------|-- ◇ ◆ hostA" : LinkProof | □.9 50.26□ | 仮想IP : Branch ------------------- ◇ ◆ hostA' ■ Router |.9 .4 .3 |.5 ---------------------------------------------------------- 202.241.128.0 | A-Gate V210 hostA |.2 □ ■ Mail-Relay, DNS-1, WWW FireWall-1 -------.2 |.3 |.1 |hostG|---------------------- 192.168.2.0 ------- □ | □ □ □ Mail-Store, InterScan, POP3, |.3 |.2 |.11 |.5 |.1 内部用DNS, Usermin ---------------------------------------------------------- 192.168.1.0 管理用PC Blade UPS NetCache V210 | | ▲ ▲一般ユ−ザのPC ・IIJ割当IPアドレス 192.168.50.24/29。有効IPアドレスは 192.168.50.25〜30。 ・TCP 側回線は 202.241.128.9 で、IIJ 側回線は 192.168.50.27 で外へ出ていく。 ・hostG のデフォルト経路は 202.241.128.9。 ・hostA' は実IPアドレス 192.168.2.1、FireWall-1 で 202.241.128.3 にマップ。 ・hostA" の 192.168.50.28 は LikProof で 202.241.128.3 からマップ。 ・管理用PC は元は INDY だったのをパソコンに変更した。 ・NetCach の DNS サ−バの指定は 202.241.128.3 と 9.1。 LinkProof の予備は?。予備機を買うのなら冗長構成にする、冗長化しないなら買うまで もない。LinkProof が故障したら、TCP 回線のみ使うことにし、hostG のデフォルト経路 を 202.241.128.1 にする。DNS は普段からTCP 回線のみの場合の設定にしておく。 LinkProof は普段、内から外へのアクセスは IIJ 側を Regular で通す、TCP 側はBackup とする。外から内へのアクセスは DNS の設定で、TCP 側だけを通す。一応 LinkProof で は仮想IPの設定はしておくが、DNS では仮想IPに対応させないでおく。 もし TCP 側の回線自体またはル−タや ADSL モデムがおかしくなった場合、DNSの設定を mail.nix.co.jj 202.241.128.3 を 192.168.50.28 というように、IIJ 側の方へ変更する。 IIJ 側回線がおかしくなった場合は、上記設定で TCP側だけで方肺飛行するので問題ない。 FireWall-1 NG はファイアウォ−ルとしての機能だけを使う。いろいろ付加されている機 能、例えば SmartDefence とかは使わない。以前からあるユ−ザ認証の辺りの機能も使わ ない、どうも挙動がおかしい場合があるらしい。 FireWall-1 のマシンは Ultra 10 から Sun Blade 2500 に置き換える。 音の静かなのを 選ぶとするとワ−クステ−ションタイプ。Sun Fire V250 タワ−型サ−バに劣らない安定 性があると思われる。冷却ファンの数はほぼ同じ、中の造りは同等といえる。 3年位の間に、メ−ルリレ−と DNSサ−バは信頼のおけるプロバイダのサ−ビスを利用す るようにする。ホ−ムペ−ジのWWWサ−バも、ゆくゆくはデ−タセンタ−を利用してい く。自社ホ−ムペ−ジは365日絶対稼働!、社内でサ−バを持つ時代ではない。 管理用 PC は InterScan、FireWall-1、DefensePro、ネットワ−クの ping 監視、MRTGな どのソフトを稼働させる。各種装置の設定ファイルも保管する。SSL-VPN の A-Gate もこ こから制御する。どこからでも装置の設定にアクセスできないようにすること。 V210 2台と Blade 2500 はより安定稼働させるためサ−バル−ムに設置。 従来からある ホストコンピュ−タの空調が効いた部屋に間借りということ。KVM スイッチで触れるよう にしたが、Windows 2000 などの DOS 窓から telnet で十分、vi もちゃんと使えるし。 これまで使ってきた SS5 2台。Mail-Relay の予備機としてなら使える。自社ホ−ムペ− ジは、どこかデ−タセンタ−のホスティングなどを利用するとすれば。DefenseProは予備 はなし、買わない、高いし。おかしくなったら元のようにケ−ブルをつなげば済む。 Mail-Store の POP3 サ−バは /etc/inetd 経由の起動でなく、 単独のプロセスとして常 時稼働とする。V210 でそうしました。新しい InterScan では POP3 アクセスのメ−ルも ウィルスチェックができるが、ここではとりあえずやらない。 InterScan Messaging Security Suite。eManagerフィルタ、これもライセンスを入れてみ た。そこそこ迷惑メ−ルを排除してくれる。SPAMやフィッシングのメ−ル、まだ来る 数は少ないが、IT業界では大騒ぎしている。直にどんどん来るようになるかも。 InterScan はウィルスチェックのパタ−ンファイルを取ってくるのに、DNS が必要である。 Mail-Store の sendmail も DNS が必要である。最近のソフトは DNSがあることが前提に なっていることが多い。ということで内部用 DNS を今回、設けることにする。 メ−ルアドレスの管理はMail-Storeに Userminを入れたことにより、人事部に移管したい。 ホ−ムペ−ジのメンテは営業なり総務なり経営企画に、社内のパソコン設置とよろず相談 は総務なり設備部門にそれぞれ人と一緒に移管。残ったのは自分一人だけだったりして。 TCPまたはIIJ の ADSL どちらかを CTC NetLINK に変更したい。100Mbps、保証帯域1Mbps。 月約12万円。アッカの ADSL もBフレッツも所詮ベストエフォ−ト。NTTの収容局の 終端装置のトラブルだと ADSL を複数引いていても、全て不通になってしまう。 SSL-VPN 装置の A-Gate を設置により、Webメ−ルは使わないようにと言ってゆく。最 初はなかなか SSL-VPNの利用は進まないかも知れないが、直に使うようになる。それまで はWebメ−ル用の Cobalt Qube3 はそのままにしておく。2006年半ばに外した。 * 内部用 DNS の設定 /etc/named.conf /etc/named.hosts ---------------------------------- ------------------------------------------- |options { |$TTL 86400 | directory "/usr/local/etc"; |@ IN SOA nsi.nix.co.jj. katou.nix.co.jj. ( | forward only; | 1 3600 300 3600 3600 ) << 値、名前 | forwarders { 202.241.128.3; }; | IN NS nsi.nix.co.jj. << は適当で。 |}; |nsi IN A 192.168.1.1 |zone "nix.co.jj" { |hostB IN A 192.168.1.1 << これ必要。 | type master; | | file "/etc/named.hosts"; |;www IN A 202.241.128.3 << 注1。 |}; /etc/nsswitch.conf /etc/resolv.conf /etc/hosts ------------------ ---------------------- -------------------------- | | |nameserver 127.0.0.1 | | パタ−ンファイルのありか |hosts: files dns |nameserver 9.1 |#202.232.140.20 ims... InterScan は 192.168.1.1 で稼働、パタ−ンファイルなどを取りに行く際、 そのホスト 名のIPアドレスを知る必要がある。/etc/resolv.conf で 127.0.0.1、 つまりこのホス トで稼働している named を見に行き、forwarders指定により 202.241.128.3の named に 問い合わせを中継する。もしこのホストで named が動いてないと /etc/resolv.confで次 の DNS サ−バの 9.1 へ問い合わせる。nsswitch.conf に files もあることから、9.1の DNSも停止していたら /etc/hosts に "202.232.140.20 ims..." を記述しておけば、IP を知ることはできる。しかしずっと同じIPであるとは言えず、有効とはいえない。 zone "nix.co.jj" 部は sendmail の sendmail-rx.cfが、hostB.nix.co.jj のIPアドレ スを知るのにだけ使う。この sendmail は内部で先ず DNS を見て、なければ /etc/hosts を見るようになっているみたいである。/etc/hosts には"192.168.1.1 hostB.nix.co.jj" も記述しておく方が望ましいだろう。自社の公式 DNS サ−バ、202.241.128.3で稼働する named には hostB.nix.co.jj エントリはない。