SOA - みる会図書館

1. UNIX MAGAZINE 2006年2月号

SOA と BRMS 國安治 12 月号では、自動車保険の保険料・見積りを例にとり、場合には、多様なプラットホームに対応するサービスパビジネスルールの適用手法をみてきた。今回は、 SOA ス製品をネットワーク上に置き、そのバスにシステムを (Service Oriented Architecture) と BRMS (Busi- つないでいく。 ness Rule Management System) について説明する。 SOA の実現方式としては、上位では BPM (Busi- ness Process Management) 製品カゞ、ミッドレンジ SOA とは何かでは Web サービスに対応したアプリケーション・サーバー製品が、下位では EAI (Enterprise Applica- SOA という用語は、いくつかの末で使われている。 tion Integration)/ESB (Enterprise Service Bus)/ Oriented は、、指向 " と訳されるが、考え方の方向性を示 ETL (Extract-Transform-Load) 製品が本命となりしたものであり、概念、もしくは概念の具体的な実現方つつある。式を指す。概念については考え方や捉え方の違いが多少 SOA と工業生産あるが、実現方式は標準化が進み、さまざまな製品が登場している。、、 xx 指向 " という概念は、現実の世界に置き換えると理解しやすい。オプジェクト指向が登場したとき、クラス概念としての SOA は、処理の各要素をネットワークとメソッド、継承と隠蔽などを説明するために、社員と経由で利用できるサービスというかたちにし、それらを営業、才翅者との関係、あるいは専門家に仕事をイ頁す連携させてシステムを構成するという考え方を指す。サるときのやりとりなどが、具体例としてよく挙げられた。ービスを疎結合して個々の依存性を少なくし、処理要素の順番や組合せ、新たなサービスの追加といった変更を適切な例かどうかは分からないが、以下では SOA を容易にする。工業生産の効率化とその変遷に置き換えてみよう。 SOA で最大の効果を得るには、企業内のさまざまなかって、ヘンリー・フォードは自動車産業においてラシステムを全体として捉える必要がある。あるいは、企イン生産方式を考案した。この方式が登場する前の自動業の枠を超えた連携に対象を拡大することもある。その車工場では、車体を固定して東エが組立てをおこなっ場合、サービスの疎結合の方式としては、 XML をベーていた。ライン生産方式では、まず部品の供給や移動のスとした Web サービスが実現方式の本命といえる。サ効率化から始め、最終的には自動車本体もベルトコンべービスを連携させて構成した業務処理 ( ビジネスプロセアで移動させながら加工する手法をとった。工程を細分ス ) の標準としては、図式表現の BPMN (Business 化し、誰でもできる単純な作業にすることで、高品質と Process Modeling Notation) と、言語表現の BPEL 低コストを両立させたのである。 (Business Process Execution Language for Web 現在の企業では、個々の情報システムカ虫立しており、 services) がある。それらのあいだを人間がつないでいるパターンが多い。企業内の連携では、まとまったデータをファイル転送つまり、出力した書類を物理的に運んだり、データの変したほうがよい場合や、 web サービス化カ攤しいケース換や調整を人間がおこなっているのである。例外的な処 ( メインフレーム・システムなど ) がある。そのような環理やデータの誤りなどもあり、人間の目で確認したり、過境において、システム間を peer-to-peer でつなごうと去の経験がものをいう場合も多い。担当者が病気でもすすると、接続の組合せが多くなってしまう。このようなれば、業務全体への景彡響も避けられない。これは、いわ 20 UN 工 X MAGAZ 工 NE 2006 . 2

