サブネットマスク超入門 ~ BBR教室・第六限 \(-_- )
「サブネットマスク」と「デフォルトゲートウェイ」
というのは、インターネット接続のためのPCの設定時などに名前を良く訊きはするものの、実際のところ
「じゃあ何の事か、説明してくれ」
と訊かれたら、返事に窮してしまう人が少なくないのではないでしょうか?
実のところワタクシも、ネットを始めてしばらくの間は
「サブネットマスクとデフォルトゲートウェイってのは、一体なんなんだ?」
と何の事か良くわからないままに、設定マニュアルを見てただ闇雲に数字を打ち込んでいたものでした(今では殆どがDHCPのため、この設定も不要になりましたが・・・)
そこで今回は、この「サブネットマスク」と「デフォルトゲートウェイ」について、説明する予定だったのですが・・・
しかしながら、考えてみればサブネットマスク(またはサブネット)に関しては、説明を始めたらそれだけでも数回分(或いは数十回分)のボリュームになってしまい、また内容的にもあまりに小難しくなってしまって誰にも読まれそうにないため、このシリーズではごくごく簡単な概要のみ、採り上げるに留める事とします。
ではまず「サブネット」(sub network)から、簡単に触れていきましょうか ( ̄ー ̄)ニヤリッ
以前に何度か
IPアドレスとは、ネットワークアドレスというネットワークそのものを表した数字の並びと、ホストアドレスというネットワーク内でのクライアントの位置情報(のようなもの)を表した数字の並びという、二つの組み合わせを表わした数字の羅列である
という説明を繰り返してきましたが、この説明は一般的なグローバルアドレスに関してのもので、これに対し
「サブネット」とは、その名が示す通り大きなネットワークの中の小さなネットワーク
で、その
サブネットワークにおける、クライアントの位置情報(のようなもの)を表した数字の並びがサブネットアドレス
であり、こちらは言うまでもなくプライベートアドレス、つまり内部アドレスです。
「マスク」という単語も、そのまま
外(のネットワーク=インターネット等)から、見えないように隠す
という意味を表わしています。
また内部(LAN)的には、このサブネットマスクによって
どこまでがネットワークを示すアドレスで、どこからがホスト部分を示すアドレスかを識別するための役割
を担っています。
サブネットアドレスをIPアドレスと、コンピューター用の2進数で「AND演算」(論理演算の一種)する事によって得られたアドレスが「サブネットマスク」であり、ネットワーク上に送られて来たパケットを受け取ったマシンは、この「サブネットマスク」の部分を見て、パケットの送信元が自分と同じネットワークに属するPCなのか、或いは別のネットワークに属するPCなのかを判別するために使われる、重要な情報となります。
DMZ(非武装地帯)~ BBR教室・第五限 \(-_- )
前回、ファイアウォールのところで少し触れたDMZ(DeMilitarized Zone=非武装地帯)について詳しく触れて行きますが、この辺りの話は自前のWebサーバやメールサーバを立てて、LANを構成しているような上級ユーザー向けの話であり、興味のない人はサイドストーリーとして、気軽に読み飛ばしてしまっても構いません。
BBRのメーカーでも、一般的にはDMZまではサポート範囲外となります。
DMZとは、WAN(外部への出入り口)とLAN(内部)の境界の緩衝地帯の事
です。
具体的にはWAN側から送られて来る総てのパケットを、LAN内にある特定のPCに転送する(一般的にはPCの前に、ファイアウォールを通します)ように設定をしておくやり方です。
第二限でも触れたように、BBRは普通のルータとは違いWANとLANのポートを分ける事によって、外部(インターネット)と内部(家庭内など、クライアント環境下のPC)を切り分けて
内部から外部へのアクセスは可能だが、外部から内部へのルーティングは行えない
ようにしている(簡易ファイアウォール機能)、という説明をしました。
しかしながら、冒頭に触れたように例えば自分のHPを見せたい場合などは、このように外部からの通信を遮断してしまっては誰もアクセスできなくなってしまうため、Webサーバ(のURL)やメールサーバ(のメールアドレス)を外部(インターネット上)に公開しなくてはなりません。
そうしたケースにおいて、この「DMZ」の出番がやって来ます。
DMZを構成する事によって、WAN側から転送されてくるパケットの宛先(指定したファイアウォールなど)が設けられ、内部と外部からの双方向通信が可能になります。
