Comments
Description
Transcript
ダウンロード [PDF:455KB]
解 決 の カ ギ は 、 s p e e d と I I J ネ ット ワ ー ク ソ リ ュ ー シ ョ ン 。 FOCUS -1 IIJ 検疫ネットワークソリューション「Winny 検出機能」のご紹介 FOCUS- 2 選んで任せる充実サービス「IIJ マネージド VPN PRO」のご紹介 特別連載 spam からメールを守れ(管理者編) 第 7 回:送信ドメイン認証技術(DKIM) SHORT ESSAY 研 修 iij.news julyaugust 2006 77 CONTENTS S H O RT E S S AY アッカのADSL回線に対応した「IIJ DSL/Aサービス」を提供開始 研 修 IIJは、株式会社アッカ・ネットワークス(以下、アッカ)が提供するADSL回線に対 せてアクセス回線に利用することで、マルチキャリアによる冗長化ネットワーク 応した「IIJ DSL/Aサービス」を2006年5月より提供開始しました。従来、IIJは法 をより手軽に実現することが可能となります。 人向けADSLインターネット接続サービスとして、NTT東西のフレッツ・ADSLに SHORT ESSAY・・・・・・・・・・・・・・・・・・・・ p2 研 修 五月晴れがないままに梅雨入り。都心住まいで、早朝の散歩を続けているのだが、垂れ込めた 灰色の雲と霧で、都市の幾何学的な美しさがあるはずの高層ビルも、その輪郭がぼんやりと 漂っている。庭園に入ると、強い湿気で重たげな植物群のなかで、紫陽花のひときわ鮮やかな TOPICS ・・・・・・・・・・・・・・・・・・・・・・・・・ p3 アッカのADSL回線に対応した 「IIJ DSL/Aサービス」を提供開始 高い機能と柔軟性を備えた新VPNサービス 「IIJマネージドVPN PRO」を提供開始 「検疫ネットワークソリューション タイプB」に Winny自動検出・削除機能を追加 「IIJ Internet-LANサービス」の アクセス回線を拡充 むらさきが目に残る。 対応した「IIJ DSL/Fサービス」を提供しておりましたが、 「IIJ DSL/Aサービス」の IIJでは、お客様にとって最適なネットワーク環境を構築するために、今後もサー 追加により、法人向けブロードバンドインターネット接続サービスのラインナップ ビスラインナップを拡充してまいります。 が更に強化されました。 (*) 当社国内バックボーン全体の往復遅延時間の月あたりの平均が30ms以下であることを保証します。 「IIJ DSL/Aサービス」はアッカが提供するADSLサービスをアクセス回線としてご 志がすべて、そんな創業の経緯を持つIIJも、新入社員の数が増え、事業の規模が大きくなって 利用いただく、ベストエフォート型のインターネット接続サービスです。接続速度 くると、それなりの仕組みや制度が整ってくる。仕組みや制度の整備が、企業の持つカルチャー は上り最大1Mbps、下り最大12Mbpsで、最大1/16C(利用可能IPアドレスは14 を損なっては、実もふたもない話なのだが、規模に応じた形はどうしても必要になってくるようだ。 個)のIPアドレスを固定的に割り当てます。アクセス回線の手配から保守対応ま アメリカの株式市場に公開していることもあって、エンロン事件以来、アメリカの企業改革法対応の 初期費用 月額 費 用 でIIJがトータルで行うことで、インターネット接続回線としてだけでなく、インター ネットVPNなどのWAN回線として、お客様のネットワーク環境の構築をサポート 作業も続いている。 ■ I I J D S L / Aサービス 利 用 料 金 ) します。本サービスはIIJ国内バックボーンのSLA(サービス品質保証制度)の対 新入社員の研修もずいぶんと長くなって、3ヶ月も研修が続く。迂闊にも、配属が7月1日と聞いて、 象であるほか、IPv6へも対応するなど、ブロードバンド・ネットワークをご利用の 吃驚する。若い頃、いろいろと研修を受けさせられたのだが、管理職研修というのは、ひたすら 様々なお客様ニーズにお応えします。 75,000円 1 / 2 5 6 C( 利 用 可 能 I Pアドレス:1 個 ) 12,000円 1 / 6 4 C ( 利 用 可 能 I Pアドレス:2 個 ) 17,000円 1 / 3 2 C ( 利 用 可 能 I Pアドレス:6 個 ) 40,000円 1 / 1 6 C ( 利 用 可 能 I Pアドレス:1 4 個 ) 52,000円 ※アッカの A D S L 回 線 費 用を含 みます 。※ A D S L 専 用 型を利 用した 場 合 の 価 格です 。 ※ 表 示 価 格は税 別です 。 お お問い合わせ先: IIJインフォメーションセンター URL:http://www.iij.ad.jp/ Tel:03-5205-4466 眠気を抑えるのに必死で、以来、 「研修」 と名がつくだけで、研修期間に合わせて仕事をつくったり、 iPassが提供する 海外ローミングアクセスポイントに対応開始 何かと理由をつけては欠席したりしていたものだ。研修嫌いは、今も続いているのだが、ふと思 また、 「IIJ DSL/Aサービス」はIIJ独自開発のネットワークマネージメントソリュー い立って、25年以上も前の研修内容を見てみると、意外に面白い。当時、よく教材にされたアメリ ション「IIJ SMFサービス」に対応しております。 「IIJ DSL/Fサービス」と組み合わ バックボーンを増強 カの心理学者マスローのテキストを読む。マスローによれば、人間の成長や可能性を制約する要因 E-mail:[email protected] として、次のような箇条書きがある。 FOCUS-1・・・・・・・・・・・・・・・・・・・・・・・・・・p5 IIJ検疫ネットワークソリューション 「Winny検出機能」のご紹介 ∼昨今問題となっているP2Pソフト Winnyを検出し、動作を抑制!!∼ 高い機能と柔軟性を備えた新VPNサービス「IIJマネージドVPN PRO」を提供開始 ・ ひたすら安定を求める気持ち ・ 現状維持指向 ・ 辛いことを避けようという気持ち ・ 勇気の欠如 ・ 本能的欲求の抑制・成長意欲の欠如 FOCUS-2・・・・・・・・・・・・・・・・・・・・・・・・・・p6 選んで任せる充実サービス 「IIJマネージドVPN PRO」のご紹介 当たり前なことを箇条書きして――。