Joe’s ニューズレター

[2]NetCommonsの女子会がパワー全開

世間では女性の活躍を支援する気運が高まっています。国立情報学研究所(NII)を中心に開発がすすめられているCMS、NetCommonsでも、開発責任者であるNIIの新井紀子先生をはじめ、コミュニティの開発者やビジネス系でも女性が活躍しています。

ハンズオンで用いた素材(インドの旅)

 

しかし、関西のNetCommonsのイベントでは、女性の参加者がまだまだ少ないようです。

 
 

このたび、NetCommons関西(https://www.facebook.com/groups/netcommons.kansai/)では、

KOFの女子会のセミナーの様子(1)

11月7日(金)の関西オープンフォーラムで、セミナーを企画し、それにむけて、特にJoe’sの女性スタッフを中心に関西女子会を結成し、コミュニティのすそ野を広げていくことになりました。

 

https://k-of.jp/2014/session/611

 

セミナーは、初心者を対象にしたハンズオン(参加者がその場でサイト作成を行う)に関するもので、サイトを作成した経験がない人でも、一定レベル以上のレベルにまで到達できることをねらいとしたものです。

 

3年ほど前にオールクリエイター株式会社代表の橋本秀俊氏に、銀座でセミナーを開いていただいたときの資料を若干修正したものを配布して行いました。

KOFの女子会のセミナーの様子(2)

 

ただ、画像などの素材は、Joe’sのスタッフがインドに出張したときの写真を用いています。

 
 

その日の内容を、動画でとりなおし、今後NetCommonsを新たに始める方のために、Joe’sのNetCommons標準サーバーのサイトで公開しました。

 

http://netcommons.ac

 

NetCommons関西の様子

 

Part 1はサイトの作成方法、Part 2はルームの概念についてです。NetCommonsのルーツはXoops(ズープスと読みます)です。サイトを作成するだけではなく、あるグループに属する人しかアクセスできないような権限の管理を行います(グループウェア機能)。

 

12月6日(土)に開催される、NetCommons関西の年内最後の勉強会の中で、女子会でその1時間程度のハンズオンを行います。

http://kokucheese.com/event/index/236984/

 

標準サーバーのサイトにおかれたNetCommonsの動画

 

Joe’sの大阪の女性スタッフは、NetCommonsだけではなく、concrete5MoodleEC-CUBEなどについても、○○関西女子会を結成していきたいと意気込んでいます。銀座のJoe’sでも、年明けに同様のイベントを計画しています。

 

是非一度、東京、大阪のJoe’sで開催されるイベントに足を運んでみてください。参加は無料です。

[1]Joe’sのサーバーでWAFが標準に

最近、サイトの脆弱性をついた、不正侵入やページの改ざんなどの事件が増えています。これまで、インターネットのセキュリティといえば、ファイヤーウォール(使用していないポートを塞ぐ)や不正検知といったネットワークレベルの防御が中心でした。

 

Webサーバーの直前で、不正データをはねのけるのがWAFだ

しかし、今年になって、WordPressDrupalなどのプログラムの脆弱性をついた攻撃が報道されています。たとえば、アクセス権限がなくても、サーバー内のデータベースの問合わせコマンドが実行できてしまったり(SQLインジェクション)、入力した内容を表示するWebサーバの処理を悪用して、HTMLのタグやPHPのスクリプトを入力に含めて、ブラウザに実行させる(クロスサイトスクリプティング)といった手口です。現在では、クライアント(ブラウザ)とWebサーバーとのやりとりを監視する、Webアプリケーションレベルのファイアーウォール(WAF:Web Application Firewall)が不可欠とまで言われるようになりました。

 

ModSecurity

WAFは、海外では通常のファイヤーウォールと同様、ハードウェアアプライアンスで提供される製品が多いのですが、国内ではサーバーにインストールするソフトウェアの形で提供されるもの(和風?)が主流です。ただ、Webサーバーあたり数十万円するなど高価で、なかなか導入に踏み切れていない企業が多いようです。

Comodoといえば、SSL証明書を連想するが

 

最近では、ModSecurityというオープンソースのWAFが、よく利用されています。TrustwaveというSSL証明書を提供している会社が中心となって開発しています。

 

http://www.modsecurity.org/

 

ComodoのWAF

 
 

しかし、ModSecurityに限らず、WAFではどのようなWebサーバーへの入力を不正とみなすかのルール(の集合)を設定しなければならず、運用をしていくための専門的なスキルが必要になります。したがって、セキュリティの専門の部署を持つとか、サービスプロバイダであるとかでないと、おすすめできません。ただ、このルールは、どのようなWebアプリケーションを運用するかとは無関係に設定することが多く、また、入力データからの学習によってルールを最適なものに更新している機能もあります。

