河端善博ブログ / SQL Server

つづけて、Storage-Talk by Cozax をはじめました。

ストレージを語るブログをはじめました。

http://storage-talk.cozax.com/

IT システムの根幹であるストレージについて、最新のエンタープライズSSD や iSCSI などを、動画とブログと Facebook ファンページを連携させて提供していきます。

新しいブログ Security-Talk by Cozax はじめました

セキュリティを語るブログをはじめました。

http://security-talk.cozax.com/

あふれるセキュリティ情報や、急速にイノベーションの中で、IT利用者、IT プロ、経営者が押さえておきたいポイントを動画とブログと Facebook ファンページでまとめます。

SharePoint Online のウイルス対策機能検証

SharePoint Online は、ファイルアップロード時にウイルス検査する機能があります。
ただし、共有ドキュメントを Windows エクスプローラをつかって開いて、ファイルをアップロードした場合、ウイルスが検出されない場合があるようです。

PowerPoint をブログに埋め込む

SkyDrive を利用すると、PowerPoint と Excel をブログに埋め込めるようになります。
手順をまとめてみました。

BeautyOfTheWeb.com のフォントが読みにくい

Internet Explorer 9 beta のプロモーションサイトがとても読みにくい。
設定をみてみたところ、読みにくい部分のスタイルが color: 0,0,0, 0.67 と薄いこと、font-size: 1.1em と小さいことが原因と思われる。別のページは font-size: 1.4em に設定してあることで、まだ読める。

Beauty でも、読みにくいのは避けてほしい。

※ SkyDrive 上の PowerPoint を埋め込んでみました。

Amazon Kindle for PC が動かない

Amazon Kindle for PC を起動すると …

Amazon Kindle For PC は動作を停止しました

つまり、異常終了してしまう。

互換性モードを XP, Vista などに変更することにより、動いている方もいるようなのだけど、私の複数の Windows 7 環境では、どれも動かない。

Amazon はこの程度の会社だったんだろうか。
解決策があればいいのだが。

※Kindle Previewer は、正常に動作する。
　ただし、Kindle Previewer は、日本語フォントに対応していない。

分散ファイルシステム DFS を調べる

Windows Server に標準装備されている分散ファイルシステム機能を調べている。

DFS = Distributed File System

ファイルサーバーは、IT の最も基本的な機能のひとつ。
PC ネットワークが始まった当初、netware, Windows NT の時代から提供されてきた機能。

分散ファイルシステム DFS は、このファイルサーバーに、柔軟で、冗長で、管理しやすく、利用者の多様なニーズに対応する機能を提供している。

DFS は、また、多数のサーバーによる分散技術としても興味深い。
DFS は、独自に名前空間を提供し、個々のファイルサーバーの設置場所や構成を抽象化し、支店のファイルサーバーにより透過的な複製を提供することができる。また特定のサーバーの障害発生時には、利用者が自動的に別の正常なサーバーを利用できるようにしている。複製は、転送速度、転送時間が最適化されるよう、差分、圧縮、参照が実装されている。

そして、DFS を構成するサーバーの更新、削除、移動、復旧などサーバーのライフササイクルも含めて、運用、監視ための情報が提供されている。

クラウドの時代になり、多数のコンピュータによる分散処理が進み、多数の端末から、多様なネットワーク経由で接続されるようになる中で、DFSが進んできた道は、とても興味深く、分散システムの設計・計画・展開・運用において参考になると思われる。

RAID のハードディスクが壊れた時の影響

RAID 5, RAID 6, RAID 10 などで構成したストレージで、ハードディスクが壊れたとき、どのような影響があるだろうか。
RAID により冗長化されているから、サービスには影響はないのだろうか。

RAID システムは、ハードディスクを冗長化しているので、故障したハードディスクを交換すれば、サービスを停止することなく、データを失うことなく、復旧することが期待されている。

しかし、実際のところは、次のような影響がある。

1.冗長化されていない状態になる

RAID 5, RAID 10 の場合、正常なディスクと交換し、RAID 構成が復旧するまで、冗長化のない状態となっている。つまり、もう一台のハードディスクが壊れたら、サービス停止、データ破損になる。
RAID 6 の場合、1 台の故障では、冗長化は保たれる。復旧前に、2 台目のハードディスクがこわれたら、冗長化はなくなる。 3 台目のハードディスクが故障すると、サービス停止、データ破損になる。

