セキュリティ - みる会図書館

1. UNIX MAGAZINE 2005年8月号

連載 /UNIX Communication Notes ーー① 動もおこなっている。もっというなら、、、戦士 " と呼びたいくらい行動的なのである。高木さんの活動の一端は、情報セキュリティ関係の研究者や技術者のあいだで有名な WebIog で窺い知ることができる。そのページを読んでいくと、上記のような活動のスタイルは、よく考えたうえで選択されたものであることが分かるし、先端領域における活動のあるべき姿を示していると思う。まず、徹底して現実の問題に取り組もうという姿勢力朔確である。情報セキュリティ分野における研究のスタイルは、十人十色といってよいほど多様である。だが、情報セキュリティという問題の本質を考えるならば、もっとも重要なのは、なんらかの現実的な解決方法を提示することであろう。なぜなら、このう予においては、直面しているリスクをすこしでも減らせなければ、その研究活動の価値は無に等しいからだ。もちろん、即効性の解決策もあれば、効果を実証するまでに数年を要するものもあるだろう。あるいは、なんらかの仮定をおくことで、部分的な解決をみる場合もある。いずれにせよ、現実的な解決策を提示することがきわめて重要である。このような活動を継続すれば、その領域における知見が蓄積されるだけでなく、体系化によってほかの領域への適用も可能になる。高木さんは、こういった領域知識 (do- main knowledge) の蓄積にも積極的に取り組んでいる。さらに、コミュニティの形成にも努力している。先端領域の問題を対象とする場合、 1 人の研究者ができることには限界がある。その壁を突破するには、同様な課題に取り組む研究者や技術者のコミュニティを作り、相互に協力しながら解決していく必要がある。高木さんの活動に触発された研究者や技術者は数多く、 Webware のセキュリティ機能の向上を目指して、研究者らがコミュニティを形成し始めている。このような、現実の問題への取組み、領域知識の蓄積と体系化、そしてコミュニティ形成への努力は、セキュリティ分野だけではなく、先端領域での研究活動に必顎の構成要素である。高木さんの最近の活動の 1 つに、、、おれおれ証明書 " 問ルート認証局が用いている自己署題がある。そのなかに名型の証明書を、いかにして組み込むべきかという考察がある。とくに、 PKI におけるイ言頼形成の構造と、その構造 UNIX MAGAZINE 2005.8 を保証するための糸目込み手続きについて、さまざまな面から検討を加えている。とくに、政府と地方公共団体が進めている、電子政府認証基盤および公的認証基盤の運用にかかわる問題点の才商はなかなか鋭い。認証局証明書の確認 PKI を利用する場合には、ある認証局の証明書が、本当にその認証局から発行されたものかという確認が最低限必要である。たとえば、認証局が運用する WWW ページから証明書をダウンロードしてくれば、その証明書は認証局が発行したものだと素直に考えてよいのだろうか。専門家のあいだではほぼ常識となっているが、この問題に対する答は、・そんなに単純に信じてはいけないである。ダウンロードに使用する通信路上で、第三者が情報をすり替える危険性があるからだ ( これは、一般に、、 Man ⅲ the middle " 問題と呼ばれている ) 。インターネットは、その構造からいって安全な通信路を提供するものではない。このように書くと、インターネット全体がひどく危険なものだと述べているように受け取られるかもしれないが、もちろん、そういう未ではない。セキュリティの専門家にとって、、、安全な通信路 " とは以下の条件を満たすものである。送信者が誰であるかを、受信者カ頼性をもって確認できる。送信者が送ったデータは、送信時の状態を保ったまま受信者に届く。すなわち、順番の入替えやデータの一部削除もしくは改竄などはおこなわれない。第三者によって、よぶんなデータカ寸加されない。・上記の 3 つが実行された場合、その検出力河能である。この条件を厳密に適用するならば、現在のインターネットは安全な通信路を提供しているとはいえないであろう。つまり、途中に悪意ある第三者がいて通信路を乗っ取り、データを改竄する可能性は否定できないということだ。現実には、いまのインターネットにおいてこのような犯罪がおこなわれる可能性はかなり低いが、それでも絶対にないとは言いきれない。だからこそ、万一の場合への備えも含めた対策が必要なのである。 45

