danishnetのブログ

「あるネットワークエンジニアの生活。」

danishnetの2016年の目標!!

今年の目標を立てたいと思い記事を立てました。

 
昨年の2015年は人生初、正月におみくじを引かずそのまま一年乗り切ったのですが、これは私にとってはかなりの一大事で、今年は行けるぞー!! とか、今年は慎んで慎重に行動せねば。とか、事前の心の準備無しで日常に挑んでいったという気分でした。正直気持ちの切り替えとかワクワク感などがなくて非常に寂しい心持ちで一年のスタートを切ったという感じです。
これはあまりよくなかった。私はおみくじを引くことで、その内容を素直に信じて内部心情的に意味を見出していたのがよくかわった。
 
そして昨年の運勢の自己評価運としては末吉か吉かといったところでしょうか。正直、あまりついてると思ったことはなかったですね。昨年7月に第一子となる子供が生まれ父親になり、約6ヶ月に差し掛かる今、仕事もやめて一秒でも娘を見ていたいと思うほど可愛くて仕方がないのですが、きっと愛娘を無事に健康に授かったことで去年の運を全部使い果たして、他に運が回らなかっただけでしょうね(笑) そう考えるとそれ以上に何も望むことはありません、かも。
 
 
さて、今年の目標ですが下の3つを掲げます。
 
 1. 家族の健康
 2. 新しい交友関係を開拓する
 3. 仕事とそれに付随する勉強。さらなるスキルアップ
 
 1.は言わずもがな、私の妻と娘、そしてもちろん私自身も健康でいられることです。やはり離乳食も始まり、子供の抵抗力なども考えると体調を崩すことが多くなることは必然的であるし、子育てにかかる手間負荷はさらに大きくなるので、それほど若くはない私も妻も、適度に休みをとってちゃんと健康でいられる様にしなければと思っています。
 
 2.を掲げたのは、引っ越してイチから知り合い作りとなったのち、いまは知り合いも増えたのですが、社外での同年代の交友関係が寂しい感じがしている。東京とは人の数も違い、環境的になかなか同年代の交友関係を広げにくいところはあるのですが、常に意識していたいです。他業種の人でもいいですが、しっかりした考えを持っている人に出会いたいですね。新しい事を何か始めればそういった出会いも有るかも知れません。
 
 3.は、勉強したいことはいくらでもあるのですが、やりたい範囲が多すぎてなかなか特定できていないことで停まっているという本末転倒な感じがしているので、的を絞って進めていきたいと思っています。今後、どういうITインフラ・ネットワークエンジニアになりたいかということに尽きるのかとは思います。
 また、今後のニーズも先読みしておく必要もあると考えています。Linuxをもっと勉強したいある特定範囲のネットワーク技術をCCIEレベルまで高める、というのが当面の目標ですが、CiscoのUC系とか各種アプライアンスpythonperlなどのプログラミング言語、あとBlockchainにも興味があったりして、なんだかどうなりたいのかがよくわからないのに興味だけが湧いているという状態になってしまっています。時間の制限上、どうしてもできることに限りがあるので、取捨選択したいと思います。
 取捨の「取の分野」としては、どう考えてもOSSの需要拡大からLinuxが必須だと思っているのでそこから始めようかな。深堀りしたらきりが無いけど、LPICレベル2,3範囲に多々興味分野があるけどそれ以外を避けると偏食になってしまうから、資格ゲット目指して一通り勉強しようかな。
 取捨の「捨の分野」としては、私はもりもりプログラミングする機会は皆無といっていいので、プログラミング言語は捨てとなるか。実際はLinuxのシェルで柔軟にスクリプトを組める様になるとかの方が実用的。Blockchainも今後時代が絶対来ると確信するけど自分のキャリアの方向性にはずれている。
  
さて、一年後、確実に良い年であったと胸をはって言える様に日々努力したいと思います!
今年もいい一年になりますように!!!
 
 

責任分界点という考え方。

僕は佐藤雅彦さんの本が好きです。

ぶっ飛んだ事を言って驚かせる様な芸術家や天才肌という訳ではなく(少なくとも著書の中では)、言われてみれば普通の人でもわかる感覚なのに日常のなかから面白い事や不思議な見方掘り出すのうまい、佐藤さんにしかない鋭さを持っているというイメージがありその部分が非常に好きです。
本を読んでいるとはっとさせられることが多く、その思考に少しでも近づきたいと愛読しています。
 
今朝、佐藤さんの著書の毎月新聞という本を読んで、その中で面白い記事?がありました。
簡単に紹介すると、家庭で使う市販の45Lのゴミ袋を買うとゴミ袋はそれを包むビニール袋に入っている訳だが、最後の一枚を使うときにゴミ袋を取り出した瞬間に、そのビニール袋はゴミとなって今まで大切に包んでいたゴミ袋にゴミとして入れられてしまうのだ。
これは非常に面白い瞬間だという記事であった。日常にこんなクラクラを感じる瞬間がいくつもあるという事でした。
 