 

cPanelからのModSecurityの設定

 

SSL証明書を提供しているComodo社(Joe’s SSL市場でも取り扱っています)では、ModSecurityを運用でき、デフォルトのルールを最新のバージョンのものに置き換えるソフトウェアを提供しています(現時点では無償)。

 

https://waf.comodo.com

 

世界で最も美しいレンタルサーバーのコンパネ「cPanel」

 
 

ModSecurityは、Joe’sの共用サーバー専用サーバーJoe’sの素でご利用いただいているコンパネcPanelでもご利用になれます。現在、新規にご利用の方と、既存のお客様でcPanelのバージョン 11.46以降(共用サーバー server44以降)でご提供させていただいています。また、cPanelは、年内にすべてのサーバーで最新版になるように準備を進めています。

 

cPanelにログインしてModSecurityの設定画面を開くと、enable/disableの設定のみできるようになっています。つまり、デフォルトの最新のルールセットが格納されていて、これを使うか使わないかの設定をするだけになりますので、ご自身で何かを管理をする必要はありません。

 
 

ところで、コンパネが、レンタルサーバーのサービスを決めるといっても過言ではありません。国内のレンタルサーバー事業者は、独自にコンパネを開発して提供していますが、Joe’sでは創業時(2002年)から、世界で最も利用されているcPanelを利用しています。cPanel Inc.の100人以上が開発に従事し、セキュリティの不安がないばかりか、今回のModSecuriyのWAFなど、最新のトレンドがいち早く取り入れられています。

 

この美しいcPanelが好きで、Joe’sのサービスを長年利用されている方も数多くいらっしゃいます。Joe’sのサーバーを、是非一度ご利用ください。

[4]秋の文化祭、オープンソースカンファレンス東京

Joe'sのブース。どうしていつもNetCommonsと隣なのですか、と聞かれる。

10月18日(土)19日(日)の両日、東京都日野市の明星大学でオープンソースカンファレンス(OSC)が開催されました。Joe’sは、協賛として19回目の参加になりました(東京のOSCは7回目)。今回は、初日だけで950名の参加者を数え、かつてないほどの盛況ぶりでした。

 

初日の朝、ブースを設置した後、ブースの様子をFacebookページにアップしました。今回も、ブースはNetCommonsのユーザ会(コモンズネット)と隣接していました(205という前回と同じ教室)。

 

Joe'sのセミナーのスライド

 
 
 

今回はセミナーで、マンガ「ごきげんにゃん」の舞台裏について、鈴木禎子代表の親族の方(Joe’sのJoe?)が話をしました。

 

Joe'sのセミナー風景。観客がすくなく、若干残念な面もあったが。

 
 
 
 
 

当日は、あまり多くの観衆を集めることはできませんでしたが、Joe’sの起業当時の語られていないエピソードがわかる内容で、興味深い話でした。下記でスライドを見ることができます(若干修正しています)。

 

http://www.slideshare.net/joeswebhosting/osc-koffinal

 

ブース会場をみても、今回のOSCの盛況ぶりがわかる

 
 

初日の夕方に、食堂で懇親会が行われました。会費が1000円で参加しやすいのですが、内容的に満足していない人もいるので、宮原氏(OSCの運営責任者)が、毎回少しめずらしいお酒や贅沢なワインなどを、後部のテーブルに用意されています。よく参加している人は、乾杯後30分くらいしてから、そのテーブルに集まってきます。

 

懇親会の風景

 

Joe’sは、ビジネスライトニングトークも登壇しない、新サービスの発表もできていないなど、今回は消極的であったと反省しています。

 

来年春のOSC東京では、新サービスを前面に出して積極的に取り組んでいく所存です。今回も、びぎねっとをはじめ、明星大学の会場で2日間動かれていた皆様、お疲れ様でした。

[3]Joe’s SSL市場でシマンテックのワイルドカードを国内ユーザーに販売開始

Joe's SSL市場のサイト

SSL証明書の役割に関しては、本ニューズレターでもこれまで何度かお伝えしてきました。サイトに入力されたカード番号や個人情報を暗号化するとともに、そのサイトが、訪問者が意図している相手であることをわかるようにしています。

 

個人情報やカード番号を入力するときには、SSLで暗号化する必要がある

 
 
 
 
 

「https://」と最初のスラッシュの間の文字列を、コモンネームまたはFQDN(Fully Qualified Domain Name)といい、

 

ドメイン名
www.ドメイン名
サブドメイン名.ドメイン名
www.サブドメイン名.ドメイン名

 

といった形式になります。

 
 