2. UNIX MAGAZINE 2006年2月号

ばライン生産方式以前の状態である。 SOA でも、作業を戒的なものから高度なものまで、工程として細分化してサービス化する。高度な作業は引き続き人間が対応し、機械的なものはシステム化する。情報技術の進化により、サービスを連携させて作業ライン ( プロセス ) を柔軟に組み替えられるので、結果として生まれる製品の高品質と低コストが実現できる。作業員や機械も含む生産ライン全体が、 SOA におけるビジネスプロセスにあたる。メインの生産ラインにつながるサプ生産ラインは、ビジネスプロセスのサププロセスだ。車体を運ぶべルトコンべア、道具や部品を運ぶレーンなどが、サービスパスや EAI (Enterprise AppIi- cation lntegration) に相当する。自動車のギアポックスなどの部品は、他社から提供される場合がある。ビジネスプロセスでも、一部の業務を外部に委託したりパッケージを利用することがある。工業生産における工程の細分化は、誰がどのリソースを使っておこなうのか、それは自社にとってのコアな技術か、といったさまざまな視点から検討される。 SOA におけるサービスの粒度の考え方も、このような工程の細分化と同様に捉えると分かりやすいかもしれない。初期のライン生産方式は、人間に単純作業を強いる過酷な労働として批判された。その後の機械化により、危険で過酷な作業は機械に任せるようになった。 SOA でも、単純で膨大な作業はシステム化される。人間は創造的で高度な、変革カ髞り返される作業を担うようになる。ライン生産方式は大量消費時代には適合したが、モノあまり時代を迎えて消費者の嗜好が多様化し、在庫がダプつくようになった。そこで導入されたのが、サプライチェーン・マネージメントである。部品や材料の調達、在庫管理、製品の配送の流れを統合的に管理し、在庫削減とコスト低減に効果があった。 SOA の適用対象はビジネスなので、製品や部品の注文を受け、納期に合わせて生産するトヨタの JIT (Just-In-Time) 方式が適合する。 SOA に JIT 方式を取り入れれば、次の段階の作業について考えるべき時点で担当者に作業依頼が示されるようになるだろう。もう 1 つ、重要な工業生産の効率化にセル方式生産がある。キヤノンのセル方式生産は、多品種少生産で部品の移動力溶易な分野で効果を上げている。ライン生産方式では、ラインの速度に人間が合わせなければならな UNIX MAGAZINE 2006 . 2 い。一方、セル方式生産ではそれぞれが自分の速度で作業を進められるだけでなく、仕事に対する達成感も得られる。情耡支術においては、部品 ( 情報 ) の移動にかかる時間をあまり考慮しなくてもよい。だが、要求される処理量の変化により、サーバー側で処理待ちが発生する場合もある。セル方式生産では、これをグルーフ。で処理していく。作業に慣れれは処理量も増え、それだけ成果も上がる。情報技術環境では、あるサービスに関する溜まった要求を空いたマシンや人間がチームで処理するようなかたちになる。マシンを利用するのなら、ユーティリティ・コンピューティングや、グリッド・コンピューティングといった方式になるかもしれない。サプライチェーンや JIT 、セルなどを情幸財支術のう予に適用する場合は、 SOA のほかに、状態監視やスケジューリング機能も必要になる。 SOA による業務変革 SOA により、サービスの疎結合による変化に強い柔軟なシステム構成が実現できる。 SOA を導入すれば、情報技術はプラットホームへの依存性が減り、サービスとプラットホームを異なるライフサイクルで管理できるようになる。結果として、システムのトータルコスト (TCO) の低減、ビジネスプロセスの品質向上と高速化、各プロセスのコスト低減が見込める。工業生産の革新は、世の中の仕組みや仕事の形態まで変えた。同様に、情幸財支術の分野で SOA の導入が進めば、企業の業務変革が進んでサービスが大きく変容するだろう。 1914 年頃に始められたライン生産方式は、その後の 90 年間に工業生産における数多くの改善をもたらした。情報技術は短期間に大きく進化するので、工業生産の場合の何分の 1 かの速度で変化していくのではないだろうか。ただし、業務変革はシステムだけでおこなうわけではなく、業務に携わる人間が重要である。その未では、業務担当者の教育や成長をみながらビジネスプロセスの改善を進めなければならない。ビジネスプロセスを変革するには、業務の手順を明確化し、経営目標を実現するための業務改革、継続的な改革プランを作成する必要がある。これまで、ドキュメントがすべて紙べースだったり、個々のシステムをつなぐ方法がなかったりと、情報技術にとってはさまざまな障壁があった。いま、ようやく情報技術によってビジネス NOTICE 21

