DMZを設置しないといけない
インターネットと内部ネットワーク間の直接の通信は危険だ。要件1.4.1では,DMZを設置することを義務づけており,インターネットと内部ネットワーク間の直接の通信を禁止している。 1.4.1 すべてのトラフィックをフィルタリングおよびモニターし,インターネットからの,またはインターネットへの直接のトラフィックを禁止するため,DMZ を導入する 組織には一般的にWeb,メール,DNSなど外部に公開するサービスがある。外部に公開するサービスを内部ネットワークに配置すると,万が一,そのサービスが悪意を持った者により不正侵入を受け乗っ取られると,そこを踏み台にしてして内部ネットワークの他のサーバーに侵入されてしまうことになる。このような侵入を防止するため,外部と内部の中間的なセキュリティ領域を設ける。その領域をDMZ(DeMilitarized Zone,非武装地帯)と呼ぶ。(図4,図5)
第14回 TCPとUDP
前回は,現在のネットワークの基盤をなすネットワーク・プロトコルであるIP(Internet Protocol)と,LinuxカーネルのIPプロトコル・スタックについて解説しました。 IPというプロトコルでは,2点間のデータ通信の方法しか定義していません。例えば,送信元が送ったデータが送信先に届いていなくてもIPでは関知しません。あくまで,このホストからこのホストにデータを送るにはこうすればいい,ということだけ規定してあるのです。つまり,細かい通信の制御や信頼性確保などは別のレイヤー(トランスポート層)で実施することになります。 IPネットワークで利用される代表的なトランスポート層プロトコルが,「TCP」(Transmission Control Protocol)と「UDP」(User Datagram Protorol)です*1。 UDPは,IPをほとんどそのまま利用するだけのプロトコル
第13回 IPとルーティング
最近,あるBlogサイトで,「Linuxカーネルのドキュメントは少ないし,あったとしても古い」とか「一般に告知されずにシステム・コールなどが変更される」といった問題が指摘されているのを目にしました。 確かに,Linuxはドキュメント整備が不十分で,カーネルについてもそれが言えます。ソース・コードに当たれば良いという部分もあるのですが(私はしばしばそうします),手間がかかりますし,なぜその変更が加えられたかの経緯などは読み取れない場合がほとんどです。最終的にメーリング・リストのアーカイブを調べなければならないことも多く,ドキュメント整備の重要性を痛感します。 付属文書の整備に直接つながるわけではありませんが,微力なりとも本連載が,カーネルに興味を持たれる方の力になれれば幸いです。 さて,前回はLinuxのネットワーク機能の概要について解説しました。そこでは,ソケットという仕組みにより,ファイ
歴史的PIアドレス
「歴史的PIアドレス」とは,商用のインターネットが本格化する1995年以前に,プロバイダを介さずに国際的なIPアドレス管理機関からユーザーが直接割り当てを受けたIPアドレスのことである。PIは「provider independent」の略で,「歴史的プロバイダ非依存アドレス」とも呼ばれる。現在,古い時代に配布されたIPアドレスで,管理者不明の状態を解消するために,国内のIPアドレス割り当て組織であるJPNIC(日本ネットワークインフォメーションセンター)がこの歴史的PIアドレスを回収しようとしている。 現在,インターネット上で利用するIPアドレスは,JPNICから指定を受けた「IPアドレス管理指定事業者」がユーザーに配布する体制をとっている。つまり,ユーザーがIPアドレスを使いたいと思ったときは,JPNICから指定を受けたプロバイダ経由でIPアドレスを割り当ててもらう。歴史的PIアドレス
まつもと直伝 プログラミングのオキテ---目次 - まつもと直伝 プログラミングのオキテ:ITpro