通常、SSL証明書は各コモンネームに対して発行されます。Comodoやグローバルサインでは、先頭にwwwが付くものと付かないもの(lms.acとwww.lms.acなど)を両方とも1枚の証明書で対応できるようになっています。しかし、それ以外の組み合わせ、たとえばlms.acとmath.lms.ac、math.lms.acとeng.lms.acというような場合は、どのSSL証明書でも、それぞれに対して証明書を発行する必要があります。

 

ネット上のオレオレ詐欺を防ぐことも、SSL証明書の重要な役割だ。

そこで、SSL証明書を発行してる各社ではワイルドカードといって、

 

lms.ac
www.lms.ac
math.lms.ac
math.lms.ac
eng.lms.ac

 

など、ドメイン名lms.acから作られるすべてのサブドメイン名に対応できるSSL証明書を提供してます。
これまで、Comodo、ジオトラスト、グローバルサイン、Thwartではワイルドカードを提供していましたが、シマンテック(旧ベリサイン)でも利用できるようになりました。

 

SSL証明書といえば、昔も今もベリサイン

 

費用が若干高くなりますが、サブドメインごとに発行するのと比較して安くなるのであれば、ワイルドカードのメリットが出てきます。Joe’sでは、税抜き300,000円で、10月22日(水)より販売します。シマンテックのSSL証明書を購入できるか否かは、代理店によって異なり、現在国内ではJoe’s SSL市場(joes-ssl.com)でのみ購入が可能です。

 

Joe’s SSL市場では、ご質問、ご相談などを受け付けています。電話、チャット、チケットでお気軽にお問い合わせいただければと思います。
皆様のお問い合わせをお待ちしています。

[2]IT業界激震の「bash脆弱性」とは

米国時間の2014年9月24日に、LinuxなどのUNIX系OSで標準的に使われているシェルである「bash」における深刻なバグ情報が公開されました。bashは、Linuxがインストールされていればほぼ100%の割合でインストールされているソフトウェアなので、非常に影響範囲が広く、クラウド・ホスティング業界をはじめ、bashが含まれるOSを採用している情報機器ベンダーなど、IT業界ではその対応に追われました。

LinuxのマスコットキャラクターTux。

 

この、IT業界が激震した「bash脆弱性」とはどのようなものだったのでしょうか。

 
 

bashは、「シェル」と呼ばれるソフトウェアの一種で、OSとユーザーの間をつなぐインターフェースの役割をします。シェルにはCLI(コマンドラインインターフェース)形式とGUI(グラフィカルユーザーインターフェース)形式がありますが、今回問題となったbashはCLI形式のシェルとなります。一般的に、CLIは効率性が高くプロ向きで、GUIはユーザビリティが高く初心者にも使いやすい、とされます。例えばJoe’sの技術者などは、1日の業務時間のほとんどをCLI形式のシェルと向き合って過ごしていると言っても過言ではありません。

 

bashの公式サイト。bashは様々なフリーソフトウェアを配布するGNU Projectのプロジェクトの1つ。

 
 

シェルには、ユーザーからの入力をリアルタイムに受け取って解釈し、実行する対話モード(インタラクティブモード)の他、シェルへの指令をスクリプトという形で記述し、それをシェルに読み込ませて実行するバッチモードという使い方があります。bashをメインのシェルとして採用しているOSでは、OS内部で実行されるさまざまな処理もスクリプトの形でbashで実行されるため、bashに脆弱性があると、システム全体が危機に陥ることになります。

 

未対応の環境で脆弱性検証コードを実行した様子。あなたのサーバーは大丈夫?

 

今回発見された脆弱性は、bashの持つ「環境変数」の機能に存在していたものでした。環境変数とはシステム用語になりますが、システムやアプリケーションにおいてデータを共有、伝達する方法の一つで、例えばLinuxでは多国語に対応していて、使う人によって言語を切り替えることで、表示されるメッセージなどに自分の母国語を使うことが出来ますが、そのために環境変数「LANG」を使って、システムに自分が使いたい言語が何なのかを伝えることが出来ます。

 
 
 

例)LANG=ja_JP.UTF-8  ※日本語で、UTF-8コードを使う場合

 

この環境変数は、基本的には「値(データ)」が保存されるものとなりますが、今回の脆弱性では、環境変数に対して「命令(関数)」を保存した場合の処理に誤りがあり、命令内に含まれる一部のコマンドが意図せずに実行されてしまという状況が発生しました。これにより、環境変数を使用している多くのシェルプログラムに対して、様々な不正なコマンドを実行させることが可能になり、その攻撃容易性と影響の大きさを知った技術者を中心に大騒ぎとなりました。

 