それと同時に、悪意の第三者から悪戯の攻撃を受けたような場合も、被害を受けるのは転送設定がなされたファイアウォールのみで収まり、その配下にある内部ネットワークにまで累が及ぶのを防ぐ事が可能となります。
これが
DMZ=非武装地帯
という概念です。
こうしたDMZを構成する場合は、一般的にはSSL(SSL accelerator)やSSH(Secure Shell=主にunixなどで使われる)といった暗号化技術を併用する事により、通信経路を暗号化してセキュリティを高める用途に用いられます。
簡易ファイアウォール機能 ~ BBR教室・第四限 \(-_- )
市販の簡易版ならば、前述したファイアウォールや「SPI(Stateful Packet Inspection)」、「Dos(Denial of Service attac)攻撃防止」、「パケットフィルタリング」や「NAT」、「IPマスカレード」といった基本的な機能はほぼ網羅しており、また少し高いものならアンチウィルス対応ソフトなど様々な機能が付いていて、個人ユーザーのセキュリティ対策ソフトとしてのコストパフォーマンス的には、かなりの効果を発揮するものと思われます。
このほか一般的なBBRは殆んどのものが、次々回辺りから紹介していく予定の機能を備えています。
さて、以前からも触れてきたようにルータには非常に様々な働きがありますが、BBRの最も代表的な機能として「簡易ファイアウォール機能」があります。
ファイアウォール(firewall=防火壁、防護壁)には様々なセキュリティに関する機能があり、基本的には特定のアプリケーションを恣意的に通過させたり、逆に通過を禁止したりする「アプリケーション・ゲートウェイ(application gateway)」としての機能が主な役割ですが、他にもインターネットなど外部との通信に使用するために、プライベートアドレスをグローバルアドレスに変換する「NAT(Network Address Translation)」や、実際にインターネットへ接続するPCの代わりにNATで変換したプライベートアドレスを使用して、外部との接続の遣り取りを総て代行して行うプロキシ(proxy=代理)としての役割も担っています。
例えばユーザー環境でWWWやメールなど、インターネットに公開する必要のあるサーバを立て、自らWebページなどを公開している場合では
《インターネットという、信頼できない外部の世界(WAN)》
と
《ユーザー宅内側ネットワークという、信頼できる内部の世界(LAN)》
を繋ぐために、両側から隔離された中間地帯にファイアウォール(BBR)を導入すれば、これが最も初歩的なDMZ(DeMilitarized Zone=非武装セグメント)となります。
これにより、万が一クラッカーなど悪意の第三者によって外部から公開サーバが乗っ取られたりした場合でも、不正なアクセスはBBRのファイアウォールが遮断してしまうため
《仮にファイアウォールがぶっ壊れたとしても、配下に存在しているLAN内部のPCやネットワークにまでは影響が及ばない》
という事になります。
このようにファイアウォールとは、文字通りネットワークにおける「防護壁」としての役割を果たすものですが、注意しなければならないのはBBRに備わっているファイアウォールはあくまでも「簡易ファイアウォール」であり、本当のファイアウォールとは区別しなければならない、という事です。
つまり万能ではなく(無論、本物のファイアウォールとて、必ずしも常に万能であるという保証は出来ない)、あくまでも「簡易機能」を備えているに過ぎないという事は、しっかりと意識しておく必要があります。
フリーソフト導入の注意点 ~ BBR教室・第三限 \(-_- )
デフォルトゲートウェイ(外部インターネットとの出入り口)となるWANポートが一つしかないのに対し、LANと呼ばれるポートの方はだいたい複数あるのが普通で、店頭に並べてある箱などにも「4ポート」とか「8ポート」などと書いてあります。
これらのポートが、前回紹介したようにクライアントPCを繋ぐためのポートであり、これが「ハブ」の役割を果たします。
ここまでを纏めると、LAN側はケーブルで繋いでいるクライアントPCのポートであり、一方のWANポートは先にも触れたようにデフォルトゲートウェイ、要するにルータ自身のポートで
「デフォルトゲートウェイとルータは、要するに同じものを指している」
という事がわかります。