多くの RAID システムは、ホットスペアとして予備のディスクを準備しておけるので、最低 1 台は設置しておきたい。もし、ホットスペアがなければ、IT 担当者は、メーカーから交換用のディスクが届き、復旧するまでの間、つらい時間となるだろう。

2.パフォーマンスが半分以下になる

正常なディスクに交換するか、ホットスペアのディスクにより RAID の復旧がはじまると、ディスク全体に多大なアクセスが発生する。このため、サービス用のディスクアクセスの性能は半分以下になる。
サービスに必要な性能がでないと、サービス停止、サービス不安定になる。

RAID システムによっては、復旧のためのディスクアクセス頻度を減らす機能があり、サービス用アクセス性能への影響を下げることができる。
ただし、復旧によるディスクアクセス量を減らすと、復旧完了までの時間が長くなる。復旧完了まで数日必要となる場合もあるので、本番利用前に評価が必要。

3.データが失われる。

復旧完了までに、もう一台のディスクが破損した場合、データは失われる。
復旧中に、別のディスクが破損する可能性は高い。
復旧のために、いつもは利用されていなかったディスク領域にエラーが発見される可能性が高いためである。

RAID システムによっては、定期的にディスク全体を検査する機能がある。設定しておけば、復旧中にディスク破損が発見されてしまうのを防ぐことができる。設定していなければ、かなりの確率で、2 台壊れると覚悟しておいたほうがいい。

また、ディスクではなく、RAID カードのエラーによりデータが失われる可能性がある。RAID カードそのものが故障した場合と、RAID カードが、正常なディスクのほうを故障していると間違って判断する場合である。

RAID カードが破損すれば、ディスクには間違ったデータが書き込まれるため、ディスクは正常でも、データは破損する。
一方、RAID カードが故障したディスクを正常と判断し、正常なディスクを故障と判断すると、冗長化されていない状態で、故障したディスクにデータを書き込むため、データは失われる。

こうした課題が RAID のディスク 1 台が故障した場合に存在することを考えて、システムの要件定義と、対策をしておく必要がある。

簡単な要件定義例:

データは 4 時間以上のものは、復旧できること
ディスク 1 台の故障で、冗長化されないポイントが発生しないこと
ディスク 1 台の故障で、サービスのパフォーマンスに影響しないこと
ディスク 1 台の故障は、24 時間以内に復旧すること

さて、どのような冗長化を組み合わせることにより対策できるだろうか。

データベース・ミラーリング: SQL Server 2008 への移行後の冗長化で検討しておきたいこと

SQL Server 2000 から SQL Server 2008 へ移行する方が検討されたいこととして、システムの冗長化がある。

システム障害が発生したときに、できるだけ早く復旧したい

特に ASP, SaaS,Web 形式でサービスを 24 時間継続して提供している企業の IT 担当者にとっては深刻だ。

万が一、復旧できなかったら …

という不安が、担当者にのしかかる。
社内システムである程度、利用者の顔もわかっていて、一日ぐらいなら止まってもいいというシステムの担当者には理解しがたい不安だ。

そこで、担当の方々が望むこと。

システム障害を自動的に検出して、待機系システムに切り替わる

というソリューションだ。
SQL Server に対応した冗長化ソリューションは、各種販売されている。

そこで、SQL Server の冗長化ソリューションを検討する場合のポイントを検討しておこう。

Windows Update の適用
SQL Server サービスパック、修正プログラムの適用
ドライブへのチェックの実行, chkdsk
問題のあるデータベースのみの切り離し運用
正常なサーバーの検出
障害復帰後の切り戻し

まず、サーバーの適正な更新は必須条件となる。
停止できないので、Windows Update は適用できませんは通用しない。
なお、Windows Update, SQL Server の修正プログラムの適用に必要な時間は、システムに大きく依存する。また、適用後に障害が発生した場合の切り戻しをデータのロスなく行う方法、適用後の動作検証方法も考えておく。

次に、SQL Server のデータベースやトランザクションを保存しているドライブに、不整合が発生した場合、chkdsk /f することも考えておく。
chkdsk /f 中は、対象のドライブ、サーバーが使えなくなる。

