神戸セキュメロ第４回 ＳＯＨＯネットワークの基礎 運用を考慮しての構築について 表紙です。 ２００８年５月ｘｘ日 田中　英敏

２．ＭＳＰの有効利用とセキュリティセグメント分割 ３．冗長化の考え方 ４．保守の考え方 ５．安価な構築のコツ ６．質疑応答 －目次－ １．ＳＯＨＯネットワークを取り巻く環境 ２．ＭＳＰの有効利用とセキュリティセグメント分割 ３．冗長化の考え方 ４．保守の考え方 ５．安価な構築のコツ ６．質疑応答 目次です。

× × １．ＳＯＨＯを取り巻く環境 情報 伝える価値 伝えない価値 ＳＯＨＯの環境はインターネットをどれだけ有効活用するかが命題になると思います。 情報に価値が有りそれを交換するからシステムになる。 しかし、そこにセキュリティを持たないとシステムで無くなります。 ならばどう使うか？どう危険回避するか？がノウハウになると考えます。

２．ＭＳＰの有効利用とセキュリティセグメント分割 ＳＯＨＯ【小規模拠点】 中 インターネット 弱 ＰＰＴＰ　拠点間ＶＰＮ等 バリアセグメント ＷＷＷ／Ｍａｉｌ他 ファイアウォール ＤＭＺ ログ 拠点間連絡用 内部セグメント 中 ファイルサーバ ＭＳＰ事業者 ルータ ワイドＬＡＮ他 一般的なインターネット接続の図になります。インターネットに対してファイアウォールを介して通信します。 情報交換で互いのサーバが必要な場合はＤＭＺに置いたりします。 ＶｏＩＰの代わりにＳｋｙｐｅを使う等、便利に使う手段は幾らでも有ります。 ＳＯＨＯでの問題は運用です。 このインターネット接続部分やファイアウォールを含むサーバ部分をＭＳＰ事業者に委託し、ＳＯＨＯ側はよりセキュアな 部分を使うという場合も有ります。 また、内部側に守られてない小規模のＳＯＨＯはファイアウォールとの暗号化通信（ＶＰＮと言います）を通じてファイアウォールの 内側へのアクセスを行うという手も有ります。セキュリティは落ちますがコストが低く抑えられます。 ここでの注意点は大規模や中規模拠点のセキュリティは小規模拠点よりも堅牢に作るのがポイントです。 ルータはフィルタリングルータやファイアウォールとした上で 「必要な情報以外は置かない」 という事がセキュリティの基本になります。 ＭＳＰ事業者との間のルータもフィルタリングルータやファイアウォールで構成する事でより堅牢となります。 情報セキュリティで当方が気をつけているのは 「置かない」「見せない」「サービスしない」「繋がない」「価値を持たせない」 です。 余談ですが運用コスト等を考慮した場合、ＭＳＰ事業者よりもバリオセキュアネットワークス等がサービスしている 「サービス料金込みのレンタルファイアウォール」 が安い場合にはそちらを使うという手も有ります。 技術者の多くは「運用コスト」を忘れがちです。自分が出来るから他人も出来るだろう。 自分に簡単だから他人にも簡単だろう。果たしてそうでしょうか？ 費用を抑えて効果を出す事は大切です。しかし運用を忘れるとファイアウォールも効果を発揮しません。 人と機械の有機結合体がシステムであるという認識。これもシステム構築の基本です。 ルータ ファイルサーバ/プリンタサーバ 強 ＳＯＨＯ【中規模拠点】