2. UNIX MAGAZINE 2005年8月号

連載 / ネットワークとセキュリティ図 26 正常に不力している場合図 28 Live カイル・第を ) を〒お知ひの内ツ ^ プ、ア以 0 、をグを響影い第れ , 物謝 ~ / OpenSIMS ー・第 0 代 : : を 00 : 靆を 0 : 0 ・ 0 ・ユニをはを「 0 ・ : 第 4 を一一 : 0 : い・毅・第 0 代ーをにを : 0 を 0 ーをは : : : 0 を : を 00 ′ : : 0 を、愛ー - 第 00 を・を 0 ー 0 ー 00 : 、 : 、を 0 ! 0 ・こ第を 0 , , ・ : , 第 0 “ . : 00 気 : : いを第 0 : : を一ト : を 00 : : : ー 0 第 - をた 0 を ! ! い : 00 ト : を - : 、一 0 : 0 当 : ーを . 0 21 ・ : を・ : 4 を 4 : ぐ 0 ! を ! ・ 00 を・ - 、・ 0 ー・ 0 ・一一れ 0 : 第 R ・ P02 釦 0 代 ~ 衂。・新な、ェ・れ第 0 ( イ , 、を、物“曜に 0 : “” 3 第 0 動ーを・・まな ! 1 ジにのホストを原点とした線が多数描かれるので、直感的に異常を把握できるでしよう。また、ネットワークの環境に合わせて Refresh ( 画面の更新間隔 ) と Throttle ( 同時に表示する件数 ) の値を変更できるので、同時に多数のセキュリティ・イベントが表示される環境では、多めの値にするとよいでしよう。・セキュリティ・イベントの統言 OpenSIMS は、セキュリティ・イベントをリアルタイムに視覚化する、、 Live " だけではなく、これまでに発生したセキュリティ・イベントの解析機能も備えています。 https : //OpenSIMS が稼動するマシンの IP アドレス : 8443 Top Attacks" と、、 Top Attackers" の画面では、デー /opensims/ タベースに蓄積されたセキュリティ・イベントを集計でこで、 Flash が正常に Web ヘアクセスしてください。き、ログ視覚化ツールとしての彳齬リも果たします。アプリケーションと通信できていれば、 Status に Con- ・ Top Attacks nection success" と表示されます ( 図 27 ) 。 Reports" →、、 Top Attacks" では、 IDS が検知したセ OpenSIMS の Web インターフェイスの各機能へは、左キュリティ・イベントのうち、上位のイベント種別と全側のメニューからアクセスできます。体に占める割合および件数が表示されます ( 図 29 ) 。どのような種類のアタックが多く発生しているかを把握す・ Live るのに役立つでしよう。さらに、この画面の上部にある Live" →、、 Network" では、 IDS から収集したセキュ、 Output" からは、 HTML 、 CSV 、 XML の形式で、リティ・イベントをリアルタイムに視覚化して表示しま指定した期間のログを出力できるので、セキュリティ・す。画面の左側には攻撃元の IP アドレスと国名が、右イベントのデータをェクスポートし、表引ソフトなど側には攻撃を受けた側のホストの IP アドレスと OS ので分析するといった使い方も考えられます。アイコンが表示され、これらの攻撃元と攻撃先が線で結また、表示されている個々のイベント種別をクリックすばれています ( 図 28 ) 。ると、イベントの種類ごとに攻撃元 IP アドレスと国名、この画面では、 1 対 1 のイベントだけでなく、複数のホアタック件数を参照できます ( 図 30 ) 。ストから特定のホストに対してイベントが集中的に発生している様子が分かります。そのため、もし内部ネット Top Attackers Reports" →、 Top Attackers" の画面では、ワークにワームに感染したホストがあるとすれば、特定アタック図 27 正常に通信できている状態 Status ーー CO ”を : し 500 Not 3 しお 0 にをご ! 0 Ⅵ Z. PING 0 ををいを 0 を S をへ rS ル 5 まら 00 、をぎー 30t 程をドの 41 63 UNIX MAGAZ 工 NE 2005 . 8