hostB.nix.co.jj、これは内部ネットワ− クの情報であり、外に晒すのは好ましくない。というかプライベ−トIPアドレスを、パ ブリックな DNS に載せること自体の方が問題である。 一般ユ−ザのPCの設定の確認。デフォルト経路は 192.168.1.5 NetCache。DNSサ−バの 指定はこれまで通り 202.241.128.3 と 9.1 とする。内部用 DNSを指定するのはメリット はない。へたに内部用 DNSを指定すると、自社WWWにホスト名でアクセスできなくなる。 PCで DNS を 192.168.1.1 にすると、www.nix.co.jj のIPアドレス検索は、このホス トで稼働している named のマスタ−・ゾ−ン情報 "nix.co.jj" により、注1の記述があ れば解決するが、なければ解決しない。 192.168.1.1 の /etc/hosts に "202.241.128.3 www.nix.co.jj" があってもそれはPCからは見えない。 (2) 2005年からの全体ネットワ−ク `25/12〜`26/07 * 全体ネットワ−クの様子とこれから 初期の1997年、インタ−ネット接続のサ−バ3台で始まったのが、会社全部を包む大 きなネットワ−クまで成長した。2005年から5年ないし7年程度持ってくれるネット ワ−ク・システムを構築したい。全社の主となるネットワ−ク装置、つまりレイヤ3スイ ッチは昨今、定評のある Cisco 3750 を2台使って冗長構成とすることにした。広域ネッ トワ−クは一挙に 100 Mbps まですることも可能だったが、現状を鑑み段階的な速度アッ プにすることにした。テレビ会議が直ちに導入される訳でなし、でかい PowerPoint など のファイルをそこそこ速く取れるようにすればいい。それで、現状の設計 500 Kbps を5 から10倍スピ−ドアップさせることにした。そして下の図にはないが、営業所にはホス ト系回線が別にあり、隣接工場とは無線LANを結んでいる。そして IP-VPN 網が絡んで いる。ホスト系回線は 128Kbps専用線で、半分は内線電話に使用している。今回、これら のネットワ−クを利用して無線LAN、専用線がダウンした際に迂回できるよう計画した。 滅多にトラブルは起きない所ゆえ、各装置を手動で設定変更して対応するようにした。 □ FireWall-1 □全社WWW □ファイル共有 名古屋 |.2 | | A ----------------------------------------------------- 192.168.1.0 |.9 技術系ネット B -------- D 無線LAN -------- ------------------------| |---□…………………□--| | |Layer3| |Layer3| 隣接工場 D 事務系ネット C |Switch| D CTC EtherLINK |Switch|----------- ------------------------| |---□…………………□--| | 技術系ネット | -------- -------- ■ ATM <-- この間は要検討 --> :MDN 5.0 Mbps(保証2.5Mbps) : 前1.0(0.5) | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|KDDI IP-VPN 閉域IP網 |___________|メニュ−に QoS 制御あり : : Flets ADSL:47Mbps :ACCA ADSL 12Mbps ADSLはできるだけ速度アップさ ■ ■ 前512Kbps せる。下りだけでなく上がりも |四国 |東京 アップしたメニュ−にしていく ---------- --------- こと。日進月歩です。 ネットワ−クの安定性の確保。動画デ−タなど大量のパケットをさばくことができるよう にする。VRRP、OSPFとかは用いなくてもいいかも、メガデ−タネッツは信頼性は高い。ネ ットワ−ク装置やサ−バの各所で、パケットの優先制御や帯域制御を行うこと。 買い換えのレイヤ3スイッチは何にするか。これまでは本社だけで Summit24 を1台使っ てきた、予備を1台おいて。Summitは最近はあまり出ないみたい。どうもよく出ているの は Foundary、定評のある Cisco、安くて認証VLANうんぬんの Apresia という感じ。 Summit24 は2000年秋頃購入。メ−カの保守自体もなくなった。 しかも1台は1年位 前に壊れた。後継は Cisco Catalyst 3750 2台でスタック、 リンクアグリゲ−ションの EtherChannel で冗長構成にする、スイッチには Cisco Catalyst 2950 を選んだ。 工場系ネットもある。工作機械のIP対応。直接旋盤などがIP対応しなくても、つなぎ の装置をかまして対応させることができる。その手の業者はすでに入っているはず。パソ コンをゲ−トウェイにして、社内ネットには接続性はもたせないようにしておく。 アッカ 2005年9月1日 ADSLプライトサ−ビス開始。 最大伝送速度 下り 50.5 Mbps、 上り 12.2 Mbps。対応するISPは OCN, @nifty, So-net 等、料金は OCN で3,024円税込み。 支店でもテレビ会議をやりたいとかなっても、これだけの速度があればいいのでないか。 ネットワ−クカメラを設置。ロンドン支店があるということにして、そこと本社の営業間 で、製品の形状などの確認のため設置する。お勧めはソニ−の SNC-P1、68,250 円税込2 台。または SNC-P5、92,400 円税込。社内外のネットワ−ク装置での QoS が問題か。 新しい無線LAN装置を探すこと。予備として、2つ共使うか。幾つかのSI業者に聞い たが、どうもお勧めがない。使用中の製品、関西電機は潰れていた。いきなり倒産したみ たい。設置以来まるでノントラブルできた優秀な製品だったのに、残念。 支店から本社のファイル共有が遅いのは、メガ単位のでかい Access とか PowerPoint の ファイル。本社とそれぞれの支店に、ファイルアクセス高速化装置を入れるか。ファイル は差分で同期が取れるとか。本社、四国、東京の3拠点で装置の設置は500万円位?。 SSL-VPN の利用。モバイルPCにauのカ−ドを差し込むと 2.4 Mbps も出て、今一番速 いらしい。出入りの家電系SIの営業さんが見せてくれた。本社から5メガのファイルを 読み込んで表示するのに、ものの数秒でひゅるひゅるっと出てきた。 2005年に映像サ−ビスの展開が本格化し始めた。USENの無料インタ−ネット放送 GyaO、2005/04 開始。ユニキャストのストリ−ミング配信。家庭でこのようなブロ−ドバ ンドが当り前になって来ると、会社の中でも使いたいとなるのは時間の問題だ。 * 隣接工場と本社の接続 隣接工場は無線LANで 10 Mbps、ブリッジ接続している。加えて中部地区で使える CTC EtherLINK で 100 Mbps(1Mbps保証)接続する。これらをL3スイッチのトランクリンク機 能で平常時は両方、トラブル時は片方で通信する。残念、できそうでできない話だった。 隣接工場は EtherLINKの広域イ−サネットの特性を活かす。現行無線LAN接続で本社と 同じセグメントDにしてあるのを変えないということ。EtherLINK と無線LANでスパニ ングツリ−にする。EtherLINK かなり信頼性は上がっている、これだけでもいいかも。 無線LANと EtherLINK で VRRPを使うやり方もある。無線LAN間で対向でル−タまた はL3スイッチ、EtherLINK 間にも設置する。どちらかアクティブ、切り替えは OSPF の 動的経路制御を利用する。詳しくは "7-7. 高信頼/大容量ネットワ−ク" を見られたし。 隣接工場が県内にもう1つできるものとする。すぐ近くの工場とは無線LANで結んでい るが、この際 CTC の EtherLINK で本社と工場2ヵ所を接続する。契約はどこか業者をか まさず直接する。後々、ダ−クファイバ契約にしてギガビットまで対応できるようにする。 隣接工場と本社の冗長化は、ヤマハのル−タの回線自動バックアップ機能を使うプランも 業者から出た。http://www.rtpro.yamaha.co.jp/RT/docs/example/local.html。 RTX1100 123,900円税込み、冗長構成機能。RTX1500 207,900円税込み、回線相互バックアップ機能。 * そしてどうなったか `26/09 間に入ったSI業者さんの提案で、アッカとフレッツとも回線をもう1本引いて、ぱっと 切り替えるようにした。支店のキ−マンにいついつ業者さんが行くと知らせておいて、特 に自分が出向くこともなかった。作業は夕方6時からにしてもらい10分程度だった。こ れまでのフレッツのモデムは交換。後日、NTT西日本から返却キットという封筒が送ら れて来て、それに前のモデムを入れて送り返して終わりです。送り状も入ってました。 東京支店はアッカ 512 Kbps から 12Mbps で、5000 KB の PowerPoint のファイルのコピ −で158秒が36秒に。四国のフレッツ・ADSL 1.5 Mbps から 47 Mbpsで95秒が41 秒に。フレッツは前の値は少しハテナです。社内の 10Mbpsラインで18秒前後、100Mbps ラインでは数秒。概ね妥当な値が出たのでないかと思われる。でもロ−カルで18秒もか かるというのはちょっと遅いような気がせんでもない。今一度確認する必要がある。 IP-VPN 網の遅延の実測値は、だいたい40msecのため、理論速度は 3.2 Mbpsが最高になる。 これ以上はどうがんばっても出ないと言う値である。