幸い、OSベンダー各社から迅速にセキュリティアップデートがリリースされたため、多くのユーザーでは、アップデートプログラムを適用するだけで回避することが出来、Joe’sでも、社内管理のサーバやマネージドサーバについては即日対応を実施することが出来ましたが、攻撃が非常に容易なだけにこの脆弱性を利用するマルウェアの発生も早く、対応には緊急性が求められる状況でした。

 

専任のシステム管理者がいない場合は、無理せずプロの手を借りることも大事。

今号の[1]の記事では、NetCommonsMoodleについて運用支援のサービスを開始したことをご紹介させていただきましたが、今回のような脆弱性を日々把握し、システムを安全な状態に保つことは、非常に労力のかかる高度な作業となります。そういった作業をシステム管理者以外のユーザーの方が兼任などで担当されるのは、業務負荷が高いだけでなく、システムや重要なデータが危険に晒されることも意味しています。予算などの関係もありますが、本来の目的であるシステムの利用に徹して業務の効率化を図っていただくためにも、プロの技術者がサーバー運用を代行する「マネージドサービス」の利用をご検討頂ければと思います。

[1]NetCommonsとMoodleの制作・導入・運用支援の新サービス

学校では、サーバーの構内設置の要望が多い。

NetCommons(NC)やMoodleに関しては、本紙で今まで何度か取り上げています。

NCは国立情報学研究所(NII)が中心となって開発しているCMSで、初心者でもある程度のサイトが構築でき、アクセス権限を管理するいわゆるグループウェアとしての機能を持っています。NIIが中心となって開発していることもあって、自治体や学校(小中高)で利用されています。他方、Moodleは大学の講義や企業の社内教育で利用されています。

 

役所では、サーバーの構内設置の要望が多い。

 

10回、15回といった回数の講義(コース)を想定して、学生が教材をダウンロードしたり、課題を提出したり、提出状況やテストの結果を確認できるようになっています。NCはどちらかといえば汎用的な使われ方が主ですが、逆に、Moodleはコースによる教育に特化しています。

 

Joe’sは、NCMoodleのエキスパートです。2011年6月にNCのユーザ会であるコモンズネットからNetCommons Readyという、安心してNCが利用できるサーバーであるという認定を受けています。

 

サイトの開発やサポートは、プロに依頼した方が、安心。

Moodleでも、2012年から賛助会員として、Moodle Mootなどのイベントに毎回参加しています。以来、NCやMoodleがインストール済みのサーバーを無償で1年お貸しする入門プランを提供し、NCについては勉強会を定期的に開催しています。

 

どちらも、学校や自治体といった、学生の成績や住民の個人情報といったクリティカルな情報を扱っています。そのため学校や役場を中心に、「セキュリティはデータセンターやレンタルサーバーに任せるのではなく、自社の責任で管理したい」というようなご要望を多くいただいています。

 

教室で講義を聞く以外に、自宅学習が必要になる。Moodleが威力を発揮します。

しかし、サーバー管理のプロを常駐させていると、それだけで年間1000万円以上の予算が必要です。また、内部にいる誰も、責任をもちたくないということが多いようです。

 

Joe’sでは、このような状況で、現地には常駐せずVPN(バーチャルプライベートネットワーク)を経由して、外部から暗号化された経路を通ってサーバーの管理をしています。ハードウェアの障害(実際の確率は低い)があったときだけ、現地に行って部品交換などを行っています。そして、サーバーがダウンしたり、急激な負荷がかかって、レスポンスが悪いときなどはリモートから対応しています。

 

有名になったNeCommonsのスイカ (小林登紀子氏による)

バックアップ用のサーバーをもう1台用意して、万が一の場合に処理を継続させる形態を取ることもあります。

 

Joe’sは2002年の創業以来、10年以上にわたってのべ3万以上のサイトのサーバーを管理しており、サーバートラブルに対する対応方法を熟知しています。最新のセキュリティ動向なども把握し、安全なサーバー運用に努めています。これらの経験を元に、ユーザー数や用途によってどのようなサーバマシンが最適か、様々なご相談に対して適切なご提案をさせていただいています。

 

NetCommons標準サーバー
Moodle標準サーバー

 

NetCommons関西での初心者セミナー@Joe's梅田

 

NCの場合、初心者でもきれなサイトが作れるように、設計されています。開発のプロに頼まなくても、そこそこきれいなサイトが作成できます。ただ、「商用サイトでデザインをよくしてアクセスを良くしたい」「既存のモジュールでは機能的に不十分で、カスタマイズが必要」「グループウェア的に使いたいが、ルームの機能をどう使ってよいかわからない」という場合には、専門家に依頼した方がよいかもしれません。会社や団体が予算をもっているのならなおさらです。予算に応じて、サイト開発の支援・代行を行っています。

 

Moodleの本部オーストラリアのパースにある有名な卓球台

 