3. UNIX MAGAZINE 2005年8月号

連載 / ネットワークとセキュリティ・ OpenSIMS OpenSIMS 本体はフロントエンドの FIash と、バック工ンドの Web アプリケーションから構成されます。 OpenSIMS の最大の特徴は、美しい管理コンソールにあります。 Macromedia Flash べースのフロントエンドでは、アタック元 IP アドレスの国名、監ネ寸象のネットワークのホストの OS 、攻撃の種類がリアルタイムに表示され、管理者はアタックの状況を視覚的に把握できます。また、インターフェイスが Flash なので、 Java アプレットと比較してたいへん軽央に動作します。そのため、管理コンソールの操作でストレスを感じることも少ないでしよう。一方、バックエンドとなる Web アプリケーションは Java で記述されており、 Tomcat アプリケーション・サーバーなどのサープレット・コンテナ上で動作します。・ AgentSDK SIMS カ尹 i•属するネットワーク・セグメントを表します。 OpenSIMS の内部で、各種のネットワークセキュリテ OepnSIMS の AgentSDK は、 ARP とポートスキャイ・デバイスのログの変換や集約、ネットワーク内の機ンを通じてセグメント内のホストの情報を収集します。器の自動架索をおこなうのが AgentSDK です。のため、 AgentSDK が稼動するホストと監視対象のホス AgentSDK はプラグイン形式で設計されており、 IDS トは、 ARP カリ達する範囲である同一セグメント上に置やネットワーク情報収集といった、種類の異なるネットく必要があります。ワーク・セキュリティ機器が協調動作するための基盤とまた、 IDS として Snort を稼動させ、ネットワーク境界なっています。また、 TLS を用いて認証をおこなうこのトラフィックを監視するようにします。 Snort を稼動さとで、通信内容の暗号化と改竄防止を実現しています。せるホストは OepnSIMS カ材家動するホストと同じである Ceteri 必要はありませんが、今回は便宜 - ト . 、同一ホストで Snort Ceteri は複数のシステムでリスクメトリックを交換すと OpenSIMS カ材家動する構成にしています。るためのフレームワークで、 Web サービス API として実装されています。複数のセキュリティ機器が劦調してなお、 AgentSDK のデフォルトの構成では ARP とポ動作するためには、ネットワーク上のリスク情報を交換ートスキャンを通じてネットワーク内部の情報を収集するため、 AgentSDK がインストールされたマシンは監視対する必要がありますが、 IDS や Web サーバーといった機器の種類によってリスクの尺度が異なります。 Ceteri 象のネットワークと同一セグメントに設置する必要がありは、各ネットワーク・セキュリティ機器カ脇調して動作ます。また、 OpenSIMS をインストールする際には、ネするよう、リスクの尺度を換算する役割を果たします。ットワークの規模などにもよりますが、専用のマシンを用意することをお勧めします。ネットワーク構成 OpenSIMS の乍環境今回は、 OpenSIMS 本体と AgentSDK 、 IDS を同一 OpenSIMS の動作には、次のソフトウェアが必要ですホスト ( 192.0.2.2 / 24 ) で動作させるという前提で説明を ( 図 2 も参照してください ) 。進めます。今回の想定環境を図 1 に示します。楕円で囲まれた部分は、監視対象のホストと Open- ・ GCC 3.3.2 以降図 1 今回の想定ネットワーク構成インターネット Web サー Snort + OpenSIMS opensims. example 192.0.2.2 サメ 192.0.2.0 / 24 49 UNIX MAGAZINE 2005.8