3. UNIX MAGAZINE 2006年2月号

ト名とバージョン番号を指定して呼び出す ( バージョン番号を指定しない場合は、肩効なルールセットのなかでもっとも新しいものカ駛われる ) 。 BRMS は、 SOA の実現に重要な BPM にとって、ビジネスプロセスにビジネスポリシーを柔軟に組み込む重要な要素と註哉されている。現在、 ILOG JRules は 12 の BPM 製品との接続カ蔀寉認されている。 BPM ツールには、人間と人間、人間とシステム、システムとシステム、データの制御など得意分野がある。人と人、人とシステム義、審査、回覧などのモデル、あるいは人間や部署、グループ、権限のモデル・作業リストの表示、電子メールによる作業や異常の通知機能・作業の状況を入力する画面などのテンプレートや作成機能システムとシステム・データベースの接続を容易にする機能・ CRM や ERP など、ひろく普及しているシステムに接続するコネクタ・人間の作業によるシステム側の待ちが発生しないため、一・ヨ殳的に高パフォーマンスの言気テータ書類をスキャンした画像データの匍胸・電子化した文書への電了署名や言正 BPM のべンダーはそれぞれの得意分野を伸ばすとともに、他社の得意分野を取り込みつつある。また、 SOA を実現する複数の層をサポートするように機能を拡張している。ー殳に、 SOA を実現するには複数のツールを組み合わせる。人間による機械的な判断やチェック作業の自動化には BRMS が威力を発揮する。たとえば、以下のような業務では BPM と BRM の組合せがすでに適用され、隹的な SOA 実現の例となっている。保険業界での加入審査のチェック、見積り、支払い要求チェック金融業界での融資要求チェック・通信業界での加入要求チェック、サービス変更要求チェック公共機関での補助金要求の適格性チェック UNIX MAGAZ 工 NE 2006.2 NOTICE 複数業界での顧客向けキャンペーン適用チェック、顧客への推奨商品の選択 SOA の実現においては、自動化とともに監視業務が重要になる。機械には、どうしてもさまざまな問題が生じる。性能の劣化や、メモリなどのリソースの増大、入カデータの間違いなどである。システムの諡見業務を効率化するには、これらの問題を検知し、視覚化する機能が必要になる。このような問題検知については、たとえば以下のう f で BRMS カ坏リ用されている。・通イ言業界でのネットワーク内のエラーの主原因推定・ネット・オークションでの不正出品の尉甫割出し今後、システムによる判断や検査の自動化、問題の検知などでの SOA の利用がいっそう進むと思われる。また、 BRMS により、法令や社内規定の遵守 ( いわゆるコンプライアンス ) の検査も自動化されていくだろう。これらは、たとえば人間による作業の前後で実施するパターンが考えられる。人間がおこなう作業に先立ち、前提となるデータに不正がないかを調べ、誤りがあれは前の工程に戻す。作業後には、規定などにかかわる見落しがないかを調べる。対象となる作業のなかには、高度なものもある。ーリとして、米国の保険業界のケースを紹介しておこう。米国では、原則として、保険金支払い要求にかかわる個人情報にアクセスできるのは担当審査官だけと定められている。ただし、アクセス可能な情報の範囲は州ごとに規定されている。 BRMS を導入すれば、全米共通のルールおよび各州ごとのルールを視覚化して管理できるだけでなく、規定を遡見したアクセスに対しては情報を表示しないといった措置もとれるようになる。 ☆ 以上、 SOA/BPM と BRMS の組合せについて、その概念と実装の両面から説明した。次回は、 ILOG の視覚化製品を紹介する。 23 ( くにやす・おさむアイロの