Moodleは、デザインなどをカスタマイズすることはありますが、機能が重要です。ほとんどの場合、(モジュールを加えない)既存の機能だけで十分だと思われます。管理者だと、サイト管理(カテゴリ・コースの生成、学生名簿の管理)とコース管理(コース内の管理)の両方を使えます。先生はコース管理という箇所だけを操作すればよいことになります。

 

Moodleを実際に使ってみよう

 
 
 
 

基本的にサポートは不要と思われますが、使い方がわからないとか、バグや不具合で問い合わせをいただくことも多く、また、大学や組織内にサポート窓口のための人員を置きたくないというご要望もいただいています。

 

NCMoodleともに、導入支援(構内設置を含む)や運用支援(問い合わせ窓口など)のプランをご利用いただき、面倒ごとはプロに任せて、安心してご利用頂ければと思います。

[4]EC-CUBE Day 2014、東京での初めての開催

EC-CUBE標準サーバー(ec-cube.orgのサイト)

9月11日(木)に東京・秋葉原のヒューリックホールでEC-CUBE Day 2014が開催されました。過去2回は大阪で開かれていて、今回は初めて東京での開催となりました。Joe’sでも、協賛させていただきました。

 

EC-CUBEに関しては、Joe’sでもEC-CUBE標準サーバーというサービスを提供していることもあって本ニューズレターでも何度か取り上げています。EC-CUBEは国産のオープンソースのショッピングカートです。ショッピングカートは、アマゾンや楽天のようにオンラインで買い物ができるようなサイトを構築するためのツールです。

 

盛況で、大ホールもいっぱいになっていた

 

写真や価格などの商品の情報を入力すれば店舗ができるような、いわゆるASPのショッピングカートも多いのですが、システム利用料を支払わなければなりません。Yahooのように無償のサービスも出てきましたが、競合する店舗が多いとうずもれてしまう、店舗を自由に運営できないというデメリットがあります。

 

EC-CUBEは自分でサーバーを用意して(レンタルサーバーなど)、独自のサイトを運営することになります。

 

エバンジェリストの川口氏、セミナーでEC-CUBEのB2Bを解説

 
 

オープンソースで無償であることと、日本の商習慣に合うように作られているので、EC-CUBEは人気があります。Joe’sでも、EC-CUBE標準サーバーで1年間無償の入門プランというサービスを提供していて、コミュニティの拡大に寄与してきました。

 

今回のイベントは、500人ほどの方が参加されていました。大ホールで招待者による講演、小さい会議室でEC-CUBEのエバンジェリストやスポンサーによる講演が行われ、ブース(10-20社程度)も賑わっていました。

 

ネットワーキングパーティー

この会場はこの手のイベントでよく使われますが、大ホールが一杯になるなど、今回は盛況であったと言えます。エバンジェリストの河野氏(フルブライト)の初心者セミナーなどの質疑などから、今回の参加者の層の幅が広いことがわかりました。

 

ネットワーキングパーティには、開発業者やレンタルサーバーなどのビジネスパートナーが参加してました。EC-CUBEの牙城、大阪からも多くの方が参加されていました。またネットワーキングパーティでは、EC-CUBEで構築したサイトについて、アラタナ、フルブライト、システムフレンドの3社が表彰されました(サイトアワード)。

 

今回は、今月(2014年9月)発表するというEC-CUBE B2Bというサービスが話題になりました。オープンソース以外に、有償版のようなものができるということです。

サイトアワードの表彰

 

Joe’sでサービスとしても提供しているCloudStackなどでも、オープンソースであるApache版とCitrix社が提供している有償版のすみわけがうまくできています。プライベートクラウドで利用する場合、VMwareと比較して安価であることもありますが、ほとんどの場合、有償版が使われます。また、有償版で開発された機能は、時間的なずれはあっても、Apache版にも提供されるということがうたわれています。

 

Joe’sでも、EC-CUBE B2Bが成功されることを祈ってます。

[3]SSL証明書、2010年問題以来の危機

Joe's SSL市場のサイト(https://www.joes-ssl.com)

 

9月5日に米国Googleから、11月にリリース予定の「Chrome 39」から、脆弱性が指摘されているハッシュ関数のSHA-1のサポートを段階的に廃止するという発表がありました。

 

SSLやセキュリティの話題には専門用語が多くなり逃げてしまいがちです。実際、webサイト制作や管理に携わる人でも正確に理解している人は少ないのではないでしょうか。

 

暗号化以外に、ネット上のオレオレ詐欺を防ぐことが、SSL証明書の重要な役割だ

 
 

インターネットでは、公開鍵暗号という暗号が用いられています。ECサイトで買い物をする場合、そのサイトはもしかしたらフィッシング(ネット上のオレオレ詐欺)かもしれません。また、本物とわかっていても、暗号化や復号化のためのパスワードをネット上に流すわけにもいきません。