今回、ATMの回線速度を1から5 Mbps に上げたが、回線が混んでいなければ十分であるといえる。いろいろ計測値を見るに混ん でいるようには見えない。本当は KDDI さんがトラフィックの状況を出してくれると有難 いのだが。へたに 10 Mbps に上げても、費用がかかるだけで意味はなかったといえる。 * KDDI IP-VPN の見直し `25/12 とりあえず単純に速度をアップさせることにする。日本テレコムに変えるとか、ADSLをB フレッツに変えるとか、ATMを CTCの広域イ−サネットに変えるとかいうのは、今回は やらない。Powered コムが KDDI に買収されて2006年1月1日に合併したが、IP-VPN のメニュ−に特に変化はなかったみたい。検討。Bフレッツに変えても KDDI IP-VPNの仕 様で 10 Mbpsに制限されるという、支店が入っている貸しビルの工事もいるし、何かと大 変だ。ATMを CTCにするには、綿密な移行計画を練らないと何日か支店からネットに接 続できなくなる。結論。フレッツ・ADSL で IP-VPN網に接続している支店は、速いメニュ −の 47 Mbps に変更。 アッカADSL で IP-VPN 網に接続している支店は 12 Mbps に変更。 それぞれ2〜3万円アップするだけである。ATMのメガデ−タネッツは、最高に上げる と 10 Mbpsの5Mbps 保証で月約38万円。5 Mbpsの2.5 Mbps 保証で約24万円。CTCの広 域イ−サネットだとフルに 10 Mbps 出て約40万円、5 Mbpsでは約27万円である。CTC がそう安い訳でもない。ということでATMは最大 5 Mbps の 2.5 Mbps 保証にする。 * ATM、メガデ−タネッツ( MDN )について `25/12 ATMの仕組みはイサ−ネットのフレ−ムを53バイトの固定長に分割してWANに送出 する。ハ−ドウェア処理のため遅延はごく小さい。53バイトの内5バイトがヘッダ情報 である。NTTの専用線だと MTU 値の 64〜1500 Bytes の内、18 Bytes がヘッダ情報で ある。MTU は普通は 1500 Bytes だと思う。ともかくATMでは約1割がヘッダにとられ、 転送効率はあまりよろしくない。加えて MDN の一部速度保証タイプでは、例えば 1 Mbps 最大、0.5 Mbps 保証とかで、 速度は保証分しか出ないと見積もっていた方が無難という。 ということは 0.4 Mbps ちょい位しか出ない?。「UNIX MAGAZINE」2006/03,P.59 にも気 になる記事があった。IP-VPN(専用線) の箇所をそのまま記載、ATM-Ethernet コンバ−タ が終端装置として設置される。コンバ−タを挟むと Ethernet のヘッダ分のオ−バヘッド が生じる。ATM上を Ethernet が流れ、その Ethernet の上をIPが流れる。カプセル 化は [ATM [ Ethernet [ IP ]]]。このため実際に利用可能な帯域は 15 Mbps なら12Mbps 程度になる。ひょっとして先の5バイトのヘッダ分に加えて遅くなるということ?。 * 広域ネットワ−クも見直しの要因 `25/12 10メガバイトのファイルをやり取りするのに時間がかかる。本社からダウンロ−ドする のに5〜6分かかる。こんなんじゃ使えない。だからネットワ−クの速度をアップさせな いかん。そんなでかいファイルを毎日、頻繁に皆やりとりするのか。 PowerPoint のファ イルはだいたいにして大きいという。ファイル共有サ−バを Samba で作って、 それを東 京などの支店からもアクセスしている。Samba はロ−カルネットで使うもんだろう、そう じゃないのか。広域ネットでファイル共有したければWWWだろう、ファイルのアップも したければ WebDAV だ。ファイル共有の中でよく使われるファイルのサイズをいっぺん出 せ。例えば9割方は1メガ以下、残りの中でたまに5メガを越えるのがある。それもある 特定の人が使っているのみだった。ひょっとするとそんなことかも知れない。まあ、しか しだからといってネットワ−クの速度を上げなくてもいいという訳ではない。これからは 映像デ−タもどんどん流れるようになるだろう。 * フレッツ・ADSL回線 `25/12 [ ADSL などベストエフォ−ト回線の正体 ] フレッツはADSL、Bフレッツも回線障害が起きても何の連絡もない。収容局の終端装置の トラブルだと ADSL を複数引いていても駄目である。自分とこのADSLモデム、ル−タの電 源を入れ直さないとリンクしない。自動的にリンクする場合もあるとか、現象がよく分か らない。NTTは本体にその下請け、更にまた下請け。70ぐらいのよぼよぼの爺がモデ ムの設置に来た。わたしゃこれをつないで、テスタ−でここが点滅するのを確認したらそ れで仕事は終わりでして、へっ。実際ネットワ−ク的に大丈夫なのか、どれ位スピ−ドは 出るのか。聞こうとしても、他は何も知りませんの一点張りだった。NTTはだめだ。下 手に民営化にしたのがいけない?。この半年ぐらいに起きた フレッツ・ADSL のトラブル。 先ずモデムが壊れていた、原因を特定してNTTが来てモデムを交換するまで1日。その 後に起きたトラブルは収容局の装置で、1時間程で復旧した。しかしリンクが上がって来 なくて、他の装置をいろいろいじって結果、数日完全復旧しなかった。プロバイダで様子 を聞いてみた。ADSL、隣の管轄地区で、ついこないだ半日復旧しなかったという。 [ NTTのフレッツの工事、故障情報 ] http://www.ip-nw.com/ ADSLのトラブル状況がネットに出ているらしい、どこ?。それで自分とこで起きたトラブ ルも分かるの?。都道府県別の日本地図が出てきて、自分とこの地域をクリックすると出 て来る。1ヶ月分ぐらいしかでてない。それも数点だけ。2006年3月3日時点でフレ ッツ・ADSL の愛知県の故障情報は2件だけ。意外と少ない?。 1つは、一部地域で通信 ができなくなっていたもので簡単に内容が書かれていた。発生 14:25、回復 15:04、収容 ビルXXXでの一部お客様、原因は網内設備故障。という手短なメッセ−ジである。自分 とこがどこの収容ビルや収容局なのか?。どうやって調べるのか。NTTさんはこの情報 は公開してない。多分これまで専用線 128 Kbps とか引いた際に工事した電話の設備会社 が置いていった、1枚の工事内容の紙に書いてある局だと思う。ともかくこのホ−ムペ− ジを自分で見に行かないと ADSL でトラブルが起こっているのかどうか分からない。ADSL の契約で3千円プラスの24時間故障対応に入っていても連絡は来ない。 [ フレッツ・ADSL モデムの回線アップ対応 ] フレッツ・ADSL モアスペシャル、下り最大 44M〜47M。上がり最大速度 3Mbpsで提供開始 したエリアは 5Mbps に順次拡大するとのこと。拡大スケジュ−ル、ADSL モデムのファ− ムウェアのバ−ジョンアップ方法がNTTのサイトにある。インタ−ネットに使っている 内のはどうなっている。見たら ADSL モデム MS5-SPLR。平成17年初め設置、買った のかインタ−ネット接続費用に含まれていたのかな。モデム筐体下面のシ−ルに ADSL モ デム MS5 とあれば、不要。そう記載されていた。ADSLモデムの取扱説明書には、ADSL 拡張自動設定機能を搭載と書いてあった。モデムの設定ができる。デフォルトは上がり拡 張 "◎自動設定" になっている。このフレッツ・ADSLのモデムは壊れたら、単純に交換す るだけである。NTTの作業員が何かしているようだが、これは単にADSLラインのリンク を確認しているだけである。ADSLモデムのランプの点滅、点灯、色でどのような状態か分 かる。ADSLモデムを1つ買っておいて、保守の人が来るまでの対応としたい。 * 大容量ネットワ−ク対応の検討 `25/12 皆口々にテレビ会議はいらない。ある人は、どこかよその導入した話を聞いて使いものに ならないと思っている。テレビ会議、Web会議、ネットワ−クカメラ、NetMeetingとか 巷は賑わっている。すぐやれと言われると実際困る。まだ大容量のパケットが流れるネッ トワ−クを構築してない。100 Mbps、1 Gbps のネットワ−クを再構築し、QoSを必要なら かける。その技術の習得はこれからやっていくのである。そのために費用のかかるテレビ 会議ではなく、技術的なベ−スとなるネットワ−クカメラを購入しテストすることにした。 使って便利だと誰かが気付けば、どんどん設置の要望が増えていくのは間違いない。支店 同士のカメラのパケットは、支店間だけ流れるよう IP-VPN の経路制御をすること。本社 内では、VLANまたはスイッチングハブでパケットの専用通路を作ってやる。海外との カメラはインタ−ネット経由での利用である。カメラの設置には a) バリアセグメントに カメラを設置する、b) FireWall-1 で仮想IPにする、c) SSL-VPN 装置を経由する。 [ 遠隔地とのテレビ会議 ] 各拠点それぞれで1ヵ所にテレビ会議装置を設置する。WANル−タからテレビ会議装置 に直接ケ−ブルを這わせる。既存の社内ネットワ−クを通さないようにする。ファイアウ ォ−ル、キャッシュサ−バ、レイヤ3スイッチなどの機器を通さないと言うこと。あまり ネットワ−クの構成を考えなくても、テレビ会議装置を設置できる。一般的にやられるこ とらしい。既存の社内ネットワ−クにテレビ会議装置を設置する場合。WANの口からテ レビ会議装置まで通るネットワ−ク機器すべてで帯域制御を行う。CTC EtherLINK ではル −タと回線内で CoS 値をオプションで付けることができる。 [ 社内でのストリ−ミング ] よくあるのが溜めておいた映像を見る。品質部門が製品の状態を撮影したのを、設計部門 が見るとか。