たぶん当時は、こんなことを講師が話しだすと、即座に眠く IIJは、自社開発ルータSEILを軸にした柔軟性の高い新インターネットVPN くだけで、高度なVPNをご利用いただけます。 サービス「IIJマネージドVPN PRO」を2006年6月より提供開始しました。従来、 これまでは、複雑な設定と管理、回線品質やセキュリティレベルへの不安などが IIJはインターネットVPNサービスとして「IIJ VPNスタンダードサービス」と インターネットVPN導入時の課題となっていました。 「IIJマネージドVPN PRO」 「IIJ SMFサービス」を使った多拠点向けVPNソリューションを展開しておりま はこのような運用面と品質面の課題を解決し、IP-VPNなどの他ネットワーク したが、この2つの特長を融合しVPNに特化した「IIJマネージドVPN PRO」を サービスからの移行をスムーズにすると共に、お客様の業務に最適なネット なったに違いない。この当たり前にみえる内容が、成長を続ける会社を10年以上も経営している 今回新しく追加することにより、インターネットVPNソリューションを大幅に強 ワークを実現します。 と、骨身にしみる言葉となって、考え込んでしまう。自由闊達に、新しい技術に挑戦し続けるのが、 化いたしました。 IIJであると標榜はしていても、年々、常識が幅を利かせ始める。常識も大事だが、その範囲内で 特別連載 ・・・・・・・・・・・・・・・・・・・・・・・・・・p8 止まるのであれば、個々の社員が、自分の中に潜んでいる才能を掘り起こすこともない。どうも 「IIJマネージドVPN PRO」は高品質なIIJバックボーン上にお客様専用のVPN 研修で学べることは、所詮、自らの経験の範囲内のことかもしれない。では、どんな内容の研修を 網を構築・提供するサービスです。豊富なVPN構築実績から得たノウハウを すれば、新入社員の糧になるのだろうか。ずいぶん難しいテーマである。通り一遍の研修なら、 活かして、企業ネットワークに求められる機能と構成をマネージドサービスとし 始めからOJTに徹すればいいとも言えない。 てパッケージ化して提供するため、お客様はネットワーク構成を決めていただ spamからメールを守れ(管理者編) 第7回:送信ドメイン認証技術(DKIM) INFORMATION ・・・・・・・・・・・・・・・・・・・・p10 IIJでは、企業の基幹ネットワークにも導入が拡大しているインターネットVPN ◎詳細は本号のFOCUS-2「IIJマネージドVPN PROのご紹介」 (P6-7)をご参 照ください。 長いと感じる研修も、これからの社会人として過ごす時間軸からみれば、わずかな時間でしかない。 第8回 自動認識総合展出展のお知らせ 20年、30年経て、軽く見ていた言葉が、重い言葉になったりすることもある。研修中、一つでも SLA遅延時間の実績 ひっかかる言葉や経験があれば、研修の意味もあるのだろう。いずれにしても、若いということは、 そのこと自体、可能性の塊であり、その分、悩み事の量も大きいわけだが、それを乗り越えて大きな IIJおよびネットケアは、両社が提供する「IIJ検疫ネットワークソリューション タイ ポリシーとしてWinnyの社内利用を認めない場合にご利用いただくソリューショ GLOBAL NETWORK・・・・・・・・・・・・・・・・p11 IIJバックボーンマップ 可能性を追求して欲しい。インターネットの世界にいると、日々、変わり続ける技術革新の過程 プB」にWinny自動検出・削除機能を付加し、2006年4月27日より提供を開始し (*) にWinny自動検出・削除機能 ン、 「IIJ検疫ネットワークソリューションタイプB」 にあるということを実感するのだが、昨今、無限に広がるIPの世界を、旧い考え方に閉じ込めて ました。 を付加いたしました。 安心したいという動きもあるようだ。敢えて可能性を狭めることだけは、やめて欲しいと思わざる を得ない。 株式会社インターネットイニシアティブ 代表取締役社長 鈴木 幸一 「検疫ネットワークソリューション タイプB」にWinny自動検出・削除機能を追加 「IIJ検疫ネットワークソリューション」は、セキュリティ対策が不十分なPCをネット (*)お客様サイトに設置した専用の検疫サーバとPCにインストールした検疫ソフトウェアと連 ワーク側で自動的に検知し、隔離・対策を行うことによって、セキュアな社内 携することにより、DHCP(各PCに固定のプライベートアドレスを割り振らず、PCを起動する LAN環境を実現するソリューションです。 たびにIPアドレスを都度割り当てること) を利用している同一拠点内での検疫を実施します。 昨今、Winnyを介して広まったウイルスに感染したPCが原因で、公的機関や民 間企業から重要な機密情報、個人情報が流出するケースが頻発しており、大き な社会問題となっています。IIJグループでは、このような状況を鑑み、お客様の 2 市場において、引き続き積極的にサービスを展開してまいります。 ◎詳細は本号のFOCUS-1「IIJ検疫ネットワークソリューション『Winny検出機能』 のご紹介」 (P5) をご参照ください。 3 -1 IIJ検疫ネットワークソリューション「Winny検出機能」のご紹介 「IIJ Internet-LANサービス」のアクセス回線を拡充 ∼昨今問題となっているP2PソフトWinnyを検出し、動作を抑制!!∼ IIJは、 「IIJ Internet-LANサービス」のアクセス回線の拡充を行い、2006年6月14 専用線サービスを利用し、全国各拠点(Port)には安価なブロードバンド回線 日より、株式会社アッカ・ネットワークス(以下、アッカ)が提供するADSLサービ を組み合わせることで、信頼性・帯域・コストの面でバランスのとれたWAN環 スと各種キャリアが提供する専用線サービスに対応いたしました。 境を実現します。 IIJ Internet-LANサービスは、IIJのインターネットバックボーン上にお客様専用の さらに今後、IIJ Internet-LANサービスのアクセス回線を拡充し、年内を目処に 仮想的なイーサネット空間を形成することで、全国の複数拠点間において、従来 全国のケーブルテレビ局が提供するインターネットサービスやヤフー株式会社が の企業LANと同様のプライベートネットワーク環境を提供するサービスです。