また、多数のデータベースを運用している場合、原因と思われるデータベースのみ別サーバーで動作確認できることが望ましい。多数のデータベースが共存した状況では原因究明と対策に時間がかかることが多いためである。完全にシステムが停止する障害ではないが、システム全体に著しい影響のある障害もある。

正常なサーバーとは何かを、正常に検出するのは、実は難しい。間違った方を選択すると、システム全体障害に発展する。

最後に、問題解決後のサーバー切り戻しの手順について、リアルに検討しておく必要がある。サーバー障害の原因が完全に特定できることは少ない。原因と思われる個所に対策をして、運用してみて、はじめて解決となる場合もある。この時に、正常系と待機系を一度に切り替えるのではなく、段階的に切り替えることができることが期待される。

SQL Server 2008 では、こうした冗長化にたいする要件にたいして、魅力的な機能を提供している。

データベース・ミラーリング

SQL Server 2008 に移行するのであれば、ぜひ検討してみてほしい。
担当者の不安を軽減できると思われる。

レポート: データベースの互換性レベルを SQL Server 2000 から 2008 にする理由

SQL Server 2000 のシステムを SQL Server 2008 へ移行する方が質問することがある。

互換性レベルを SQL Server 2000 (80) から SQL Server 2008 (100) にするメリットはありますか ?

多くのメリットがある中で、特に長く SQL Server 2000 を利用され、顧客データが蓄積されてきたデータベースをもっている方にお勧めな点は、

レポート

SQL Server Management Studio から、SQL Server インスタンス、データベース、テーブル、インデックスの状況がひとめでわかる。
実は、適切な統計ツールをいれてなかったり、よほどの SQL Server の技術者がいないところでは、データベースの状況がほとんどわかっていない。
フラグメンテーションの状況もよくわからないし、どのような処理に時間がかかっているのかもわからない。

System Center , Operations Manager をいれていなければ、時系列のデータベースの状況もわからない。

まずは、レポート機能をつかって、現状の正確な把握をチームで共有することにより、適切な投資が可能となる。

インデックス使用状況の統計

たとえば、レポートにて、「インデックス使用状況の統計」をみることにより、不要なインデックスを理解できれば、ディスク, CPU の負担を適正にすることができる。

なお、互換性レベルを SQL Server 2008 にする場合は、十分に動作確認を行ってほしい。データベース単位で変更できるので、段階的に導入するほうがいいだろう。

また、レポート機能のいくつかは、SQL Server が起動してからの統計情報を表示するため、テスト用のサーバーでは必要な統計が表示されない可能性があることを注意してほしい。「インデックス使用状況の統計」は、テストサーバーでは何にも表示されない。

メール本文内の画像を自動的にダウンロードするメールクライアントの問題

Outlook を利用していると次のメッセージが出ることがある

画像をダウンロードするには、ここをクリックします。
プライバシー保護を促進するため、メッセージ内の画像は自動的にはダウンロードされません。

この機能は、HTML メールの本文内に埋め込まれていない画像を、Web サイトからダウンロードするのをブロックする。
この機能によるプライバシー保護とは、次のようになる。

Web サイトへのアクセスをブロックするため、メールアドレスが存在することかどうか、メールを開いたかどうかをメール送信者から隠す

迷惑メール事業者は、存在するメールアドレスを得るために、メールに Web アクセスを埋め込んでおく。
メールが開かれ、Web アクセスが発生すると、どのメールアドレスが利用されているのかを確認することができる。

さて、Outlook は、以前からこのブロック機能を提供してきたが、最近、この機能が必須であることが忘れられてきたようだ。
スパムメールを送る側にとっては、うれしいことだろう。

たとえば、手元の iPhone のメール機能は、ブロックされなかった。
iPhone をもっている人のメールアドレス一覧がほしい事業者は、いろいろやってきそうだ。

なお、Windows Mobile 6 の T-01A のメール機能は、ブロックする。
Exchange Online の Outlook Web Access / OWA も、ブロックする。

iPhone でメールを見ていると、画像がたくさん埋め込まれたプロモーションメールもさくさく読めるので便利ではあるが、悪意のある相手にとっても便利であることを理解しておきたい。

Web ベースアプリケーション開発と保守

Web ベースアプリケーションの開発が一般的になってきた。
ここで、ブラウザと、契約条項がどうなっているのか疑問がある。

ブラウザのバージョンアップによる不具合に対する保守契約は ?