社長の新年の挨拶の映像をリアルタムで従業員皆が見る、これはマルチキャ ストを使う。マルチキャストにはキャッシュサ−バが役に立つ。 NetCache はいいらしい。 各ユ−ザの Windows パソコンの方から見たい、参加したいと表明する。 大掛かりなコン テンツ配信では、CDN( Content Distribution Network ) という構成にする。NetCacheを 幾つも配置し、ユ−ザは近いところの NetCache にアクセスするというもの。その元締め を Content Director という。まあ CDN なんてのは、中小企業では関係ない。 [ 社外へのストリ−ミング ] インタ−ネットの外のユ−ザ用に動画をサ−ビスすること。社内にサ−バを設置するのは やめたほうがいい。外にストリ−ミング・サ−バを置くべきである。IIJ などが提供する ストリ−ミングのサ−ビスを利用する、東海インタ−ネットにもサ−ビスはある。どれだ けのアクセスがあるか分からない。社内サ−バは、くす玉の紐を外に出しておくようなも のである。もし大量にアクセスがきたら、社内からのインタ−ネットへのアクセス、メ− ル、自社ホ−ムペ−ジ、全部に影響が出てしまう。かなり危険な話である。社内サ−バは とりあえず海外の自社支店や協力会社ヘの何がしかの利用ぐらいにとどめた方がいい。 (3) 5年先までメドを付けられるか `26/07〜 * 電子メ−ルの現状 [ 利用不能 ] 自分の個人で入っているプロバイダで、2006年7月なかば、1週間ぐらいメ−ルの遅 延が発生した。最大20時間ぐらい遅れていた。大量のSPAMでプロバイダのメ−ルサ −バが麻痺したとのこと。SPAMによる DoS攻撃は日常的に起こっていると思った方が いい。個々の企業など狙われたら最後、我々では手の打ちようがない。メ−ル DoS攻撃に 対処する術は我々にはない。重症の風邪引きには市販薬ではどうしようもない、病院で抗 性物質の薬をもらわないことには。簡単に言えばそういうことだ。 ほかっておくとメ−ルが使えなくなくなる。Source Address Validation、 不正な送信元 のネットワ−クのIPアドレスを防ぐ、IIJ が2006年5月から導入とのこと。メ−ル サ−バのポ−ト番号をこれまでの25番ではなく、587番を使うという。メ−ルの送信 ドメイン認証というのも静かに広まりつつある、 DKIM( Domain Keys Identified Mail ) と SPF( Sender Policy Framework ) という方式がある。国内では大手企業を中心にまだ 2%ほどしか対応してないらしい。まだまだ時間がかかる模様。 hotmail.com のメ−ルは10%ぐらいが、送受信できないみたい。おかしいと思ったら再 度、送信して利用するのが当り前みたいになっている。最近あるところにメ−ルが送れな かった。送れても4時間ぐらい遅れて届いたりした。 相手は DNS の逆引きを設定してな かった。安全のためと言って SMTP 以外のパケット、pingのパケットも止めていた。SI 業者に聞いたら、これらは最近はよくあることだという。どうも一つの原因で LinkProof が臭いみたいである、その業者さんでも大学で同様なことがあったと話していた。 [ 迷惑メ−ル ] 個人契約のダイアルアップ接続の東海インタ−ネットのメ−ルでフィルタ−をかけていた。 com ドメインは全部だめ、net.cn と co.ukも受取拒否にしていた。あることがあってcom を解除した。そしたら迷惑メ−ルが20〜30から70〜80になった。どひょ−、これ はたまらん。SPAMはこんな事態になっていたとは。でも社内の普通の人は迷惑メ−ル は来ても数通みたい。会社の代表メ−ル info とかは50とか100。普通の人でも何か しらメ−ルアドレスをどこかでばらまいたのか知らんが、20〜30という人もいた。 営業さんは携帯電話にもメ−ルを転送している。SSL-VPN 経由で社内のメ−ルストアにア クセスしてメ−ルを読み書きすることはできるが、機動性が落ちる。携帯電話の速度が速 くなれば、迷惑メ−ルが少々来ようと問題ないか?、いやそうは行かない。メ−ルが来る 度にピロピロ音が鳴る、それが迷惑メ−ルだったりするとイライラしてくるということで ある。携帯電話会社のメ−ルサ−バでメ−ルのフィルタリングや加工はできないのか。内 では FlexMessenger のようなメ−ル転送ソフトでメ−ルを見易くしたりしている。 DefensePro がメ−ルのウィルスも結構、弾いているもよう。InterScanで捕獲するメ−ル のウィルスはだいぶ減った。FireWall-1 でも何か掴めないか。予備にした FireWall-1の マシンが普段遊んでいるので、Version 4.1 だが、いろいろログについて調べることがで きる。InterScan のログを久しぶりに見た。過去30日間、ウィルスログがたったの1件、 eManagerログが12ペ−ジ、プログラムログが4万ペ−ジ以上。プログラムログって何だ。 InterScan を通る全部のメ−ルのログだった。知らんでいるとディスクが一杯になるぞ。 * ネットの危険性と根本的な対策 [ 巧妙化する攻撃 ] Winny:感染すると勝手にパソコンの Winny ファイル交換用フォルダに、ファイルをコピ −して公開してしまう。Winnyを媒介して広がるウィルス Antinny。Share は Winny と同 じ機能で匿名性が高い PtoP ファイル交換ソフト、作者不明。Winny の検出方法は、ハッ シュ値を比較するらしい。パタ−ンファイルによるマッチングで使われるやり方。プログ ラムを全部文字列にして、そこから唯一の短い文字列を作るのがハッシュ関数。1文字で も変われば、別の唯一の短い文字列になる。それ故なんぼでも亜種はできる。 ボット:「日経コミュニケ−ション」2006/03/15,P.80 からボットについて。ボットは亜 種がどんどん出て来るので。ウィルス対策ソフトは半分ぐらいしか検知できない。ボット は迷惑メ−ル、フィッシング、DDoS攻撃を遠隔で操作できる。回線の容量を上回るパケッ トが押し寄せた時は、DDoS 緩和はできない。DefensePro は DDoS を緩和する機能がある、 しかし Enhanced SynApps モデルが対応する。内で買ったのはベ−シックなので無かった。 ITpro > Windows > システム管理「ボットネットを"飼って"みました」も見られたい。 スピア型:タ−ゲットにする人の情報をよく調べて、知り合いを装ってメ−ルを送って来 る。Word のバグをついて、Word を開くだけでウィルスに感染するようになっている。ボ ットでも何でも入ってしまう。ピンポイント攻撃で、その人用のウィルスを作って送るら しい。ウィルスが出回らないので、ウィルス対策メ−カは検体を集められないので、手の 施しようがないという。しかしウィルス検知にハッシュ関数の比較では心もとない。本当 にそんなことなのかな。振る舞い検知もせめてやらないと。 [ 根本的な対策 ] 本当に安全性を確保したいなら、ネットワ−クにはつなぐな。社内ネットワ−ク、インタ −ネット。一般の社員が全員、インタ−ネットにアクセスできる必要がそもそもあるのか。 あるいはア−キテクチャ−の違うコンピュ−タを使え。マッキントッシュが市販されてい るではないか。俺は Apollo コンピュ−タだけど。それにワ−ド、エクセル、パワ−ポイ ントは捨てよ。せっかくこれらで作ったデ−タが、ある日ウィルスに感染して全部パ−に なる可能性がある。本当にずっと残したいデ−タは、ただのテキストファイルで作れ。 情報セキュリティポリシ−とか ISMS とか、プライバシ−・マ−クとか。大きな会社では ない、人材もいない。本質的なところをやるかお飾り的なところをやるか、どちらか選択 しなければならない。トレ−ドオフだ、両方ともというのは虫がよ過ぎる。朝日新聞にも 出ていた、大手企業などのWWWをNRIが安全性をチェックした。半数以上で侵入して 情報を引き出すことができたという。セキュリティポリシ−はきちんと定めていそうな所 にして、この有様だ。気安目程度でポリシ−うんぬんとやっても、ほとんど意味はない。 金はかかるが外部のセキュリティサ−ビスを利用する。ラックの IDSセキュリティ監視サ −ビス、Cisco IDS や Proventia など使用、`26/03 開始。`26/09の名古屋のセミナ−で IPS の監視運用サ−ビスも始めた、リモ−トで監視してシグネチャの適用もする。1ヶ所 30万円ぐらい。`26/06 の Interop で DefensePro もやると言っていたが、死活チェッ クだけ。IIJ も IDS サ−ビスがある、2006/07 からは IPSサ−ビスも始めた。Proventia を設置しリモ−ト監視する。費用は両者共ざっと1ヶ所30万円ぐらいから。 * 5年先までの見通し [ 有効なセキュリティ対策 ] 2001年頃、一時雑誌を賑わせていたセキュリティポリシ−の ISMS とか BS7799 とか どうなった。聞かんな−、いやそんなことない静かに浸透しているようだ。 今時点 ISMS を取得していところは1500ぐらいになっている。表面に出ているキ−ワ−ドはSOX 法、内部統制。認証VLAN、フォレンジック。ともかく昨今はSOX法が大流行である。 日本版SOX法、実施基準がまだ公表されていない。2005年12月に出るはずだった のが、2006年年内に出るかどうか。先走るか具体策はそれからにするかである。 監視とか証明とかで必要な書面は自動的に、適当に何か作るようにして、それでよしとす るか。ログはいろいろ必要になって来るかもしれない。各種サ−バのログを改めて見てみ たい。