ア 提供するYahoo! BBへの対応を予定しております。IIJでは、企業ネットワークに クセス回線にADSLやFTTHを利用することにより、低価格で広帯域なイーサ おける様々なお客様のご要望に応える高品質なネットワークサービスを今後とも ネットWAN環境を容易に構築することができます。 積極的に展開してまいります。 これまで、アクセス回線としてNTT東西地域会社のフレッツサービスや地域電力 ■IIJ Internet-LANサービス活用構成図 線にアッカADSLとフレッツ 192.168.0.0 よび各種キャリア専用線をラインナップに加えることにより、以下のメリットがで サービスを組み合わせて冗長 化した場合の構成イメージ きました。 Internet-LAN サービスアダプタ(Hub) 年4月27日に「検疫ネットワークソリューション タイプB」に付加しました。 検出の精度を飛躍的に向上しております。この検出方法は、アンチウイルス 「Winny検出機能」は、システム管理者の意図に反して、インストールされた び管理者へのメール通知を行うことにより、Winnyの動作を抑制するものです。 SMF マルチキャリアによる広域イーサネット網の冗長構成を国内最安値にて実現し Winny110 Winny2b401 Winny2b622 する全てのバージョンを検出することが可能です。 Winny11001 Winny2b402 Winny2b623 Winny102 Winny111 Winny2b403 Winny2b63 Winny10201 Winny112 Winny2b41 Winny2b64 Winny10301 Winny11201 Winny2b42 Winny2b641 Winny104 Winny11203 Winny2b5 Winny2b642 Winny10401 Winny113 Winny2b501 Winny2b643 Winny105 Winny11301 Winny2b502 Winny2b644 Winny10501 Winny11302 Winny2b51 Winny2b645 Winny10502 Winny11303 Winny2b52 Winny2b646 Winny10503 Winny114 Winny2b53 Winny2b647 Winny10504 Winny2b1 Winny2b54 Winny2b65 Winny106 Winny2b101 Winny2b55 Winny2b66 Winny10601 Winny2b11 Winny2b56 Winny2b7 Winny10602 Winny2b12 Winny2b57 Winny2b71 Winny10603 Winny2b121 Winny2b58 W i n n y 2b71rebuild1 Winny10604 Winny2b2 Winny2b6 W i n n y 2b71rebuild2 ●Winny検出の仕組み Winny10605 Winny2b3 Winny2b601 Winny2b66cr ただ単にWinnyプログラムファイルの存在や、Winnyのプロセス名を監視して Winny10606 Winny2b31 Winny2b61 Winny2b726 Winny107 Winny2b32 Winny2b62 Winny108 Winny2b4 Winny2b621 (Winny.exe)をリネームします。 またそのクライアントPCが、インストール時 の価格にて構築可能です。 (*1) サービスアダプタ (Port) 弊社試算による。IIJ Internet-LANのアクセス回線にBフレッツを使用し、他社広域イーサネット (*1) 拠点 (Port) サービスのアクセス回線にアッカADSLを使用して冗長構成を取った場合との比較による試算。 ●信頼性の高い広域イーサネットWAN環境を実現 拠点 (Port) 192.168.0.0 に指定したSMTPサーバへの接続が可能な環境であれば、Winnyを実行した ブロードバンド アクセス回 線 クライアントPCのホスト名、IPアドレス、Winny実行ファイルのフルパスなど 拠点 (Port) 192.168.0.0 の情報をシステム管理者に通知することが可能です。 192.168.0.0 Winny検出機能の特長 お お問い合わせ先: IIJインフォメーションセンター の高い広域イーサネット網を構築します。 URL:http://www.iij.ad.jp/ 例えば、社内業務を担う全てのシステムが集中するセンター回線(Hub)には Tel:03-5205-4466 E-mail:[email protected] ■対応Winnyバージョン(2006年4月27日現在) Winny101 W i n n y を 強 制 的 に 停 止 し ま す。 W i n n y を 停 止 後 、そ の 実 行 フ ァ イル 組み合わせて冗長化した場合、IIJ Internet-LANと他社広域イーサネットサービ 更新することで新しいP2Pソフトにも対応可能となっています。 Winny100 クライアントPCにインストールしてあるWinnyの起動を検知し、起動している ます。例えば、IIJ Internet-LANのアクセス回線にアッカADSLとBフレッツを ソフトなどで採用されている方式で、パターンファイルにあたるデータベースを 現在、亜種を含む82種類のWinnyに対応しており、Winnyネットワークを構成 動作概要 ●国内最安値の広域イーサネット冗長構成を実現 お客様のポリシーに応じて、アクセス回線に専用線を利用することで、信頼性 ハッシュダイジェストを計算した上で、Winny各バージョンと比較することで、 IIJサービスオンライン MAIL MAIL スを組み合わせた場合よりも、約1/2程度 するモジュール(プログラムファイル)を特定、SHA-1アルゴリズムに基づき る、個人情報や顧客情報等の漏洩を抑制するためのWinny検出機能を、2006 Winnyプログラムの有無を検出し、プロセスの強制停止、ファイル名の変更及 ※IIJ Internet-LANのアクセス回 本社 (Hub) 会社の光ブロードバンドサービスに対応しておりましたが、新たにアッカADSLお IIJでは、今日問題となっているP2Pソフト(Winny)を悪用したウイルス等によ 検出するだけの方式では、悪意を持ったユーザやウイルスであれば簡単に検 出を回避できてしまうことからIIJでは、Winnyの検出において独自の検出方法 iPassが提供する海外ローミングアクセスポイントに対応開始 株式会社インターネットイニシアティブ を実装しています。 