企業システムとして開発した Web アプリケーション、製品として開発した Web アプリケーションについて考えたい。
開発期間が終了し、納品されたあとのことだ。

Web ブラウザがバージョンアップすることにより、アプリケーションに不具合が発生することに対して、どのような保守契約になっているのだろうか。

現状では次のような状況がある。

Internet Explorer 6 にのみ対応し、IE 8 に対応するには、多額のバージョンアップ費用が必要になるグループウェアがある。ある団体は、バージョンアップ費用回避のため、IE 6 を残そうとしている。
Windows, Internet Explorer のセキュリティアップデートは、稼働中のシステムに影響が出ないよう徹底して配慮されている。API の追加、機能追加、動作変更を最小限にするための配慮がされている。
Windows XP SP2, Windows 2000 は、10年間配慮が継続した。
Firefox は、2.0 が 2 年2か月、3.0 が 1年8か月でセキュリティ修正が終了している。

アプリケーションの開発が終了すれば、開発チームは解散する。
Web ブラウザをふくめて、関連システムのバージョンアップにより不具合が発生すれば、保守により対応する。
保守コストを適正化するため、新機能追加を伴うバージョンアップは極力避ける。
Windows 2000 が現在も、Windows 2008 にバージョンアップされない要因には、システム不具合の調査、回収コストの負担がある。

さて、Windows XP SP2, 2000 が提供してきた 10 年間にもおよぶシステムプラットフォームとしての責任は、今後 Web ブラウザやスマートフォンなどで、どのように提供されるのだろう。

あなたが選んだシステムプラットフォームは、何年間保証されますか ?

充電ケーブルの在庫がない携帯電話は、サポートが終わっている

携帯電話用の充電ケーブルの話。

在庫はありません

帰省先、大手家電量販店でいわれた。

古い機種なので

と、10km 先の別の家電量販店でいわれた。
(昨年 2009年6月に発売されたスマートフォンです)
さらに、ドコモのショップ、別の大きな家電量販店でもいわれた。

結局、50km 先の都市の駅にあるヨドバシカメラまでいって、購入した。
ちいさな、ちいさな、充電ケーブルをひとつ買うために。

さて、丸一日、100 km の距離を運転していて思ったことがある。

充電ケーブルの在庫を置いてないのなら、サポート終了と考えます。

携帯電話の利用者にとって、充電ケーブルがドコモショップにも、大手家電販売店の携帯電話コーナーにもおいていないのなら、それは、サポート終了と考えるだろう。
当たり前のように、「お取り寄せになります」といわれたら、サポート終了と考えるだろう。

発売から 1年2か月でサポート終了するなら、違約金なしで解約させてください。

今回の機種は、ドコモ/東芝の T-01A。OS は、Windows Mobile 6.5。
発売開始は、2009年6月。まだ発売開始から 2年経過していません。
企業利用が全くできない機種ですね。
お取り寄せを待つ間、電池切れで待つの ?

最後に

携帯電話会社さん、サポート期間中の携帯電話の充電ケーブルは、確実に入手できるようにしてください。

携帯電話の 1/3 ほどの体積しかない充電ケーブルです。
もちろん、ほとんどの携帯電話の充電ケーブルは、コンビニで簡単に手に入ります。
しかし、もしスマートフォンを提供していくつもりなら、サポート期間中は、充電ケーブルも提供してほしいと思います。

ちなみに、市販の MicroUSB 用の充電ケーブルでは T-01A に充電することはできません。

補足:
1. 罵詈雑言 … もちろん、自動車の中で考え付く限りの悪態をかみ殺していました。
2. あぜん … やっとみつけた Micro USB を購入して、自動車の中で充電しようとして唖然.
　　店に戻って、いろいろためしてダメ
3. 古い機種 … 携帯電話のバッテリが切れかけて、ショップに入った人に。
　　店頭からなくなるのと、サポートがなくなるのは意味が違うでしょ ?