ちなみに、ファイアウォール(以下、F/Wと記述)の中には、フリーソフトにも最低限の機能を備えた簡易版があるようですが、フリーソフトの場合はモノによってはOSとの相性が悪かったりするケースも見られ、最悪の場合はインストールと同時にPCのini(設定)ファイルなど、レジストリが勝手に書き換えられてPCが起動しなくなったりする事があるので、充分な注意が必要です。
《「.ini(設定)ファイル」とは、WindowsカーネルやWindowsアプリケーションが、各種設定を保存するために利用するファイルの事です。
一度起動されたアプリケーションは、終了時にそのウィンドウの大きさや位置を「.INIファイル」に記録しておき、再度起動された時に元の状態を復元出来るようになっています。
Windowsは「.INIファイル」に情報を書き込んだり、逆に「.INIファイル」から情報を読み込んだりするためのAPIをアプリケーションに提供していますが「.INIファイル」は完全なテキストファイルなので、エディタで直接編集する事も出来ます。
ただし設定を間違うと、Windowsが起動しないなどの致命的な障害に繋がる場合があるので、注意が必要です》(アスキーデジタル用語辞典から引用)
「.INIファイル」などの数多くの情報を記録しているファイルが「レジストリ(registry)・ファイル」と呼ばれるものです。
《ウィンドウズにインストールされているアプリケーションは、それぞれパソコンで正常に動作するように、必要な設定情報をウィンドウズの中に記録している。
レジストリは、レジストリエディタと呼ばれるソフトで内容を編集する事で、アプリケーションの設定情報を変更できる。
しかし初心者などが不用意に操作すると、ウィンドウズやアプリケーションソフトが動かなくなったり、動作に支障をきたす場合がある》(アスキーデジタル用語辞典から引用)
つまり、フリーソフトをダウンロードする時にはレジストリが勝手に書き換えられてしまったり、最悪の場合はPCがブッ壊れてしまうという危険性もある、という事を充分に念頭に入れておく事が必要です。
BBRの仕組み ~ BBR教室・第二限 \(-_- )
インターネットが今のように普及する以前は、ルータといえば企業や公共などの大規模なネットワークに使われる本格的な「Ciscoルータ」などを指していましたが、ここ数年のADSLやCATVに始まり光ファイバーの値下げなどによって、家庭環境でのインターネットが飛躍的に普及したのに伴って登場して来たのが、簡易版ルータ(パーソナル・ルータとも言う)としてのBBRです。
Ciscoルータなど業務向けの本格的なものは、一般的に一台で10万円を超えるような高価な機器であり、また専用のコマンドを使って細かい設定(configuration)をしなければならないところからも素人にはとても手が出ませんでしたが、BBRではそれらの設定がGUIのウィザードで簡単に出来る上に、かなりな廉価(3000-5000円前後だが、モノによっては2000円台というものもある)で出回っており、家庭環境の個人ユーザーレベルでもある程度まで、セキュリティを強固にする事が簡単に出来ます。
業務用のルータを家庭内LANに導入している人は少ないでしょうから、ここではBBRに話を限定して、その代表的な機能に順次触れていく事にします。
BBRにはLANとWANという、2種類のポートがそれぞれ用意されています。
LANとWANの違いについては、以前に何度も触れて来ましたが憶えているでしょうか?
WANポートは光ファイバーやADSLモデム、或いはCATVのモデムなど外部のネットワークと接続するためのポートであり、対するLANポートの方は家庭内のPC(クライアント)などの機器を接続するためのポートとして機能します。
つまり「WAN」と書いてある、一つだけあるポートが「デフォルト・ゲートウェイ」と呼ばれるものです。
「デフォルト・ゲートウェイ」って何なの?
というところに触れていくと話が一気にややこしくなってきますので、その説明はもう少し回を重ねて知識を蓄えた後に譲る事にして、取り敢えず今のところは以前にも書いたように単純に
「デフォルト・ゲートウェイ(デフォゲ)とは、外部(インターネット)への出入り口である」
という理解で充分です。
BBRでは、このように外部と内部とを切り分け
「内部から外部へのアクセスは可能だが、外部から内部へのルーティングは行えない」
ようにして、外部からの不正アクセスを遮断しています。
これが、BBRの箱などによく書いてある
「簡易ファイアウォール機能」
と呼ばれるものです。
ルータとハブの違い ~ BBR教室・第一限 \(-_- )
まずルータとは、そもそも何なのか?