ソリューション本部 サービス推進室 PC上で動作している全プロセスの情報を定期的に収集し、各プロセスを構成 IIJは、2006年6月1日より法人向けおよび個人向けダイアルアップサービスにお プロダクトマネージャ 田中 啓之 ■対象となるサービス いて、iPass社(*)が提供する海外ローミングアクセスポイントへの対応を開始いた ・法人向けサービス ・個人向けサービス しました。 「エンタープライズダイアルアップIPサービス」 「IIJ4U」 ■Winny検出機能概念図 ●Winnyがインストールされた端末 「IIJダイアルアップアドバンスト」 IIJでは、法人向けおよび個人向けダイアルアップサービスにおいて海外ローミ 「IIJダイアルアップスタンダード」 ングオプションとして、GoRemote社が提供する海外ローミングアクセスポイン トに対応しておりましたが、GoRemoteのサービス提供終了に伴い、今回新しく システム管理者 お お問い合わせ先: IIJインフォメーションセンター iPassの海外ローミングアクセスポイントの利用が可能になります。これにより、 URL:http://www.iij.ad.jp/ 新たに海外での無線LANアクセスポイントの利用が可能になるなど、機能が大幅 Tel:03-5205-4466 Winnyのプロセスを検知 E-mail:[email protected] に強化されます。 iPass社:米国の大手ローミング事業者。全世界150カ国以上で、約60,000箇所のアクセスポイントを提供。 (*) Winnyを強制停止 Winnyをリネーム バックボーンを増強 右記の通り、バックボーンを増強いたしました。 お 最新のバックボーン情報は下記URLをご覧ください。 利用者へポップアップ通知 4月2 1日 IIJ NewYork − IIJ Ashburn STM-4 → STM-16 増速 6月1 5日 東 京 第 2 データセンター − J P N A P 2 1 G b p s → 3 1 G b p s 管理者へメール通知 URL:h t t p : / / w w w . i i j . a d . j p / n e t w o r k / 全82種類のWinnyに対応 4 5 -2 選んで任せる充実サービス 「IIJマネージドVPN PRO」のご紹介 はじめに サービス概要 冗長構成やメッシュ型VPNに対応 企業におけるFTTHの導入が加速しつつあるという記事が各種メディアで散見 IIJマネージドVPN PRO の特長は次の通りです。 IIJマネージドVPN PROでは、以下の4つの品目をご用意しております。 全てのサービスアダプタは、ネットワークに接続するだけで、自動的にセンター システムから設定を取得し、動作を開始します。これにより、多拠点を展開す るVPNも、低コストかつ短期間で展開することができます。 されるようになりました。いわゆるエントリー型のIP-VPNのアクセス回線や、 ① ネットワーク構成を選んで任せる充実サービス ① シングルスターシングルエッジ(IIJ-SVPN) インターネットVPNのアクセス回線としての需要が伸びていることがその背景 ② 冗長構成やメッシュ構成など高度なトポロジに対応 ② デュアルスターデュアルエッジ(IIJ-DDVPN) にあり、特に企業におけるインターネットVPN導入の加速化傾向が、より顕 ③ IIJならではの高い運用レベル ③ デュアルスターシングルエッジ(IIJ-DSVPN) また、サービスアダプタのうち、IIJ独自開発の「SEIL」は、IIJの特許技術 「SMF」* により完全にコントロールされ、一段上のセキュリティレベルを実現 しております。 著になったと実感させられます。 IIJマネージドVPN PROでは、企業に求められるネットワーク構成をご用意 IIJマネージドVPN PROは、これまでIIJで蓄積したインターネットVPN運用に いたしました。お客様の業務に必要な構成を選んでいただければ、あとはIIJに シンプルなスター型VPNから、これまでお客様からのご要望の多かったFTTH 関するノウハウをサービスとして最適にパッケージ化し、企業の基幹ネット 任せるだけで最適な社内網が構築できます。また、サポートページで各拠点の とADSLを使ったブロードバンドバックアップ構成も標準メニューとしてご提供 ワークとして安心してご利用いただけるインターネットVPNサービスをご提供 トラヒックグラフが見られる(2006年下期提供予定)など管理者にとっても、 いたします(図1)。 IIJ独自の集中管理型ネットワークマネージメントシステム。2006年 いたします。 使いやすいサービスとなっております。 これにより、業務を支える基幹インフラとして止まらないネットワークを実現い 3月に特許取得(特許第3774433号)。設定は全てセンターシステム たします。また、VoIPやTV会議などのアプリケーションをご利用のお客様から で保持し、サービスアダプタには一切情報を残しません(サービス ご要望のあったメッシュ型のVPNも全てのネットワーク構成で対応しています。 アダプタの電源をOFFにすると、設定は全て削除されます)。また、 さらに、拠点間通信におけるフィルタの設定にも対応していますので、業務に センターシステム以外からのアクセスは一切受け付けないため、高 必要な通信のみを許可する設定をすることで、セキュリティ強化や効率の良い いセキュリティレベルを実現しています。 ■図1 選べるネットワーク構成 ネットワーク 構 成 パターン 1 2 3 4 シングルスター シングルエッジ デュアルスター デュアルエッジ デュアルスター シングルエッジ ISDN バックアップ IIJ-DDVPN IIJ-SVPN IIJ-DSVPN IIJ-ISDN Backup VPN ④ ISDNバックアップ(IIJ-ISDN Backup VPN) 通信環境が構築できるようになりました。 