 

公開鍵暗号では、ECサイトが暗号化の方法(公開鍵)を公開し、復号化の方法(秘密鍵)を秘密にして、サイト訪問者から暗号化されたメッセージを受けとります。しかし、それでもサイト訪問者から見ると、そのサイトが本物かどうか確信が持てない場合があります。そのために、サイト所有者はベリサインやグローバルサインといった認証局にSSL証明書というテキストを発行してもらい、それをサイトに掲げます。

 
 

認証局の(デジタル)署名

SSL証明書を発行する際に、サイト所有者が必要な情報と公開鍵を提出して、認証局が本人確認を行います。それらの情報に認証局が署名をしたものがSSL証明書です。署名といっても、ブラウザが認識でき、認証局以外がまねできない方法(デジタル署名)である必要があります。

 

認証局も、秘密鍵と公開鍵ををもっています。「サイト所有者情報と公開鍵」をダイジェストとよばれる短いテキストに要約(ハッシュ)して、それに公開鍵ではなく、秘密鍵を用いて暗号化します。そのハッシュの方法は公開されていて、ブラウザも利用できます。

 

サイト訪問者は、SSL証明書に関して2通りの方法でダイジェストを得て、両者が一致すれば署名が正しい、すなわちSSL証明書が正しものであるとみなします。
 

1. SSL証明書に記載されている「サイト所有者情報と公開鍵」をハッシュして、ダイジェストを得ます。
2. 認証局の公開鍵を用いて、署名からダイジェストを復元できます

 

暗号化して復号化しても、復号化して暗号化しても、もとのテキストが得られる

一般に、公開鍵で暗号化したものを秘密鍵で復号化しても、秘密鍵で暗号化したものを公開鍵で復号化しても、もとのメッセージが得られます。2.は、その性質を利用したものです。また、秘密鍵を知っている、すなわち認証局が署名したものであることが保証されます。

 

さらに、認証局そのものをでっちあげるというもっと手の込んだ犯罪もあるかもしれませんが、メジャーなブラウザには、メジャーなSSL証明書の認証局が登録されていて、それ以外の証明書は正当ではない、と認識するようになっていいます。

 

ブラウザは、SSL証明書から2通りの方法でダイジェストを計算して、一致すれば正しいとみなす

 

さて、話題のSHA-1ですが、これはハッシュのアルゴリズム(ハッシュ関数)です。その性質を利用して、認証局の秘密鍵を知らなくても認証局になりすまして署名する(SSL証明書を発行する)ことが可能であるかもしれない、という危惧から、今回のSHA-1のサポート廃止という通達がなされています。

 

SHA-1(160ビットのダイジェストを生成)にかわるものは、SHA-2(256ビットのダイジェストを生成)です。SHA-2を格納していないブラウザは、ほぼ皆無です。逆に、SHA-1で発行されたSSL証明書はブラウザの方でSHA-1に対応していなければ利用できなくなります。

 

Google Chroneが、先陣を切って、SHA-1の段階的廃止を発表した

11月に正式版が公開されるChrome 39では、2017年1月1日以降までの証明書でSHA-1を使っている場合、「セキュアだがマイナーなエラーあり」と認識され、URLに表示されるHTTPSの鍵のアイコンに黄色い三角マークが付くようになります。

 

年末に安定版となるChrome 40では、2016年の6月1日から12月31日までの証明書でSHA-1を使っている場合にそのような表示がなされる他、2017年1月1日以降までの証明書でSHA-1を使っている場合は「安全性が欠如している」と認識され、鍵アイコンが表示されなくなるということです。

 
 
2015年に公開のChrome 41では、2016年1月1日から同年12月31日の間に失効する証明書でSHA-1を使っている場合「セキュアだがマイナーなエラーあり」と認識され、さらに2017年1月1日以降に失効する証明書でSHA-1を使っている場合は「安全性が欠如している」と認識され、鍵マークに赤いバツ印が付いてhttpsの文字の上に取り消し線が引かれる、ということです。

 

Joe’s SSL市場では、9月16日発行分から、全ブランドでSHA-2で発行しています。また、SHA-1で発行済の証明書をご利用の場合、再発行に応じています。ご相談があれば、Joe’s SSL市場にお気軽にご相談ください。

[2]海外データセンターのネットワークが10Gbpsに増速し、大幅に値下げ

Joe'sの海外サーバーを設置しているデータセンター(Hurricane Elecric)のラック

Joe’sでは、8月末にネットワークの増強のために、海外サーバー(共用サーバーのマルチメディアコースと、専用サーバープラン18、22)を設置しているシリコンバレーのデータセンター(Hurricane Electric)に行ってきました。ここは2004年から利用していて、サーバー・ネットワーク・ラックの整備のため、年に2回程度(直近では今年の1月。本誌2月号で紹介)行っています。