4. UNIX MAGAZINE 2006年2月号

ク・ミニ実験室の図 17 ゾーン輯医によるゾーン情報の里マスターサーバー ( 192.168.1.1 ) ① SOA レコードを取得。シリアル番号が変更されていればゾーン転送を要求ゾーン転送ネットワースレーブサーバー ( 192.168.10.1 ) example.com ゾーンの情報のコピーを保持 example.com ソーンのオリジナルの情報を保持 ② examp 巨 com をゾーン転送図 18 rndc refresh の実彳吉果 (a) 「 ef 「 esh コマンドの実行結果冖スレーブサーバーに対してコマンドを送る $ rndc ー s 三 192 .168 . 10 . 1 三 refresh example . com zone refresh queued ーゾーン更新要求が受け付けられたを読み込んだことを確認できます。新しい設定内容が本当 17 ー Dec ー 2 0 0 5 0 0 : 10 : 4 5 . 9 5 4 17 ー Dec ー 2 0 0 5 0 0 : 10 : 4 5 . 9 5 4 192 . 16 8 . 10 . 1 # 1161 17 ー Dec ー 2 0 0 5 0 0 : 10 : 4 5 . 8 0 2 17 ー Dec ー 2 0 0 5 0 0 : 10 : 4 5 . 8 01 ・ # /usr/local/sbin/named (b) DNS サーバーのメッセーシ zone example . com/工 N: ・ zone example . com/工 N: ー 9 に沿い、 SOA レコードのシリアル番号か哽新されていれーンを更新させた例です。 refresh コマンドは上述の手順図 18 は、 refresh コマンドを使って example.com ゾおこなわせることができます。ドを使えば、定期的なタイミングを待たずにゾーン転送をまうという難点があります。 refresh や retransfer コマンるまで、スレープサーバー側に旧いゾーン情報カってしこの仕組みには、定期的なゾーン車幻去のタイミングになする。 4. マスターサーバーが example.com のゾーン情報を車幻医レープサーバーがゾーン車幻医を要求する。 3. SOA レコードのシリアル番号が更新されていれば、ス 2. マスターサーバーが SOA レコードを送る。レコードを要求する。 1. スレープサーバーがマスターサーバーに定期的に SOA 手川頁で定期的にゾーン情報を更新します。ーバーが起動したときに転送されます。また、次のような transfer Of 'example . com/工 N' from 192 .168 . 1 . 1 # 53 : end Of transfer transferred serial 2005121700 transfer Of 'example . com/工 N' from 192 .168 . 1 . 1 # 53 : connected using Transfer started. ← examp com ゾーンの転送の開始た、それぞれの DNS サーバーは区別のために次のようにによって他方の DNS サーノヾーへ送ることができます。ま DNS サーバーが管理しているゾーン情報を、ゾーン転送図 17 のように複数の DNS サーバーがあるとき、一方のこで、ソーン車医についておさらいしておきましよう。制御するコマンドです。 rndc refresh と rndc retransfer はゾーン転送をゾーン情報の更新確認してください。に DNS サーバーに反映されているかは、 dig コマンドで呼ばれます。・オリジナルのゾーン情報を管理している DNS サーをマスターサーバーゾーン情報のコピーをもつ DNS サーバーをスレーブサマスターサーバーが管理するゾーン情報は、スレープサ UN 工 X MAGAZINE 2006 . 2 ノヾー 107