「名前だけは訊いた事があるが、実際のところ何をするものなのか、サッパリわからない」
という人も、少なくない事でしょう。
「ルータ」に対しハブなら知っているという人もいるでしょうが、大雑把に言ってしまえばルータもハブと似たようなネットワーク機器である、という事が出来ます(他に、スイッチやブリッジといった機器もあります)
ではルータとハブの違い、或いはスイッチやブリッジなどの違いはどこにあるかのと言うと、専門的な表現では
《OSI参照モデルのレイヤ(階層)が違う》
というのが正式な解答ですが、これでは一般の人には何の事だかサッパリわけがわからないでしょうから、ここは無視してください。
スイッチやブリッジに触れると話がややこしくなってくるため、最初はルータとハブのみを比較するに止めます。
ハブ(hub)とは、元々「車輪(ハブ・アンド・スポーク)の中心」という意味で
「LANの集積装置」
と訳されますが、もっとわかりやすく言えば
「ネットワークの中継機器」
です。
一方のルータですが、こちらの方も文字通り
「経路(ルート)を伝達する装置」
と訳す事が出来ます。
両者の決定的な違いは
「IPアドレスを持つか持たないか」
という一点に集約されます。
IPアドレスを持たないハブは、単に
「ネットワーク上で、複数のPCを使えるように繋ぐ働きだけ」
しか出来ませんが、IPアドレスを持つルータは非常に欲張りというか、様々な働きをします。
より詳しく言うなら、ハブはOSIモデルのレイヤ1「物理層」のデバイスという単なる中継装置であるのに対し、スイッチやブリッジはレイヤ2「データリンク層」のデバイスであり、宛先のMACアドレス(物理アドレス=PCの識別番号)を識別する事で、フレーム(データ)をネットワーク全体に闇雲に転送(ブロードキャスト)します。
対するルータは、レイヤ3「ネットワーク層」のデバイスであり、宛先のIPアドレス(論理アドレス=任意につけたアドレス)を識別する事で、必要に応じた宛先だけにパケットを振り分けます。
(ただしスイッチには、ルータ並みに高度な機能を持つ種類もありますが、今のところは単純に
「スイッチやブリッジの機能は、ルータとハブの中間である」
という理解で充分です)
さて、ではここまでの基本を頭に叩き込んところで、次回からはBBRの一般的な機能を見ていく事にしましょう (  ̄∇ ̄)ノ
BBR教室・開講 (  ̄∇ ̄)ノ
今回から十数回に渡って、個人ユーザーが手軽に導入できる「パーソナル・ルーター(簡易版ルーター)」と言われる、ブロードバンド・ルータ(以下、BBRと記述)の機能について、ご紹介していきます。
7回に渡った前シリーズ『セキュリティ教室』に続くものですが、内容的にはさらに深く突っ込んだ詳細に渡るものとなります。
回を重ねるごとに難しく感じられる事があるかもしれませんが、読む前から「難しい」とか「わからない」と決め付けてしまうと、本当に最初からチンプンカンプンという感じになってしまい、シリーズそのものが詰まらないままにいつまでも続く事になってしまいます。
大事なのは、漫然と文字を追うのではなく「決して難しくない」、「充分理解できるぞー」という気持ちを強く意識しながら読んでいく事であり、そうすれば自ずと道は拓けて来るでしょう。
元々、理解出来るように書いてあるのだから、決して理解出来ないほど難しくはないはずなのです。
「なにもそんなにまでして、読まなきゃならん事もなかろーが・・・」
という声も聞こえてきそうですがそれは認識の甘さで、セキュリティ関係と同様にこの「BBR」というものについても、これからインターネットを楽しんでいく上では必要不可欠なものであり、現状はまだ使っていないという人たちもいずれは使わざるを得ない事になっていくという、いわば避けては通れない代物なのです。
BBRの特性から言えば、買って来たものをただ単にPCに繋いでおくだけでもある程度の働きはあるとはいえますが、同じものなら折角の機能をより有意義かつ正しく使いこなせるに越した事はなく、それには言うまでもなく正しい知識と理解が必要となるわけです。
まず最初の2回で、シリーズの理解に必要と思われる基本的な事柄を書き込んでいきます。
回を重ねるごとに徐々に専門的な内容に特化してくる部分もあるため、このシリーズに積極的に取り組む意欲のある人は、少なくとも最初の2回(とても簡単に書いてあります)は徹底的に読み込んで、完璧に理解しておく事をお勧めします。
3回目以降は、前2回の基本が理解出来ているという前提で、ドンドンと話を進めて行きます。
どうしてもわからないという人にも、話の展開の中で必要を感じる部分も出てくるかと思われますので、取り敢えずわかる部分だけでも拾いながら、読んでいかれる事をお勧めします (´ー`)y━~
セキュリティ教室・第七限(最終回)「Windows Updateの重要性」 \(-_- )
Windows Update・・・OSに自動更新機能(XPなど)があれば、ウィザード等に従って総ての項目を自動でアップデートする。
自動更新機能がない場合(98など)は、手動で最低週1回(出来れば、時間を決めて毎日)総てのアップデートを行う。
- Officeのアップデート・・・OSに自動更新機能がないため、総て手動で行う。