これを読んだときに、ビニール袋がゴミに変わる瞬間はどの瞬間なんだろうとふと考えてしまった。ビニール袋がその責任を果たし自由となる瞬間はどのタイミングなんだろうと(笑)
袋から出した瞬間?それともゴミ袋に入った瞬間?。。。たぶん答えなどないし、特に他人との損得が発生する問題でもないしこだわる必要はないですよね。
 
IT インフラネットワークの世界では、どこからがどちらの責任だという責任分界点という考え方があって、事細かに責任区分を取り決める事があります。今回のビニール袋の話からそれを連想しました。
 
回線やラックの工事のとき、2者以上の事業社がいるとその責任分界点という考え方が非常に大事になります。光終端装置の設置は事業Aがやるが、その先のRJ-45/Cat5eの2mのLANケーブルの準備と光終端装置側のケーブル接続は事業社Bがやるが、その先のルータ側の接続は事業社Cがやります、といった具合に。これらを当然『事前に』取り決めます。
僕は新米の頃これを初めて聞いたとき、そんな堅い事言わないでその場にいる人ができるところはやったらいいじゃない。と思っていました。
でも、もし何かお金が発生するような不具合があったとき、それの責任を誰が持つかというのはシビアな問題となる。予防策として責任区分を決めておくというのは当たり前と今では考えています。プライベートのときと仕事のときでは考え方のモードが違いますね。
 
ゴミ袋の場合だと、ビニール袋が包装用途としての責任が問われるのはどのタイミングまでなのだろうと考えていました(笑)
 
今ではプライベートでもあるサービスを買ったときの業者相手や、奥さんとの家事の分担など
必要に応じて責任分界点の概念を使用することがあり、非常に役に立っています。

電子レシート!!どうやって使われるの?

おはようございます。

テーマとは全然関連ないですが、やなか珈琲の小室スペシャルが帰ってきました。

毎朝会社で缶コーヒーを飲む習慣がある人などにはぜひ自宅で小室スペシャルを

味わってから朝のスタートを切る様な習慣をおすすめしたくなる、良い逸品です。

 

さて本題ですが、今後1〜2年のうちに 電子レシート なるものを、標準規格化するそうです。

(2015年10月2日の日経新聞夕刊の記事の一部)

 

小売店などが消費者の買い物した情報を、規格化された共通フォーマットに乗せ

データを蓄積(クラウド上?)し消費者の動向を正確につかみ官民で物流の効率化を図る。

一方で消費者はスマホで管理できたり家計簿ソフトなどと連携して家計管理しやすくする。

それが電子レシート導入の目的の様です。

いわゆるビッグデータの典型というイメージです。

 

僕はコンビニでジュース1本買うだけであってもレシートをもらうことが多いので、

財布にはかなりのレシートがいつも入っていてパンパンになるのですが、

これが使えれば文字通り財布に優しいなと思います。

 

しかしこれはネットワーク屋さんにはどういった影響があるのだろう。

新しい通信プロトコルが増える様には聞こえません。

要はデータ整理の仕方と、どこにどのようにパイプを引くかというのを標準化するという事だろうか。

 

今の感覚だと買い物時にレシートに個人情報が乗ることはないけど、

今後消費税が10%に上がったら一部返納のために買い物するときに

マイナンバーを提示するタイミングが出てきそうな勢いなので、

必ず電子レシートと連携させる方向にいくだろう。

そうなれば個人情報 in 電子レシート になるのは目に見えるので

普及すればパイプの太さに加えて、安全性が求められることになるだろう。

やっぱりセキュリティかな。。。

う〜ん、習慣的にセクシー系を買う殿方は、膨大に蓄積されたデータの解析により正確に性的趣味がバレますね(笑)こちらにもセキュリティ対策が・・・

 

ところで気になったのは「官民」で効率化というところ。

官へ情報を献上、官はいかに我々の情報をご使用になられるのか。

日本人なら自分が買い物した情報(値段や何を買った)を

他人に知られる事に抵抗がある人は多いのでマイナスイメージですね。

 

ともかくたくさんのメリットはあるので、気になるところをクリアにした上で

使うか使わないかの判断をすることにします。

 

 

IPsecまとめ

 

IPsec・・・暗号化や認証などを利用しデータ送受信時のセキュリティを実現するための仕組み・フレームワークそういう名前の単体のプロトコルがある訳ではない。


誰でもアクセスできるインターネットやキャリア公衆網などの中でも、パケットを「安全に」送受信するための技術。安全にとは送受信するデータを盗み見たり、データの内容を変える(改ざん)したりできない様にする、という事でその仕組みを実装している。

技術的に思うこととしては「プロトコルアルゴリズムなどが複数組み合わさっていてその全て正しく実装をしようとするとそれ相応の理解が必要でかなりややこしい。」

IPsecはデータ送受信路を確立するために、2つのPhaseがある。

 

 ■IKE-phase1

 ■IKE-phase2


その2つに分けてcisco configとの紐付けしあくまで自分のメモのために、
ほんの一例をまとめてみる。(まだ理解が深くないため改修予定)