5. UNIX MAGAZINE 2006年2月号

ー SOA と BRMS プロセスを視覚化し、業務改革を支援する準備カってきたといえる。 SOA と BRMS 22 ・インテグレーション層 ( 多様なプラットホームをつなーション・サーバー機能 ) ・ビジネスロジック層 ( サービスの基盤であるアプリケ機能 ) ・オーケストレーション層 ( サービスを連携する BPM けられる。 SOA の実現要素は、下記の 3 つの層 ( レイヤ ) に分 SOA の実現とビジネスルールめたり応用するなど、創造的な作業に携わればよい。テムの記億を利用し、過去の資産を新しいものにあてはにとって、、記憶 " はむしろ得意分野である。人間はシスていたかを憶えているのはけっこう大変だが、情報技術している。人間の場合、 1 ~ 2 年前にどのように判断しジネスルールの管理機能と分かりやすい表現方法を重視に変更しなければならない。そのため、 BRMS では、ビ提供するサービスや製品カ畯われば、判断方法も遇虫とって重州動となる部分である。な作業であり、単純なチェックを繰り返す、人間の頭ににおける部品検査や完成品検査など、ある未で機械的あった。一方、 BRMS カ寸象としているのは工業生産合は、高度な証明や推論カ河能なマシンの実現が目標で AI と現在の BRMS のおもな対象は異なる。 AI の場 ligence) の研究成果から生まれた。ただし、かっての Engine) 内部のアルゴリズムは、 AI (Artificial lntel- BRMS の基本要素である BRE (Business Rule —ELSE によるロジックの集合である。テムにおいて、この部分の基本になるのは IF—THEN SOA の対象分野である業務システムや業務支援シス品検査などである。い。自動車産業でいえば、塗装幇妾、部品験査、完成ミスの影響が大きい危険な作業は、機械化したほうがよ人間カ騁わっていた作業のうち、成的で単純な作業、械化である。 SOA と BRMS の関係は、工業生産にたとえれば機ぐ EAI/ESB/ETL 機能 ) これらを監視管理する機能を入れることで、異常は即座に認識される。たとえば、 ILOG の BRMS 製品 JRules には BRE をサービス化するための BRE server が含まれている。 BRE Server は、ビジネスロジック層のフレームワーク上で動く。同期・非同期両方の呼出しに対応し、尉見管理ツール用に JMX をサポートしている。オーケストレーション層からビジネスルールを利用するには、 BRE Server を Web サービスとして呼び出す疎結合か、もしくは EJB や RMI 呼出しによる密結合の 2 種類の方式がある。 JMS によるメッセージングの非同期呼出しも可能である。 BPM のプロセス定義ツールでこれを定義するには、おもに次の手川頁を踏む。 1. 準備実行時には、 BPM ではビジネスプロセスの実行工ンパラメータを割り付ける。プロセスで疋義した変数と、ルールセットの In/Out 4. プロセスの変数との割付けネスルール部品をビジネスプロセスに入れる。ドラッグ & ドロップなどにより、登録しておいたビジ 3. プロセスへの糾込みする。る。または、 BRE Server の Web サービスを登録工クスポートした In/Out 情報を取り込んで登録す 2. プロセス定義ツールへの部品登録のインターフェイスになる ) 。サービスとして配備する ( これが、ビジネスルール側を工クスポートする。または、 BRE server を Web BRMS 側でルールセットの In/Out パラメータ情報 UNIX MAGAZ 工 NE 2006.2 定ができる。ルールセットを利用する側は、ルールセッのリストが表示され、各ルールセットの有効 / 無効の設 Server 管理コンソールを開くと、配備したルールセットバージョン番号カ寸けられる。 Web プラウザで BRE BRE Server にルールセットを配備すると、自動的にールも即座に適用される。に保持している。これにより、無駄な初期化がなく、ル BRE Server は、初期化された BRE 群を、プール " ジンが、 BRMS では BRE Server か起動する。

6. UNIX MAGAZINE 2006年2月号

図 19 rndc refresh をマスターサーバーに対して実行した結果 (a) refresh コマンドの実行結果冖マスターサーバーに対してコマンドを送る $ rndc ー s : 192 .168 . 1 . 1 : refresh example . com zone refresh queued ーソーン更新要求が受け付けられた ? (b) DNS サーバーのメッセージ # /usr/local/sbin/named ー 9 17 ー 12 - 2005 1 : 12 : 30 . 921 ・ zone example . com/工 N: ばゾーン中幻去をおこないます。 cannot refresh: no masters: retransfer も refresh と同様、更新したいゾーン名を指定し、 rndc —s 192.168.10.1 retransfer example . com のように実行すれば、マスターサーバーからスレープサーノヾーに example.com ゾーンの情報が送られます。 refresh コマンドと retransfer コマンドには、次のような違いがあります。・ refresh : 最初に SOA レコードのシリアル番号を比較し、シリアル番号か哽新されていればゾーン転送をおこ・ retransfer : SOA レコードのシリアル番号とは関係なく、強制的にゾーン転送をおこなう。 refresh コマンドの失敗イ列 refresh コマンドを使うときは、間違えすにスレープサーバーに接続してください。ゾーン転送の要求はスレープサーバーカ咄すため、マスターサーバーに接続してもゾーン輯医は起こりません。図 19 は、マスターサーバーに対して refresh 要求を送った様子です。図 19 ー a のように、 zone refresh queued とういメッセージが出力されるので、 refresh コマンドが成功したと思うかもしれません。しかし、 DNS サーバー ( マスターサーバー ) のメッセージ ( 図 19 ー b ) をみると、、、 cannot refresh: no masters と表示され、ゾーン輯去に失敗しています。 DNS サーバーは、いったんは refresh のリクエストを受け取ったものの、指定された example.com ゾーンのスレープサーバーではないため、ゾーン転送を要求しません 108 ・ゾーンの転送は発生しなかったし、自分からスレープサーバーにゾーン情報を送りつけたりもしません。 ☆ てください。指定できるコマンドの一覧か表示されます。卿未がある方は引数を付けずに rndc プログラムを実行しこでは紹介しなかった rndc のコマンドもあるので、ます。インしなくても、リモートから DNS サーバーを管理でき rndc プログラムを利用すれば、 DNS サーバーにログなどを、後半ではプログラムの使用例を中心にお話ししま・セキュリティを守るための設疋・ named. conf ファイルの変更・疋ファイル rndc. conf の作成前半ではこのプログラムを使う前準備として、とりあげました。今回は、 DNS サーバーを制御する rndc プログラムを UNIX MAGAZINE 2006.2 ( あらい・みちこ Rworks)

