ACM S
の分散構成では、の分散構成では、DMZ DMZ
上の通信サーバには送受信データを実体化させる事なく、上の通信サーバには送受信データを実体化させる事なく、運用する事が可能。
運用する事が可能。
従って、従って、
DMZ DMZ
上の通信サーバが攻撃を受けた場合でも、送受信データの漏洩・改竄・上の通信サーバが攻撃を受けた場合でも、送受信データの漏洩・改竄・破壊を防止でき、セキュアな運用環境を提供。
破壊を防止でき、セキュアな運用環境を提供。
Internet Internet
ファイア ファイア ウォールウォール
DMZDMZ
通信サーバ 通信サーバ--11
ACM S ACM S EE22XX
通信サーバ 通信サーバ--22
ACM S ACM S EE22XX
負荷分散装置 負荷分散装置
クラスタ構成 クラスタ構成
社内ネットワーク
社内ネットワーク 管理サーバ管理サーバ 共有ディスク共有ディスク
送受信 送受信 データ
データ APAPデータデータ
管理DB管理DB 証明書 証明書 証明書
証明書
通信サーバと管理サーバを分散配置 通信サーバと管理サーバを分散配置
2.目的に応じた具体的構成 2.目的に応じた具体的構成 - - 1 1
ACM S ACM S EE22XX
( ( 1 1 ) ネットワーク構成 ) ネットワーク構成 A A (高セキュリティ負荷分散型構成) (高セキュリティ負荷分散型構成)
Copyright (C) 2008 Data Applications Co., Ltd. All rights reserved.
Data Applications Company, Limited.
セキュリティ対策
通信機能をDMZ上に置く分散配置を推奨。
データが隔離された社内LAN上に存在するため最もセキュリティが高い
既存および、新規にかかわらず、インターネット接続の出入口には、ファイアウォール の設置と、社内LANとの間には緩衝域としてのDMZ(非武装地帯)の設置が必要であ る。
必要なHW、SWは多種多様であるが、セキュリティレベルの変更という考え方ではなく、
ネットワーク規模(トラフィック)によって設置するHWの能力(キャパシティ)を決定し、
新規の設置や増設を行うという考え方が一般的。
現在市販されているルータ等のHW(旧型の機種は確認が必要)は、安価なものであってもす でにDMZ構築に必要な機能を持っていることが多い。
サイバーアタック検知機能、ファイアウォール機能、SSLサーバ機能、VPN機能、DHCP機能、
といったネットワーク構築に必要な機能が一筐体のHWに全て組み込まれたものが主流と なっているので、これを導入するのが一般的。
※ただし、セキュリティ対策はあくまで該当企業のポリシーに従うものとする。
2.目的に応じた具体的構成
2.目的に応じた具体的構成 - - 2 2
Copyright (C) 2008 Data Applications Co., Ltd. All rights reserved. 72
Data Applications Company, Limited.
インターネット環境 既存の環境を流用
ただし、ネットワーク規模(トラフィック)によっては、増設あるいは、新規の回線設置が 必要。
新規の環境
回線の信頼性を考慮した選択が必要。
よりクリティカルな環境においては、バックアップの目的で二本以上の回線を異なる回線プロ バイダと契約し、回線の二重化を推奨。(回線プロバイダの責任において、回線トラブル時の 切り替えなどを行うサービスもあるので契約時に確認。)
回線品質をある程度保証する法人向けインターネット回線もあるが、高額となる。
最終的にはコストとリスクに配慮し、各社の事情に見合うものを選択することになる。
サイジング
データ収集中
2.目的に応じた具体的構成
2.目的に応じた具体的構成 - - 3 3
Copyright (C) 2008 Data Applications Co., Ltd. All rights reserved.
Data Applications Company, Limited.
リバースプロキシを使った構成 リバースプロキシを使った構成
DM Z DM Z
上にはリバースプロキシのみを配置することにより、外部からの通信を制限し上にはリバースプロキシのみを配置することにより、外部からの通信を制限し 社内ネットワーク内の社内ネットワーク内の
ACM S ACM S
サーバに接続。サーバに接続。※ この構成の場合、http通信が社内ネットワークまで入るため、非常に高度な「なりすまし」による進入を受けた 場合、http上に仕込まれた悪意あるプログラムが社内ネットワークに影響を及ぼす可能性を残す。
また、アクセスがすべてリバースプロキシを経由するため、負荷が高い場合にはリバースプロキシサーバがボ トルネックとなる可能性がある。
2.目的に応じた具体的構成 2.目的に応じた具体的構成 - - 4 4
(2) ネットワーク構成 (2) ネットワーク構成 B B (ミドルサーバシステム) (ミドルサーバシステム)
DMZ DMZ
リバースプロキシ リバースプロキシ
証明書 証明書
Internet Internet
ファイア ファイア ウォール ウォール
クラスタ構成 クラスタ構成
社内ネットワーク
社内ネットワーク 通信通信//管理管理
サーバ サーバ 送受信
送受信 データ
データ 管理DB管理DB
ACM S ACM S
B2BB2B oror
※
※LELEの場合は、クラスタ構成不可の場合は、クラスタ構成不可
通信通信//管理管理 サーバ サーバ 送受信
送受信 データ データ
ACM S ACM S B2B LE
B2B LE 管理DB管理DB
フォワードプロキシ フォワードプロキシ
証明書証明書
Copyright (C) 2008 Data Applications Co., Ltd. All rights reserved. 74
Data Applications Company, Limited.
