解 決 の カ ギ は 、 i i j . n e w s と I I J ネ ット ワ ー ク ソ リ ュ ー シ ョ ン 。 FOCUS 「IIJ マネージド IPS サービス」のご紹介 SOLUTIONS ユーザ導入事例 株式会社ファンケル IP TECHNOLOGY インターネットと計測技術(第 1 回) SHORT ESSAY 葡萄畑 iij.news septemberoctober 2006 78 S H O RT E S S AY 不正侵入防御機能を実装した「IIJマネージドIPSサービス」を提供開始 CONTENTS 葡萄畑 SHORT ESSAY・・・・・・・・・・・・・・・・・・・・ p2 夜明けに目覚め、コーヒーをいれ、机に頬杖をついて、窓の外を眺めながら、クーラーも IIJは、社内ネットワークへの不正アクセスを検知し、リアルタイムに攻撃を遮断 にIPS機器を設置することで、社内外からの不正アクセスを未然に防御し、社内 するIPS(Intrusion Prevention System)機能を実装した「IIJマネージドIPSサービ ネットワークの安全性を確保いたします。また、IIJが提供するサービスと組み合 ス」を、2006年7月3日より提供開始いたしました。 わせてご利用いただくことにより、セキュアなネットワーク環境をワンストップで つけず、小一時間ほど、ひたすらぼんやりする。そんな習慣がついて長い。夏の終わりを、 葡萄畑 いち早く知らせるのが、夜明けである。 8 月も後半になると、日に日に夜明けが遅くなる。 9月生まれの私は、夏が終わると、すぐに年をとる。インターネットの世界は、若い。日々、 TOPICS ・・・・・・・・・・・・・・・・・・・・・・・・・ p3 不正侵入防御機能を実装した 「IIJマネージドIPSサービス」を提供開始 「IIJ SMFサービス」の機能を拡張し、 各種ネットワークサービスへの対応を拡充 バックボーンを増強 ご提供いたします。 「IIJマネージドIPSサービス」は、お客様の社内に設置したIPS機器において、 ネットワークに流れる通信を常時監視し、不正な攻撃を検知しリアルタイムに遮 I I J で は 、従 来 、社 外 から の 不 正 アク セ スを 検 出 す る I D S( I n t r u s i o n 断することで、サーバやネットワーク環境を防御するサービスです。IIJのセキュ DetectionSystem)機能を実装した「IIJネットワーク侵入検知サービス」を提供し 年齢に関係する症状も自覚される。明け方読んだ文献の内容を、オフィスに着く頃にはすっ リティエンジニアが、サービス導入前にお客様の環境に合わせた最適な設定を ておりましたが、今回新たに、IPS(不正侵入防止)機能を追加した「IIJマネージド かり忘れてしまっていたり、パーティで馴染みのある人と会っても、名前だけが浮かばな 行うほか、24時間365日の不正アクセス監視を行うことで、お客様は余分なコス IPSサービス」を開始することにより、セキュリティサービスのラインアップを かったり、そんなことは、日常茶飯事のことである。一方で、忘れることに対して、だんだ トや手間をかけずに、手軽に不正アクセスの侵入防御を実現できます。本サー 大幅に強化します。 ん強気になってくる。忘れることに慣れてしまうのだ。それは、悪いことでもない。人間 ビスは、IPS機器として、世界で数多くの実績を誇るインターネットセキュリティ 若い人たちと一緒にいると、自分の年齢に対する自覚がなくなって、老いの感覚は他人事な のだが、この時期だけは、それなりに年齢を考えたりする。若い頃と違って、明らかに、 のディスク容量だって、無限ではないのだから。消去があって当たり前である。問題は、昔 のデータベースだけは消去できずに、新たなデータだけが、消えやすいことである。 システムズ社(ISS)のProventia GXシリーズを採用いたします。インターネットと ◎詳細は本号のFOCUS「IIJマネージドIPSサービス」 (P4) をご参照ください。 社内ネットワークの境界点だけでなく、社内LANやWANなどの内部ネットワーク F O C U S・・・・・・・・・・・・・・・・・・・・・・・・・・p4 ここ 15 年ほど、夏休みをとっていない。夏休みの記憶といえば、ずいぶんと昔の話になる。 不正侵入やサービス妨害攻撃、異常な通信を検出し、防御する 「IIJマネージドIPSサービス」のご紹介 それも、子供の頃の夏休みばかりが鮮烈な記憶となってくる。夏の暑さが無限のような長い 時間と共にあった時代である。西瓜を食べ、昼寝をして、寝ぼけながら外の陽射しを感じる。 時が静止したような夏の午後、そんな感覚を思い出す。オフィスで細切れに時間を使ってい SOLUTIONS ・ ・・・・・・・・・・・・・・・・・・・・・・p 6 株式会社ファンケル ∼手軽に導入できる「IIJ迷惑メールフィルタ」 で スパムの99%を遮断し、顧客対応を効率化∼ IP Technology ・ ・・・・・・・・・・・・・・・・・・・・・p8 インターネットと計測技術(第1回) るうちに夏が終わる今の生活に、「夏」の思い出が残るはずもない。 IIJは、8月3日より、IIJ独自のネットワークマネージメントソリューション「IIJ SMF なネットワーク環境での集中管理が可能となります。また、今回のIIJ SMFサービ で広がる葡萄畑のシャトーに泊る。燦燦と照りつける葡萄畑の午後は、明るすぎる夏の陽の サービス」 ( )の機能を大幅に拡張し、各種キャリアの閉域網サービスやDHCP スにおけるセキュリティ機能強化に加え、今後も更なるアプリケーション機能の 光だけが時間と静寂を支配している。葡萄畑が一望できる庭先の椅子に座って、ワインを 型(*2)の他社ISPサービスへの対応を開始いたしました。これにより、IIJ SMF 拡張を行っていく予定です。 飲んでいると、ワインを飲んでいることすら忘れて、静止したような時間にあらゆる意識が サービスのネットワーク対応の幅が広がり、あらゆるネットワークサービスにおい 富豪の知人に招かれて、7月の初め、ボルドーに行く。たった一日の滞在だったが、地平線ま 溶かされてしまう。太陽のゆるやかな運行に身を任せて、夕暮れまで座り続ける。凡てが 空白になって、素晴らしい時間があった。時間にすれば、数時間ほどなのだが、その数時間 だけが、私の夏休みだったような気がする。それは、子供の頃の無限に時間のあった夏と INFORMATION・・・・・・・・・・・・・・・・・・・ ・p10 「IIJ SMFサービス」の機能を拡張し、各種ネットワークサービスへの対応を拡充 *1 て、設定作業の手間をかけることなく、SMFを利用した容易なネットワーク管理 を実現します。 