1
はじめに
総合情報処理センターが運用する各種サーバについて
総合情報処理センタ一 柳 生 大 輔
d‑[email protected]‑u.ac.jp
本稿では、総合情報処理センターが運用する各種サーバについて導入の経緯、システムの概要等を説 明します。本稿で用いる用語について、あらかじめ整理しておきます。
f
課題 研究用課題(有料)
e
課題 教育用課題(無料)
s
課題 学生用課題(無料、大学院生等用の d 課題を含む)
net/net2
課題 職員用課題(無料)
旧システム 富士通株式会社 AP3000 レンタルシステム及び独自システム(~平成 13 年 2 月) 新システム 富士通株式会社 PP1000 レンタルシステム及び独自システム(平成 13 年 3 月~) 情報コンセント 附属図書館中央館、医学分館及び学生会館に設置の情報コンセント
2
い く つ か の サ ー ビ ス の レ ン タ ル シ ス テ ム へ の 移 行 に つ い て
旧システムの計算サーバ
(AP3000システム)は、
f課題、
e課題、
S課題をお持ちの方が利用いただ けるシステムでしたが、総合情報処理センター設置のパソコンについては、特に課題をお持ちでなくて も利用いただくことができました。また、電子メールサービス及びダイアルアップ接続サービスについ ては、レンタルシステム(旧システム)ではなく、総合情報処理センターの運用する独自システムでし た 。
電子メールについては、年々その重要性は増す一方であり、総合情報処理センターの限られた職員数 で、電子メールやその他の多くのサーピスを運用・維持し、かつ、新たなサービスを提供していくのは 難しくなってきました。
サービスの重要性やメンテナンスコストの点については、新システムの仕様策定委員会を始めとする 皆様方に御理解いただき、新システムの一部として取り込まれることになりました。
3
総 合 情 報 処 理 セ ン タ ー 設 置 の パ ソ コ ン の 利 用 時 の 認 証 に つ い て
旧システムでは、総合情報処理センター設置のパソコンを特に課題をお持ちでなくても利用いただく ことができました。その運用上の問題点として、特定の端末をどのユーザが使用したか把握できない、
また、予算の性質上そもそも総合情報処理センターの課題をお持ちでない方(学外の方を含む)が利用 できるのは(セキュリティ上のことを含め)いかがなものか、という点がありました。
これらの点については、インターネット上に多数存在する
Web上の掲示板に不適切な書き込みがあっ た等のクレーム対応、また、学内のホストへの不正アクセス(学内限定の
Webサーバを、学外者が閲覧
した等)があった場合の対応を行う場合に、職員・学生を含め、本来個人の責任で利用されるべきパソ
コンからのアクセス等に対し、不正アクセス禁止法等の法整備を始め、長崎大学もしくは総合情報処理
センターの管理責任が問われる時代となったことによるものです。
もちろん利用者の利用状況等の個人情報については、司法機関の発布する令状によらなければ、総合 情報処理センターの担当職員以外の第
3者に提供することはありません。
このような利用状況等の個人情報がプライパシーに該当するかどうかは、活発 に議論されています。民間企業の場合だと、閲覧した
Webページ、送信した電子 メールを会社側が検閲すること、また、その結果に基づいて処分等を行うことは合 法だという判決も出ています。
大学等の場合に、職員・学生がアクセス・公開する情報が、個人の責任に基づい てなされているのか、大学等組織に最終的に責任があるのかは、不明確であり、議 論されているところです。
このあたりは、決して総合情報処理センターだけで判断できるものではなく、大 学としての議論を必要とするところです。
現在のシステムでは、
f課題、
e課題、
S課題をお持ちの方が総合情報処理センター設置のパソコンを 利用できます。
net/net2課題をお持ちの方及び総合情報処理センターの課題をお持ちでない方は利用で
きません。
4
ユ ー ザ 認 証 シ ス テ ム に つ い て
これまで別システムであった、電子メールサーバ及びダイアルアップサーバがレンタルシステムに取 り込まれたこと、また、商用サーバを導入したことにより、パスワード体系が変更されております。