4. UNIX MAGAZINE 2005年8月号

特集 Cisco Aironet で無線 LAN [ 1 ] 一方、義などで臨時に運用する無線 LAN では、ユーカ冓築できます。ただし、導入する際には、運用側とユーザーが利用するクライアント環境は多種多様です。この点ザー側双方の負担の多寡、結果として得られるセキュリテでは、ホテルや公衆無線 LAN など、不特定多数のユーザィ・レベルの高さ、そして、利用する環境や目的を十分にーカ駛う環境に通ずるところもあります。さまざまなクラ検討しなければなりません。要するに、、、サジ加減 " が重要イアント環境が混在する無線 LAN では、 WEP なしのオということです。ープン認証といった、ほとんど、、スカスカ " の設疋であって私カ黝務する国立天文台の場合、外部の人 ( ゲスト ) カ俐も、利用する無線チップセットとドライバの相性などによ用する無線 LAN には自由な接続を許し、認証ゲートウェり、うまくつながらないといった問題が発生します。場合イを設けてアクセス制限を課しています。一方、職員カ坏リによっては、トラブルの原因を調べているうちに会期カ鮗用するネットワークについては、 128bit WEP による暗ってしまうこともあるでしよう。号化と MAC アドレスでの管理を実施しています。このような環境での運用においては、いかにして利用者一方、国際会議などで臨時に敷設するネットワークでは、、、不特定多数のユーザーの利用 " が大前提となります。しへの制限を減らし、かっトラブルの少ない環境を提供するかが重要なカギとなります。たがって、 WEP や WPA などを用いてセキュリティを強化する運用は、オプションで実施することは許されても、セキュリティのサジ加減すべてのユーザーに強制するのは困難です。さきほど述べたように、キャンパス・ネットワークなど事実、ユーザーが 1 , 000 人以上になると、自分の目を疑では、セキュリティの強化を目的として、クライアントにあうような事態が発生します。実例をいくつかお話ししましる程度の負担を強いることも可能です。その場合には、許よっ。可された MAC アドレスをもっクライアント以外からの 2003 年 3 月に韓国のソウルで開催された第 59 回 IETF アクセスを禁止したり、 WEP キーの適用や WPA 認証 (lnternet Engineering Task Force) Meeting で、私はといった手法がとれます。クライアントからのアクセスの無線 LAN の言妬 t と構築、運用をおこなっていました。す午可 / 拒否に重点を置いてセキュリティを強化する場合にると、ヘルプデスクには WPA の実施が強力ですが、各種 OS への対応やユー「僕のラップトップ PC でワイヤレスカ駛えないんだけど、ザーへのサポートなど、運用者側の負担は大きくなります。どうしてかな ? 」 WEP や MAC アドレスによって許可 / 拒否を制御する方と困り顔の人がやってきました。さっそく調べ始めたので式も、 WEP キーの配布 / 定期更新や MAC アドレス管理すが、その人の PC を隅から隅まで見てもあるべきものがといった、有線の場合にはなかった作業コストが生じます。ありません。そうです。上に述べたのは無線 LAN に固有の手法ですが、アプリケーション層での認証を経て通信を許可する方法もありま「なぜならば、あなたのラップトップ PC にワイヤレスカす。たとえば、ユーザーがインターネットを利用しようとードがないからです」すると Web の認証ページに強制的に誘導され、そこでの認と、私は微笑みを浮カべつつ答え、ついでに証にパスしないかぎり、インターネットにアクセスできな「この地図を見て、 PC ショッフ。へ行ってね」いようにするといった手法です。この方式では、リンク層 ( 認証を実施するゲート内 ) での通信は可能になってしまいと、優しく応対しました。このように、インターネット技ますが、 Web を利用するため、無線であろうと有線であ術の標準を定める会議の参加者との問答とは思えないようろうとネットワーク接続さえ可能なら正が適用できます。なこともあります。あるいは、これは、ユーザーの OS 環境にあまり左右されない手法と「どうも、電波がうまく捕まえられないんだけど」いえます。という PC を覗くと、このように、無線 LAN を安全に構築する技術はたくさんあり、うまく組み合わせれば十分に強固なネットワーク・ローカライズ : 日本一三ロ 87 UN 工 X MAGAZINE 2005 . 8

5. UNIX MAGAZINE 2005年8月号

ネットワークとセキュリティ 12 白畑真 OpenSIMS 今回は、オープンソースの SIM (Security lnforma- tion Manager) である、、 OpenSIMS" をとりあげます。 SIM は、 IDS やファイアウォール、月弱性スキャナといったさまざまなツールから得られたセキュリティ・イベントを集約して管理者に提示する、新しいタイプのネットワーク・セキュリティの管理ツールです。 SIM が登場した背景には、これまでにも何度カ甘甜商した IDS の、、過剰検知 " があります。たとえば、 Windows にのみ感染する Slammer ワームが FreeBSD のマシンを攻撃した場合と Windows マシンを攻撃した場合とでは、被害が発生する可能性は大きく異なります。しかし、従来の IDS ではこれらのリスクを考慮していないため、アタックであることに間違いはないが、実際に被害が生じるとは考えられない過剰検知が検知結果の大半を占めていました。 OpenSIMS は、 The Open Source Security lnfra- structure Management System の田各で、 Symbiot カゞ支援しているオープンソースの SIM です。同社は、 SIM アプライアンスとして Symbiot 5600 を販売していますが、この製品に含まれる視覚化技術などを OpenSIMS プロジェクトに提供しています。 OpenSIMS では、オープンソースの IDS である Snort から得られたセキュリティ・イベントと、能動的フィンガープリンティング・ツールである Nmap から得られたネットワーク内部の情報、そして IP アドレスを利用している国名を求める GeoIP などのデータを集約し、 Flash べースのインターフェイスで視覚化します。私カべた範囲では、商用製品の SIM としては以下の 48 1 メーカーが SIM と定義していない製品を含む。ようなものがリリースされています 1 ・ ArcSight http://www.sse.co ・ jp/arcsight/ ・ netForensics http://www.terilogy.com/product/security/ netforensics ・ Symantec lncident Manager http://www.symantec.com/region/jp/ products/sim ・ nCircle IDS nTellect http://www.kccs.co ・ jp/security/ncircle/ ntellect. html ・ neuSECURE http://www.guarded.net/ ・ CheckPoint Eventia Analyzer http://www.checkpoint.co.jp/products/ eventia/ ・ Network lntelligence http://www.network-intelligence.com また、オープンソースの SIM としては、・ OSSIM http://www.ossim.net/ カ陏名です。これらのソフトウェアと OpenSIMS を比較すると、 OpenSIMS はセキュリティ・イベントの集約や相関関係の分析といった機能が弱い反面、セキュリティ・イベントの視覚化や RSS フィードなど、管理者向けの情報提供機能が充実しているといえるでしよう。 OpenSIMS は、次の 3 種類のコンポーネントから構成されています。 UN 工 X MAGAZINE 2005 . 8