似た感覚を久し振りに思い起こさせてくれた。 今回新たに追加した機能は、以下の通りです。 ディナーの前に、部屋に戻ってシャワーを浴びる。唐突に、壊れかけたデータベースが働い 「CEATEC JAPAN 2006」出展のお知らせ たのか、別の回路が動く。1453年7月17日、シャルル7世の軍がボルドー近辺のカスティヨン でイングランド軍を破り百年戦争が―――、受験勉強の名残だろうか、記憶へのランダム アクセスは不思議である。ボルドーに来たのだから、モンテーニュの城館に行って見たい 等々、旅行らしい思いが浮かぶのだが、たった一日、それも昼に着いて、翌日のフライトで IIJが取り組んでいるセキュリティ関連活動 SLA遅延時間の実績 パリに戻る日程では、望むべくもない。次の日、夜明け前に目覚める。どこまでも広がる IIJバックボーンマップ 気は透明でひんやりして気持ちがいい。同じ散歩でも、旅先の朝は違う。 (*2)IPアドレスを固定的に割り当てるのではなく、ネットワーク接続時に自動的に IPアドレスを割り当てる仕組み。 ● 管理用PPPoEアカウント設定機能を追加 ● DHCP型の他社ISPサービスに対応 ● Winnyフィルタ機能を追加 (2006年10月対応予定) ● MACアドレスによるフィルタ機能を追加 (2006年10月対応予定) 葡萄畑の先に、教会の尖塔が見える。尖塔を目指して歩き始める。陽が射す前に作業を終え ようとしているのか、葡萄畑では、一列に並んで作業をしているグループがある。朝の大 GLOBAL NETWORK・・・・・・・・・・・・・・・・p12 盤としたサービス。ネットワークの設定・管理・保守までを一元的に管理する。 「SMF」は2006年3月に特許取得(特許第3774433号) 。 「IIJ Technical Week 2006」開催のご案内 「IIJセキュリティセミナー」 (大阪・名古屋) 開催のご案内 (*1)IIJ独自の集中管理型ネットワークマネージメントシステムである「SMF」を基 お問い合わせ先: IIJインフォメーションセンター URL:h t t p : / / w w w . i i j . a d . j p / TEL:0 3 - 5 2 0 5 - 4 4 6 6(土日祝日除く9 : 3 0 ∼ 1 7 : 3 0 ) E - m a i l:i n f o @ i i j . a d . j p 従来IIJ SMFサービスでは、NTT東西地域会社のBフレッツおよびフレッツ・ ADSL、アッカ・ネットワークスのADSL回線に対応し、主にインターネットVPNに パリは、気温38度。夏でも冷房の要らなかったパリではない。湿気がないので、日陰に入れ おけるネットワーク集中管理を実現していましたが、今回新たに各種ネットワーク ば涼しいのだが、それにしても暑い。近頃は、保守的なパリのホテルも、簡単にインター サービスへの対応を強化することにより、IP-VPN等の閉域網を初めとした様々 ネットへのアクセスができるようになっている。部屋に戻った途端、日本モードに変換である。 ボルドーでは、インターネットを使わないことで、日常とは異なった時間を過ごせたのが、 インターネットにアクセスした途端に、意識は東京の日常に戻ってしまう。せめて、夏の休み くらいは、インターネットと繋がらない環境がいい。インターネットは、時間も空間も圧縮 して、その密度だけを濃くして、凡てをのっぺらぼうにしてしまうのではないか。そんな ことを考えながら、ホテルの机に向かって、メールを処理し、ウエブを開いていた。 2 バックボーンを増強 右記の通り、バックボーンを増強いたしました。 8月1日 新設 東京 − IIJ Sa nJ os e D C S TM -16 株式会社インターネットイニシアティブ 最新のバックボーン情報は下記URLをご覧ください。 9月1日 増速 IIJ N ew York D C − II J P al o A lt o S TM- 16 代表取締役社長 URL:h t t p : / / w w w . i i j . a d . j p / n e t w o r k / 9月6日 新設 IIJ N ew York D C − II J Lo s A ng el s D C S TM-1 6 鈴木 幸一 3 不正侵入やサービス妨害攻撃、異常な通信を検出し、防御する 「IIJマネージドIPSサービス」のご紹介 ■はじめに ような状況が依然として続く理由はいったいどこにあるのでしょうか。もちろん各 2006年7月、IIJは「IIJネットワーク侵入検知サービス」を拡充し、 「IIJマネージド ユーザによって個別の事情がありますが、共通する大きな理由は二つあると考え IPSを導入した結果、誤検知などにより社内の業務効率低下やWebサイトのト とが予想されます。 IPSサービス」をリリースいたしました。 られます。 ラブルを招くということでは意味がありません。IIJマネージドIPSサービスでは これらのリスクに対して継続的に効果的なセキュリティ対策を行うには、どうす 従来の「IIJネットワーク侵入検知サービス」では自動検知と連絡のみを行ってき 一つには対策の効果の不明確さの問題、二つ目には対策を行う負荷の問題です。 サービスインの最初の1ヶ月程度は試験期間として検知機能だけの提供を行い ればいいのでしょうか。 ましたが、今回のサービス拡充により自動検知機能に加え自動防御機能を付加 まず、一つ目の問題についてですが、セキュリティ対策の特徴として、実行したこと ます。その結果、誤検知が発生した場合は該当の通信を許可する設定に変更 し、より高いセキュリティレベルを保つことが可能となりました。 がすぐに目に見える形で結果が出てこない、さらには、業務効率を上げるような した上で実運用に移行します。また設定変更作業を含めたフルアウトソースサー 確かにファイアウォールやIPS機器など局所的なセキュリティ対策により一定の プラスの面がはっきり見えるIT投資にはならないということが挙げられます。 ビスとなっているため、実運用期間中にも随時ポリシーの設定変更を承ります。 リスクの軽減が見込まれますが、それらの局所的対応で回避できるリスクにも限 ● 社内の業務効率やWebサイトの機能に影響を与えない ルな広がりの中で、情報資源に対するリスクは一層高度化、広範囲化していくこ ◎ IPSとは むしろ、業務の自由度を制限する (ノートPCの管理、サーバへのログイン権限の IPS(Intrusion Prevention System) というものをご存知でしょうか。 