VPN機器を 「サービスアダプタ」としてマネージメント ネットワーク構 成 図 ISDN *SMF(SEIL Management Framework) : 高品質・低遅延の安定したネットワーク VPN機器として、IIJ開発のSEILシリーズ、Cisco、NetScreenを利用します。 本サービスは、IIJインターネット接続サービスと合わせてご提供いたします。 本サービスでは、これらのVPN機器を「サービスアダプタ」と位置づけ、I IJ 全拠点にIIJの接続サービスを利用すれば、通信は全てIIJバックボーンの最短 独自のフレームワーク運用することにより、全機種で初期導入時の自動接続 経路で完結します。インターネットVPNは、利用するISPバックボーンにより (オートコンフィグレーション) を実現しております(図2)。 品質が左右されますが、IIJバックボーンは、SLA(注)が設定された低遅延なバッ クボーンです。インターネットVPNとは言え、IIJバックボーン上に閉じるVPN ■図2 初期導入時のオートコンフィグレーションのイメージ 冗長構成 × 機 器・回 線 冗 長 回線冗長 回 線 冗 長( I S D Nバックアップ) メッシュ構 成 ○ ○ ○ ○ 選択可能 選択可能 選択可能 選択可能 センドバック保 守 ○ ○ ○ ○ オンサイト保 守 ○ ○ ○ ○ 2 4 時 間 3 6 5日 障害窓口 ○ ○ ○ ○ インターネット接 続 方 法 ネットワークとなります。 ③ 接 続 端 末を特 定 IIJ Backbone マネージドV P N P R O 管 理システム SEIL Cisco ことを保証。 IIJマネージドVPN PROは、企業の基幹ネットワークを支えるインフラとして、 ④ 設 定 情 報を配 信 ①サービスアダプタを接 続 注)IIJ国内バックボーン全体の平均往復遅延時間の月あたりの平均が30ms以下である まとめに代えて NTT 地域IP網 ② 管 理システムに自動 接 続 サービスアダプタ (IIJ標準機器) はVoIPやTV会議などのアプリケーションが快適に利用いただける高品質な ご利用いただけるフルマネージドVPNサービスです。お客様のニーズに柔軟 にお応えするIIJマネージドVPN PROをこの機会にご検討ください。 拠点 SEIL/Plus SEIL/Turbo Cisco 1812J Cisco ISR 3825 株式会社インターネットイニシアティブ 営業本部 プロダクトマーケティング室 ● :サービスアダプタの 略 。 I IJ独自の 仕 組 みで運 用するVPN機 器です 。 主任 青山 直継 ※ 上 記 サービスアダプタ他 、N e t S c r e e n - 5 G T P l u s 、N e t S c r e e n - 5 G T 1 0 、N e t S c r e e n - 2 5 、N e t S c r e e n - 5 0 、N e t S c r e e n - 2 0 4を提 供しております 。 ※インターネット接 続 方 法は、 「 親 拠 点 集 約 型 」、 「 全 拠 点 直 接 型 」、 「インターネット接 続なし」の 3 パターンから選 択 可 能 。 6 7 m a sp からメールを守れ(管理者編) 第7回:送信ドメイン認証技術(DKIM) 電子メールは、現在のようにインターネットが普 る「OP25B」 (Outbound Port 25 Blocking)や送 DKIMでは、ユーザ側に新たな機能追加や設定 作成に含めるヘッダの種類、署名を作成したと “simple”は、いかなる変更も加えないという指 しいが、DNSの伝播には時間がかかるため、署 及する以前から使われていた古くから存在する 信ドメイン認証技術が普及すれば、ユーザは必 を必要としないので、導入が容易であるといえる。 きに使ったハッシュアルゴリズムなどを指定す 定だが、本文に指定された場合、末尾の改行文 名サーバ上の秘密鍵とDNSの公開鍵を同時に アプリケーションシステムである。今から十数 ずメールサーバを介して送信し、メールは信頼 る。ヘッダは、RFC2822で定義されたInternet 字は無視される。 入れ換えることができない。複数の公開鍵をセ 年前、電子メールは現在のように瞬時に相手に できるメールサーバ間でのみ配送されるように 届くようなことはほとんどなく、各メールサーバ なる。これらの技術の導入は不便さをもたらす が電話回線などを利用して定期的に特定ホスト ように感じるかも知れないが、一般的な使い方 に接続し、配送していた。 をしているユーザには影響がないはずである。 図2 電子署名方式 Message Formatに準拠した形式でなければな メール送信元ドメイン メール受信側 て複数行で記述する。 DNS 直接送信メール 秩序を設ける、と考えると良いだろう。 図3 DKIM-Signature ヘッダの例 DKIM-Signature: a=rsa-sha1; d=example.net; s=brisbane 詐称メール 接接続するのではなく、拠点となるホストを介し て目的のホストまで送るバケツリレー方式が一 今回は、送信ドメイン認証技術として有力なもう 般的であった。 一つの技術、電子署名方式の「DKIM」の概要と レクタを使ってあらかじめ公開しておけば、署名 処理時に利用する秘密鍵とそれに対応するセレ ●公開鍵の取り出し (改行後先頭に空白を入れる) させることによっ 便利さを損なうというよりは、メールの使い方に この当時、メールサーバは最終受け取り先に直 らないため、ヘッダが長くなる場合は”folding” c=simple; q=dns; [email protected]; t=1117574938; クタ名を変更することで、瞬時に鍵の切替えが メール送信側では、受信側が公開鍵を入手でき 可能となる。 るようDNS上で公開する。厳密には、DKIMSignatureの“q=”パラメータで指定された方法 ●DKIMの実装 x=1118006938; h=from:to:subject:date; によって、ということになっているが、現在のと z=From:[email protected]|To:[email protected]| ころDNSのみが定義されている。