ファイアウォ−ルの FireWall-1、メ−ルリレ−にメ−ルストアの sendmail、侵入 防御装置 DefensePro、回線二重化装置 LinkProof、WAN用ル−タの RTX1000、 メ−ル ストアの InterScan VirusWall、社外向けWWW、イントラ(社内向けWWW)、顧客デ− タベ−スなどなど。これらログを場合によってはさっと必要な所を出せるようにする。 レイヤ7スイッチは、全通信を見てどんなんでもパケットを振り分けることができる。フ ォレンジックはつまりそういう製品だった、全パケットを記録して再現する。誰がいつど こへ何をしていたか。それをリアルタイムでやる、見える化である。ConSentry LANシ −ルドコントロ−ラという製品。1台でいろいろできる。パソコンとユ−ザのアクセス制 御、ユ−ザの見える化。シリコンバレ−には IDS/IPS製品を手がける会社が40程あるら しい。7割ぐらいがシグネチャベ−スではない?。アノ−マリベ−スが今は主流とか。 [ メ−ルとDNSとWWW ] 3年位の間に、メ−ルリレ−と DNSサ−バは外部サ−ビス、例えば信頼のおけるプロバイ ダのサ−ビスを利用するようにする。いやもう3年も待てない。タイミングよく対策をし て行かないと、近い内メ−ル機能は麻痺してしまう。そもそもメ−ルは全員が外とやりと りできる必要があるのか。人によっては社内だけやりとりできるのでいいのでないか。外 部のサ−ビスを使う場合、いかにメ−ルアドレスを減らすか考えないと、コストがものす ごくかかってしまう。これまでは申請用紙の簡単な記入でメ−ルアドレスを出してきた。 例えばメ−ルリレ−は IIJ のサ−ビスを利用する。 ウィルスと迷惑メ−ルのチェックを やってもらう。それで社内のメ−ルストアでのウィルスチェックはやめる。連動して社内 間のメ−ルのウィルスチェックもなし。パソコンのウィルスチェックでいいということに する。InterScan VirusWall の毎年の費用は350ユ−ザで75万円。やめる場合は、メ −ルストアのホストの設定を変えないかんか。 変えなくても InterScan はメ−ルをこれ までの、契約が切れる直前のウィルスパタ−ンのままで行くだけである。 ホ−ムペ−ジのWWWサ−バも、ゆくゆくはデ−タセンタ−を利用していくしかないだろ う。信頼のおける所に、それなりのお金を出してでの話である。WWWサ−バをほかって おくと、ボットのようなウィルスの巣になってしまう。安全性をずっと維持できるかとい う話と、顧客に安定して情報提供できるかという2つの面を考えなければならない。社内 で持つのは安定稼働と言うことではなかなか難しい。会社の停電もある、ファイアウォ− ルのバ−ジョンアップもある。WAN回線のモデムやル−タのトラブルもあるだろう。 [ 広域&社内ネットワ−ク ] めど付けた。とりあえず現状遅いのは IP-VPN で、ADSLを今ようの速いメニュ−に変更す る。本社への ATM は速度を倍にして 5 Mbps で半分保証、それでも遅ければ ATM を最大 の 10 Mbps にする。IP-VPN の利用はここまでだ。もっと速くと要求が出てきたら、広域 イ−サネットを引いて、拠点のIPはそのままになるようル−タやレイヤ3をかますなり、 設定なりする。そしてぽっとじゅうたんをひっくり返すように IP-VPN から移行する。と もかく現状のネットを止めることなく移行できるよう考えること。 県内の事業所間は、近い所は無線LAN、遠い所は CTC の EtherLINK を利用する。無線 LANは 10 Mbps 以上はなかなか出ないので、より速くは EtherLINK の 100 Mbps に変 更する。100 Mbpsでも足らないようになったら、契約を自分とこ専用の光ファイバ回線に 変更、つまりダ−クファイバ契約にする。これで Gbps までも対応することができる。広 域ネットワ−クで考えることは、基本的にスピ−ドだけでいと思う。遅延、ゆらぎはそれ なりになっている。いや違う、遅延が実際のスル−プットを左右するファクタ−だ。 社内のネットワ−クは今回、新しくメインとなるネットワ−ク装置を買った訳で、これで もう5年間持たせることができる。レイヤ3スイッチ Cisco Catalyst 3750 2台でスタ ックし、 レイヤ2スイッチの Cisco Catalyst 2950 とリンクアグリゲ−ションで冗長構 成をとる。工場が増えたりパソコンの台数が増えたりしたら、レイヤ3スイッチを追加し てもいいだろう。要はVLANをどうするかであって、冗長構成にするかどうかは次に考 えればいいことである。日常的には要所要所を MRTG でトラフィックを監視する。 (4) よい子のイントラネット * 2006年8月に入って2、3日で調べたこと ・Google が 2006/03 Ajax を使ったウェブベ−スのワ−プロ Writely 開発元を買収。見 た目も操作性も Wordに似ている。Web2.0的であると話題になっている。2006/06 にはウェブベ−スの表計算ソフトを公開。こちらは Google で作られたもよう。 ・Google にも SNS のサ−ビス Orkutがあるが、あまり力を入れていないもよう。アメリ カで 2006/05 時点の調査で会員数は30万人だけ。SNS 内は Googleの検索が及ばない ためか。しかし Google は 2006/08 SNS の会社を2つ買収、方向転換したか。 ・「SNS ビジネスガイド」Web2.0で変わる顧客マ−ケティングのル−ル。インプレ ス・ジャパン刊、2006/06/30、2,310 円(税込)。(株)ル−プス・コミュニケ−ションズ の人も執筆に加わっている、http://www.loops.net/。 ・(株)ドリコム、法人向けのSNS構築基盤 ドリコム SNS を 2006/07 提供開始。ドリコム ブログオフィス Drecom Blog Office、150社以上の導入実績がすでにある。 ル−プ ス・コミュニケ−ションズもビジネスSNS を出している、ASPサ−ビスもある。 ・SNS の mixi は日本の会社、(株)イ−・マ−キュリ−が 2004/02 開始した。2006/02に (株)ミクシィになった。mixi は日記とコミュニティが特徴。 2006/05 で400万人の 会員獲得。SNS の GREE も日本製、2004/11 からグリ−が運営する http://gree.jp/。 ・アメリカの大きな SNS は Facebook.com と Myspace.com がある。人気は MySpace.com で 2006/05 時点5000万人の会員がいる、ソフトバンクが出資して 2006/09 日本市 場に参入とか。ヤフ−の SNS、Yahoo Days 2006/07/31 開始、招待制。 ・マイクロソフトの SNS ブログサ−ビスの MSN Spaces に SNS機能を追加した、2006/08 Windows Live Spaces を公開。ビルゲイツ氏引退。マイクロソフト社は大きく変わって いくのでないか。 ・Webアプリケ−ションの姿のヒントらしいです、Qooqleのサイト http://qooqle.jp/。 Google、Yahoo!、はてなブックマ−ク、Amazon と連携したサ−ビスを提供する。 マッ シュアップのいい例。マッシュアップとは組み合わせるという意味です。 ・企業内での利用事例、NTTデ−タが社内で 2006/04 から SNS を導入、2006/06 3千 人以上が自発的に利用とか。インタ−ネットでは特定のコミュニティのみにサ−ビスを 提供する SNS が増えている。音楽、証券、留学、学術などいろいろ。 ・Google の Gmail、迷惑メ−ルにも強く、オンラインストレ−ジにもなる、2.7GB。招待 限定のフリ−メ−ル。Google には他にも情報共有サ−ビスGoogle Base、地球地図サ− ビス Google Earth など、どんどん新しいサ−ビスを出してきている。 ・「インタ−ネット2−次世代への扉」村井純先生の本。1998/08 に発行。Web2.0 にあわせてインタ−ネット2.0と言われるから、最近出版されたのかと思った。イン タ−ネット2とインタ−ネット2.0は違うものと考えた方がよさそうである。 ・インタ−ネット2は、全米科学技術財団(NSF)が出資して、IPv6 や高速の研究・教育用 ネットワ−クとして 1996/02 スタ−トした。 最近、Web2.0にあわせて言われる のはインタ−ネット2.0である。雑誌で勝手にそう言い始めた感がある。 ・でも mixi 見てて、ちょっと違うなという印象。女子高生のプリクラだ。お友達が一杯 いますぅ−。中身は日記程度で内容はほとんど無い。地方の女性の利用はどうかなと見 たら、子供の写真を載せた若い主婦の多いこと。やはり口コミは若い主婦が主役です。 ・ブログも立派な社内の情報共有ツ−ル。子供の遊びだと思っていたら大間違い。はてな http://www.hatena.ne.jp/ というブログの仕組みを使った、ブラザ−社内用ブログ"技 術の森"、2005年4月開始。ブラザ−社員のプリンタの開発日記もある。 * もはやメ−ルだけではない `28 コミュニケ−ションのツ−ルとして電話がありFAXがあり、メ−ルがあり、テレビ電話 がある。VoIPとかIP電話はそうした位置付け。日立の CommuniMax に基づく製品 NetCS series とか Cisco のユニファイドコミュニケ−ションとか。展示会で見た感じはよかっ た。自分の席のパソコンからビジュアルコミュニケ−ションを計ることができる。 大学では Moodle というオ−プンソ−スのソフトが人気があるとか。2008年9月8日 の東海インタ−ネット協議会のシンポジウムで三重大学の奥村先生が紹介された。CMS と かLMSというコ−ス管理システム。2004年から利用していて、学生には mixiライクで 評判がいい。主な利用は講義ノ−トや小テストの e-Learning やBBS。 コミュニケ−ション・ツ−ルの種類をざっと挙げてみる。