管理、通信機器のポリシー設定等) ことの方が多いと言えます。 IPSとは、サーバやネットワークに対する不正なアクセスを検知・防御する目的を その結果、他のIT投資と比較しセキュリティ対策に対するユーザのモチベーショ 保護したいサーバ群の前にIIJマネージドIPSサービスを導入いただくことに つまり、効果的なセキュリティ対策を実現するには、①リスクに対して効果的な対 持ったツール一般を指します。当初、IPSの目的はサーバへの攻撃、不正侵入の ンが上がらないということが考えられます。 より、サーバのOSやアプリケーションに対する脆弱性対応を補充的に行うこと 策を②必要十分な範囲で③全体的に行う、ということが求められると考えられます。 が可能です。脆弱性が発見された後、メーカやベンダからパッチが提供される IIJでは、これらの脅威に対し効率的かつ全般的に対応するため、DDoS対策 二つ目には、対策の負荷の問題があります。 までのいわゆる「ゼロデイアタック」を防ぐとともに、セキュリティパッチの サービスや、迷惑メール対策サービスなどの数々のセキュリティラインナップを ユーザがセキュリティ対策を施そうとした場合、各サーバにどのようなソフトウェ 検証等のユーザ側対応作業が終了するまでの間、脆弱性をついた攻撃から とりそろえています。 本来であればこのような通信の制御はファイアウォールによって行われるべきで アがインストールされているかを調査した上で、そのバージョンやパッチの有無 サーバを守ります。 IIJマネージドIPSサービスだけでなく、他のIIJサービスを併せてご利用いただく すが、クラッキング技術の高度化、Winnyに代表されるP2Pソフトなどのアプリ 等を管理する必要があります。さらに脆弱性対応がなされたパッチをインストー ケーションの進歩にファイアウォールの機能拡張のスピードが追いつかないという ルした後、問題なく動作するかどうかの確認まで行わなければなりません。こう 以上のような機能により、セキュリティ対策の効果の不明確さと対策の負荷と のが現状です。また、動画・音声等のアプリケーションが広まるにつれて、ファイア いった対応作業は脆弱性が発見されるたびに行う必要があり、サーバ管理者に いう二つの問題点をクリアし、実用的かつ必要十分なネットワークセキュリティ IIJマネージドIPSサービス含め、セキュリティ対策の検討事項等ございましたら、弊 ウォールで全ての通信の制御を行うことは処理能力の上でも限界に達しています。 大きな負担としてのしかかります。このような作業を行う負荷、バージョンアップ の提供を行うことが可能になります。 社営業担当者もしくは弊社お問い合わせ窓口までお気軽にお問い合わせください。 検知、防御に限られたものでした。しかし、現在ではこのような目的に加え、社 内外からの特定アプリケーション通信の制御も求められるようになってきています。 界があります。例えばDDoS攻撃やSPAMメールによる業務への悪影響等はファ ● サーバの脆弱性対応の補充的役割を果たす イアウォールやIPSでは完全に防ぐことはできません。 ことにより、より高度なセキュリティ対策を施すことが可能となるのです。 のリスク、コストがセキュリティ対策が進まない二つ目の理由です。 ■さらに効果的なセキュリティ対策を行うには 株式会社インターネットイニシアティブ ②情報資源の最大限の活用、という目的を達成するためのネットワークに着目し ■IIJマネージドIPSサービス ネットワークの利用が進んでいく中、業務の中でサーバやネットワークなどの情 営業本部 プロダクトマーケティング室 た手段として、ファイアウォールを導入するだけでは十分でなく効率的でもない、 IIJマネージドIPSサービスではこれらの問題を解決するために、以下のような機 報資源はますます重要なものとなっています。一方でインターネットのグローバ 主任 柘植 寛 という状態が発生しているのです。 能を実現しています。 つまり、現在のセキュリティ動向として、①情報資源に対するセキュリティの確保 ●IIJマネージドIPSサービスイメージ ■遅れるセキュリティ対策とその原因 ● 目に見える形で対策の効果を提示する あるセキュリティ専門ベンダの調査によると、2005年のセキュリティ診断を実施 IIJのマネージドIPSサービスでは、検知・防御した結果をインシデントレポート したWebサイトのうち情報漏洩につながる脆弱性をかかえたサイトは約50%に達 として、Webポータルに随時アップいたします。これらのインシデントレポート するという結果となったと報告されています。この結果は2004年の調査結果とほ を確認いただくことによって、今まで気付くことができなかったセキュリティ上 ぼ横ばいという状況です。 の問題、攻撃を目に見える形で確認することができるようになります。 インターネット ■IDSサービスとして利用 インターネット ■IPSサービスとして利用 お 客 様 サイト お 客 様 サイト G 個人情報保護法施行後、セキュリティ対策の重要性が叫ばれているなか、この ●IIJマネージドIPSサービス概要 I I JマネージドI P Sサービス I P Sモード 異常な通信 検知 防御 通知・対応 情報/対応履歴 の記録 インシデント レポート G G I D Sモード 専用ポータル セキュリティオペレーションセンタ G シグネチャ データベース TEL/Mail I I J による機 器レンタル 、 運 用 監 視 サービスの 提 供 ( 2 4 時 間 3 6 5日保 守 対 応 ) W e bインタフェース 4 ユーザ 運 用 管 理 担 当 者 G I I J による機 器レンタル 、 運 用 監 視 サービスの 提 供 ( 2 4 時 間 3 6 5日保 守 対 応 ) 管 理 用インタフェース モニターインタフェース TCP RST送出用インタフェース 管 理 用インタフェース 5 手軽に導入できる「IIJ迷惑メールフィルタ」で ス パ ムの 9 9 %を 遮 断し 、顧 客 対 応 を 効 率 化 ユーザ導入事例 株式会社ファンケル 株式会社ファンケル 情報システム本部 コーポレートシステム部 無添加化粧品や健康食品を開発・製造・販売する株式会社ファンケルでは、消費者が安心して ITインフラグループ グループマネージャー 商品を利用できるよう、電話による相談窓口のほか、Webやメールによる問い合わせを受け付 井上 彰 氏 けている。メールの9割以上はスパムという中にあって、IIJのメールゲートウェイソリューション 「迷惑メールフィルタ」を導入。