本節では、各課題をお持ちの方が、どのようなサーピスを利用できるのか、また、各システムのパス ワード体系はどのようになっているのか、を説明します。
4.1
各課題で利用できるサービスについて
各課題をお持ちの方が、どのようなサービスを利用できるのか、という点については、下表のように まとめられます。
所有課題
f課題
e課題
s課題
net/net2課題 課題なし 研究開発用サーバ O × × × ×
汎用サーバ O O O × ×
net/net2
用サーバ × × × O ×
ノf
ソコン O O O × ×
電子メール O O O O × ダイアルアップ O × × O ×
情報コンセント O O O O ×
旧システムと新システムの聞での変更点は、パソコンが
f課題、
e課題、
S課題のいずれかを所有し ないと利用できなくなったこと、また、ダイアルアッフ。サーバが
net/net2課題、
f課題をお持ちであれ ば、別途申請なく利用できるようになったことです。
4.2
パスワード体系について
新システムでは、電子メールサーバとして商用サーバを導入したこと、パソコン利用時の認証を開始
したことにより、パスワードが
2系統存在することになりました。これは、各システムのパスワード暗
号化方式及び暗号格納・認証方式が異なることによるものです。
パスワードは大きく分けて、電子メールサーバ用、その他のシステム用の
2系統に分けられます。そ の他のシステムとは、ダイアルアップや
UNIXサーバ等を示します。これら
2系統のパスワードは、旧 システムから新システムへの移行日、もしくは、新規課題取得日の時点では、同じパスワードが設定さ れています。
各パスワードの変更方法の概要は下表の通りです。具体的な変更方法は、
FAQの稿で説明していま す 。
所有課題 メール用パスワード その他用パスワード
f
課題
A Be
課題
A Bs
課題
A Bnet/net2
課題
A C種別 パスワード変更方法
A
電子メールサーバの設定変更ページで変更
Bパソコンのパスワード変更用アカウントで変更
C net/net2
用サーバにログイン後
passwdコマンドで変更
5
電 子 メ ー ル サ ー バ に つ い て
新システムでは、電子メールサービスを商用の電子メールサーバ
(iPlanetE‑Commerce Solutions杜 の
SunInternet Mail Server)で運用しています。商用の電子メールサーバ及びレンタルシステムである ことにより、トラブル発生時の迅速なサポートが受けられるとともに、管理・利用コストを削減できる ようになりました。この電子メールサーバで、新たにサービスを開始した新機能は以下の通りです。
Web
ベースの設定変更ページ旧システムでは、パスワードや転送先を変更するためには、ある程度の
UNIXの知識が必要でしたが、新システムではブラウザ上でパスワードや転送先の変更が行えるよ
うになりました。
I
乱
1APへの対応新システムでは、電子メールを電子メールサーバ側で管理できる
IMAPにも対応しま した。旧システムでも株式会社ジェプロの
WinYATのみ電子メールを電子メールサーバ側で管理 することができましたが、
IMAPは、世界標準の方式であり、多くの電子メールソフトウェアで利 用できます。
WinYATの独自プロトコルは新システムでは利用できません。
SMTPAUTH
への対応旧システムでは、学外から学内の電子メールサーバを利用した電子メール送 信は、総合情報処理センターにダイアルアッフ。で接続する以外原則として行えませんでした。新シ ステムは電子メール送信時にも認証を行う
SMTPAUTHに対応しているため、学外からでも学内 の電子メールサーバを利用して電子メールを送信できます。ただし、
SMTPAUTHにおける認証 方式の問題により、
Microsoft社の
Outlook及 び
OutlookExpressでは現在のところ利用できま せん。
一般のブロパイダの場合、自社ネットワーク以外(本学の場合、学外に相当)からの電子メール送信
については、
POPbefore SMTP方式を利用しています。この方式は、‑s..