a)メ−ル。b)掲示板の単板、ス レッド型。c)ブログ。d)SNS。e)メ−リングリスト。f)グル−プウェア。g)メッセンジ ャ− (Windows XP 搭載のインスタントメッセンジャ−)。SNSには一般向けと企業など 向けがある、一般向けでは国内では mixi が企業向けは自社でのソフト利用である。 それと一時話題になっていたセカンドライフ。2008/10 行き着けの飲み屋のマスタ−から 聞いた話で、セカンドライフはもうだめ。仮想の土地を仮想の通貨リンデンドルで買って 仮想の建物を立てた。先行投資のつもりで参入した企業は、まるで馬鹿をみたという話で 終わり。初めて聞いたのは 2007/05/15、お世話になっているSI業者の人からだった。 * よい子のイントラネット `26/08/05 --- マトリックスへようこそ --- インタ−ネットがこの先、ずっと続いていくと思うのは早計だ。人はすぐに新しいことに 慣れてしまう。するとそれが当り前になり、ずっと前からあったような気になり、疑念を はさむ感覚がなくなってしまう。特に一般の人はそうだ。社内でもまるで当り前のように ネットを使っている。しかし視点を少し上に上げて現状を見ると、インタ−ネットは崩壊 のステップを既に踏み始めている。もう5年と持たないのでないか。通信手段としてのメ −ルの機能は、もはや麻痺している。まるで信用できるものではない。DNSも信用には ならない。ホ−ムペ−ジも本物かどうか疑ってかからなければならない。迷惑メ−ルは想 像以上に広がっているのでないか。宛先不明のメ−ルを受けて、自社のメ−ルサ−バが外 に大量のメ−ルを送り、迷惑をかけているのでないか。いつ DDoS の標的されるか分から ない恐怖、ボットのような強力なウィルスの侵入。それらに対抗するため侵入防御装置を 導入するとか、セキュリティポリシ−をどんどん厳しくするとか。こんないたちごっこを いつまで続けるというのだ。 善良な人と悪人とどちらが知恵が働くかといえば、悪人なのだ。 これから何が起きていくのか。本質をみていかなければならない。多分、企業間ではグル −プ企業や親会社子会社というところで、閉域ネットワ−クの利用が増えていく。でもそ れはあくまでも部分的なやり取り、図面デ−タや注文などこれまでやってきたのが、少し 広がりを見せる程度の話だろう。よく似た閉じたネットワ−クというかコミュニティとい うか、SNS が話題になっている。2006年8月初め mixi に入った。2005年5月に 招待を受けていたが、よく分からずにほかっていた。入って分かったのは、1日2日見て いて、インタ−ネットの中にできたまさにコミュニティ。 mixi のメ−ルの方がインタ− ネットのメ−ルよりはるかに安全だ。各人がそれぞれホ−ムペ−ジをもっているのと等し い。イメ−ジしたのは巨大な箱の中に各人の箱があって、そこに一杯いろいろ置いている。 あるいは各人そのものが存在しているイメ−ジといってもいい。このイメ−ジは映画マト リックスの中で人が実際に存在していた場所、エイリアンの巣のようなところに人が装置 につながれている光景だ。 夢と現実の世界をどうやって貴方は見分けることができるのか。 -------------------------------------------------------------------------------- mixi のような SNS 世界の中に、インタ−ネットでの企業のホ−ムペ−ジがある。技術的 にそう難しい話ではない。インタ−ネットの枠組みはそのままで、 その SNS が汚染され てきたら、また別の SNS に乗り換えていく。汚染された土地を元に戻すのは困難だ。 -------------------------------------------------------------------------------- この SNS の一つを、マトリックスと名付けよう。 マトリックスは1つの巨大なものであ るかも知れないし、世界中に散らばっているかも知れない。巨大なデ−タセンタ−でグリ ッドコンピュ−タが自律的に動いている、これがマトリックス。マトリックス同士はイン タ−ネットの中で暗号化して結んでもいいし、ダ−クファイバとかの専用の回線でもいい だろう。いったんマトリックスの世界に入ったら、そこはまさにこれまでのインタ−ネッ トの世界と一緒である。入るにはフレッツ網の中のNTT独自のサ−ビス、インタ−ネッ トの中にあって別なサ−ビス、そういうのでもいい。電話会社などの IP-VPN 網の中にあ ってもいいだろう。マトリックス、そこにはDNSもなければメ−ルサ−バもない。各人 や企業など組織がそれを保守管理する必要もない。要は相手に伝えたいことを伝える仕組 みがあればいいのだ。イメ−ジできるか、これが。巨大なビジネスの可能性を秘めている。 わずか2年で mixi は国内で400万人ものユ−ザを獲得した。別な器を用意して、皆そ れに乗ってくれるかどうかという心配はする必要ない。 mixi に招待してくれた鈴木さんへ、こんな閃きをしました。 -------------------------------------------------------------------------------- よい子のイントラネットは、善良な人が集うコミュニティ。そしてその集合体がインタ− ネットであるべきだという思想。その行き着く先は、マトリックス。よい子のイントラネ ットがたどり着いた結論である。だが、マトリックスを支配しようとしてはならない。 -------------------------------------------------------------------------------- この際パソコンはやめよう。専用の何がしか装置があればいい。コンピュ−タと言うこと もやめよう。メ−ルやホ−ムペ−ジを見ること、人はそれがコンピュ−タを使ってという 意識があろうとなかろうと関係ない。マトリックスへのアクセスをするチップを用意しよ う。パソコンの画面からマトリックスのアイコンをクリックすると、キ−ロガ−など悪意 の仕掛けをやり過ごして安全にアクセスする。社内のイントラへのアクセスは、社内用マ トリックスを利用する。Google を社内のサ−バで使うようなものだ。 専用の何とか装置 はテレビみたい、Thinクライアントのようなもの。ともかくパソコンを買って、各人がソ フトをインスト−ルしたりバ−ジョンアップしたりする、そんなことはやめようというこ とである。専用装置ではワ−ドもエクセルもなし、もしそう言うのが必要なら、マトリッ クスの中でそういう機能を提供すればいい。Webメ−ルのような画面でメ−ルを読み書 きするように表計算もすればいいではないか。そうなると、これまでのパソコンはマトリ ックスへアクセスするための、ただの箱になる。Windows OSである必要はどこにもない。 Microsoft は Google のサ−ビスを脅威に感じ始めている。 この最近目にするキ−ワ−ドの意味するところは何か。 Google は幾つかの検索エンジン の中でデファクトになっただけ、そう思っていた。人材がどんどん Google に流れていっ ている、エンジニアにとって居心地のいい会社。そんな記事をよく目にする。それに加え てウェブベ−スのアプリケ−ションをどんどん出していること。これが脅威になりつつあ るのだ。ウェブ特有の癖のある操作性が、Ajaxを使うことによって自然な操作ができるよ うになった。Word と一緒のようなワ−プロ、表計算ソフトが公開されている。Gmailとい うメ−ルのサ−ビスもすでにある、巨大なディスクスペ−スを提供し、ファイル保存場所 としても利用できる。さらに Windowsのデスクトップの画面ライクなものまで出せるよう になっている。Google以外、Microsoft でさえもこのようなソフトを出してきている。も はやウェブを表示できるOSがあればいいのだ。SNS についても調べてみた。ブログのソ フトから派生した SNSのソフトはすでに販売されていた。法人向け SNS構築基盤ソフトと してつい最近出ていた。もううねりは始まっていた。 -------------------------------------------------------------------------------- これでセキュリティのいたちごっこから抜け出すことができるか。できると思う、またそ う設計しなければならない。もはやインタ−ネットでもなければ Windowsパソコンでもな い。あるのはマトリックスであり、その世界にアクセスするための装置である。 -------------------------------------------------------------------------------- SNS の意図するのはコミュニティをいかにうまく形成するか、そのための機能は何かとい うところに力点が置かれている。例えば誰が見てくれたか分かる "足あと" なんか最たる 機能である。小生が閃いたのは SNS の中で、 企業なんかのホ−ムペ−ジをそのまま表示 操作できるようにすること。これまで作り上げた資産を無駄にせず、そのまま SNSでも使 えること。見かけインタ−ネットでアクセスしたのと変わりない、しかしそこではDNS でホ−ムペ−ジのURLを検索しIPアドレスでアクセスしているのではない。ホ−ムペ −ジは SNSの世界の中に存在しているのだ。Webサ−ビスはホ−ムペ−ジ同士が通信す る仕組みとして利用する、M-to-M を実現するインタ−フェ−スとして必要である。 社内、 組織内のネットワ−クはどうするか。内部ではIPアドレスは必要ない、サ−バやプリン タなどを何がしか識別できればいいのである。ならば Apollo コンピュ−タ特有のネット ワ−クの仕組みはどうだ。 Apollo にはレイヤ3スイッチなどネットワ−ク装置は必要な い。