6. UNIX MAGAZINE 2005年8月号

c 0 n t e n t s 2 囲 5 / 8 [ 特集 ] 27 86 43 48 65 76 101 107 125 Xen で作るマルチ・バーチャルマシン白崎博生最近、注目を集めている仮想化技術の 1 つに Xen がある。 SUSE LINUX 9.3 や Fedo 「 a Core 4 に標準で付属するようになったが、設定や運用は意外に難しい。この特集では、いわば“バーチャルなブレードサーバー”を実現する Xen の特徴を活かした利用法について解説する。今回は、 Xen の基本的な仕組みを説明し、 Xen 自体のインストール手順を示す 0iS00 Aironet で無線し AN ・・・大江将史規格に準拠し、相互接続試験にもバスしているのに、つながらないことがあるのが無線 LAN の厄介なところである。環境に適した設計・運用方針の考え方について述べ、実体験にもとづいたアクセスホイントの基本的な設定方法、快適に使うための“生活の知恵”を紹介する UNIX Communication Notes " ・・ " 山口英認証基盤の問題点ネットワークとセキュリティ・・・・・・白畑真セキュリティ管理ツール Open MS 状態遣移関数 6 の実装・・・・島慶ー sy 引 ogd のメインループプログラミンク・テクニック・プロセスの種類とサービスへテロな環境の基礎知識・ DNS による名前解決ネットワーク・ミニ実験室・ " 多治見寿和・ " 長原宏治、及川卓也・・・荒井美千子今津英世ドラッグ & ドロップの実現 Pe 活用のヒント COVER, CONTENTS DESIGN ・ MORIYA, KAZUO (AUDREY THE DESIGN)

7. UNIX MAGAZINE 2005年8月号

連載 / ネットワークとセキュリティ図 2 OpenSIMS の重加乍セキュリティ・イベント送信 AgentSDK OpenSIMS 日 ash インターフェイスイベント取得 OpenSlMS Web アプリケーション TO mcat Java VM セキュリティ・イベント蓄積 / 問合せ PostgreSQL Nmap Snort ・ OpenSSL 0.9.7d 以降・ Perl 5.8. x 以降 Getopt::Std 、 HTML::Entities モシュール・ Snort 2.0.4 以降・ Nmap 3.5.0 以降・ J2SE SDK 1.4.2 以降・ Ant 1.6.1 以降・ Tomcat 5. x 以降・ PostgreSQL 7.4.3 以降今回は、この要件を満たす L ⅲ ux ディストリビューンヨンとして CentOS 4.0 を選択しました。 CentOS は Red Hat Enterprise Linux ( 以下、 RHEL) をもとに作成された、いわゆるクローン・ディストリビューションで、 RHEL と高い互換性があります。ほかに、 OpenSIMS の動作要件を満たす RPM 系のディストリビューションとしては、 Fedora Core 3 、 Red Hat Enterprise Linux 4 ( 以下、 RHEL4) があります。なお、私が検証したかぎりでは、 CentOS 3.4 の環境では GCC と Nmap 、 OpenSSL のバージョンが旧いためか、正常に動作しませんでした。以下、上記の各ソフトウェアのインストール方法を説明しますが、誌面の関係で主要なもののみを紹介します。 Nmap と Snort のインストールについては、それぞれ 2005 年 3 月号、 2004 年 11 月号を参照してください。 Perl モシュールのインストール OpenSIMS で必要な PerI モジュールのうち、 Getopt:: Std モジュールは PerI のパッケージに同梱されています。一方、 HTML::Entities モジュールは perl とは別にイン 50 サーブレットの乍環境の構築 OpenSIMS のバックエンドの主要なコンポーネントは Java で言当されており、 Java サープレット・コンテナ内で動作します。ここでは、サープレットの動イ乍環境を構築する方法について説明します。 JPackage Project の利用環境の整備 OpenSIMS で必要な Java 関連ソフトウェアのインストール作業を簡便におこなえるように、今回は JPackage Project2 の RPM パッケージを用います。最初に、 JPackage Project カイ乍成したパッケージの真正性を確認するため、 JPackage Project の GPG の公開鍵を登録します 3 。 GPG の鍵が登録されていない場合には、 yum などのパッケージ管理システムでの利用に問題が生じる場合があります ( 誌面の都合上、で折り返しています。以下同様 ) 。 ¯import http: //www ・ jpackage ・ org/=> # rpm Jpackage . asc 2 http://www ・ jpackage ・ org/ 3 JPackage Project の公」鍵のフィンガー・プリントは、 1F81 COFB C2B8 22B3 DE12 33A4 5C6C FFF7 C431 416D " で、 pgp. net のキーサーバーを通じても入手できます。 http://wwwkeys ・ pgp. net:11371/pks/lookup?op=vindex &search=0xC431416D&fingerprint=on ストールする必要があります。以下に Red Hat 系 Linux のパッケージをインストールするコマンドを示します。・ Fedora Core/CentOS の場合 # yum install per1—HTML-Parser ・ RHEL の場合 # up2date —install perI—HTML—Parser UN 工 X MAGAZINE 2005.8