 

今回、1Gbpsのネットワークを10Gbpsに更新しました。そのために、ルータなどネットワークの機器を入れ替えました。ping時間(現地サーバーに到達するまでの時間)は変わっていませんが、ダウンロードが体感的にかなり速く感じます。

 

データセンターの外側には、30台ぐらいの車が止められるようになっている

 

また、ユーザーの皆様がよりネットワーク増強の恩恵を受けられる様、回線利用に関するサービスの価格を改定しました。ほとんどの場合、追加料金を支払わなくても、大規模なダウンロードができるようになりました。

 

他社サービスで、「転送量無制限」とうたっていることがあります。ただ、その場合でも通常は帯域に制限をおいているので、ダウンロード速度が遅くなり、一定以上の転送量が使えないようになっています。また、Joe’sでも、専用サーバーやVPSの場合、帯域に制限をおいて転送量を無制限にするという契約が、できるようになっています。

 

 

  従来 2014年9月から
専用サーバー       (月間)基準転送量1,200GBまで追加料金なし基準転送量を超えると2GBにつき100円の追加料金 (月間)基準転送量3,000GBまで追加料金なし基準転送量を超えると1GBにつき10円の追加料金
共用サーバー 基準転送量80GBまで追加料金なし基準転送量を超えると1GBにつき200円の追加料金 基準転送量300GBまで追加料金なし基準転送量を超えると1GBにつき40円の追加料金

 

Santana Rowのブラジリアンステーキでディナー

 

100Mbpsの帯域があれば、1カ月は60 x 60 x 24 x 30 秒で、1バイト=8bitで計算すると、フルに稼働すれば、3,200ギガバイトになります。深夜などはトラフィックが少ないので、実際には100ギガバイト程度の転送量に相当します。

 

シリコンバレーは、何度行っても新しい発見があります。Santana Rowというエリア(ブランド品ショップが立ち並ぶおしゃれなところです)にディナーでよく足を運びます。今回はFogo de Chaoというブラジリアンステーキの店が新たにできていました。Joe’sの鈴木禎子代表がビバリーヒルズの店舗で食事したことがあるということでした。

 

ナパのワイナリー、雰囲気がよい

 

シリコンバレーは、何度行っても新しい発見があります。Santana Rowというエリア(ブランド品ショップが立ち並ぶおしゃれなところです)にディナーでよく足を運びます。今回はFogo de Chaoというブラジリアンステーキの店が新たにできていました。Joe’sの鈴木禎子代表がビバリーヒルズの店舗で食事したことがあるということでした。

 

GoogleやFacebookの駐車場には、電気自動車用の充電器が設置されていた

 
 
 
 
 

また、ナパバレーのワイナリーにはよく行きます。今回は、数日前に震度6以上の大地震がありましたが、何も無かったかのように、オープンしていました。最初は、Opus-1やRobert Mondaviなどの、メジャーなワイナリーに行くのですが、行きなれてくると、名の知れないブティックワイナリーで、多少高くても、個性的で自分にあったワインを探すようになります。

 
 

気になるIT企業を、のぞいてみたりする

最近では、ナパバレーの奥のMiddle Townという町のHarbinという温泉にも、よく行きます。混浴の温泉で、夏休み最後の日曜日とあって、100名くらいの方が、温泉につかっていました(男女同数程度で、若い人が多い)。日本と違って、脱衣所も共用で、またおおらかな方が多いのが特徴です。そのためか、シリコンバレーにくると、この温泉に来てしまいます。
 
レンタルサーバーやクラウドのサーバー管理の業務に従事していると、緊張感や障害対応などで疲労が蓄積してきます。Joe’sの技術者は、交代でシリコンバレーの地を訪れています。また、何か新しい情報があれば、お伝えしたいと思います。

[1]大事なサイトをサーバーダウンから守る「HAクラスタ」とは

Joe’sでは、クラウド・ホスティングサービスを提供する上で大事にしていることがあります。それは、「サーバー管理に詳しくない方でも利用できるサービス作り」です。ウェブブラウザでサーバーを管理できるコントロールパネル「cPanel」、サーバーの運用を一手に引き受ける「マネージドサービス」、技術者が直接対応する「技術サポートダイヤル」など、安いだけで手間の掛かる他社サービスに辟易していたユーザーに好評を博しています。今回紹介する「HAクラスタ」もその一つです。あなたの大事なサイトをサーバーダウンから守る「HAクラスタ」とはどのような仕組みなのでしょうか。