精度の高いスパム判定エンジンで迷惑メールを遮断・隔離する ことで、顧客からの重要な問い合わせメールに的確に対応している。 ンを組み合せた総合的な判定により、誤認 しまった場合でも、社員自身がWebベース 識を抑え、スパムメールを遮断、隔離する。 の管理画面で隔離スペースのメール一覧を 日本語のスパムにも対応し、高い精度と検 確認できます。これなら、お客様からの重要 出率を誇っている。 なメールを見落とすこともなく、的確な対応 また、冗長化されたゲートウェイシステム 顧客からの重要なメールを 見逃しかねないリスクが顕在化 資産リスクや運用の手間を考慮し ASP型の「迷惑メールフィルタ」 を導入 女性が安心して使える化粧品をつくりたい ファンケルでは、顧客との緊密なコミュニ 様々なスパムメール対策ツールを検討した ――。こうした思いから、肌に不要な防腐剤 ケーションを図るため、美容や健康に関す 結果、ゲートウェイ型のASPサービスとして などの添加物を使用しない「無添加化粧品」 る相談を受け付ける電話相談窓口に加え、 提供されるIIJの「迷惑メールフィルタ」を採 が1980年に誕生。以来、ファンケルでは、 Webやメールでの質問窓口を開設。商品や 用した。 化粧品の不安を「安心」に、健康食品の不満 配送、支払い、各種手続きなどの問い合わ アプライアンス製品も検討したというが、 を「満足」に変えるための研究開発や製品づ せ の ほか、一 般 投 資 家 や 消 費 者 向 け に 広 データセンターに設置するスペースの確保 ファンケルでは、テスト稼働を経て、2006 テムの導入が課題だという。 「セキュリティ くりを推進。化粧品から健康食品、さらに栄 報・IRに関する質問をメールで受け付けて に加え、監視や保守・運用に多くの手間と 年1月から「迷惑メールフィルタ」の本格稼働 のリスクはどんどん変化しており、迷惑メー 養価の高い発芽玄米や青汁へと事業の領域 いる。 コストがかかると判断。また、スパム対策 を開始している。 「誤認識はたまにあるもの ルフィルタのように手軽に利用できるサー を広げてきた。 同社が1日に受信するメールのうち、2∼3割 は比較的新しいソリューションのため、ア の、スパムメールの99%は遮断、隔離して ビスの拡充を図ってほしいですね」と井上 近年、取引先など社外とのコミュニケーショ が業務に関係のないスパムメール。とくに プライアンス製品を購入してうまく機能しな います。従来のようにスパムの振り分けに 氏はIIJに期待する。 「不の解消」をテーマに ン手段としてWebやメールなどインターネッ 質問窓口に寄せられるメールの9割以上が かった場合にも、償却が済むまで使い続け 時間を費やすこともありません。万一、正 掲げるファンケルの「情報セキュリティの不 トが盛んに利用される一方、個人情報保護 スパムメールだという。正規の問い合わせ るといったIT資産を抱えるリスクも懸念され 規のメールをスパムと誤判定して隔離して 安」を、IIJのソリューションが解消している。 に向けたセキュリティ対策を強化。データセ か、スパムかどうかメールを開いて内容を たという。 ンターにハウジングしているサーバーや店舗 確認する必要があり、多くの時間と労力を のPCのウイルス対策などを行ってきた。 要していた。 ASPサービスなので手軽に導入することが ウイルス対策のみならず、近年はスパムメー そして、顧客からの問い合わせ内容に応じ できます。可用性の高いシステム運用をIIJ ルが大きな問題になる中、社員からもスパム て、関連する部署にメールを振り分ける必 に任せられるアウトソース型のソリューショ メールに対する苦言が情報システム部門に 要があり、スパムによる業務停滞のリスク ンのため、当社のIT活用のポリシーにも合 寄せられるようになっていたという。 「スパム のみならず、顧客からの重要なメールや緊 致していました。データセンターに入る前 メールを振り分けるため、社員の生産性にも 急のメールを見逃しかねないリスクも顕在 にスパムを止めるのは正しい選択であり、 少なからず影響を及ぼしていました。しかし、 化していた。さらに「メールを保管するスト ストレージにスパムが蓄積されることもあり それ以上に問題だったのが、顧客向けに公 レージにもスパムが蓄積されることで、ディ ません」 (井上氏)。 開しているインフォメーションアドレスに送り スク容量を無駄にしたり、スパムに潜むウ 「迷惑メールフィルタ」の特長は、米国MX 付けられる大量のスパムメールでした」と、 イルス感染の危険性もあり、スパムメール Logic社の高性能なフィルタリングエンジンと 情報システム本部コーポレート部ITインフラ 対策が喫緊の課題になっていたのです」と IIJのノウハウ、技術力を生かした迷惑メール グループのグループマネージャーである井上 井上氏は述べる。 対策により、巧妙化する迷惑メールにも対応 彰氏は打ち明ける。 6 が行えます」と井上氏は導入効果を話す。 公開メールアドレスに 送り付けられる大量のスパム 「その点、IIJの迷惑メールフィルタであれば、 株式会社ファンケル をIIJのデータセンター内で運用管理し、スパ また、導入時に迷惑メールフィルタのマニュ ムの発生状況の24時間監視、フィルタリング アルを社内ポータルで公開。 「ユーザーイン ルールのデータベース更新など、新種のスパ タフェースが分かりやすくできており、特に ムにも迅速に対応する体制を整えている。 社員に使い方を説明することもなく、スムー ズに導入、活用しています」と、ユーザーご Webベースの分かりやすい管理 画面で社員もスムーズに活用 とに用意された隔離スペースの管理画面の 使いやすさを評価する。 スパムメール対策に続き、今後は検疫シス 本社 神奈川県横浜市中区山下町89-1 設立 1981年8月 資本金 107億9500万円 (2005年3月31日) 従業員数 626名(2006年3月31日) パート・嘱託は除く 無添加化粧品、健康食品、発芽玄米、 青汁などの商品を提供。電話やFAX、 インターネットなどで注文する通信販売 に加え、全国に200店を超える直営店 舗を展開。さらにコンビニエンスストア ■IIJ迷惑メールフィルタ サービス概要 やスーパーマーケットなどでも一部の 商 品 を 販 売 するなど、消 費 者 に「 安 全・安心」を届けている。 http://www.fancl.co.jp/ お問い合わせ先 : 株式会社インターネットイニシアティブ URL:http://www.iij.ad.jp/solution/ad/ TEL:03-5205-4466 E-mail:[email protected] できることだ。