ふぅ。。 Windows XP SP2, Windows 2000 が 10 年経過してようやくサポート終了となった。
一方、インターネットの主流に躍り出たような感のあるスマートフォンは、2 年もサポートが続かない。
これからも、IT に投資する以外の方々には、旧来の携帯電話を、お勧めしよう

スマートフォン感染による追跡、課金のリスク

スマートフォンがウィルスに感染するなどした場合のリスクは、これまでの PC の感染とは違うようだ。
ふたつの記事があった。

まず、GPS による追跡されてしまう事例:

ユーザーの行動を監視するAndroidアプリ、「スネークゲーム」を装う
(2010/8/17, ITmedia News)

さらに、課金されてしまう事例:

Androidを標的とした初のトロイの木馬、SMSを自動発信
(2010/8/11 Imedia エンタープライズ)

初めの事例は、簡単なゲームに GPS 追跡機能が埋め込まれている。
ゲームをいれただけなのに、自分の居場所を GPS でばらされてしまう。
自分のリアルタイムの居場所が、攻撃者にばれたらまずいだろう。
あらゆる犯罪に巻き込まれる可能性がある。

二つ目の事例は、簡単な音楽などの再生ソフトに、送金の仕組みが埋め込まれている。
音楽を聴いていると、勝手に SMS メッセージを送って送金している ?

スマートフォンには、GPS が内蔵されているから、乗っ取ってしまえば不正な位置追跡に使える、
スマートフォンには、携帯電話事業者による課金、アプリストアによる課金の仕組みがあるので、乗っ取ってしまえば、不正な送金に使える、
これまでの PC ベースのセキュリティ対策とは違う部分。

これから、盗聴、盗撮など、いろんなウィルスが日々作られるのだろう。

三重化していないのか ?

ゆうちょ銀行で 2010/7/12 に発生したシステム障害について、原因判明の記事があった。

ゆうちょ銀障害の原因判明　IBM製HDDのプログラムにバグ
(ITmedia News 2010/8/17)

記事の後半に障害発生の経緯の説明があるが・・・
不思議なことに、制御装置が A と B しかないように見える。

つまり、二重化

で、

ひとつ故障して、切り離した間に、残りが故障 ?

いやいや、まさかね。
ゆうちょ銀行の為替システム。
最低でも、三重化しているでしょ ?
さらに、1 台が故障したら、予備を使って、自動復旧させるでしょ ?

もし、ほんとに二重化だとしたら、確実にまた障害は発生しますね。
メーカーの「世界でゆうちょ銀が初めて」なんて理由説明を信用する人がいると思えないけどね。

日本で「1000台」、世界でも、たった「10,000台」しか動いていない HDD にバグがあるのは、当然ですよね。

ぱちもんの Android 端末で、なにをしていいのだろう ?

iPad が話題になる一方で、さまざまな Android 端末が話題に上がる。
中国に出張したついでに、iPad そっくりな Andoid 端末をあやしい店で買ってきたという方も多い。

さて、この端末で何をしていいんだろう。
リスクを検討し、相応の操作が求められる。

想定されるリスク

Android OS にウィルスが仕込まれている可能性がある
販売元、または端末作成者によって、あらかじめウィルスが組み込まれている可能性がある。
端末に登録した個人情報、メール、クレジットカード、通話履歴がすべて流出しているかもしれない。
Android OS が乗っ取られている可能性がある。
あらかじめ、OS が改ざんされ、リモートから操作可能な状態にある可能性がある。
事務所や自宅の Wi-Fi に接続した時点で、攻撃者の端末と化す。
端末の GPS, カメラ, マイクが、リモートから操作されている可能性がある。
端末に内蔵される GPS, カメラなどが、攻撃者により操作され、盗撮、盗聴、追跡されているかもしれない。
端末が、踏み台になっている可能性がある。
事務所や自宅の Wi-Fi につないだ端末を踏み台に、内部のネットワークに侵入が始まるかもしれない。

これらは、実行は難しくなく、攻撃者のバグでもない限り、利用者は気づきかないと思われる。
Android 端末が、ネットワークでどのような通信をしているのか詳細に解析していない場合、きっと攻撃者のやりたい放題だろう。
最近、信頼あるはずのメーカーの PC 端末やネットワーク機器でさえ、ウィルスに感染している場合がある。
しかし、もともと Android OS を組み込む立場の販売元や製造過程にかかわれる人であれば、どのような仕掛けも行うことができる。ネットワークに接続することが前提なので、盗撮、盗聴も自由自在だ。

さて、このような端末で何をしていいんだろう。
このような端末を購入した、IT に先進的に取り組まれている方々が、どのようなことをしているのか、聞いてみよう。

Azure の最小構成の月額最高料金は ?