POPによるアクセス(電
子メールの読み込み)に成功すると、一定時間(某プロパイダの場合、
10分等)、アクセスに成功した
IPアドレスから、アクセスに成功した電子メールアドレスを用いたメール送信は無条件に許されてしま
います。しかし、
IPアドレスの枯渇、内部ネットワーク構成の秘匠等セキュリティ上の理由から、最近
では
NATもしくは
IPmasquerade等によるアドレス変換されたネットワークが増えてきています(某 ケーブルインターネットもその一つです)
0この場合、
IPアドレスにより、一意のマシンを特定するこ とができません。また、当該の
IPアドレスがアドレス変換されたものかどうかは簡単にはわかりませ ん。したがって、いずれかのアカウントにより
POPでアクセスされたことが知られてしまうと不正中 継の原因となります。したがって、新システムの電子メールサーバでは、電子メール送信ごとに認証を 行なう
SMTPAUTHを採用しています。
また、運用に供していない機能としては以下のようなものがあります。
APOPAPOP
はパスワードのみを暗号化した
POPですが、この電子メールサーバにおいて
APOPを 運用する場合、通常の電子メールパスワードとはまた別のパスワードをアカウントごとに用意する 必要があります。電子メールサーバとしては、通常の
POPと同じパスワードで
APOPに対応する こともできますが、この場合、平文のパスワードを電子メールサーバ上に置いておかなければなら ず、万一侵入されたときのリスクを考えて運用を見合わせております。
SSL SSL
を用いると、電子メールを送受信するクライアント(パソコン)と電子メールサーバの聞につ いては、暗号化することができます。
SSLを利用するだめには、認証組織から電子メールサーバを 認証してもらう必要があります(有料、自己認証であれば無料)。ただし、電子メールを配送する 電子メールサーバ間では、平文で配送されます。
SSL対応については、電子メールサービスの外注 化を図る場合の問題を含め、現在検討しております。
6 ダイアルアップサーバについて
新システムではダイアルアップサーバとして
LucentTechnologies社の
MAX3000 Remote Access Concentratorを使用しています。新システムと旧システムの違いを下表に示します。
新システム 旧システム
回線数 一般電話回線
46回線相当 一般電話回線
23回線相当
PIAFS回線
8回線
2回線(別電話番号)
TTY接続 同じ番号で可能 別電話番号
利用可能課題
net/net2課題及び
f課題
net/net2課題及び利用を希望する
f課題
新システムのダイアルアップサーバは、アナログ回線(下り最大
56kbps、
V.90及 び
K56flex方式に 対応)、
ISDN回線(最大
64kbps)、
PIAFS 1.0(最大
32kbps)及 び
2.0回線(最大
64kbps)に対 応しています。
PHS
から
32kbps以上の伝送速度で接続する場合
PIAFSを用いることになりますが、
64kbpsでの接 続については、
NTTドコモ及びアステルは
PIAFS2.0、
DDIポケットは
PIAFS2.1に準拠していま す。したがって、
DDIポケットを利用されている方で、
64kbpsでの接続を希望される方は、
PHS端 末(電話器)及び通信カード(通信ケーブル)の設定が
PIAFS2.0に切替えられることをご確認下さ い 。
PIAFS1.0 (32kbps)での接続はどのキャリア(通信事業者)でも可能です。お持ちの機器に関す ることは製造メーカもしくは契約キャリアにご確認下さい。
なお、総合情報処理センターのダイアルアップサービスは、
NTT地域会社の提供するフレッツ
ISDNに対応していますか?という質問をお受けすることがありますが、
NTT地域会社と総合情報処理セン ターは地域
IP網の接続契約を結んで、おらず、フレッツ
ISDNには対応しておりませんのでご注意下さ
し 、 。
このダイアルアップサーバの具体的な接続方法・電話番号等については、本センターレポートの性質
上記載しません。詳しくは総合情報処理センターのホームページを御覧下さい。
7
共 有 明T W羽
rサ ー バ に つ い て
新システムには各部局等の情報公開をお手伝いできるよう、共有
W W Wサーバが含まれています。
この共有
W W Wサーバは、
1台のサーバで複数の
W W Wサーバを構成するホストベースドヴアーチャ ルホスト技術を用いて運用しております。
領域の割り当ては現在のところ、希望する部局等(学部、独立研究科、附属病院、研究所、事務局、
附属図書館、学内共同利用施設、短期大学部)に
1つという形で運用しておりますが、サーバの負荷状 況によっては、領域の割り当てを各部局の下位の単位まで拡大することも考えております。