最低週1回(出来れば、時間を決めて毎日)総てのアップデートを行う。
Windows Updateと同じタイミングで同時に実行すると、忘れる事がなくて好ましい。
- ウィルス対策ソフト・・・自動アップデート機能があれば、ウィザード等に従って総ての項目を自動でアップデートする。
自動更新機能がない場合は、定期的にメーカのサイト上で最新定義ファイルの更新日を確認し、更新されている場合は必ず更新する。
#上記は、あくまでも自宅環境のクライアントPCについての対策を書いたもので、職場などのネットワーク環境下のクライアントPCの場合は、内容に応じたフィルタリングが必要となります。
繰り返しになりますが、これまで紹介してきた総ての大元となるのが「Windows」というプラットフォームであり、どんな作業をするにしろまずは「Wimdows」を起動するところからもその重要性は明らかですが、この「Wimdows」というプログラムそのものが素晴らしく使い勝手がよい優れものであると同時に、また「バグのデパート」(bugとは本来は虫の事だが、コンピューター用語ではプログラムの処理上の誤りの事を指す)と言われるほど、年がら年中大規模なセキュリティホールが見つかっているのは、定期的にMicrosoftのHPを閲覧しているユーザーなら、先刻ご存知の通りです。
と言うよりは、あれだけのWindowsの操作性を追及するためには、どうしてもバグのデパートとなってしまうのは避けられないという、いわばコインの裏表という関係であると理解すべきでしょう。
それだけに、既に見つかっているセキュリティホールの穴を埋めるための「Windows Update」こそは最も重要と言えますが、実は毎日のようにWindowsを酷使していながら、これすらも怠っているユーザーのなんと多い事か。
これまでにご紹介してきた、数あるセキュリティ対策の中でも「Windows Update」こそは最も基本的かつ重要であり、またMicrosoftが総てのWindowsユーザーに対し折角無償のサポートをしているのだから、これを最大限に活用しない手はないのである (´ー`)y━~
Windows UpdateとOfficeのUpdate(セキュリティ教室・第六限) \(-_- )
「Windows Update」は、Windowsのスタートメニューから起動します。
プログラムを起動すると新しいウィンドウが立ち上がるので、ここから「(新しい)更新をスキャン」すると、クライアントPCのWindowsの自動診断が始まり、最新のパッチ(patchとは本来は(傷に当てる)布切れ、 ばんそうこうの意味で、転じてデータやプログラムのミスに対する、応急処置的な修正の事を総称する用語)が適用されていない部分が一覧で表示されます。
一覧はリンクで表示されるため、リンクをクリックするだけで自動的にパッチが適用されますが、コンピューター用語などに慣れない人にはどれが必要で、どれが必要でないかをファイルタリングするのが難しく感じるでしょう。
わからない場合(クライアントPCの場合は)、基本的に総てをアップデートするのが良いでしょう
さらに「Officeのアップデート」が必要となります。
「Office」とはご存知の通り、Windows上で動作している「Excel」、「Word」、「Access」、「PowerPoint」、「Outlook」といったアプリケーションの事で、先に触れた「Windows Update」は、あくまで「Windows」というプラットホームの修正プログラムであり、その「Windows」上で動作するアプリケーションの欠陥などには適用されません。
Windowsユーザーが日常的に使用しているファイルの殆どが、これら「Excel」、「Word」といったアプリケーションに依存したものである事を考えるならば、これらのアプリケーションで見つかったセキュリティホールなどを放置しておけば、やがてはプラットホームであるWindowsまでにウィルスの被害が及ぶ結果となり、PCそのものが使えなくなってしまうという危険性もあるわけです
#Office
の安定性と安全性を向上させるために、無料で提供されているアップデートが利用できるかどうかをご確認ください(Microsoftより)
こちらの「Officeのアップデート」においてもMicrosoftのページから「更新をスキャン」すると、色々な難しい用語の項目が出てくるケースがありますが、わからない場合は総てアップデートしてしまうのが無難でしょう(ここでは、あくまで家庭環境のクライアントPCの場合を想定して、話を進めています)
ここまでを読んでも何の事かわからない、または危険性は認識しつつも具体的にどうすればいいのかわからないという人には、以下の対策をお勧めしておきますので、必要に応じて参考にしてください。
ウィルス対策@(セキュリティ教室・第五限) \(-_- )
ここまで紹介してきたセキュリティ対策は、一般的にはあまり馴染みのないものも多く含まれていたと思いますが、逆に広く浸透しているのがウィルス対策であり、最近のPCでは出荷の時点からsymantecの「Norton AntiVirus」やトレンドマイクロの「ウィルスバスター」といった「ウィルス対策ソフト」が組み込まれているケースが多くなっているくらい、最早「常識」として認知されているようです。