8. UNIX MAGAZINE 2005年8月号

連載 /UNIX Communication Notes - ー・ 0 向けるべきであろう。すなわち、法的に信頼性を保証した PKI 証明書の提供である。このため、民間企業である言正局について一定の基準を設け、政府が認定する制度の運用が始められている。また、公的な性格を有する法人については法務局が、個人については地方公共団体力明書を発行する公的認証基盤の運用も開始されている。生体認証と PKI ところで、話が本題からそれてしまうが、このところ、多くの人から「 PKI は生イ柘証に置き換わるのか ? 」と訊かれるようになった。周知のように、生イ柘証とは生イ柘 1 ・測 (biometrics) にもとづく認証方式である。たとえば、指紋や掌紋の特徴点抽出によるパターンマッチは、以前からひろくおこなわれている。最近は、指先の静脈流特徴点や目の虹彩パターンを用いる手法も普及しつつある。上記のような質問を受けるのは、大手銀行が生体認証を用いた本人確認をおこなうことを大々的に発表したからであろう。これは、大きな社会問題にもなったキャッシュカードの偽造への対策として打ち出されたものである。また、指紋認証によるセキュリティ・システムを組み込んだラップトップ PC や携帯電話が発売されたことも景を与えていると思われる。マスメディアで大々的に報じられたこともあり、それを見聞きした人たちは、生イ柘証が安全確実な方法であるというイメージを抱くようになったらしい。しかし、 PKI と生イ柘忍証を比較すること自体がおかしな話である。 PKI は識別情報を安全かっ信頼できるかたちで十帑内し、流通させるためのフレームワークであり、生体認証と同列に置いて比較できるものではない。おそらく、生体認証がひろく普及したとしても、 PKI の枠組みは残り、多くのアプリケーションで使われ続けるだろう。また、、、生イ柘忍証は緲寸確実な識別手法である " というのも言期牟である。生イ柘 1 測には、以下に述べるような 2 つの要素がある。 1 つは、人間の身体的特徴のうち、個々の人間に固有と、、思われる " ものを利用していることだ。これを成立させるには、もちろん大量のサンプルにもとづく検証が必要である。長年にわたる研究の成果により、指紋や掌紋はもとより、指先の静脈、目の虹彩、眼底毛細血管などのパターンも、かなり高い精度で人間 1 人 1 人に固有のものであろ 44 うということカ明らかにされつつある。もう 1 つの要素は、則システムの出来が悪いと、固有であるはずのものか馥製可能になったり、あるいは、生体ではなく代替品で言則させることもできるという点である。つまり、システムが、、だまされる " 可能性があるのだ。その有名な例が、横浜国立大学の松本勉孝対受による、、グミ指紋 " と、、々艮静脈 " の実験である。前者は、お菓子のグミを使って A さんの指紋を写しとり、特定の方式を用いた指紋スキャナにかけると、 A さん本人の指紋と判定されてしまうことがあるというものだ。また、後者では、特定の指先静脈パターン計測装置に薄く切った大根をかざすと、人間の指ではないにもかかわらず、計測がおこなわれて登録・検証カ河・能になってしまう。こういった例も報告されているので、生イ柘を証を安全確実な方式と過信するのは現時点では危険であろう。事実、現在の生体認証を用いてドアの解錠などをおこなうシステムなどでは、かならず IC カードや暗証番号と併用するようになっている。これは、このような組合せが強力な認証システムとなりうること、そして、生体認証単独での利用にはまだ問題カっていることを示している。もちろん、生体認証が無意味だといっているわけではない。対象となる情報とシステムによっては、生体認証だけで運用可能な場合もあるだろう。取り扱う情報と、システムカ甘是供するサービスの重要度をよく考え、ほかの認証システムとうまく組み合わせて運用するかどうかを判断すべきであろう。現実の問題への取組みが不可欠この連載で人を紹介することは稀だが、今回は PKI をテーマにしていることもあって、産業技術総合研究所の高木浩光さんの活動について紹介する。高木さんは情報セキュリティ領域で活躍している研究者で、おもな研究領域は Webware におけるセキュリティ機能である。たとえば、近年は XSS (Cross Site Scripting) に関する問題点を明確に指摘するとともに、その対応策を示してきた。しかし、特筆すべきは、その研究スタイルである。情報セキュリティ機能の実装強化を呼びかける実践家であるとともに、合理的な実装と運用を分け隔てなく求める社会活動家であり、そして問題を社会に訴える言論活 UNIX MAGAZ 工 NE 2005 . 8