第0回 あらためてRuby入門 まつもとゆきひろ氏自身による「Ruby入門」をお届けします。日経Linuxの連載開始前の特別企画(2005年4月号)として,Rubyが他のスクリプト言語やオブジェクト指向言語とどこが違うのか,なぜ便利なのかを中心に解説してもらったものです。 ● 基本と他言語との違い ● 実装とRuby誕生の秘密 第1回 プログラミングとオブジェクト指向の関係 プログラマを目指す人々の中にも,「オブジェクト指向は難しい」とか,「なかなか分からない」という印象を持つ方が多いようです。そこで,Rubyを題材にオブジェクト指向という考え方について説明していきます。 ● その1 ● その2 ● その3 第2回 抽象データと継承 オブジェクト指向プログラミングを構成する3原則のうち,前回は「ポリモーフィズム」を学びました。今回はオブジェクト指向の歴史を復習した後,残りの「データ抽象」と
トリアージ
トリアージとは,ウイルスが侵入するといったセキュリティ上の脅威が社内で発生したときに,復旧作業をする対象や優先順位を決める作業のことである。いきなり復旧作業に取り掛かるのではなく,まず作業の対象や優先順位を決めることで,より早く確実に元の状態に復帰させることを目指す。 トリアージという言葉はもともと,医療現場において患者を緊急度に応じて分類する作業を指す言葉として使われていた。地震などの災害で多数の負傷者が発生したときに,限りある医者や薬品を有効に活用することが目的である。緊急度に応じた順序で処置することで,なるべく多くの負傷者の命を救うことが目的である。 このトリアージという言葉が,2007年くらいからIT業界の中の特にセキュリティ分野で使われるようになってきた。ウイルスが侵入したときの復旧作業が,災害時の医療現場とイメージが似ているからである。災害時の救急処置と同様,まず最初に復旧対象
本当に遅い? 仮想化のディスクI/O性能
飯島 徹 日本ヒューレット・パッカード 「仮想化はI/Oに弱い」――。標準化団体のPCI-SIGが仕様策定作業を進めている「I/OV(I/O Virtualization)」やその周辺の技術が確立され,実装されるまでの間,これは事実として存続するであろう。 しかしながら,人によって解釈が異なり,誤解も含まれているのもまた事実である。「I/Oのどの部分が,どれくらい弱いのか」について,具体的に言及している技術資料はあまりない。そこで本稿では,「仮想化はI/Oに弱い」という具体的な理由を探るべく,「ディスクI/O」に焦点を絞っていくつかの検証を実施した。 仮想化環境におけるディスクI/Oの負荷とは 検証の対象を整理するために,まず仮想化環境におけるディスクI/Oの負荷を分解してみた。説明が少し長くなるが,仮想化環境におけるディスクI/Oの特性を理解する上でも役立つので,よく読んでおいてもらいた
おとなりのネットワーク,気になりませんか?
自社と規模の似た企業のネットワークがどのようになっているのか,気になることはないだろうか。おとなりの企業がどのような考えで,どのようなネットワークにたどり着いているのかがわかれば,自社の企業のネットワーク構築にも役立ちそうだ――。 そうはいっても,実際にほかの企業を訪問してどのようなネットワークになっているかを聞く機会は,普通の企業にはほとんどない。ベンダーは最新のネットワーク事情を説明してくれるが,それは最先端の事例が中心。普通の企業がどのようになっているかまではなかなか見えてこない。匿名に近い形で,お互いの手の内を見せ合うことができればいいのだが,と考えている方も多いはずだ。 ここまで読まれて,それこそがメディアの仕事ではないかと思われた方もいらっしゃるだろう。まさにその通り。手前味噌で恐縮だが,日経NETWORKは,そのような要望に応えて企業ネット構築の情報を共有できるようにするため
プロマネに贈る「泰蔵の一日一句」---目次:ITpro
プロジェクトマネジメントの重要性は言うまでもないが、PMBOKなどの知識体系を習得するだけでは不十分である。そこで本連載では、国内外の官公庁や、金融関連企業の大規模システム開発に携わった経験を持つ筆者が、プロジェクトに臨む関係者に伝えたい思いを、1日1句の形で紹介していく。 <目次> 要求に潜むあいまいさ(1~7日目) 要求に潜むあいまいさ(8~14日目) 見積もりリスクにご用心(15~21日目) 見積もりリスクにご用心(22~28日目) 金額より見積もり条件(29~35日目) 金額より見積もり条件(36~42日目) 無理な契約・受注に要注意(43~49日目) 無理な契約・受注に要注意(50~56日目) 課題山積みの要求仕様確定(57~63日目) 課題山積みの要求仕様確定(64~70日目) 仕様確定・凍結の大切さ(71~77日) 仕様確定・凍結の大切さ(78~84日) プロジェクト推進計画