複数のフィルタリングエンジ 7 このような状況から、取得の難しいデータは貴 さらに、ネットワークでは、バグ、設定ミス、仕 はじめに 様の不整合、事故、メインテナンスなどによる ネットワーク計測の制約 重な技術資産となっていて、第三者が解析に使 の分布 える汎用のデータを蓄積し公開する努力もなさ 異常が日常的に発生しています。そして、運用 一般に計測はあらゆる技術にとって基礎であり や機器設計では、日常的な異常を含めて正しく 実際のネットワークの計測にはさまざまな制約 れています。その一方、汎用のデータは目的に 基本です。我々は、日常生活の中でもさまざま 動作するよう考えなければなりません。同時に、 があり、その制約のもとで測定を行うことにな あった精度や誤差を持つとは限らないので、利 な計測を行っています。例えば、体重計、血圧 このような異常を解析することで、問題の発見 ります。ネットワークは外部から観測するのが難 用する際には注意が必要です。 計、万歩計、スピードメータなどの測定器が生活 やその原因の究明に繋がることもあります。し しく、通常はネットワークの内部からの測定とな の中に入ってきて、誰もが簡単に測定をするこ たがって、目的に応じて、異常なデータをフィル るため、測定そのものが測定対象に影響を与え とができるようになりました。しかし、これらの タしたり、異常を含めて考えたり、異常に注目し ることを考慮しないといけません。 測定器の仕組みは意外と知られていません。物 たりするわけです。 さしで長さを計るように同じ単位系で直接測定 ■パケットサイズ インターネットの計測 ---------- 掴みどころのないものを測る ネットワークの状態を知ることはネットワークを 生きたネットワークを測定しようとすると、実際 運用するためだけでなく、プロトコルや機器の できるものは少なく、ほとんどの測定はいわゆ ネットワークプロトコルは階層に分けて設計さ にサービスしている機器にアクセスする必要が 開発にも欠かせません。 小規模なネットワーク る間接測定をしています。また、普段なにげな れていますが、異なるレイヤに実装された機構 ありますが、通常これらの機器へのアクセスは、 運用のためなら、限定された範囲のネットワー く測っているものも、測定精度や誤差や結果の は、それぞれが環境の変化に柔軟に適応するよ 一部の運用者にのみ許可されています。また、 ク計測で済みますが、広域ネットワークの運用、 もなければ代表点もなく、測る場所や時間に ばらつきについてまじめに考え出すと途端に難 うになっています。輻輳制御に関連する技術を 多くのネットワークは測定することを考慮して設 グローバルなインターネットに関する取り決め、 よって違う姿が観測されます。すべてを網羅で しくなります。例えば、家庭用デジタル体重計 例にとると、イーサネットのコリジョン回避、イ 計されていないので、測定のために構成変更が さまざまな場所で使われるネットワーク機器設 きない、たとえできてもそれは過去のデータで の多くは、ひずみゲージで荷重によるゆがみを ンタフェースでのパケットキューイング、TCPの 必要になったり、測定機器のスペースの確保な 計には、より一般化したデータを集める必要が 現在の姿ではない訳ですから、答えのない問い 検知し電圧の変化として測定します。最近のデ 輻輳制御、そして回線容量設計などは異なるレ どが発生するため、運用者の理解と協力が不可 あります。例えば、輻輳によるパケットロスを低 への取り組みです。このことは計測にとってやっ ジタル体重計は100gまで表示しますが、その精 イヤで独立して機能します。また、それぞれの情 欠です。それでも実サービスに影響がでるよう 減するため、ルータのバッファサイズや回線容 かいです。 真値がわからないと測定が正しいか 度は±200g程度です。ちなみに、計測と測定 報のフィードバック時間に応じて適応動作の時間 な構成変更はなかなかできないので、運用の現 量の余裕設計を工学的に行おうとすると、一般 検証のしようがないからです。しかし、現実に という言葉は、ともに計量という意味で広く使 粒度も違います。プロトコル仕様には、タイム 状を理解して実情にあった測定方法を工夫する 的なパケットの到着間隔やパケットサイズの分 インターネットを運用する、あるいはプロトコル われていますが、計測の方が測定手段の考案や アウトまでの時間など実装依存の部分も多く、 ことが重要です。 布を知る必要があります。 や機器を開発するためには、その時点で最善の 結果の解析を含んだ広い概念を表します。 実装の微妙な違いや、あるいはOSやハードウエ ネットワークデータの特徴と ダイナミックス 一般性を模索し、将来予想を立て、また、それら アの違いからも、その組合せによって挙動の違 また、測定にはあまりコストをかけられない場合 このように、インターネットにおける一般的な測 いが出てくることもしばしばです。 が多く、最新技術が導入されているルータを、 定データというものが必要になってくるのです を常に見直していく努力をするしかありません。 それより性能が劣る計測機器、多くの場合は汎 が、 「インターネットにおける一般的な」という部 さらに、インターネットは大きく見ると技術面だ ネットワークのデータは一般にバラツキが大き さらに、膨大なトラヒックが集約されるバック 用PCで測定するため得られるデータの精度に 分が曲者です。インターネットはさまざまなネッ けでなく、社会的、政策的、経済的な影響を受 く、偏った分布を持つのが特徴です。これは、 ボーンでは、個別の挙動からは想像できない も限界があります。それでも多量のデータが収 トワークの集合体なので、測定する場所や時間 けています。そして、インターネットを大局的に 短時間にバースト的に転送を行う構造や、少数 ような全体の挙動が観測される場合もあります。 集できる場合には、統計処理によりある程度精 によって異なる姿を見せます。ブロードバンド 解析することは、社会、政策、経済なども考慮 の利用者が大半のトラヒックを占めるというよ インターネットは、無数の要素の相互作用の結 度を上げることも可能です。 が普及した国とそうでない国、地域の言語や文 しないといけなくなります。 うな利用の偏りが原因にあります。例えばパ 果、全体としてみれば個別要素の総和以上の ケットサイズの分布を調べると、データを含まな 独立な振舞いをみせる複雑系の典型といえます。 データの解析にあたっては、通信データの内容 にはずいぶん違いがあります。