共有明TWWサーバのセキュリテイ対策、ハードウェア障害については、総合情報処理センターが担 当します。各部局等は、コンテンツの作成、アップロード、メンテナンス、パックアップ等の作業及び 情報発信に伴う公法等における責任を担当していただくことになります。領域は独立しており、各領域 の作業権限を与えられた本学職員のみコンテンツに関する操作を行うことができます。各ファイルの変 更権は、作成者本人のみ、もしくは、その領域の作業者全員のどちらかを選ぶことができます。なお、
このサーバの性質上、部局限定というページは構成できませんのでご注意下さい。
現在、この共有
W W Wサーバは
6部局(長崎大学の大学公式ホームページを含む)で利用されてお り、大学公式ホームページについては、平日平均
13万件のアクセスを処理しています。
なお、少なくとも M i c r o s o f 七社の I I S ではありませんので、 Co deR ed や Nimda 等の I I S を媒介とし て増殖するワームには影響されません。
詳しい利用の仕方については、総合情報処理センターまでお問い合わせ下さい。
8
情 報 コ ン セ ン ト サ ー バ に つ い て
情報コンセントサーバは、不特定多数の方が出入りする場所において、総合情報処理センターの課題 のいずれかをお持ちの方が、各自の所有するパソコン等を接続して
Webアクセス及び電子メールの送受 信を行えるサーバ及び接続するための情報コンセントで、現在のところ、附属図書館中央館、医学分館 及び学生会館(生協食堂
2Fを含む)に設置されています。
利用するためには
LANカード等の通信機器及び
UTPケーブルが必要です。また、接続するパソコン 等において、いくつかの設定が必要です。
利用方法及び利用できる情報コンセントの口数については、設置場所を管轄する部署にお問い合わせ 下さい。
9
フ ァ イ ア ウ オ ー ル 専 用 機 及 び ウ ィ ル ス 対 策 サ ー バ に つ い て
これらのシステムはレンタルシステムには含まれませんが、本年度より運用を開始しました。具体的 な機種やシステム構成は、その性質上、積極的に公開はいたしません。また、これらの装置はユーザの 方がそれぞれ何かの設定を行い利用いただくものではありません。
まずファイアウオール専用機について説明します。学外と学内の通信に関しては、これまでのファイ
アウオールシステムと比べ、各通信プロトコルにおける通信をこれまで以上に厳しく制限できます。具
体的には、
httpや
ftpにおいて
GET、
POSTは許可し
PUT等は許可しないなどのプロトコルフィル
タリング、
URL長の制限、一定時間にアクセスできるセッション数の制限等、さらに厳しい制限を掛け
ることができます。また、これまでは、プロトコルの性質上開けざるを得なかった、もしくは閉めざる
を得なかったプロトコルを、閉めるもしくは開けることができます。ただしシステムの構成上、学内同
士の通信に関してはこの装置は関与しません。
ファイアウオールというと、まるでファイアウオール専用機(ファイアウオール と名付けられた製品)のみが、ファイアウオールであるかのように思われる場合が 多々あります。
しかし、外部からの不必要なアクセスを何らかの形で制限できれば、それは広義 のファイアウオールです。
1万円で購入できるブロードバンドルータも立派なファ イアウオールです。
もちろん、そのファイアウオールの構成により、性能に差はありますし、守れる もの(攻撃)と守れないもの(攻撃)があります。また、セキュリティを厳しくす れば利便性を損ない、逆に利便性を重視すればセキュリティは脆くなります。
学外と学内の聞の全学共通のセキュリティについては、長崎大学はこれまでも全 国の国立大学の中でかなり高い位置にありました
hセキュリティの問題を考える 時、何を信用して何を信用しないかは、セキュリティ対策にかかるコストに大きな 影響を及ぼします。
このあたりのバランスは、特に大学という組織の中では各部局、各構成員ごとに 十人十色の考え方があります。総合情報処理センターという一組織が全ての構成員 の考えを満足するように対応することは技術的にも人員的にも不可能です。
次にウイルス対策サーバですが、このサーバは電子メール等の添付ファイル等を検査し、ウイルスを 検知した場合ウイルスの除去・添付ファイル自体の削除を行うことができます。また、その電子メール の送信者にはウイルスが含まれていたことを、受信者にはウイルスの除去・添付ファイル自体の削除を 行ったことを通知します。ウイルスを検知できる範囲は下記の通りです。
SINET
接続時
SINET接続時、すなわち、通常の学外通信経路が正常である場合は、学外から本学に 到着する電子メールについては全て検査します(ただし、何らかの理由で学外から直接
SMTPポー トへのアクセスを許可している電子メールサーバを除きます)。また、学内から総合情報処理セン ター管理の電子メールサーバに送信される電子メールについても検査します(ただし、同じドメイ ン内のメールについては検査できません)。
SINET