が、言うまでもなくこれらのソフトがPCに入っている(或いはインストール)したからといって、これで安心というわけではありません。
この辺りは、今のPCユーザーであれば常識的な知識で些か退屈に感じるかもしれませんが、あくまで初心者向けの内容として話を進めていきますのでご了解願います。
PCにおけるウィルスというものも現実世界における病原菌とワクチン、或いは害虫と殺虫剤の関係と同じように、対策ソフトの日進月歩に歩調を合わせるかの如くにウィルスの方でも日々物凄い勢いで進化を遂げており、インストールした時のままの古い対策ソフトや古いバージョンの定義ファイルのままで放ったらかしておけば、当然新種のウィルスには無抵抗となります。
最も最近の対策ソフトは、最新バージョンの定義ファイルがリリースされると自動的にアップデートされる(オート・アップデートやライブ・アップデートと言われる機能)ものが主流のようなので、古い定義ファイルのまま放って置かれているケースはあまりないものと思われますが・・・
ではウィルス対策ソフトを入れて、それをオートアップデートの設定か或いは手動でこまめにパターンファイルの更新をしていれば安全かとなると、勿論そうではない。
ウィルス対策ソフトというのはWindows(或いはMacintosh)というプラットホーム(platform=アプリケーション-ソフトを稼働させるための基本ソフト、またはハードウエア環境)の上に載っているアプリケーションに過ぎないため、大元となるプラットホームに欠陥があっては何の意味もありません。
そこで「Windows Update」の必要性が生じて来ます。
<Windows Update とは、お客様が使用されているコンピュータの状態を診断して Windows を自動的に更新し、システムを最新の状態に保つためのオンラインサポート機能です。
Windows Update を実行すると、製品の発売以降に見つかった問題の修正や新しく追加された機能を、自動的にダウンロードして更新します。
こまめに Windows Update を行う事で、Windows を最新の状態に保ちウイルスが忍び込むセキュリティホールをなくしたり、悪質な攻撃に負けない頑丈な環境を構築するなど、セキュリティを強化する事ができます。
実際にオンライン上で「Windows Update」で必要な「更新をスキャン」すると、定期的に使用していないユーザーであればいくつもの修正プログラムが表示されます>(Microsoftより)
メールとWeb(セキュリティ教室・第四限) \(-_- )
メールの画面表示には様々な形式がありますが、代表的なものといえば「テキスト形式」と「HTML形式」が挙げられます。
テキスト形式は「メモ帳」と同じ黒一色の文字だけの情報で、対する「HTML形式」は多くの方が普段お馴染みのWebページ同様に、カラフルな文字色と画像やリンクなどを盛り込んだ情報です。
このファイルの形式をあまり考える事なく、普段のWebページで見慣れた、或いは視覚的に訴求力の高いHTML形式を選んでしまいがちですが実はここにも落とし穴があり、HTML形式にはプログラム(program)やjavaなどのスクリプト(script=アプリケーションの機能を補完するために、簡単なロジックを記述して処理を実現できるようにした簡易言語。
MS-DOSのバッチコマンドや、UNIXのシェルスクリプトがこれにあたる。
HTMLファイルに記述する事で、WWWブラウザの機能を拡張するJava ScriptやVBScriptなどもスクリプト言語の1つ。
最近ではCGIアプリケーションとして利用される事の多いPerlも、スクリプト言語に含まれる。
プログラミング言語とは別物として区別する)
がこっそり仕込んである場合が多く、リンクなどをクリックすると勝手にスクリプトが起動されて次から次と新しいブラウザが開いてきたり、場合によってはその中にウィルスが仕込まれていたりする場合があるため、注意が必要です。
特に海外のサーバなどを経由すると、ウィルスに感染する度合いが高くなるとも言われます。
現在、多くのユーザーが使用している「WindowsXP」には、OS自体に「インターネット接続ファイアウォール(ICF)」(パーソナルファイアウォール)という機能が標準で搭載されているので、これをアクティブにしておけば外部から勝手に繋がってくるような情報の流れを遮断し、ユーザーが送信した要求に対する応答だけを返すような、一方的な流れのパケットフィルタリング設定をする事が出来ます(更にservice pack2では、この機能が強化された)
パケットフィルタリング(packet filtering)とは、総てのネットワークパケットを通過させるのではなく、あらかじめ設定した条件にしたがってパケットを恣意的に通過させたり、通過を禁止したりする技術で「パス(経路)決定」とともに、ルータの最も代表的な機能と言われます。
セキュリティ教室・第三限「CookieとSSL」
Cookieとは、webサーバがアクセスしてきたユーザーを識別するための情報で、サーバからブラウザに送られたデータはテキストの形でローカルに保存され、次からのアクセス時にこの「Cookie」を利用して、入力の手間を省く仕組みです。