また、90年代に いTCPのACKパケットの40バイトとイーサネット このようなインターネットの挙動は、実験室の はプライバシーや企業機密に関わる場合もあ World Wide Webが急速に広がり、2000年以降 での最大パケットサイズである1500バイトに ネットワークでは容易に再現できません。した るので取り扱いには十分な注意が必要です。 ピアツーピア型のファイル共有、インターネット ネットワークの計測は、見えないネットワークを ピークがあることが知られています。また、トラ がって、生きたインターネットでの実測が欠かせ データの中身だけでなく、IPアドレスや通信パ 電話、ビデオ通信が増えてきたように、時代と 見ようとする試みです。見えないネットワークだか ヒック量やトポロジ等のネットワークデータに ないのです。なかには個別に見た時には些細な ターンからも通信相手や活動の概要が特定でき 共に使い方も変わってきています。 らこそ見える形にして把握することが大切です。 は、出現頻度が大きさのべき乗に反比例するべ 不備でも、重なると大きな影響を持つことがあ る可能性があります。そのため、一般に測定 き分布をはじめ、さまざまな偏りを持つ分布が り、そのような原因の究明には、技術の詳細な データを組織外に持ち出すことは難しく、外部 そこで、インターネットの一般性を求めることが タ解析の総合的な知識と理解が欠かせません。 存在します。このように偏った分布を持つデー 知識も必要です。 の研究者がデータを利用する障壁になっていま 重要なテーマとなります。しかし、インターネッ また、計測技術として見た場合には、インター タに対しては、単純な平均値はあまり意味を持 す。また、ネットワークデータの取り扱いに関し トは開いた系で、つねに変化、発展、拡大して ネットの計測には、計測の面白さと難しさのさま ちません。 ては法整備も整っていないのが現状です。 います。自律分散型のインターネットには、中心 ざまな側面がかいま見えます。 技術連載 化、企業と家庭などでインターネットの使い方 おわりに しかし、そのためには、ネットワーク技術やデー インターネットと 計 測 技 術( 第 1 回 ) IIJ技術研究所 主幹研究員 長健二朗 8 9 「IIJ Technical Week 2006」 開催のご案内 「IIJセキュリティセミナー」 (大阪・名古屋) 開催のご案内 「CEATEC JAPAN 2006」 出展のお知らせ IIJが取り組んでいる セキュリティ関連活動 この度、IIJグループでは11月15日∼17日の3日間にわたり、 この度、IIJでは「ネットワークに対する脅威の現状とIIJセキュ IIJではこの度、 「CEATEC JAPAN 2006」に協賛し、出展いたし IIJ は、外部組織との連携や協力により、IIJインターネットだけで ネットワーク技術者の方々を対象に 「IIJ Technical WEEK 2006」 リティサービスの紹介」をテーマに、IIJセキュリティセミナーを開 ますのでお知らせします。 はなく、インターネット全体の安全、安心を確保するための様々な を開催するはこびとなりました。 催します。 CEATEC JAPAN はアジア最大級の規模を誇る映像・情報・通 活動を行っています。代表的な活動を以下にご紹介します。 インターネットがビジネス・インフラとして確立された今、不正ア 信の国際展示会です。国内および海外を代表するIT&エレクト ■FIRST への加盟 本セミナーでは、初日を「映像配信テクノロジー」として日本放送 クセス、ワーム(ウイルス)、DDoS攻撃などといったインターネッ ロニクスの関連企業および団体が参加し、時代の先端を行く最 FIRST (http://www.first.org/) は、世界各国のセキュリティ緊急 協 会 様 とテレビ ポ ータル サ ービ ス 株 式 会 社 様 による 招 待 講 トの脅威は日々増加し、企業のセキュリティレベルの向上は必要 新技術や製品を発表、デモンストレーションを行います。 対応チームの集うフォーラムで、国際的なインシデントに対する 演を、2日目3日目にはIIJが開発している最新のテクノロジー、 不可欠となっています。そこで、企業ネットワークに対する脅威の IIJでは、独自開発のサービスアダプタ「SEIL(ザイル)」シリーズ 緊急対応チーム同士の情報交換や、協調対応などを行っていま セキュリティ情報まで幅広いセッションを予定しております。 現状をインターネットセキュリティシステムズ(ISS)の最新の調査内 の展示とともに、安全で高度なインターネットサービスを、オン す。IIJでは、IIJグループ各社、及び各社のお客さまが関わるセ 皆様の今後のネットワーク構築、運用のご参考となれば幸いです。 容を交えて紹介するとともに、IIJが提供しているセキュリティサー デマンドに提供する次世代サービスプラットフォーム、 「SMFv2」 キュリティインシデントの調整を行うためのセキュリティチーム ご参加を心よりお待ち申しあげております。 ビスを、今後のサービス展開とあわせてご紹介いたします。 日時 2 0 0 6 年 1 1月1 5日( 水 )∼ 1 7日( 金 ) 1 3 : 3 0 - 1 7 : 3 0 会場 I I Jグループ 本 社( 神 保 町 三 井ビルディング)1 7 F 大 会 議 室 参加費 無 料( 完 全 予 約 制 ) お 申し込 み h t t p : / / w w w . i i j . a d . j p / t e c h w e e k / よりお 申し込 みください 。 さらに、多くの企業が導入しているデータベースに関するセキュリ ションを通してご紹介いたします。 このフォーラムに 2002年8月より加盟しています。 ティ対策についてもご紹介いたします。 ぜひIIJのブースにお立ち寄りください。 ■Telecom-ISAC Japan への参加 本セミナーが、今後の企業ネットワークのセキュリティレベルおよ Telecom-ISAC Japan (現、財団法人データ通信協会 テレコ ■開催概要 び運用効率の向上のご参考となれば幸いです。 げております。 