7. UNIX MAGAZINE 2006年2月号

ネットワー図 13 rndc status" の実行結果 $ /usr/local/sbin/rndc status number of zones : 1 ー 1 つのゾーンを管理している debug level : 0 xfers running: 0 ーゾーン転送の状態 xfers deferred: 0 soa queries in progress : 0 ー問合せ中の SOA レコード数 query 1099in9 is OFF recursive clients: 0 / 1000 ・一クライアントの接続状態 tcp clients: 0 / 100 server is up and running<•——•••—-••--•——---—•— DNS サーバーは動作中図 14 rndc stats" の実行結果と出力内容 (a) s ね ts コマンドを実行した様子 $ /usr/local/sbin/rndc stats $ ・一メッセージは表示されない + + + Statistics Dump + + + ( 1134738817 ) (b) /etc/namedb/named. stats ファイルの内容ク・ミニ実験室の SUCCESS 1 referral 0 nxrrset 0 nxdoma in 1 0 failure 0 Statistics Dump 1 回の stats コマンドで出力された内容 ( 113 4 73 8 817 ) Update の解説をしたあとで説明する予定なので、今回は触れません。 DNS サーバーの状態を調べる UNIX MAGAZ 工 NE 2006 . 2 ログラム実行後、何もメッセージを表示せず静かに終了し図 14 ー a はこのコマンドを実行したときの様子です。プドはファイル (named. stats) に出力します。面 ) にサーバーの状態を表小するのに対して、 stats コマン rndc stats があります。 status コマンドカ鰾準出力 ( 画 DNS サーバーの状態を調べるコマンドには、ほかにもなどが分かります。接続中のクライアント数・ゾーン輯医の状態・ DNS サーバーが管理しているゾーンの数ンドでは、このコマンドを実行したときの出力結果です。 status コマサーバーのた態を調べるコマンドの 1 つです。図 13 は、 rndc の動作確認のときに実行した rndc status は、を調べられます。 rndc プログラムを使えば、 DNS サーバーの現在の状態ています。存されます。 named. conf ファイルの options ステートなお、 named. stats ファイルは DNS サーバー側に保たものになっています ( 図 14 ー b ) 。 stats コマンドは DNS サーバーへの問合せ結果をまとめマンドが DNS サーバーの動作状態を表示するのに対し、出力内容も status コマンドとは違います。 status コメントが、 options { directory となっていると、 "/etc/namedb" ・ /etc/namedb/named. stats に出力カ褓存されます。 DNS サーバーの停止 rndc には、 rndc stop と rndc halt の 2 種類のサーバー停止コマンドが用意されています。 stop コマンドは DNS サーバーを安全に停止するコマンドです。マスターファイルに Dynamic Update や差 105