Azure の課金は、利用した分だけ。
レンタルサーバーや、日本のクラウドの多くは、定額。
Microsoft Online の中では、Exchange Online, SharePoint Online なども定額。
いくら迷惑メールを送りつけられても、定額。

Azure は月額最高いくらになるのでしょう。

利用する前に経営陣に、了解を得ておく必要があります。
まさか、レスポンスが高く、手軽に分散処理できるからといって、先月の請求は 1,000 万円でしたなんて、通らないですよね。

例

平均して 30 Mbps を利用している場合、月額ぐらいだろう。
何 Mbps を出せるんだろう。
もし、転送量にリミットがある場合、それはどのような制限だろう。
リミットがある場合、リミット超過時の動作はどうなるんだろう。

プログラムのバグ、設定ミス、そして DDoS 攻撃。
想定外の利用をすることは、よくある。
定額制では対処をがんばるだけだ。
だが、利用に応じた課金の場合、対処の遅れは請求金額に反映される。

Azure 担当の方と、きちんと話をしたいと思う。

※よくみるサーバー負荷のネタ

Webサイトをよく利用してくれる方が、Web サイト巡回ソフトに登録したところ、毎秒 10 回 Web サイトにアクセスしつづけてしまった。決して悪意はないが・・・・
大手の検索サービスのクローラーの更新ミスで、延々と Web サイトを巡回されてしまった・・・・
もちろん、検索サービスは通信費を払ってくれないと思う。
Web サイトの JavaScript のバグで、延々と Web サービスをたたき続けてしまった。
ひとりの利用者が Web ページを開いただけで、毎秒 10 回 Web サービスをたたき続けて・・・
有名 Web メディアに Web サイトが紹介された。
アクセス数が 100 倍になった・・・
売上は 1.5 倍だった・・・

IE 9 のあと、DirectX 対応しない VDI は生き残れるのか ?

Internet Explorer 9 のベータ 4 が提供された。
専用のデモサイトには、HTML5, SVG, DOM, JavaScript を活用したページが掲載されている。
来年の Web を、ここに見ることができる。

ところで、Internet Explorer 9 が正式に提供されたあと、順次 Web サイトに採用されていくだろう。
ふつうの PC で、Web ページ上で、CAD が、図面が、ゲームが、アニメーションが、ふつうに表示されるようになる。
DirectX 技術をブラウザが利用するのは、当然になる。

当然、仮想化デスクトップ、VDI でも、適切なレスポンスが期待されそうだ。
このとき、VDI でのみ、動かない・遅いというのは、企業にとって大きな欠点になると思われる。

どの VDI 技術が IE 9 に期待される機能とレスポンスを提供するのか、楽しみ。

ダメと、いいえ … iPhone について

「ダメ」と言っていいと思える。
「 iOS4 にしていない、iPod Touch, iPhone で Web をみてもいいですか ? 」と聞かれたら。

2010年 6月に提供された iOS4 で修正された脆弱性は、とても深刻な上に、数が多い。
iOS 3 の脆弱性修正が提供されない以上、iOS 4 にしていない端末は利用禁止が基本だろう。

「いいえ」と答えていいだろう。
「 iPhone での PDF 表示の脆弱性もやっぱりアドビが悪いんですか ? 」と聞かれたら。

iPhone には Adobe Reader が入っていない。PDF ファイルの表示は Safari ブラウザが行っている。

今日発表された、iPhone をジュエルブレイクさせる、脱獄させるツールは、Safari の PDF 表示の脆弱性も利用しているらしい。とすると、現在の iPhone は、攻撃者にとって完全の端末を乗っ取ることができることになる。

そろそろ、企業向けに iPhone 端末の完全な管理機能、および、iPhone からの外部通信を専用のファイアウォールとフィルタを経由した通信に限定する機能が必要と思われる。