DNS上の公 DKIMの導入については、メールの送信時の署 開鍵は、DKK資源レコード(RR: Resource 名処理と、メールの受信時の認証処理、それぞ Record)かTXT RRに置かれる。 れで対応が必要となる。メール送信時の署名処 Subject:demo%20run|Date:July%205, 導入方法について解説する。 図1 バケツリレー方式 user host a 拠点ホストA 専用線/広域 ネットワーク (電話回線) る。送信側のメールサーバは、作成した電子署 +yuU4zGeeruD00lszZVoG4ZHRNiYzR 理は、ユーザからのメール投稿を受け付けて受 以下にDKIM-Signatureヘッダで使われる主な TXT RRで公開する場合、テキスト形式で記述 け取り先に配送するメールサーバのどこかで署 DNSから公開鍵を取り出し、ヘッダに付けられた パラメータ(タグ名)について簡単に説明する。 しなければならないため、base64で符合化した 名を作成し、DKIM-Signatureヘッダを追加する。 送信ドメイン認証技術は、送信者が利用してい 電子署名が正しいかを検証する。署名情報が正 このうち、わかりにくい“c=”タグで示される正 値を設定しなければならないが、DKK RRでは るドメインが、正当なメールサーバから送信され しければ、ドメイン認証は成功したということに 規化(canonicalization)について解説する。 テキストではなくバイナリ形式となることが期待 メール受信時の認証処理は、インターネットから ているかを受信側で認証する技術である。正当 なる。メール受信者は、認証された送り元ドメ されており、より長い鍵が利用できるようになる 拠点ホストC メールを受け取るMX RRで指定されたホストか なメールサーバから送信されていることを確認 インを受け入れるかどうかを判断することになる。 と考えられている。 ら、ユーザのスプール領域に格納されるまでの そのため、相手に届くまで数時間から数日かかっ するための方法として、前回解説した送信元を ていたが、当時の郵便よりは到達が早く便利で ネットワーク的に判断する方法 (IPアドレス方式) 表1 DKIM-Signatureヘッダで使われるタグ名 v バージョン名。将来のための予約で現段階では使ってはいけない。 a 署名生成に使われるアルゴリズム。 ”rsa-sha1”はサポートしなければならない。 b 署名データ。base64で符合化した文字列で示す。空白は無視する。 受信側は、DKIM-Signatureヘッダの“d=”パラ 果をAuthentication-Resultsヘッダに記す。 c メール本文の正規化方法(後述)。 メータで指定されたドメイン名と“s=”パラメー DKIMの場合、IPアドレス方式の送信ドメイン認 d 署名者のドメイン名。公開鍵を取得するために利用するドメイン。 タで指定されたセレクタ名を利用して公開鍵を 証技術と違い最初にメールを受け取るホスト以 取り出す。ここで取り出されたドメイン名は、 外でも認証処理ができるため、より柔軟にメー と、正当な送信元だけしか付けられない特殊な いては、署名情報が一致する限り誤判定される といい、旧来の手紙の方を「snail mail」 (カタツ 印をメール本体に付ける方法(電子署名方式)が ことはない。ただし、正しい署名情報を付けて h 署名対象にしているヘッダを示す。 ムリのように遅い郵便) といって区別することも 考えだされた。 いても配送経路上で署名情報が一致しなくなる i ユーザやメーリングリスト管理者などを識別するためのメールアドレス。 l メール本文のバイト数(省略時は全体を示す)。 q 公開鍵を取り出すための方法(省略時は”dns”として扱う)。 インターネットが普及するに従い、ユーザがメー ような改変があった場合、つまり署名対象のヘッ メールの正当性を示すための電子署名の利用 ダや本文が改変された場合は、ドメインが詐称 s 名前空間を分割するセレクタ。 は、実は以前から存在しており、その代表的な されたと誤判定される。 t 署名した時間。 x 署名の有効期限。 z ヘッダの複製値。署名対象のヘッダを”|”で区切る。 ルサーバに電話回線を利用して接続し(古くは ものに「PGP/MIME」や「S/MIME」がある。こ ダイヤルアップ)、そのメールサーバがインター れらは、メールの暗号技術として使われることも ネットを介して相手先のメールサーバに直接配 多いが広範囲に普及しているとは言い難い。 いずれかのサーバで署名情報を調べ、認証結 IPアドレス方式で問題になるメールの転送につ あったため、利用者は電子メールの方を「mail」 あった。 “i=”パラメータのドメイン部分と同じでなけれ ルシステムを構成することができる。 ばならない。 MUA(Mail User Agent:メーラー)やメールシス 公開鍵は”_domainkey”サブドメイン配下に保 テムのフィルタ機能で、認証結果に基づいた振 管されることになっており、これにセレクタを追 り分けを行うことにより、ドメインが詐称された メールサーバや中継サーバは、配送時にメール 加したFQDNでDNSに問い合わせることにな メールを直接ユーザの目につかないようにする ことも可能だ。 ●DKIMの概要 DKIM( DomainKeys Identified Mail)は 、 を改変することがある。すでに述べたとおり、 る。例えば図3の例では、セレクタが“brisbane” メール到達時間は劇的に短縮された。さらに、 これら電子署名方式の普及が難しいのは、検証 D o m a i n K e y s を 提 案した Y a h o o ! 社 や I I M メールが改変されると正しい署名を付けていて で、ドメイン名が“example.net”となっているた ユーザが安価にインターネットに常時接続でき するための公開鍵をいかに配布するか、その公開 (Identified Internet Mail)のCisco社などが共同 も受け取り側で誤判定されるため、あらかじめ め 、D N S へ の 問 い 合 わ せ は 図 4 の ように これら署名処理や認証処理を行うものとして るようになったため、瞬時に相手にメールを届 鍵が正当なものであるかをいかに判断するか、と で検討し提案している、電子署名方式の送信ド 改変されやすいような空白や改行文字などを署 “brisbane._domainkeys.example.net”に対して s e n d m a i l の M i l t e r 機 能 を 使うd k i m - m i l t e r けられるようになったが、一方で受信先のメール いった信用モデルに関する問題が大きいだろう。 