外、つまりインタ−ネットは TCP/IP のままとしてもだ。 人類の知的遺産 Apollo コンピュ−タ、ネットワ−クとなって生き残れ。 (5) Apollo は人類の知的資産 `96 `2f/06帯追加 -------------------------------------------------------------------------------- 知的遺産の間違いではと思われた方、間違いではありません。まだ現役で稼働しています。 -------------------------------------------------------------------------------- * Apollo とUNIX Apollo のネットワ−クに最初に接した者にとっては、 UNIXのネットワ−ク機能は信 じられないものがある。何でこんなことしかできないのか。telnet と ftp がUNIXの ネットワ−クの代表的なコマンドだが、そもそも何で2つに分かれているか理解に苦しむ。 telnet は端末機能のみ、ftp はファイル転送のみという。 NFS もあるにはあるが、せい ぜい4〜5台で使えるぐらいのものである。 ネットワ−ク全体で NFS を張ったらとんで もないことになる。いつまでこんな時代遅れのものがまかり通っているのだ。つまるとこ ろ、UNIXのネットワ−クはプログラミングレベルで透過であって、 Apollo のそれは 完全にネットワ−クレベルで透過だったということである。 Apollo はネットワ−クだけがすごいのではない。 DOMAIN/OS に BSD4.3、Sys5.3 と3つ のOSが1つのコンピュ−タの中で走る。それぞれのOSはビットマップのそれぞれのウ ィンドウで操作できる。このウィンドウ・システムはまたすごい。操作の履歴はず−と画 面の中で遡ることができる。UNIXの history なんてもんではない。カット&ペ−スト は思いのまま。エディタは最初からついているし、キ−ボ−ドがエディタを使いよくする ために最初から設計されている。キ−ボ−ドとエディタ、これはコンピュ−タと対話する ための手足ではないか。最初から一体として設計することは当然である。だれが胴体だけ 買ってきて、手足をつけるのだ。カスタマイズという言葉を勘違いしてはいけない。最初 から十分使えることが必要条件なのだ。 本書はともかく全ての記述を Apollo のエディタで書いた。INDY や Sun でなにかコンパ イルするのもほとんど Apollo から telnet で入って make を走らせた。コンパイルのコ ンフィグレ−ションをいじる時だけ、そのマシンで vi を使っただけである。ドキュメン トを書く時は、telnet で操作したログを、Apollo のカット&ペ−ストでエディタにコピ −するだけである。このログは先に述べた通り、最初からず−と残っている。UNIXの 画面ではほんの気持ち残っているだけだ。UNIXでログをずっと残すには、パイプでフ ァイルにつなぐしか手がない。それもいちいちめんどうな話しである。 Apollo のエディ タが使い易いのは、マウスとキ−ボ−ドのカ−ソルが1つだということもあるのかも知れ ない。UNIX、Windows でも分離している。手足がばらばらという感じを受けるのだ。 それに柔軟なアカウント管理、NIS に相当するレジストリデ−モンが担っている。この機 能はなんと OMG とか CORBA とか騒いでいる、分散オブジェクト技術そのものである。十 年も前に実装されている。話しを元に戻そう。NIS ではサ−バが動いていなければロッグ アウトもできない。 Apollo はロッグインしたアカウントはロ−カルでも自動的に管理で きるようになっている。サ−バがなくてもちゃんとロッグイン、ロッグアウトできる。フ ァイル・プロテクションもUNIXの貧弱なそれとは違う。大型コンピュ−タでのプロテ クションも十分実現できる。UNIXのプロテクションとももちろん互換性はある。 UNIXのEWSは最悪である。今世紀最後の汚点であるといってもよい。ディスプレイ はとっくの昔にビットマップになっているのに、いつまでキャラクタ端末を引きずってい るのだ。VT100 なんてDECのディスプレイ、どこ行ったら使っているのか。エディタの 代表格 vi あれは一体なんだ。カット&ペ−ストすると文字がないのが出てくるは。それ は termcap の設定か何かが悪いんだろうが。 termcap の設定はちょっとやそっとできん ぞ。エディタもパソコンのから色々使ってきたが vi にはたまげた。 INDY にも Solaris にもエディタがついているが、いかにもおそまつである。 INDY の ieditor、編集してい るファイル名でさえどこにも表示されていない。困るよね−。 X Window System。もういい加減こんな仕組みはやめないかん。 ただ表示する、キ−入力 するだけにクライアントもサ−バもないではないか。X Window System は1980年ぐら いに概ねできあがっている。当時としては、コンピュ−タ資源の有効利用ということでク ライアント/サ−バ方式は意味があったかも知れない。もう今ではコンピュ−タ単体の能 力は十分過ぎる程あるのだ。よそのコンピュ−タに表示できるような仕組みが欲しければ 別に作ればいいではないか。プログラマ−の立場からしても、Xのプログラミングは本当、 骨が折れる。MS-DOS でのプログラミングに比べたら10倍ぐらい労力がかかる。 だいた いC言語でオブジェクト・ライクな実装をするのは、土台無理なのだ。 Apollo はどうか。 素直に gpr と言うシンプルなグラフィックス&入力ル−チンがあった。簡単でした。 UNIXのコマンドもひどい。統一性が無いのだ。ディレクトリをまるごとコピ−するの は cp -r だが、-r の意味をリカ−シブ、つまり再帰的にディレクトリをなめてコピ−す るということだが、こりゃ分からんぞ。ファイルを表示する cat も分からんよな。 ディ スプレイにファイルを連結するのだと。 Apollo だと ld は list directory というよう に直感的な名称になっている。まあ文句をいってもしょうがない。これらのコマンドを作 った研究者は、現在の状況までは想像はできなかった。結局コマンドが分かりにくいので、 GUIなるカバ−をかぶせることになった。見てくれかっこよくすればいいと言うもので ない。昔はやった、ただの自転車に電子フラッシャ−搭載とか言って、喜んでいたのと何 ら変わり無いように思うが。 だいぶボロくそけなしているが、 「UNIX MAGAZINE」の常連の筆者達でさえ最近グチをこ ぼすようになった。UNIXを使いこなすには色々環境を設定しなければならない。これ が少々億劫になってきたらしい。フリ−ソフトもインスト−ルしなければならないし。と もかく一つトラブルと、どうもこうもならんのがUNIXである。インスト−ルなら、と たん Makefile を理解しなければならなくなる。あまり参考書もないところに持ってきて、 タブが意味をもっていたりする。正規表現はシェルで意味が違うは、メッセ−ジは出んは。 もうUNIX離れが起きる要因はそろっている。従来ならUNIXのEWSを導入してい た所に、最近では Windows NT をもってくるケ−スがすごく増えているらしい。サ−バ以 外は全て Windows になる日は近い。どうするUNIXさん。 ユ−ザのアカウント管理は、LDAP不要のレジストリ機構。アカウントだけの管理なら、い っそこれはどうだ。Apollo のレジストリ−システムを使うのだ。rgyd デ−モン、分散処 理。このソフトにアクセスするC言語とFORTRANの関数がある。Apollo同士は特有 の DOMAIN/RING でなく TCP/IP を利用する。マスタ−の rgydが1台とスレ−ブが各拠点 に、1フロア−に1つでも。マスタ−で登録したアカウントは即座にスレ−ブに反映され る。Apollo の rgyd は Sun の NISが作られた当時に、独自のアカウント管理システムと して設計された。非常に優れている。Apollo を買収したHP社は DOMAIN/OS をフリ−ソ フトにして公開しないといけない。Apollo は人類の知的遺産であって、 呼び覚ませばま だまだ十分活躍できるのだ。 注.エンジニアはすごいなんて形容詞を使ってはいけない。客観的な表現を使うべきなの だが、やっぱり Apollo に関してはすごいといいたいです。本当にいいマシンです!。 * 真のEWS Apollo コンピュ−タ UNIXとは一体何か。多分UNIXは一つの文化なのだ。いわば国が違うようなものだ。 多分どの国の人も自分の国が一番いいと思っている。たかがコンピュ−タに国に匹敵する 文化を持ち出すとはと思われるかもしれない。テレビでどこかの国のお祭りで、年に一度 だけ特別料理を食べるのを映していた。ただの原っぱで野焼きしたパンみたいなものを男 が食べていて、世界一うまい。こんなうまいものは他には絶対ないと叫んでいた。野焼き のパンしか食べたことがない人には、他を知らないのだから何をいっても無駄である。ち ょうどこれと同じでUNIX文化圏にいる人は、これが一番おいしいんだと他の物を食べ ようとはしなかった。telnet や ftp を使ってこれが一番すごく便利と思い込んでいた。 UNIXのネットワ−クの基盤である TCP/IP は決して悪いものではない。 TCP/IP はホ スト名管理、経路制御と組み合わせて、世界的なネットワ−クにまでもってきた。これは 賞賛に値する。Apollo のネットワ−クは素晴しいが、Apollo の技術だけでは世界規模に は成りえなかったことは確かである。悪いのは TCP/IP でなく、かれこれ15年以上前に TCP/IP 上に実装されたコマンドを、こんなもんだ、 いや一番だと使い続けたことである。 もっとも、一番悪いのはコンピュ−タ・メ−カである。