8. UNIX MAGAZINE 2006年2月号

U 鬮※ ~ M00 引 e で e - ラーニングサイトを作る連載 144 林檎の暮らし・・・・・谷崎文義 XI 1 環境の整備 UN Ⅸ便利帖・・ " 宮下健輔電子辞書の利用し inux のツールたち・・・・・・横垣駿雄歩行プログラムの仕様変更ロポットのある暮らし・・・・・・榊正憲索引ナビゲータインターフェイスの街角・・・・・・増井俊之 News Notice 9 News lnterop New York 2005 ・・・・・・小林和真 SOA と BRMS ・ 20 CoIumn ・・・國安治・ " 四本淑三 95 129 137 143 1 15 My Life With - なめらかなコンヒューティング・・・・・・中嶋謙互ワークステーションのおと・・・・・・坂下秀 NetNews 便り・・・・・・みるく NEWS from jus 読者アンケートのお知らせ UN IX MAGAZIN E vo し 21 # 2 2006 年 2 月号 ( 通巻 232 号 ) 2006 年 2 月 1 日発行発行所・株式会社アスキー〒 102-8584 東京都千代田区九段北 1 -13-5 日本地所第一ビル営業局電話 03-6888-5500 ・発行人 / 福岡俊弘・編集人 / 土屋信明・編集長 / 大久保讓治・ Edito 「・ s Network Address: unixmag@ascii ・ co ・ jp ・編集 / 川崎通紀岸竜次久保田考・出版営業担当 / 佐々木直坂本洋史・出版広告担当 / 木原京ー吉田陽ー宇田川知子、・生産管理担当休村俊彦禁転載◎ 2006 ASC Co 「 po ion 1070602 印刷 / 東京書籍印刷株式会社 Printed in Japan ューザーサポート専用電話 Tel 03-6888-5969 受付時間 : 13 : 00 ~ 18 : 00 ( 土日・祝日を除く ) 本誌の内容に直接関係のないご質問にはお答えできません。

9. UNIX MAGAZINE 2006年2月号

ネットワークとセキュリティ白畑真統合ホスト型侵入検知システム OSSEC HIDS 今回は、統合ホスト型 IDS である OSSEC HIDS のインストールと設定について説明します。ホスト型 IDS とは侵入検知システム (IDS : lntrusion Detection Sys- tem) は、監視対象によってネットワーク型 IDS (NIDS) とホスト型 IDS (HIDS) の 2 種類に分類できます。ネットワーク型 IDS はネットワークのトラフィックを監視し、侵入と思われる通信を検知するシステムで、 2004 年 11 月号で紹介した Snort などカ陏名です。一方、今回とりあげるホスト型 IDS は、ホスト上の動作やログなどを監視し、侵入と考えられる事象を検知するシステムです。ーロにホスト型 IDS といっても、その動作方式や検知対象はさまざまです。以下に、おもなホスト型 IDS を動作方式によって分類してみます。ファイル整合性チェックツールファイル整合性チェックツールは、システム上のファイルの変更状況を調べて管理者に通知するツールです。一般的なファイル整合性チェックツールでは、まず、 MD5 や SHA-I などのハッシュ関数を用いてシステム上のファイルのチェックサムを算出し、それをデータベースに保管します。その後、定期的にファイルのチェックサムを算出してデータベース上の値と比較することで、ファイルの変更の有無をチェックします。ファイル整合性チェックをおこなうツールとしては、次のようなソフトウェアカ陏名です。・ Tr1pW1re http://www.tripwire.org/ 46 AIDE (Advanced lntrusion Detection Environ- ment ) http://sourceforge.net/projects/aide ・ Samhain http://la-samhna.de/samhain/ ログ・チェックツールログ・チェックツールは、 syslog や Apache などのログファイルに、パスワードの誤入力など、あらかじめ管理者によって定義された文字列がみつかったときに通知などをおこなうツールです。プログラムの異常終了やエラーメッセージカ第己録された場合、 NIDS などとは異なり、プログラムの動作をもとにした対処がおこなえます。おもなログ・チェックツールとしては、下記のソフトウェアが有名です。・ swat ch ftp://ftp.cert.dfn.de/pub/tools/audit/swatch/ Logsurfer http://www.cert.dfn.de/eng/logsurf/ ・ logcheck http://sourceforge.net/projects/sentrytools Rootkit 検知ツール Rootkit とは、侵入者がホストに侵入した痕跡を消したり、バックドアを設置するためのツール群です 1 。侵入者はホストへの侵入後、ログから侵入に関連した箇所を隠滅したり、バックドアや IRC ボット、 DoS 攻撃ツールなどのプログラムをインストールすることがあります。 1 Rootkit という言葉の明確な定義はなく、上記とは異なる未で用いられている場合があります。 UNIX MAGAZINE 2006 . 2