仮想マシン移行時のセキュリティを考える
今回は「Xensploit」というぜい弱性について取り上げる。その謎をひも解くヒントは,最新のデータ・センター技術,セキュリティの詳細な調査,巧みなネーミングの三つだ。 読者に知っておいてほしいのは以下の内容である。 ミシガン大学の研究グループが最近,稼働している仮想マシン(VM)を移行させる「ライブ・マイグレーション」(関連記事「Xenによる仮想化システム構築術:第4回動的に仮想マシンを移動し可用性を向上」)のセキュリティに関する論文を発表した。ライブ・マイグレーションとしては仮想化ソフト「VMware」のVMotion機能,「Xen」のmigrate機能などを取りあげている。この論文は,ライブ・マイグレーションのプロセス全体について広範なセキュリティ分析を行っている。中でも重点を置いているテーマは,同グループが開発したコンセプト実証(PoC)ツール「Xensploit」である。攻撃者が
最強のパスワードを作る
単に長いだけ、複雑なだけの文字列は「最強のパスワード」とは呼べない。破られる心配はないものの、作るのは大変だし、管理できないからだ。ユーザーが負担なく作成・管理できて、それでいて破られにくい---。それこそが、本当の「最強のパスワード」だ。 目次
基本対策2:Windows標準のしくみでP2Pソフトの実行を禁止する
P2Pソフトをパソコンで勝手に起動させない方法として,今回はWindowsが標準で備えるしくみを使った2通りの方法を紹介しよう。 まずは「ソフトウエア制限のポリシーで実行を禁止する方法」から。これには「ローカル セキュリティ設定」というツールを使う(図3-1の(1))。ツールを開いたら,ウインドウ左側の「セキュリティの設定」のツリーから「ソフトウェア制限のポリシー」を開き,「追加の規則」の上で右クリックする(同(2)と(3))。開いたメニューから「新しいパスの規則」か「新しいハッシュの規則」を選ぶことで禁止したいプログラムを指定できる(同(4)と(5))。 例えばWinnyの場合なら,止めたいプログラム名としてwinny.exeを登録し,それぞれのバージョンに合わせたハッシュ値も登録しておくと,二重の対策になるのでお勧めだ。おもなP2Pソフトのファイル名とハッシュ値については,表3-1に掲
「サーバーコアへの.NET Frameworkの追加も検討中」,Windows Server 2008開発統括者が明かす
「Windows Server 2008のサーバーコアに,.NET Frameworkも追加したいと思っている。実現時期は言えないが,.NET FrameworkとWindows GUIの依存関係を無くす必要があるので,.NET Frameworkの新バージョンが必要だろう」--米MicrosoftでWindows Server 2008の開発を統括するGeneral ManagerのBill Laing氏は2008年2月27日(米国時間),ITproの取材に対して同OSのロードマップを明らかにした。 Windows Server 2008は,徹底したコンポーネント化が図られたサーバーOSであり,「サーバーコア」というインストール・オプションを利用すると,「ドメイン・コントローラ」や「ファイル・サーバー」,「DNSサーバー」などの機能に特化し,不要な機能はWindowsのGUI(グラフィッ
TCP/IPの設定を確認する「ipconfig」
パソコンやサーバーの挙動がおかしいときなど,ネット設定を確認したいことがあります。このような場合はipconfigコマンドを使うと便利です。 パソコンやサーバーが現在使っているIPアドレスなどの設定値を調べるには,「ipconfig」と実行します。これで,パソコンに割り当てられているIPアドレスなどの設定情報が表示されます。もっと詳しい情報を表示させるには,以下のように「/all」というオプションを付けて実行します(図1)。これで,IPアドレスのほか,サブネット・マスク,デフォルト・ゲートウエイ,DNSサーバー,DHCPサーバーなど,そのパソコンやサーバーがIPネットワークで使っている設定情報が列記されます。 ipconfig /all トラブルが起きやすいのは,DHCPサーバーから設定情報を自動的に割り当ててもらうようになっているときです。ノート・パソコンを持ち運んで別のネットワークにつ