この中には個人情報が含まれる事があり、受け取りを拒否する事も可能ですが正しく使わないとCookieに保存してある個人情報などを第三者に読まれてしまうケースもあるので、共用のPCでWebにログを残した場合はインターネットオプションから「Cookieの削除」と「ファイルの削除」、また必要に応じて同じウィンドウから「履歴のクリア」もしておくのが無難でしょう。
さらにCookieの遣り取りそのものが、SSL(後述)で暗号化されているかを確認しておけば、一段と安全性が確保できます。
また最近流行の無線LAN(対応カードを入れたノートPCがあれば、ケーブルレスで外からでもLANに繋げられる技術)なども、既に都内JR駅だけでも東京・品川・渋谷・新宿・池袋・上野などで、この対応サービスが提供されているなど非常に便利である事は事実ですが、常に無線を傍受されるというリスクはある程度覚悟しておかなければならないでしょう。
またメーラーでは、よく言われるように最もメジャーな「Outlook Express」はセキュリティという観点から見ると実に問題が多いため、APOP(Authenticaded Post Office Protocol=メール受信時にPOPサーバ=メール受信サーバ=間で、暗号化されたパスワードを用いる認証システム)やSSL(Secure Socket Layer)暗号化といった今日の代表的な暗号化システムが使えず、メール本文やパスワードなどが暗号化されないテキスト形式のまま遣り取りされるため、外部からでも読もうと思えば簡単に読まれてしまう事になります。
そのために「Outlook Express」など「APOP」非対応のメーラー用に改良された「APOPPER」(シェアウェア)などのソフトを導入するのも一つの方法ですが、寧ろ「YAHOO!メール」や「MSN hotmail」といったSSLに対応している無料のWebメールを使用すれば、データの暗号化、認証のほかサーバの身元保証やデータの改ざんチェックなどが行われる事で、安全性が確保されます。
「hotmail」などでも御馴染みですが、SSLに対応しているサイトはステータスバーに鍵のアイコンが表示されるほか、URLが「http://」ではなく「https://」(httpをSSLに対応させたサイト)で始まっていることからも識別が出来ますが、これらは信頼性の高いサイトであるという事が出来ます。
セキュリティ教室・第二限「共用環境でのリスク」\(-_- )
通常、hotmailのようなフリーメールやログインを必要とするコミュニティサービスでは、ログインしたままの状態でもIEやネスケなどのブラウザを閉じれば、自動的にログオフされるようにプログラミングされていますが、メールやコンテンツによってはブラウザを閉じたりPCの電源を切っても、ログインが維持されたままで保持されているものがあります。
或いは出先のネットCafeなどで、フリーメールのチェックをしたついでにネットサーフィンをしていて、そのままログインした状態を忘れてしまったり、PCを再起動して切断されたと思い込んでいると、ネットゲームに対応するために固定IPを使用しているような店では依然として接続が保持されたままで、第三者からメールを読まれたり嫌がらせのメールを送られたり、HPの内容を勝手に改ざんされたりという事も考えられる事態になり、当然パスワードまで変更されてしまえばHPそのものを「乗っ取られる」形になります。
ワタクシがインターネットを始めた5年ほど前には、まだ操作に慣れていない人が多くセキュリティに対する意識(知識)も希薄な事から、ネットCafeなどへ行くとこうしたフリーメールがログインしたままバックグラウンドで放置されていたり、わけのわからないままオート・コンプリート(auto-complete=自動的な完成→過去の入力履歴を参照して何を入力するか予想し、あらかじめ表示する機能)をオンにしてしまったために、PCにキャッシュ(cache=何度も使うものを一時的に保持する機能)が残ってしまい、誰もがフリーパスで使えるようになった状態のまま、放置されているようなケースに出くわした事も何度もありました。
さすがに最近では、こうした初歩的なミスには出くわす事は滅多になくなりましたが、それでもまだ時折目にする事もあります。
こうした例からも解るように、自宅環境でルータやファイアウォールといったセキュリティ機器を導入する事も大事ではありますが、まずセキュリティ対策の第一歩は外部における共用環境のPCCを使った時の注意・・・これに尽きるでしょう。
外出時のネット接続にはどうしてもリスクを伴うもので、ネットカフェやホテルなどからの接続はサーバにログが残る危険性を考慮しなければなりませんし、またツールによって接続のログを残すような仕掛けをする事が可能であるだけに、不特定多数の利用する端末に個人情報を送信したり、そうした情報が特定される可能性のあるサービスを閲覧する事は極力避けるのが賢明で、必要上やむなく閲覧した場合は直ぐに帰宅後の自宅PCから、パスワードを変更するなどのこまめな対策が重要です。
またネットカフェや、職場など共用環境のPCでは「Cookie」(次回詳述)の扱いにも注意が必要です。
セキュリティ教室・第一限「基本認識」\(-_- )