10. UNIX MAGAZINE 2006年2月号

連載 / ネットワークとセキュリティ UNIX 系 OS で Rootkit を検出するツールとしては、イルの存在自体を隠蔽する手法もあります。を用いることでシステムコールを改竄し、プロセスやファかれてしまうこともあるため、 LoadabIe KerneI ModuIe また、たんにファイルを改竄しただけでは、管理者に気づスがあります。マンドを用意しておき、本物のコマンドを上書きするケーセスのみを表示しないように改竄した ps コマンドや ls コ在を隠蔽するため、不正プログラム関連のファイルやプロっては不都合です。そこで、これらの不正プログラムの存せると、管理者にその存在を気づかれやすく、侵入者にとこれらのプログラムを通常のプログラムと同様に動作さ蔽するツールをまとめたものを Rootkit と呼びます。このような不正プログラム、あるいはこれらの存在を隠 rootkit-hunter. html http://www.rootkit.nl/projects/ ・ Rootkit Hunter http://www.chkrootkit.org/ ・ chkrootkit 下記のものカ陏名です。になりました。 XCP には、ファイル名が $ sys $ から始ま Windows 用 Rootkit が含まれていたとして大きな問題最近では、 SONY BMG の CD に「 XCP 」というる場合にそのファイルの存在を隠蔽する機能があり、らがウイルスなどに悪用されています。 OSSEC HIDS の導入これ OSSEC HIDS は、 DanieI B. Cid 氏によって開発されたホスト型 IDS で、ファイル整合性チェック、ログチェック、 Rootkit 検知の機能を備えています。 OSSEC HIDS では、単一ホストのみで運用するローカル運用と、ネットワークを介した運用がおこなえます。後者の方法では、 OSSEC HIDS か彳家動 3- るホストから情報を収集し、一括管理できます。今回は、ローカル運用に絞って説明します。インストールの手順こでは、 1 台のホストで OSSEC HIDS を運用する環境でのインストール方法について説明します。 UNIX MAGAZINE 2006.2 原稿執筆時点での OSSEC HIDS の最新バージョンは 0.5 です。今回は、 OSSEC HIDS 0.5 を Red Hat En- terprise Linux 4 のクローン・ディストリビューション CentOS 4.2 上で利用する肘是で説明を進めます。なお、 FAQ によれば、 OSSEC HIDS は POSIX 互換システムで動作し、 Red Hat Linux 8 / 9 、 Fedora Core 2 / 3 などの Linux ディストリビューション、 OpenBSD 3.5 / 3.6 / 3.7 、 FreeBSD 5.2.1 / 4.10 ー BETA 、 Mac OS X といった BSD 系 OS 、 SoIaris 9 などでの動作カ蔀寉認されているそうです。まず、 Web サイトから OSSEC HIDS のアーカイプを入手します。アーカイプは、・ http://www.ossec.net/hids/index.php の、 Downloads" から入手できます。ファイルをダウンロードしたら、 SHA-I チェックサムを確認します。チェックサムの値が F 記と同じであればオリジナルのアーカイプと同一です ( 誌面の都合上、で折り返しています。以下同様 ) 。 $ shalsum ossec—hids-0.5. tar ・ gz f4080d9ea9C202227232285eb5062C4a7717aae7 => *ossec—hids—0.5. tar ・ gz 続いて、入手したアーカイプを展開します。 $ tar xvzf ossec—hids-O. 5. tar. gz 次に、作成されたディレクトリに移動します。 $ cd ossec—hids-O . 5 そして、 r 。。 t になってインストール・スクリプトを実行します 2 。 $ su # . /install . sh 以下に、スクリプトによるインストールの手川頁を示します。各機能の細かい設疋については、朝行で説明します。インストール・スクリプトか起動すると、コンパイラがインストールされている場合には図 1 の画面になります。イ 2 . /install. sh は、プログラムのコンパイルだけでなく、インストール先ディレクトリ乍成、 OSSEC 実行用アカウント乍成などもおこなうため、 root で実行する必要があります。本来は root 欟艮でのコンパイルは避けたほうがよいのですが、 . /install.sh を利用しない場合には、手でインストール作業をしなければならないため、今回はスクリプトを利用する方法を紹介します。 47