9. UNIX MAGAZINE 2005年8月号

EWS ・ StorageTek 4Gbps FC 対応のストレーシ・システム日本ストレージ・テクノロジー (Tel TB 、 RAID 0 / 1 / 1 十 0 / 3 / 5 の構成に 03-3746-9717 ) は、ストレージ・システ対応。 RAID コントローラは 1 基あたり 4 ム「 FlexLine FLX380 ストレージ・シ GB のキャッシュを備え、デュアル・アクステム」の販売を開始した。テイプ構成をサポート。筐体はラックマウ、、 FIexLine 200 / 300 " シリーズの最上ャネル・スイッチ」も販売。 I/F は Fibre ント型またはデスクサイド型。 Channel>< 16 ~ 32 ( 8 ポート単位で増設位モデル。ホスト側 I/F は 4Gbps Fi- 価格は 1 , 270 万円 ( 4GB キャッシュモ可能 ) 、伝選虫度は 1/2/4Gbps ( 自動検デル ) から。 bre ChannelX8 、ディスク側 I / F は出 ) 、最大 8 ポートの ISL Trunking に対 Fibre ChanneI またはシリアル ATA 同時に、 4Gbps Fibre Channel ス応。価格は 348 万円 ( 16 ポート ) から。で、 HD 数は最大 224 、容量は最大 62.5 イッチ「 SilkWorm 4100 ファイパ・チ ⅲ前新ををに 4 第みお物 •HP 1 OGbE x 32 のハイエンド・スイッチ日本ヒューレット・パッカード (Tel 480Mpps 、ルーティング / スイッチング 03 ー 6416 ー 6660 ) は、ハイエンド・スイツ能力は最大 1.28Tbps 。 IPv4/IPv6 ルチ「 ProCurve Routing Switch 9408 ーティング、 IP マルチキャスト・ルーテイング (IGMP 、 PIM-SM/DM など ) 、 sl 」の販売を開始した。モジュール・スロット >< 8 を備え、 10 ポリシーベースのルーティング、ハードウ 44.5cm 、重量は 109.8kg 。 Gbps Ethernet X4 、 mini-GBICX ェア・べースの ACL 、 QoS 、 sFlow な価格は 613 万 2 , 000 円から。 40 、 10 / 100 / 1000Base Tx60 などのどに対応。外形寸法 ( HXWXD ) は 66.7X61X モジュールに対応。スルーブットは最大 *oundry セキュリティ対応スイッチ米 Foundry Networks (Tel 03- 張装置として使用する。いずれも性能の異なる 2 モデル ( 100 / 300 ) がある。基 3507-5641 : ファウンドリーネットワークス ) は、セキュリティ対応スイッチ本ソフトウェアはネットワーク侵入、ア SecurelronLS 100 SecureIron Security Traffic M an- プリケーション層の攻撃の検知 / 防御に ager SecureIronLS" ファミリーのルタリング、 VoIP/SIP トランザクショ対応した SecureWorkso レイヤ 2 / 3 ンでの DoS 攻撃卸などの機能をもつ。販売を開始した。スイッチング機能は ICMP/UDP/IP 価格は、「 SecureIron 100 」が 12 , 995 SecureIron Security Traffic Man- fragmentation 攻撃からの防御と拡張 (Extended) ACL をサポート。 DoS/ ドル、「同 300 」が 19 , 995 ドル、「同 LS ager はファイアウォールのフロント工 100 」が 14 , 995 ドルから、「同 LS 300 」ンドとして、 SecureIronLS はデータ DDoS 防御、侵入防御、 SPAM のリアセンター内のサーバーのセキュリティ拡が 19 , 995 ドルから。ルタイム検出、 Web 攻撃卸 /URL フィ 1 台のスイッチで最大 200 台の無線 LAN 無線 LAN スイッチアクセスポイントの管理が可能。 Auto- Ce Ⅱ技術 ( WM100 はオプション ) により米 Extreme Networks は、ま聨泉 LAN 同社の無線 LAN アクセスポイント無線の出力レベル / チャネルを調整し、カスイッチ製品「 Summit WM100 」「同 Altitude 350 と組み合わせることで、企バーエリアを最大化する Dynamic RF 1000 」の販売を開始した。業向け無線 LAN システムを構築できる。管理機能がある。 I/F は、 10Base T/ 14 UN 工 X MAGAZINE 2005.8 •Extreme Networks