大阪 会場 「 N H Kアーカイブスコンテンツの 社 会 還 元( 仮 )」 日本 放 送 協 会 総 合 企 画 室〔 経 営 計 画 〕担 当 局 長 和 田 郁 夫 様 2 0 0 6 年 1 0月1 3日( 金 ) 1 4 : 0 0∼1 7 : 0 0( 開 場 1 3 : 3 0 ) 会場 住 友ビルディング第 二 号 館 1 F 3 号 会 議 室 定員 4 0 名( 定員超 過の場 合は恐 縮ですが抽 選とさせていただきます) 1 0月4日( 水 ) 2 0 0 6 年 1 0月2 0日( 金 ) 1 4 : 0 0∼1 7 : 0 0( 開 場 1 3 : 3 0 ) 名古屋 会 場 会場 定員 「テレビポータルサービスの 展 開( 仮 )」 テレビポータルサービス株 式 会 社 代表取締役社長 大野 誠一 様 ■プログラム 15: 35 《B R E A K》 14:00- 15: 50- 「 次 世 代 映 像 伝 送 の 技 術とその 応 用 」 株 式 会 社インターネットイニシアティブ ネットワークサービス本 部 サービスオペレーション 部 ネットワーク技 術 課 主 任 山 本 文 治 《大 阪 会 場》 「IIJセキュリティ対 策ソリューションの概 要」 株式会社インターネットイニシアティブ 関西支社 技術部 ソリューション技術課 後藤 准 「今、ネットワークで何が起きているのか∼最新のネットワークセキュリティ事情」 インターネットセキュリティシステムズ株 式 会 社 CIO兼エグゼクティブセキュリティアナリスト 高 橋 正 和 氏 11/ 16( 木 ) 11/ 17( 金 ) は、以 下 の 内 容 のセッションを予 定しています 。 ロボット用ネットワーク ( I I J 技 術 研 究 所 ) 15:10- トラヒック計 測 ( I I J 技 術 研 究 所 ) ● ● データベースセキュリティ( I I J - T e c h ) ● L e g a c y P B XからI P C o n t a c t C e n t e r( I P C C )への 移 行( 仮 ) (NetCare) 15:55 メッセージングシステムとしての b l o g・S N S ( i - r e v o 開 発 技 術 ) 16:05- ● ● SMF v2 ● セキュリティ事 情 メールテクノロジー ● ネットワーク運 用 16:40- て活動する団体です。IIJは Telecom-ISAC Japan の設立時か らのメンバーであり、正会員として諸活動に参加しています。 ■情報セキュリティ早期警戒パートナーシップへの参加 IIJは SEIL ルータ (http://www.seil.jp/) やIDゲートウェイ、IDS などの製品開発者として、 「ソフトウェア等脆弱性関連情報取扱 ビスを紹介するwebサイト、http://www.seil.jp/ におきまして、 【SEIL/SMFビジネス最前線】を掲載中です。 (http://www.ipa.go.jp/security/ciadr/partnership_guide_20040 7.html)にしたがった窓口を開設し、脆弱性情報への対応を通じ て製品のセキュリティ確保に努めています。 ◆詳細は以下のURLをご参照ください。 http://www.iij.ad.jp/security/index.html 【SEIL/SMF ビジネス最前線】では、 「SEIL/SMFはビジネスに どのような可能性を与えるか」 「SEIL/SMFで世の中はどう変わ っていくのか」 「ビジネスにどのようにSMFを活用していくべき SLA遅延時間*の実績 か」 ――各界のオピニオンリーダー達がSEIL/SMFに寄せる熱 いメッセージを、インタビューや対談形式でご紹介しております。 遅延時間の統計(2005年11月∼2006年8月) ぜひご覧ください。 《B R E A K》 「D D o S 攻 撃の実 情と根 本 的 対 応 策について」 株式会社インターネットイニシアティブ ソリューション本部 ソリューションサービス部 セキュリティエンジニアリング課 小杉 英司 《B R E A K》 SLA Latency Value 35ms 【SEIL/SMF ビジネス最前線】 ● 「データベースへの脅 威と対 策プロセスについて」 株式会社アイアイジェイテクノロジー コンポーネントサービス部 セキュリティサービスグループ 矢野 淳 「I I Jのマネージドセキュリティサービスの今 後の展 開について」 株式会社インターネットイニシアティブ 営業本部 プロダクトマーケティング室 柘 植 寛 ※ プ ログラム の 内 容・講 師 等 は 都 合 により変 更となる 場 合 がございます 。 予 めご 了 承ください 。 【SEIL/SMF ビジネス最前線】 掲載のお知らせ IIJが独自開発した高機能ルータ「SEILシリーズ」を中心とするサー 《B R E A K》 15:00 http://www.ceatec.com/ 1 0月1 3日( 金 ) 《名 古 屋 会 場》 「情 報セキュリティに対するI I JとJ P C E R Tの活 動・連 携」 有限責任中間法人 JPCERT コーディネーションセンター 代表理事 歌代 和正 氏 (未定) CEATEC JAPAN 実施協議会 情 報 通 信ネットワーク産 業 協 会 社団法人電子情報技術産業協会 社 団 法 人日本パーソナルコンピュータソフトウェア協 会 の重要インフラの一つである通信分野の安全を確保を目的とし 基準」(平成16年経済産業省告示第235号)および、それに基づく 5 0 名( 定員超 過の場 合は恐 縮ですが抽 選とさせていただきます) お申し込み締切 14:15- ● 全来場者登録入場制 事前登録 : 入場無料 当日登 録 : 一 般 1 , 0 0 0 円・学 生 5 0 0 円 URL M a n a H o u s e 7 F マナルームA B C 14: 45- ● 入場 ム・アイザック推進会議 https://www.telecom-isac.jp/ )は、日本 情報セキュリティ早期警戒パートナーシップガイドライン お申し込み締切 日時 《B R E A K》 16: 50-17: 30 幕 張メッセ( 千 葉 市 美 浜 区 中 瀬 2 - 1 ) 無 料( 完 全 予 約 制 ) 日時 14: 35 16: 40 会場 主催 ネットワークに対する脅 威の現 状とIIJセキュリティサービスの紹 介 参加費 ご挨 拶 株 式 会 社インターネットイニシアティブ 代表取締役社長 鈴木 幸一 13: 45- 1 0月3日( 火 )正 午∼午 後 5 時 1 0月4日( 水 )∼1 0月7日( 土 )午 前 1 0 時∼午 後 5 時 ■セミナー 開 催 概 要 テーマ 13: 30- 会 期・開 場 時 間 ご多忙の折とは存じますが、皆様のご参加を心よりお待ち申し上 ■プログラム 11/ 15( 水 ) IIJ-SECT (IIJ group SEcurity Coordination Team)を組織し、 ※ 講 演 内 容 、講 師は変 更 になる場 合 がございます 。