３．冗長化の考え方 ルータ ルータ セグメントＡ ルータ ルータ セグメントＢ セグメントＤ ルータ ルータ セグメントＣ ルータ ルータ フロアスイッチングＨＵＢ　Ａ系 スイッチングＨＵＢ 冗長化の一番基本は迂回ルートです。インターネットの基本もこれになります。 動的ルーティングという手法を用いています。 要素技術となるＲＩＰ・ＯＳＰＦ等は割愛します。 また、ＨＵＢについても同様です。 スパニングツリー等の手法を用いて冗長構成を実現したりします。 この進化系としてのVSRP/VRRP/NSRP/HSRP等の要素技術も割愛します。 どう使いたいかを言えばベンダが勝手に考えてくれます。 自分自身で組む場合には勉強してみましょう。 スパニングツリー 優先順位低 フロアスイッチングＨＵＢ　Ｂ系

４．保守の考え方 安価な製品 保守契約の代わりに代替品を 償却の考え方 5年サイクル 故障率 償却 機器導入 0～5年と 6～10年は 稼動期間 5年サイクル 障害発生確率 0年 5年 10年 15年 初期障害 故障率 年数 通常はこの範囲内にシステムサイクル を抑える事で障害発生確率を低減する。 0～5年と 6～10年は 障害確率が3倍程度 これも忘れがちですが 「機器は必ず壊れます」 形有るもの・・・という事をよく言われるから～という事ではなく半導体自身が 「血管壁の薄くなったメタボリックな人」 であり電流自身が 「高血圧の血流」 であるという事を忘れがちという事です。 機器の温度を下げる等の配慮は勿論の事、その機器の寿命を考慮した上でのシステムサイクルを考えておきましょう。

５．安価な構築のコツ （１）安価な家庭用機器の利用 （２）安価な中古機器の利用 （３）一般の個人向けサービスを利用 　　→ＮＡＴ付き簡易ファイアウォール付きルータ等 　　　事前にベンダに利用方法に対して利用可／不可を確認下さい。 （２）安価な中古機器の利用 　　→例えばギガビットＬ３スイッチで１３０万前後の機器が某ネットオークション 　　　の相場で３０００円という事です。これは一般の企業で５年経過した機器が 　　　交換時期を迎えて売買されているためです。 　　　半導体機器の５～１０年の３倍の機器故障を前提で安価に利用可能です。 　　　（２４ポートのＬ３ＨＵＢが冗長構成を取っても６０００円という考え方） （３）一般の個人向けサービスを利用 　　→例えば社内の内線をＳｋｙｐｅ利用とか、某Ｙサイトをグループウェアとして 　　　社内利用とかで個人向けサービスを有効活用します。 　　　（ＭｙＳＱＬについては販社に問合せ下さい。個人では無償で利用出来ても 　　　　企業利用では有償になるケースが有ります） ＳＯＨＯであれば安価なシステム構築を求められると思います。 しかし機能を削ってしまっては構築した後の利便性や構築自身の意味が無くなったりします。 そこで一般の企業が普通使わない手法での構築のコツを書いてみます。 （１）安価な家庭用機器の利用 　　→ＮＡＴ付き簡易ファイアウォール付きルータ等 　　　事前にベンダに利用方法に対して利用可／不可を確認下さい。 （２）安価な中古機器の利用 　　→例えばギガビットＬ３スイッチで１３０万前後の機器が某ネットオークション 　　　の相場で３０００円という事です。これは一般の企業で５年経過した機器が 　　　交換時期を迎えて売買されているためです。 　　　半導体機器の５～１０年の３倍の機器故障を前提で安価に利用可能です。 　　　（２４ポートのＬ３ＨＵＢが冗長構成を取っても６０００円という考え方） （３）一般の個人向けサービスを利用 　　→例えば社内の内線をＳｋｙｐｅ利用とか、某Ｙサイトをグループウェアとして 　　　社内利用とかで個人向けサービスを有効活用します。 　　　（ＭｙＳＱＬについては販社に問合せ下さい。個人では無償で利用出来ても 　　　　企業利用では有償になるケースが有ります）

６．質疑応答 セキュリティよりも構築寄りになりますが 「こうしたいけどどうすれば？」 という部分について判る範囲で質疑応答したいと考えます。 尚、セキュリティの部分については諸先生方にアドバイスを頂ければと思います。