メイン認証技術である。現在、IETFのDKIM 名対象から省くよう送信側で指定できる。この Working Groupで標準化作業が行われており、 ような前処理を、DKIMでは「正規化」という。 基本的な仕様はほぼ固まっている。 正規化方法には、 「simple」と「relaxed」の2つが 送するようになった。中継が一段で済むため、 サーバに直接接続し、大量に迷惑メールをばら まくことも容易にできるようになった。 送信ドメイン認証技術で利用する「電子署名方 使えるようになっている。DKIMでは、メールの 式」 (DKIM)では、DNSを利用して公開鍵を配 (http://sourceforge.net/projects/dkim-milter/) 行われる。 がある。Milter機能の概要については、前回の 図4 公開鍵の取り出し example.net コラムで解説したのでそちらを参照していただ 署名処理 きたい。 MTA SMTP MTA つまり、現在の迷惑メールの増加は、 “瞬間移動 布する。ドメインを認証するための技術なので、 メール送信側が追加する署名情報は、”DKIM- ヘッダと本文それぞれに対して正規化方法を指 が簡単にできるようになったことにより郵便受 それを運用しているDNSを利用するというのは Signature:” ヘッダフィールドとしてメールデー 定できる。 “relaxed”の基本処理は、複数の連 けに直接投げ込むダイレクトメールが格段に増 合理的であろう。またPGP/MIMEやS/MIMEは、 タに含まれる。DKIM-Signatureヘッダの値は、 続した空白文字列を一つの空白に置き換える。 えたもの”と考えることができる。 主にユーザ側で署名や検証する場合が多いの ”tag=value”といった形式の複数のパラメータが ヘッダに指定された場合には、ヘッダ名を全て セレクタは、同一ドメインで複数の鍵を使いた リでBuildスクリプトを実行することで作成され に対し、DKIMではドメイン単位での処理が一般 ”;” で区切られたものとなる。パラメータは、 小文字に変換する、という処理も行う。 い場合に利用する。例えば、安全性の観点から る。電子署名作成に必要な秘密鍵や公開鍵は、 的なのでメールサーバで処理することが多い。 署名データ以外にも署名者のドメイン名や署名 署名に利用する鍵は定期的に変えることが望ま opensslプログラムを使って生成するが、dkim- DNS DNS query( ”brisbane._domainkeys.example.net”) dkim-milterは、オープンソース版sendmailと同 ペ ー 続 ジ く に じように、ソースファイルを展開したディレクト 次 近年、迷惑メール対策として導入がすすんでい 8 b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav 受信側のメールサーバは、送信側のドメインの ●電子署名方式 host b %202005%203:44:08%20PM%20-0700 名と付随情報をメールヘッダとして記述する。 (電話回線) user 電子署名は、メールヘッダと本文から作成され 9 spa m からメールを守れ(管理者編) 第7回:送信ドメイン認証技術(DKIM) filterディレクトリにあるgentxt.cshスクリプトを なり、”v”で署名を検証する。”-b”オプションを こういった規制は、古くからインターネットを利 I I J バック ボーン マップ( 2 0 0 6 年 6 月 現 在 ) 使うとより簡単に生成できる。 指定しない場合は両方の処理を行う。 用してきた者としては淋しくもあるが、今まで暗 ◎最新のバックボーン情報は、h t t p : / / w w w . i i j . a d . j p / n e t w o r k / をご覧下さい。 黙的な了解の下で運用してきた世界が、利用者 スクリプト内部でopensslを呼び出しているの ●おわりに 増加に伴って運営が難しくなってきているという で、鍵の生成にはopensslはいずれにしても必 ことで、やむをえないと考える人は多くなった。 要である。実行するには、図5のようにセレクタ 本コラムでは、管理者編として主にメールサー むしろメール管理者が、各々の立場や判断でバ 名を指定する (実行例は”brisbane”を指定) 。 バ管理者が知っておくべきこと、設定すべき内 ラバラに規制を加えるよりは、送信ドメイン認 容とその方法についてこれまで解説してきた。 証といった統一のルールを導入するほうが好ま コラムの開始から一年と少しが過ぎたが、spam しいといえる。オープンな技術の導入により、 (迷惑メール)の状況はまだまだ改善されたとは インターネットの秩序を再び取り戻すことがで 図5 鍵の生成 % csh dkim-filter/gentxt.csh brisbane brisbane._domainkey IN TXT ”v=DKIM1; k=rsa; t=y; p=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBA******* ***************************************************************** **VgIi1+EkL3GECAwEAAQ==” いい難く、メール利用者の多くはむしろ増えたと JAPAN JPNAP 仙台 第1DC 埼玉 第1DC 西東京 東京 第1DC 31Gbps きればと考えている。 感じるのではのではないだろうか。 実行するとDNSへの登録すべき内容が標準出 力に表示される(図5 では一部を'*'で置き換え インターネットは、その生い立ちから実験的な場 櫻庭 秀次(さくらば しゅうじ) ている)。