予めご了 承ください 。 Vol.1>> SEILのネットワークがビジネスを変える! IIJ、ルート株式会社、ノバテック株式会社の3社で開発した「超 小型マルチ・プラットホーム・モバイル・ルータ」で広がる、ネッ トワークの可能性についてご紹介しております。 Mean Value ■ IIJ T e c h n ic a l WEEK 2 0 0 6 開 催 要 項 (SEIL Management Framework version 2)をデモンストレー 保証値(30ms) 30ms 25ms 20ms 15ms 11.22ms 11.39ms 11.72ms 11.79ms 11.93ms 11.54ms 11.74ms 11.82ms 11.76ms 11.82ms 10ms 2005/11 2005/12 2006/01 2006/02 2006/03 2006/04 2006/05 2006/06 2006/07 2006/08 ● Vol.2>>SEILがホームネットワークを繋ぐ! *IIJ国内バックボーン全体の平均往復遅延時間 IIJと沖電気工業株式会社は協業で 「BB MediaRouter (BBMR)」 の商品化をすすめています。BBMRが実現化するホームネット ワークについて、対談形式でご紹介しております。 お問い合わせ先 IIJ Technical WEEK 2006事務局 URL: http://www.iij.ad.jp/techweek/ TEL: 03-5259-6310 E-mail: [email protected] 10 お問い合わせ先 <大阪会場> IIJ関西支社セミナー事務局 TEL:06-4707-5400 E-mail:[email protected] <名古屋会場> IIJ名古屋支社セミナー事務局 TEL:052-589-5011 E-mail:[email protected] ◆詳細は以下のURLをご参照ください。 http://www.seil.jp/business/index.html SLAの詳細は URL:http://www.iij.ad.jp/SLA/ 11 IIJ バ ッ ク ボ ー ン マ ッ プ ( 2 0 0 6 年 9 月 現 在 ) JAPAN JPNAP 仙台 第1DC 埼玉 第1DC 西東京 東京 第1DC 31Gbps 千葉 東京 第2DC 札幌 第1DC ASIA 渋谷 DC 東京 A-Bone China 11Gbps dix-ie 横浜 第2DC 浜松 富山 横浜 第1DC 名古屋 第1DC 金沢 U.S.A. New York (NYIIX) PAIX 1Gbps 京都 大阪 第1DC 東京 大阪 京都 第1DC MAE-WEST ATM 渋谷 DC IIJ San Jose DC 神戸 1Gbps 沖縄 広島 1Gbps Equinix GigE Exchange 福岡 第1DC 岡山 IIJ New York DC IIJ Palo Alto JPNAP 大阪 10Gbps 1Gbps 大阪 1Gbps 福岡 STM-1 : 150Mbps STM-4 : 600Mbps STM-16 : 2.4Gbps STM-64 : 9.6Gbps vol. 78 SEPTEMBER/OCTOBER 2006 発行 株式会社インタ−ネットイニシアティブ 広報室 T E L : 0 3- 5 2 5 9 - 6 3 1 0 E-mail:[email protected] ◎ iij.news のバックナンバーをご覧いただけます。 URL:http://www.iij.ad.jp/iijnews/ IIJ Ashburn IIJ L.A. DC LA IIX 1Gbps Equinix GigE Exchange MAE-EAST ATM ◎最新のバックボーン情報は、http://www.iij.ad.jp/network/をご覧ください。 株式会社インタ−ネットイニシアティブ 本 社 東京都千代田区神田神保町 1-105 神保町三井ビルディング 〒 101-0051 T E L : 0 3 -5 2 0 5 -4 4 6 6 関 西 支 社 大阪府大阪市中央区北浜 4-7-28 住友ビルディング第 2 号館 5F 〒 541-0041 T E L : 0 6 -4 7 0 7 -5 4 0 0 名 古 屋 支 社 愛知県名古屋市中村区名駅南 1-24-30 名古屋三井ビルディング本館 3F 〒 450-0003 T E L : 0 5 2 -5 8 9 -5 0 1 1 札 幌 支 店 北海道札幌市中央区北三条西 3-1-25 北三条ビルディング 7F 〒 060-0003 T E L : 0 1 1 -2 1 8 -3 3 1 1 東 北 支 店 宮城県仙台市青葉区花京院 1-1-20 花京院スクエアビル 15F 〒 980-0013 T E L : 0 2 2 -2 1 6 -5 6 5 0 北 陸 支 店 富山県富山市牛島新町 5-5 タワー 111 10F 〒 930-0856 T E L : 0 7 6 -4 4 3 -2 6 0 5 中 四 国 支 店 広島県広島市南区稲荷町 2-16 広島稲荷町第一生命ビル 11F 〒 732-0827 T E L : 0 8 2 -5 0 6 -0 7 0 0 *この冊子の内容はサービス形態・価格など予告なしに変更することがあります。 (2006 年 9 月作成) *表示価格には、消費税は含まれておりません。 * IIJ、IIJ4U、IIJ-Tech、SEIL は株式会社インタ−ネットイニシアティブの登録商標または商標です。 *記載されている企業名あるいは製品名は、一般に各社の登録商標または商標です。 九 州 支 店 福岡県福岡市中央区天神 1-1-1 アクロス福岡西 10F 〒 810-0001 T E L : 0 9 2 -7 2 5 -6 5 3 3 沖縄営業所 沖縄県那覇市久茂地 1-7-1 琉球リース総合ビル 8F 〒 900-0015 T E L : 0 9 8 -9 4 1 -0 0 3 3 豊田営業所 愛知県豊田市西町 4-25-13 フジカケ鐵鋼ビル 5F 〒 471-0025 T E L : 0 5 6 5 -3 6 -4 9 8 5 IIJ - MKTG 001 AA - 0609 EK - 03700 SA
© Copyright 2024 Paperzz