サーバのダウンは担当者にとって永遠の悩みの種だ

 

HAクラスタの「HA」とはHigh Availability(=高可用性)、「クラスタ」とは集合体のことです。つまり、高い継続性を持った集合形態のシステムです。クラスタは複数台のコンピュータで構成されますが、「パフォーマンスクラスタ」というものもあり、複数台のコンピュータで協調して計算などを行い、全体として高い性能を持ったコンピュータとして動作することを目的としています。HAクラスタは、可用性を高めることを目的としたクラスタ、ということになります。

 

HAクラスタは、複数台のコンピュータをネットワークで接続し、お互いの稼働状況を監視しています。クラスタ内の1台のコンピュータがダウンすると、クラスタ内のその他のコンピュータが即座に処理を引き継ぎ、動作を継続します。お互いのデータは常に同期がされており、ダウン時に失われないような工夫がなされています。HAクラスタを構成するにはこれらの、監視・ダウン検知・処理の引き継ぎ・データの同期、など様々な仕組みを作る必要があり、高い技術力が必要となっています。

HAクラスタはサービスを丸ごと引き継いで処理を継続する

 

HAクラスタの歴史は古く、今でもシェアトップを維持しているSteelEye社(2010年に「SIOS Technology」に社名変更)の「LifeKeeper」が誕生したのは1993年、まだインターネットが一般的になる前のことです。それほど歴史のあるソフト(仕組み)ですが、一部の技術者の方を除いて、HAクラスタを知る人は多くありません。理由としては、前述のように高い技術力が必要になることと、コスト高いということが大きかったのではないかと思います。
 

Joe'sのHAクラスタの仕組みの一例

例えばLifeKeeperを導入した場合、本体のライセンスが約50万円、毎年のサポート料も10万円以上掛かり、監視対象のソフトウェアを増やすとさらにコストが掛かってきます。重要なシステムではそれでも十分コストが見合うということもあると思いますが、中小企業や小規模なシステムではなかなか導入が難しいのも確かです。また、LifeKeeperを導入したとしても、LifeKeeper自体が正しく動作しているか?という運用監視は依然として必要になり、その部分の運用コストは下がりません。このような理由から、中小企業や小規模システムに広く普及するというところまでは至っていなかったものと思われます。

 
 

Joe’sでも以前から、「サイトを絶対に落としたくない」というご相談をお客様からいただいていました。Joe’sでは、サーバーをダウンさせないための様々な工夫を行って高い可用性を維持していますが、それでも、アクセス不能攻撃(DoS、DDoS)やハードウェアトラブルなど、技術的・理論的に避けられない理由によるダウンも発生していました。割合としては非常に低いものですが、実際に利用しているユーザーにとっては重大ごとで、仮にショップサイトでかき入れ時にサイトがダウンしてしまうと、大きな損害が発生してしまいます。LifeKeeperを導入するような予算や運用体制はないが、なるべく低コストでサーバーダウンを回避したい、というご要望に応えて、Joe’sのHAクラスタは開発されました。

 

Joe’sのHAクラスタでは、2台のサーバでクラスタを構成します。2台のサーバはリアルタイムでHDDの内容が同期され、同じサーバが常に2台ある、というような状態になっています。それぞれのサーバは固有のIPアドレスを持ちますが、それとは別に、サービス提供用のIPアドレスというものを、どちらか一方が持つ形になります。サーバがダウンした場合はこのサービス提供用のIPアドレスを引き継ぐことで、利用者からは同じサーバにアクセスし続けているように見えます。

 

HAクラスタの導入で、夜も安心して眠ることが出来る

Joe’sのHAクラスタは、全てOSS(オープンソース・ソフトウェア)で構成されていて、ソフトウェアのライセンス料は発生しません。必要なのは、HAクラスタを構成するための初期費用と、サーバが2台になることによる、+1台分の費用です。HAクラスタを運用するための固定のサポート費用などは発生しませんので、非常に低コストでHAクラスタを運用することができます。サーバーを運用する技術者を雇用するには、少なくとも(低スキルの技術者でも)20万円前後の人件費が掛かってしまいますが、Joe’sのHAクラスタでは、クラスタによる高可用性とあわせて、Joe’sによる運用監視がありますので、技術力を全く必要とすることなく運用が可能です。

 

年末に向け、ショップサイトではキャンペーンを開催するなど、サイトの可用性がどんどん重要になってきます。これまである程度のダウンは我慢するしかなかった、という方も、わずかなコストで「落ちないサイト」を作ることが出来ます。無料サーバー相談HAクラスタ導入のご相談も承っておりますので、お気軽にご相談いただければと思います。

 前へ 1 2 3 4 5 6 7 8 9 10 ...18 19 20 次へ