危険なクライアントを排除し,ネットワークを統制---NAP(Network Access Protection)
危険なクライアントを排除し,ネットワークを統制---NAP(Network Access Protection) Windows Vista Security IN & OUT 事件と課題から考えるWindows Vistaのセキュリティ(第11回) 前回まで,Windows Vista単体のセキュリティ機能を主に紹介してきた。ただ,ネットワークの管理者としては個々の端末ではなくネットワーク全体の安全性を考えなければならない。そこで配慮したいのが,セキュリティ更新プログラムが適用されていないなどの管理不十分な端末や,そもそも管理の及ばない持ち込み端末である。セキュリティ・レベルが低い端末が1台接続されるだけで,ネットワーク全体の安全性は簡単に低下してしまう。 こうした事態を防ぐための仕組みが,Windows VistaとWindows Server 2008に実装されている「NAP」(Ne
第11回 トランザクション処理に詳しくなろう
富山県高岡市 株式会社イーザー副社長。昔は1月初旬に積雪がないと「いい正月やね。雪なーて」と富山弁であいさつしたものだが,現在は地球温暖化を目のあたりにするようで不気味だ。でも,会社まで公共交通機関はなく,雨やときおり雪が降るので車で通勤している。徒歩や自転車に変えなければと思うのだが,冬場はやはり億劫だ。 「トランザクション処理は関連する複数の処理をまとめて,一つのユニットとして実行する処理方式です」──データベースの入門書にはたいていこんな風に書いてあります。 説明用の最も多い図解が,図1のような銀行の口座間の振替処理ではないでしょうか。Aさんの口座から5万円出金した後で,何らかの原因でBさんの口座に入金することができなかったら,5万円が宙に浮いてしまいます。 トランザクションとして一つのユニットとして実行することで,更新処理をALL or Nothingの状態にできるので,中途半端な
Part4 LINQで変わるデータベース開発
LINQ(Language Integrated Query:統合言語クエリー)は,C# 3.0およびVisual Basic 9.0で追加された,データを抽出するための新しいプログラムの記述方法です。LINQの特徴は,簡単な記述でデータの集合から「必要なデータ」の「必要なメンバー」のみを「必要とする順序」で取り出せるところにあります。 (注意:本記事はVisual Studio 2008のベータ版をベースに執筆しています) LINQのプログラムを見てみよう まずは,簡単なサンプル・プログラムを作成してLINQの動作を確認してみましょう。Visual Studio 2008(以下,VS2008)でコンソールアプリケーションのプロジェクトを新規に作成し,リスト1のようなプログラムを記述してください。プログラムを実行すると,Genderの値として1を持つデータがAgeの値が小さい順に以下のよう
どうする? 企業情報システムの「JIS X 0213:2004」対応
2004年に制定された最新の文字コード規格「JIS X 0213:2004(通称:JIS2004)」。このJIS2004に対応したWindows Vistaがリリースされて,早1年が経過した。JIS2004は,フォントやIMEの普及に合わせて,消費者に順調に浸透している。しかし,消費者からのデータを受け取る企業情報システムの側では,JIS2004への対応が進んでいないのが実情だ。なぜJIS2004への対応が進まないのか。その現状をまとめてみよう。 ・第1回:進まないJIS2004への移行,その原因は? ・第2回:C#プログラムでサロゲート・ペアの動作を検証する(前編) ・第3回:C#プログラムでサロゲート・ペアの動作を検証する(後編)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
完全理解!仮想化テクノロジ---目次
仮想化は甘くない