エンドユ−ザのために、使いやす くしようとする努力を怠ったことにある。OSの改善や改良はお金も時間もかかる。これ をやったのは Apollo だけだった。Next もそうかも知れないが。 UNIXはOSがほとんどタダで、ソ−ス・プログラムも入手できた。このためマシンは 安く大学関係を中心に広まっていった。結果的に多くのソフトウェアがフリ−で作られる ことになり、一つの文化を形成していくことになる。コンパイラでも市販品よりも高性能 なものが出回ることになった。これはこれで非常に素晴しいことだ。本書でもふんだんに フリ−ソフトを用いている。しかしかなり自分に投資しないとこれらのソフトは使えない。 つまり自己犠牲を払って勉強したり、時間をかけたりしないと使えないのである。しかし このことがまた一つの文化を強調させることにもなった。色々めんどうみなければならな いUNIXは面白かったのである。 UNIXが文化として許されるには、大学や研究者での話しであり、それはそれで構わな い。しかしいったんコンピュ−タ会社がEWSとして売るのならば、これはエンジニアリ ング・ワ−クステ−ションでなければならない。企業のエンジニアが使いこなすことがで きるコンピュ−タでなければならないはずである。 Apollo はその点最初からそこをタ− ゲットにした設計がなされていた。 MS-DOS をかじった程度ですぐ使うことができたので ある。ネットワ−ク接続で悩む必要もなかった。おおよそやりたいと思うことは、そのプ ログラムやコマンドは入っていた。 不可解で重い X Window や Motif を勉強しなくても、 Dialogue を使って Motif などより、はるかに簡単にGUI画面を作ることができた。 Windows NT が俄然はびこってきた今、これまでのUNIXマシンは、 そのコンセプトを 問われる事態になったと考えるべきである。 NT がEWSよりも単に安いというだけでは ない。NT と比較するとEWSは非常に扱いにくいのである。 OSがタダうんぬんという 話しではなくなる。それに結局タダより高いものはない。これは苦労したエンジニアなら 十分認識したのでないだろうか。 Apollo は DN シリ−ズが97年末、他は99年末でサ ポ−トが打ち切られ世の中から姿を消す。現在では市販されてもいない。 Apollo のユ− ザ会でもこの話しは紛糾した。必ずしも優れたものが残るとは限らない。我々はいい夢を 見させてもらった、諦めるしかない。そんな話しに落ち着いたのだった。いやまだ私は諦 めるわけにはいかない。 Apollo の抜群の操作性とロ−カル・ネットワ−クの機能、 これに必要ならGUI環境も 加えれば、21世紀のデファクトEWSになることは間違いないことだ。インタ−ネット におけるIPアドレス枯渇の問題によって、IPアドレス変換が内部ネットワ−クでは当 り前になりつつある。と言うことは、インタ−ネットとの接続口をゲ−トウェイとして内 部ネットワ−クは何でもいいことになる。Apollo はその条件を十分満たしている。 もし Apollo のト−クンリングが 100 Mbps をサポ−トしさえすれば、 内部ネットワ−クの設 計に、頭を悩ませる必要は全くなくなる。Apollo は何百台、 接続しようとパフォ−マン スは落ちない。でかいファイルサ−バも必要ない。レイヤ3スイッチだとかVLANだと かも必要ない。必要な時に必要なだけ、 Apollo を買ってケ−ブルを継ぎ足していくだけ である。これでも Apollo は墓場に行くしか道がないと言えるだろうか。 米国HP社の深淵なる思慮を期待する。 * Apollo を一度みておかないといけない `2e/01 1つマシンを作っておかないと。レジストリデ−モンを独立して動かすようにして。どう すればいいか。忘れてしまった。自分の書いたあんちょこを見直してみないと。別にマシ ンを作る理由は、今の Apollo で完全にログインができなくなる可能性がある。マスタ− のレジストリデ−モンがちゃんと機能してないみたい。アカウントがイクスパイヤ−した と。ロ−カルレジストリのアカウント情報でずっと使っているのだ。パスワ−ドの有効期 限なんか設定してないんだが。昔から起きていることなのだが、3ヶ月か半年ぐらいログ インし直さないと、自分のアカウントでも root でもログインできなくなってしまう。今 一度 Apollo のアカウント管理をおさらいしてみないと。 ------------------------------------------------------------------------------------ [ 付録 ] いろいろ * Windows パソコンについて UNIXばかりけなしては可愛そうだ。Windows パソコンもけなしたろ。 MS-DOS は結構 使いやすかった。もう15年も前、NEC-9801E なんかのスクリ−ンエディタでガシガシと プログラムを書いたものである。その後も Turbo C なんかも使ったが快適だった。 それ が Windows になって、プログラミングが格段に難しくなった。 めんどうになったといっ た方がいいか。これはすべて GUI のせいである。 もはやユ−ザの企業サイドでプログラ ムするようなものではないと言える。それだけならまだしも、次から次ヘと出すOSにサ −ビスパック、新しい技術に独特な用語、Microsoft 社だけが悪いという訳でないが、正 直いってたまらん。 それでは使うのはどうか。これもはっきり言ってたまらん。ほとんどがマウス操作になっ てしまった。たまにポチポチやる程度ならマウスでいいが、そんなわけにいかない。年中 マウスばかり使っていると手も指も痛くなってくる。コンピュ−タへのインタ−フェ−ス は基本的にはキ−ボ−ドであるべきだ。キ−ボ−ドなら10本の指を使えるので、個々の 負担が少なくて済むのだ。マウスとキ−ボ−ドの使用割合を人間工学的に考えるべきであ る。今の Windows パソコンのように、 ダブルクリックの常時使用はとんでもないことで ある。それに、 いきすぎた GUI はかえって使いにくいものとなると認識すべきでもある。 提案として、DOS 窓をもう少し前面に出したらどうか。GUI 操作でなくても使えるように するのである。使い慣れてくるとその方が生産性は上がるはずである。 `2h/11/E に追記。 UNIXは Apollo コンピュ−タに比べても出来が悪いに違いないが、 UNIXよりもっとひどいのが Windows OSだ。 これは MS-DOS をつぎはぎで拡張して 行ったために、どうにもならない代物になってしまった。Windows 3.1 が世に出てからお よそ20年が経った。当初のできの悪さはそのままひきずったまま世界中にはびこってし まった。セキュリティホ−ルは無くならないと言うことは証明されているなんて開き直っ ている。どれだけ全世界で Windows OSのため無駄な労力が費やされているか。 ただ皆 が Excel、Word を使うからと言って使い続けるという愚行。 バ−ジョンによる互換性も 無いに等しい代物を使う意味はあるのか。真剣に考え直す必要があると思うのだが。 * BSD on Windows について こんなのがあるとは知らなかった。通称 BOW とか BOWPAD と呼ばれているらしい。 この ソフトは Windows OSの1つの画面で、 x86 版の BSD UNIX のバイナリをそのまま実行 できる。それだけなら面白くないが、何と DOMAIN/OS の PAD の機構を参考にして、作ら れているとこのことである。ず−っと作業履歴が残っているのだろうか。それなら非常に うれしい話しである。このソフトはアスキ−出版局が販売している。しかし雑誌はいろい ろ目を通していたが、まったく気付かなかった。 月刊 Super ASCII にどうも記事が掲載 されていたようである。Windows 3.1 用 Ver.1.0 '95/03、Windows 95用 Ver.1.5 '96/05。 参考 http://ux01.so-net.or.jp/~hide-t/bow/index.html。 * アポロコンピュ−タ化石館 http://apollo.pictinc.co.jp/apollo/ このサイト、Apollo コンピュ−タを扱った国内唯一のサイトである。 メ−ルをサイト本 人から頂いてはじめて知った。Apache や qmail などコンパイルしてインタ−ネット・サ −バとしてここでは使っている。上記のバイナリも配布してる。 さらに各国への Apollo サイトへのリンクもある。以前 gcc をコンパイルしようとして失敗したことがある。GNU のソフトの Apollo 対応版を見つけられなかったのである。リンク先を見たところ、何と か gcc 2.5.7 あたりコンパイルできそうである。また別な話しとして、Apollo で Linux を動かそうというプロジェクトもあることが分かった。ともかく小生にとって心強い味方 が現われたような気がして、少しうれしく思っている。 * Apollo 425t の電源部が壊れたかも `2e/01 電源のスイッチを入れてもうんともすんとも反応しない、いやちょっとだけフロントのラ ンプがついたかも。ともかくOSが立ち上がって来ない。これまで壊れてない 425t の電 源ユニットを外して付けてみた。立ち上がってきた。電源ユニットはネジを2つ外したら スポっと抜けた。壊れた方の電源ユニットを筆でファンの辺りのこびりついたほこりをと って掃除機ですった。試しにまた付けてみたら、何か電源ユニットは直ったみたい。内臓 時計をサ−ビスモ−ドにして合わせ、ノ−マルモ−ドにしてリセットボタンを押した。一 般ユ−ザでログインできたし root でもログインできた。親機との日付のずれが問題みた い。正常だった時に親機と子機425t の日付にしないとログインの有効期限から外れた。