10. UNIX MAGAZINE 2005年8月号

0 彙 ice ・ 8 / 2005 lnterop 2005 Las Vegas / 林ロ真写真 1 BigIron RX-Series 5 月 1 日 ~ 6 日 ( 展示会は 3 日 ~ 5 日 ) の 6 日間、 II ト terop 2005 Las Vegas が MBCC (Mandalay Bay Convention Center) で開催されました。現在のような展示会を主体とした lnterop が初めて開催されたのは、 1988 年、 Santa CIara でのことでした ( 参加者は 5 , 400 人 ) 。その後、 1994 年に Net- world 十 lnterop (N 十 I) と改称されましたが ( 東京での N 十 I 開催もこの年からです ) 、今年は lnterop という名前に戻りました。東京で 6 月初めに開かれた展示会の正式名称も、「 lnter 叩 2005 Tokyo 」に変更されています。こ数年、米国での lnterop はあまり元気がありませんでしたが、会場の変更がさいわいしたのか、すこし盛り返してきた感じがします。とくに、プースの小さなべンダーが増え、ここ数年はもつばら SuperCOMM に出展していた大手べンダーカ唳ってきたのが目立ちました。以下では、気になったポイントと、卿未深い新製品をいくっカ齠介します。、 10GbE 製品写真 2 ServerIronGT C-Series 0 写真 3 DES -6500 と 10GbE XFP モジュール ( 2 スロット目 ) Foundry Networks[1] のプースでは、 Best of Show を受賞した「 BigIron RX 」のほか、「 ServerIronGT C- Series 」などの 10GbE (Gigabit Ethernet) 対応の新製品が展示されていました ( 写真 1 ~ 2 ) 。私の所属する大学でサーバー関連の調達を控えていることもあり、どうしてもサーバー運用系の装置に目がいきます。 D-Link[2] は、 10GbE インターフェイス付きのシャーシ型スイッチ「 DES ー 6500 」 ( 写真 3 ) を展示していイアンス「 sentriant 」 ( 写真 5 ) も出展されていました。ました。スイッチ本体は 2 , 999 ドルとイ曲格です ( 別売これは、 BlackDiamond でトラフィックをおおまかにのインターフェイスの価格は未定 ) 。調べ ( 写真 6 ) 、疑わしいと判定したバケットを Sentri- Extreme Networks[3] は、 6 スロットの「 Black- ant にミラーして詳細に調査するものです。この合わせ技によって、 10Gbps ぶん (Sentriant 自体には IGbps Diamond 8806 」 ( 写真 4 ) を展示していました。また、のポートしかありません ) のトラフィックから、 DDoS 10GbE 時代におけるセキュリティ製品として、 Black- などと思われるバケットの検出が可能だそうです。 Diamond 10808 とセットで使うセキュリティ・アプラ「 1 17 UN 工 X MAGAZ 工 NE 2005.8