また、”セレクタ名”.private と”セレ としての側面もあったことから、通信を制限する 株式会社インターネットイシアティブ クタ名”.publicファイルが生成され、それぞれ 方向での施策はあまり行われてこなかった。し 技術開発本部 シニアプログラムマネージャ 秘密鍵と公開鍵が格納されている。 かし、昨今のP2Pアプリケーション利用者の拡 札幌 第1DC ASIA A-Bone 渋谷 DC 東京 China 大や迷惑メールの増大はもはや無視できない状 dkim-milterの起動オプションで、署名を作成す 態にあり、利用者を守るためには何らかの対策 るか検証するかを決めることができる。”-b”オ が必要なことは明らかである。 11Gbps dix-ie ◎所出 :RBB TODAY(http://www.rbbtoday.com/) 2006年6月 プションに続いて”s”を指定すると署名処理と 千葉 東京 第2DC 横浜 第2DC 浜松 富山 横浜 第1DC 名古屋 第1DC 金沢 U.S.A. 京都 SLA遅延時間*の実績 第8回 自動認識総合展 出展のお知らせ 1Gbps 大阪 第1DC 大阪 京都 第1DC JPNAP 大阪 10Gbps 遅延時間の統計(2005年8月∼2006年5月) IIJではこの度、 「第8回 自動認識総合展」に協賛し、出展いたしま 渋谷 DC 神戸 SLA Latency Value 福岡 第1DC ち寄りください。 第 8 回 自動 認 識 総 合 展 開 催 概 要 Mean Value 35ms るデモンストレーションを行いますので、ぜひIIJのブースにお立 2 0 0 6 年 9月1 3日( 水 )∼ 1 5日( 金 ) 1 0 : 0 0 - 1 7 : 0 0 会場 東 京ビッグサイト 西 1・2 ホール 入場料 1 , 0 0 0 円 ( 事 前 登 録 者・招 待 券 持 参 者は無 料 ) 主催 社 団 法 人日本自動 認 識システム 協 会 URL http://www.autoid-expo.com/tokyo/ IIJ San Jose DC 広島 20ms 12.00ms 11.10ms 11.44ms 11.22ms 11.39ms 11.72ms 11.79ms 11.93ms 11.54ms 11.74ms 2005/08 2005/09 2005/10 2005/11 2005/12 2006/01 2006/02 2006/03 2006/04 2006/05 *IIJ国内バックボーン全体の平均往復遅延時間 詳細・お問い合わせは SLAの詳細は 展示会事務局 URL:http://www.iij.ad.jp/SLA/ 福岡 1Gbps Equinix GigE Exchange 沖縄 岡山 25ms 10ms IIJ New York DC IIJ Palo Alto 保証値(30ms) 30ms 15ms 会期 東京 1Gbps MAE-WEST ATM すのでお知らせします。 RFIDリーダ搭載SEILの展示とともに、RFIDとEPC Networkによ New York (NYIIX) PAIX 大阪 IIJ L.A. DC 1Gbps 1Gbps STM-1 : 150Mbps STM-4 : 600Mbps STM-16 : 2.4Gbps STM-64 : 9.6Gbps IIJ Ashburn 1Gbps Equinix GigE Exchange MAE-EAST ATM LA IIX E-mail:[email protected] URL:http://www.autoid-expo.com/tokyo/ 10 11 vol. 77 JULY/AUGUST 2006 発行 株式会社インタ−ネットイニシアティブ 広報室 T E L : 0 3- 5 2 5 9 - 6 3 1 0 E-mail:[email protected] ◎ iij.news のバックナンバーをご覧いただけます。 URL:http://www.iij.ad.jp/iijnews/ 株式会社インタ−ネットイニシアティブ 本 社 東京都千代田区神田神保町 1-105 神保町三井ビルディング 〒 101-0051 T E L : 0 3 -5 2 0 5 -4 4 6 6 関 西 支 社 大阪府大阪市中央区北浜 4-7-28 住友ビルディング第 2 号館 5F 〒 541-0041 T E L : 0 6 -4 7 0 7 -5 4 0 0 名 古 屋 支 社 愛知県名古屋市中村区名駅南 1-24-30 名古屋三井ビルディング本館 3F 〒 450-0003 T E L : 0 5 2 -5 8 9 -5 0 1 1 札 幌 支 店 北海道札幌市中央区北三条西 3-1-25 北三条ビルディング 7F 〒 060-0003 T E L : 0 1 1 -2 1 8 -3 3 1 1 東 北 支 店 宮城県仙台市青葉区花京院 1-1-20 花京院スクエアビル 15F 〒 980-0013 T E L : 0 2 2 -2 1 6 -5 6 5 0 北 陸 支 店 富山県富山市牛島新町 5-5 タワー 111 10F 〒 930-0856 T E L : 0 7 6 -4 4 3 -2 6 0 5 中 四 国 支 店 広島県広島市南区稲荷町 2-16 広島稲荷町第一生命ビル 11F 〒 732-0827 T E L : 0 8 2 -5 0 6 -0 7 0 0 *この冊子の内容はサービス形態・価格など予告なしに変更することがあります。 (2006 年 7 月作成) *表示価格には、消費税は含まれておりません。 * IIJ、IIJ4U、IIJ-Tech、SEIL は株式会社インタ−ネットイニシアティブの登録商標または商標です。 *記載されている企業名あるいは製品名は、一般に各社の登録商標または商標です。 九 州 支 店 福岡県福岡市中央区天神 1-1-1 アクロス福岡西 10F 〒 810-0001 T E L : 0 9 2 -7 2 5 -6 5 3 3 沖縄営業所 沖縄県那覇市久茂地 1-7-1 琉球リース総合ビル 8F 〒 900-0015 T E L : 0 9 8 -9 4 1 -0 0 3 3 豊田営業所 愛知県豊田市西町 4-25-13 フジカケ鐵鋼ビル 5F 〒 471-0025 T E L : 0 5 6 5 -3 6 -4 9 8 5 IIJ - MKTG 001 AA - 0607 EK - 04000 SA