最近では、一般ユーザーの間にもセキュリティの意識が浸透した結果、ファイアウォール機能を備えたブロードバンドルーター(以下、BBR)がすっかりメジャーとなっているようですが、ブロードバンド以前の時代のルーターといえばCiscoルーターなどは一台で10万以上もするのが当たり前のような高価な機器であり、一般ユーザーにはまったく縁遠いものでした。
勿論、今でも大規模ネットワークを抱える企業などで使われるようなCiscoルータやYAMAHAルータなどの本格的なものはBBRとはまったく違い、専用のコマンド(command=コンピューターに対する命令語)を使ってコンフィギュレーション(configuration=構成・設定)を行わなければならないというやっかいな代物ですが、BBRのようなパーソナル・ルータはそうした面倒な設定の部分がツール化されているのが通常なので簡単に利用出来、特に面倒な設定をしなくても取り敢えずモデムなどに繋いでおくだけでも、かなりの効果が期待出来ます。
しかし、現実には
「いかに安いとはいっても、お金を払ってまでルータを付けたくはないし、第一設定や接続も上手くできるかどうか自信がない」
というようなメカ音痴の方も、少なからずいるかも知れません。
自己防衛を考えればセキュリティは必要な事ですが、ある種の本などをみるとネットの世界は悪意のクラッカーばかりが蔓延る百鬼夜行の世界といった、甚だオーバーな論調のものも見られる事からも、氾濫する情報の取捨選択には注意が必要です。
ルータを導入するだけの余裕があればそれに越した事はないものの、実はワタクシの見るところではそれ以前の、もっと身近なセキュリティからしっかりと固めていく事こそが、まずは第一義であると言えます。
確かに、ルータは便利で強固なセキュリティを齎してくれますが、いきなりそうした上位の機器に頼る前にまずは物の順序として、こうした足元にある基本的な戸締りから見直してみる必要性を考えてみては如何でしょうか。
それでも、具体的なセキュリティ対策を取らないと安心できないという方は、いきなりルータやファイアウォールなどのネットワーク機器から入るよりは、もっと身近なPC廻りから見直してみるのが良いでしょう。
これまで何度も述べてきたように、現実にIPアドレスを調べて特定のホストにアタック(攻撃)してきたところで、そこからPC内部の情報を読み取られるような確率は、常識的に見積もってかなり低いものであると言えます。
それよりは遥かにリスクの大きいのが、共有または共用環境で使用するPCのパスワードやネットワーク・パスワードの管理とこまめな変更、或いはフリーメールなどWebサイトへのログイン時の注意です。
ミラーリングとは
以前にワタクシ自身のHPである 10ちゃんねる (* ̄ー ̄)y-~~~~ と同じ内容のものを、もう一つのまったく別のサイトに作っておく「ミラーリング(mirroring)」について触れた事がありますが、これなども前回紹介した大事なデータ(情報)を分散して保管する技術の一種です。
ミラーリングという技術は今日では幅広い概念で使用される用語で、大きいとろろでは前回ご紹介したようにネットワーク上の複数のコンピュータにデータの複製を作っておき、万一いずれかのコンピュータに障害が起きた場合でも別のコンピュータからデータのコピーを取り寄せれば復旧する事が出来るという、ネットワークの形態そのものもミラーリングの一種です。
元々は、一つのコンピューターのハードディスクにデータを記録する際に、2台以上のディスクに同じデータを書き込む事で信頼性を上げるという概念を指した用語として使われていました。
こうした技術を
ディスクのRAID(Redundant Arrays of Independent Disks =ハードディスクの並列化記憶装置)構成
と言います。
HDDなどの記憶装置を複数台用いてアクセスを分散させる事により、高速かつ大容量で信頼性の高いディスク装置を実現するための技術の事です。
RAIDには「RAID-0」から「RAID-6」までの7つのレベルがあり、複数台のディスクにデータを分散させてアクセス速度を向上させるだけの単純なものから、書き込むデータにパリティ(parity=データの誤りを検出する技法)やエラー訂正データを付加し、それらを複数台に分散させる事によってディスクの1台が故障してもデータが失われないようにする、という高度な技術を備えたものまでの多様なレベルがあります。
また負荷分散(Load Balancing=ロードバランシング)という概念は、パラレル(parallel =並列)に運用されているコンピューター同士での負荷が均等になるように、処理を分散して割り当てる技術の事を言います。
コンピュータ内で、複数のマイクロプロセッサ(microprocessor=CPU(中央処理装置)を LSI チップに収めたもの)に均等に処理を割り振ったり、ネットワーク上で余力のあるサーバに優先的に接続要求を割り振る技術です。
Webサーバなどにおいても、ミラーリングしたサーバを公開して負荷分散を図ったり、ネットワーク上で距離の近いコンピュータからデータを取り寄せる事により、データ転送に要する時間を短縮したりする用途に使われるケースもあります。
-
最終更新:2007年09月24日 00:54