WBS … サポートビジネス … ワールドサテライトビジネス 2010/8/6 放送

ワールド・サテライト・ビジネスは、2010/8/6 製品サポートを提供するビジネスを特集した。
家電製品について、延長保証を提供するビジネスだ。

この特集で、疑問に残る点があった。

「なぜマイクロソフトの Windows 2000 の製品サポート終了を冒頭で取り上げたのか ? 」

番組では、Windows 2000 のサポートが切れて、Windows 2000 でしか動かないシステムが残っていて困っている企業があるという流れで取り上げていた。

さて、家電製品のサポート延長提供ビジネスにつなげるのは、一方的にマイクロソフトを貶めていないだろうか。
マイクロソフトは、この程度の扱いには慣れているし、規模としても問題ないと考えればいいのだろうか。

ワールド・サテライト・ビジネスでも、この程度の特集と知識しかないのだと、「知る」ことができたいい機会だった。
自分の専門分野の特集の仕方をみると、製作者のレベルがわかることが多いが、今回はまさに。

【ポイント】

家電のサポートビジネスは、3 年～ 5 年。
Windows 2000 は、10 年ですよ。 + 5 年のサポートの価値。
家電は、その製品への依存した製品や文化は、ほとんどない。
Windows 2000 は、依存してつくられた企業システムが多数存在する。
依存するシステムへの影響を最小限にとどめながら、脆弱性修正が提供されることの価値。
家電の問い合わせ対応は、製品の機能、動作についてが大半。
Windows 2000 は、他者の製品も組み合わされた環境の中で、問題を切り分けサポートを提供する価値。
家電は、脆弱性の発見、高度な攻撃者がいない。
Windows 2000 は、日々進化し続ける高度な攻撃者に対する修正が提供されつづけた。

ワールド・サテライト・ビジネスが、番組でのWindows 2000 の取り上げ方について、訂正するのかどうか、見てみたい。
また、マイクロソフトの日本法人が、正式にクレームを入れるかどうかも、見てみたい。

Windows が、ビジネスを行う企業や利用者からの対話によって、今のサポートが提供されてきた。
一方、他の OS、製品、スマートフォンなどは、まだ、こうしたサポートが提供されていないと思う。
メディアも、そろそろ、IT 製品・サービスのまともなサポートを認識してほしい。

ドメイン名と情報漏洩

インターネットで使うドメイン名の更新を忘れてしまった場合、他の方が、そのドメイン名を取得することができます。この時、何が起こるかというと・・・

そのドメイン宛てのメールが、他の方にながれてしまうことになります。
取引先からや、契約先からのメールがどんどん、流れてしまうことに。 (漏洩)

事後対策は、取引先全部に、ドメイン名が変わったので昔のドメイン名で送るなと注意勧告する、ぐらいです。しかし、実際には、昔のパンフレットや名刺、過去のメールなどから、元のドメイン名が再利用される可能性があります。

また、オンラインでの各種契約や登録に、そのドメインのメールアドレスを使っていた場合は、パスワードを再設定されてしまう可能性もあります。

改めて、注意しておきたいと思います。

脆弱性: PDF = Adobe Reader / Acrobat の問題

先日、PDF を表示する Adobe Reader と Acrobat の脆弱性が公開されました。

Security Advisory for Adobe Reader and Acrobat
(Adobe 2009/12/15)

JVNVU#508357
Adobe Reader および Acrobat における解放済みメモリを使用する脆弱性
(IPA 2009/12/16)
Adobe Acrobat and Reader contain a use-after-free vulnerability in the JavaScript Doc.media.newPlayer method
(US-CERT, 2009/12/15)

攻撃は、はじまっています。
安全なはずの Web サイトを開いただけで、ウィルスに感染する可能性があります。
修正プログラムは、2009/12/28 現在、提供されていません。

攻撃側は、細工した PDF を、改ざんした Web サイトにアップロードするだけです。
Web サイトを改ざんし、細工した javascript を埋め込む方法も考えられます。

【注意点】

対策可能なウィルス対策ソフトはあるようです
回避策をとっておくことが必要
ウィルスに感染する可能性が高くなっている
ウィルスをばらまいてしまう可能性が高くなっている
関係者への周知が必須