セキュリティ対策
リバースプロキシ設定を既存の環境に加えたり、新たに構築することを推奨。
必要なHW、SWの選定方法は大規模と同様。ただし、既存のプロキシサーバの設定 変更のみで対応可能な場合もある。
新規導入の場合。
大規模同様、ネットワーク構築に必要な機能が一筐体のHWに全て組み込まれたものが主 流となっているので、これを導入するのが一般的だが、プロキシサーバだけは別途用意す る必要がある。
安価に済ませるためには、専用のHW導入を避け、導入サーバに、該当する機能を持った SWを導入する手段もある。ソフトウェアはウィルス対策(サイバーアタック検知、ファイア ウォール)、Webアプリケーションサーバ(SSLサーバ、DHCP、プロキシサーバなど)を導入 する。
インターネット環境
ネットワーク構成Aと同様。
※ただし、セキュリティ対策はあくまで該当企業のポリシーに従うものとする。
2.目的に応じた具体的構成
2.目的に応じた具体的構成 - - 5 5
Copyright (C) 2008 Data Applications Co., Ltd. All rights reserved.
Data Applications Company, Limited.
サイジング
下記は比較的低スペック
下記は比較的低スペック な な マシンで測定した マシンで測定した ACMS ACMS B2B LE B2B LE での での ebXML( ebXML( 流通 流通 BMS)プロトコル通信の測定である BMS) プロトコル通信の測定である 。 。
34.2s
34.2s 4.1s4.1s
5M B
5M B715KB
715KB 1
1
4000
4000
33
6.0s
6.0s
2.4s2.4s
513KB
513KB 72KB72KB
1
1
400400
2
2
3.7s
3.7s
2.3s2.3s
53KB
53KB 7KB7KB
1
1
4040
1
1
7.1s
7.1s
2.8s2.8s
53KB
53KB 7KB7KB
4
4
4040
4
4
4
4
44
多重度 多重度
4000
4000
400400
明細件数 明細件数132.9s
132.9s 7.1s7.1s
5M B
5M B715KB
715KB 6
6
18.6s
18.6s 3.1s3.1s
513KB
513KB 72KB72KB
5
5
全体処理時間 全体処理時間 通信時間
XM L
通信時間XM Lデータサイズデータサイズ JCA
JCA
データサイズデータサイズNo
No
測定環境
(比較的低スペックの環境で測定)CPU : Celeron 2.0GHz M EM : 1024M B
測定条件
(XMLから量販フォーマット(FLAT)へ変換したのち自社フォーマット(FLAT)へ変換)XMLデータ受信→MIMEデコード→XMLtoFLAT変換→FLATtoFLAT変換
2.目的に応じた具体的構成
2.目的に応じた具体的構成 - - 6 6
Copyright (C) 2008 Data Applications Co., Ltd. All rights reserved. 76
Data Applications Company, Limited.
クライアント環境 クライアント環境
Internet Internet
ファイア ファイア ウォール ウォール 相当機能相当機能
社内ネットワーク 社内ネットワーク
証明書証明書 クライアント
クライアントPCPC
ACM S ACM S LiteLite
送受信送受信 データデータ
インターネットに接続可能な
インターネットに接続可能な
W indow s W indow s
クライアントクライアントPC PC
を使用する。を使用する。ウィルス対策ソフトやファイアウォールの使用を推奨するが、使用するかどうかは各企 ウィルス対策ソフトやファイアウォールの使用を推奨するが、使用するかどうかは各企 業のセキュリティポリシーに任せる。
業のセキュリティポリシーに任せる。
可能であれば、ルータが持つファイアウォール機能や、
可能であれば、ルータが持つファイアウォール機能や、ウィルス対策ソフトのファイアウォーウィルス対策ソフトのファイアウォー ル機能を利用する。もしくは、ル機能を利用する。もしくは、Window sOS
Window sOS
標準のファイアウォールでも十分使用に耐えると標準のファイアウォールでも十分使用に耐えると 考える。考える。2.目的に応じた具体的構成 2.目的に応じた具体的構成 - - 7 7
(3) ネットワーク構成 (3) ネットワーク構成 C C ( ( PC PC システム) システム)
Copyright (C) 2008 Data Applications Co., Ltd. All rights reserved.
Data Applications Company, Limited.
セキュリティ対策
ウィルス対策ソフトの導入を推奨。
可能であれば、ルータが持つファイアウォール機能や、ウィルス対策ソフトのファイア ウォール機能を設定することが望ましい。また、WindowsOS標準のファイアウォール でも十分使用に耐えると考える。
インターネット環境 既存の環境を流用
ただし、ネットワーク規模(トラフィック)によっては、増設あるいは、新規の回線設置 が必要。
新規の環境
プロバイダ選定および回線申請
接続回線を選定 【例】ISDN・ADSL・CATV・FTTH(光ファイバー)、等 選定した回線が使用可能なプロバイダを選定
※ただし、セキュリティ対策はあくまで該当企業のポリシーに従うものとする。
2.目的に応じた具体的構成
2.目的に応じた具体的構成 - - 8 8
Copyright (C) 2008 Data Applications Co., Ltd. All rights reserved. 78
Data Applications Company, Limited.
サイジング
下記は比較的低スペックなマシンで測定したACMS LiteでのJX JX手順プロトコル通 手順プロトコル通 信の測定である 信の
27.4s
27.4s 8.9s8.9s
5M B
5M B715KB
715KB 1
1
4000
4000
33
7.9s
7.9s5.3s
5.3s
513KB
513KB
72KB
72KB
1
1
400
400
2
2
6.2s
6.2s5.0s
5.0s
53KB
53KB
7KB
7KB
1
1
40
40
1
1
多重度 多重度 明細件数
明細件数 JCA