脆弱性: IIS の ASP 拡張子処理の件

クリスマスイブに IIS の脆弱性が公開されました。

Microsoft IIS ASP Multiple Extensions Security Bypass
(Secunia 2009/12/24)

Microsoft IIS Malformed Local Filename Security Bypass Vulnerability

(SecurityForus 2009/12/23)

IIS 1.0 ～ IIS 6.0 までの ASP を許可している Web サイトが対象です。
脆弱性の詳細と、対策方法は関連サイトをご確認ください。

【予想】多数の Web サイトが改ざんされ、ウィルスを、ばらまき始めるかも

この脆弱性に脆弱性な Web サイトは、たくさん。きっと・・・・

注意点をまとめておきたいと思います。

【注意点】

Web サイト管理者の方: 対策をしましょう
Web サイト管理者の方: DDoS 攻撃が増えるかも
ITPro の方: 安全なはずの Web サイトが、ウィルスをばらまいているかも
一般利用者の方: 念のため、バックアップしておきましょう

強固な暗号化の障害が引き起こしたこと .. Office RMS, IRM

ある日、仕事上、重要な Excel ファイルが開けなくなった。

他のコンピュータでもファイルを開けない。
マイクロソフトのサポート情報もない。
マイクロソフトの人力検索にも、フォーラムにも情報はない。
ファイルは、RMS = Rights Management Services を使って暗号化していた。

そして、ある日、突然開けるようになった。
なんの前触れもなしに、何事もなかったかのように。
マイクロソフトから、なにも情報はなかった。

そして、ようやく状況が判明した。

AD RMS および RMS で保護されている Office 2003 ドキュメントに対応する修正プログラムについて
2009/12/11

RMS 定義ファイルに関するライセンス失効が原因だったそうな。

このサポート情報の最後に、次の一文がある。

「詳細についてわかり次第、次の Office 製品チームの Web サイトに公開する予定です」

きっと、悪気はないんですよね。
暗号化が必要な、ビジネスに重要なファイルが、数日間、開けなった障害に対して、英文のブログで詳細報告だそうです。次からは、Twitter でリアルタイム報告でもするのかなぁ。

実は、この前に、もうひとつ事件がありました。

IRM サービス無料版で暗号化した Office ファイルが 2009/11/25 から開けなかった。
関連ブログ: Passport RMS Service Experiencing Technical Difficulties
2009/11/25 ? 2009/12/2

はい、こちらもやられました。
情報をさがしまわり、フォーラムで質問もしましたが、マイクロソフトのサポートチームに情報がなかったようです。
IRM サービス無料版は、Windows Live ID があれば無料で使える RMS サービスです。
もちろん、このサービスで障害が起こっていたことは、上記ブログ以外、どこにも情報はないようです。

さて、今回の事件から考えたことを教訓にまとめておきたいと思います。

【教訓】

ファイル暗号化は、異なる方式にて暗号化し、バックアップしておく。
ひとつの暗号化方式に障害がでた時、ビジネス継続できなくなることを避ける。
オンラインサービスは、その障害状況と対策の提供速度と品質を前提に利用する。
IRM サービス無料版の障害情報は、実質提供されていない。
マイクロソフトは IRM サービス無料版の障害状況を、ブログでのみ公開している。

さて、今日も重要なファイルの RMS 暗号化を解除して、パスワード暗号によりバックアップしておこう。

IIS 7 を追究中

IIS 7 を、今、ひたすら掘り下げて、検証しています。
FTP, チューニング、セキュリティ、エラー処理、負荷分散、冗長構成など。

IIS は、Windows NT の頃からずっと触ってきていますが、IIS 7 は柔軟性と速度が大きく上がる一方、複雑になり、現場で必要なレベルの検証されたドキュメントが少なく、IIS 6 以前との同じ設定をする方法も整理されていません。

さて、といいつつ、ひたすら英語の資料と付き合うしかありませんが、マイクロソフトの奥主さんが着々と日本語ドキュメントを整備されていますので、メモしておきます。

英語: iis.net
日本語: IIS TechCenter

IIS のコミュニティが欲しいかも・・

河端善博 ブログ / SQL Server