■IKE-phase1(for ISAKMP-SA)
 ※ISAKMP・・・鍵交換/セキュリティポリシのネゴシエートプロトコル

【各種パラメータ】
1.Encryption;暗号化アルゴリズム
【目的:データの暗号化】
  DES (default)
  3DES
  AES 128,192,256

2.HMAC;ハッシュアルゴリズム
【データ改ざんを検出】
  MD5       - 128 ビットのハッシュを生成する単方向のハッシュ アルゴリズム
  SHA-1     - NIST によって提起された単方向ハッシュ。160 ビットのダイジェストを生成します。

3.Authentication;ピア認証
【目的:IPsecを張る対向(ピア)の認証】
  rsa-encr - RSA 暗号化ナンス(乱数)
  rsa-sig  - RSA シグニチャ
  pre-share - 事前共有鍵

4.DHグループ:公開鍵の暗号化メソッド
  group1  -  768 bit
  group2  - 1024 bit
  group5  - 1536 bit

5.ISAKMP-SAの保持時間
 lifetime {sec} 86400 sec(default)

※IKE ネゴシエーションUDP 500

======モード======
main or aggresive
  main      - ISAKMP 6つメッセージ
  aggresive - ISAKMP 3つメッセージ
==================


----(例)Cisco892 Config----
crypto isakmp policy 10
 encr 3des              …1.Encryption;暗号化アルゴリズム
 hash md5                …2.HMAC;ハッシュアルゴリズム
 authentication rsa-encr …3.Authentication;認証
 group 2                 …4.DHグループ
 lifetime 600            …5.ISAKMP-SAの保持時間

 ↓authentication(peerの認証)にrsa-encrを選んだため、
 ↓マニュアルで公開鍵を設定

hostname [host-name]
ip domain name [domain-name]
 でホスト名とドメイン名を指定、key-nameはこれが元となる。

crypto key generate rsaコマンドで暗号化鍵を作成
 ※この後、鍵長の指定を求められる。1024以上がおすすめ。

この手順で鍵を作成した上で、PeerとRSA公開鍵(Public key)をマニュアル設定

Router(config)# crypto key pubkey-chain rsa
Router(config-pubkey-chain)# addressed-key [peer address]
Router(config-pubkey-key)# key-string
Router(config-pubkey)# 00302017 4A7D385B 12345678 335F73
Router(config-pubkey)# 12345678 C4F4B0FD 9DE748 429618D5
Router(config-pubkey)# 18242BA3 2EBDD3 12345678 DDF7D3D8
Router(config-pubkey)# 12345678 2F2190A0 0BF1BD 9A8A26DB
Router(config-pubkey)# 12345678 791FCDE9 A98420 6A82045B
Router(config-pubkey)# 12345678 DBC64468 7789F7 EE21
Router(config-pubkey)# quit
---------------------------


■IKE-phase2(for IPsec-SA(Data Tunnel))

【各種パラメータ】
1.セキュリティプロトコル
【目的:認証・データの暗号化プロトコルの指定】
  AH  …データ改ざんの認証のみ
  ESP …データ改ざんの認証及びデータ暗号化
  ※昔はESPはデータ改ざんの認証ができなかった。後に機能追加されてこうなった。

2.暗号化アルゴリズム
【目的:使用暗号化アルゴリズムによる暗号化強度の選択】
  DES or 3DES or AES

3.HMAC:ハッシュアルゴリズム
【目的:パケットの改ざんを検出】
  HMAC-MD5 or HMAC-SHA

4.lifetime
【目的:IPsec-SAの保持時間】
   ※オプション。ciscoデフォルト値 - 3600seconds、4608000kilobyte

5.カプセル化モード
【目的:IPsecの接続形態の選択。SiteToSite or PCtoPCかによる】
  tunnel     …SiteToSite
  transport  …PCtoPC
 ※IPヘッダを暗号化するかしないかの違い

----(例)Cisco892 Config----
>>ciscoでは「transform set」という設定で一連のパラメータを設定する。

crypto ipsec transform-set myset esp-aes esp-md5-sha  …1.2.3 の設定
 mode tunnel  …5.カプセル化モード

crypto map [map-name] [seq-num] ipsec-isakmp
 set peer [IP Address]                   ※暗号化、復号化をするピアの指定
 set transform-set [transform-set name]  ※適用するトランスフォームセットを指定
 set security-association lifetime [sec/kilo]         …4.lifetime
 match address [ACL num]                 ※IPsecの対象パケットをACLで指定

interface [If-id]
 crypto map [name]                       ※crypto mapをIFに適用
---------------------------

======モード======
Quick
==================


付録)各暗号化方式の鍵の呼び方リスト

           |     暗号化      |     復号化      |    
------------------------------------------------
共通鍵暗号 | 共通鍵or秘密鍵  | 共通鍵or秘密鍵  |
公開鍵暗号 |     公開鍵      |     秘密鍵      |

・・復号化する鍵が両方とも秘密鍵でかぶってるやん。。。
    ローカルから外に出ない鍵は、秘密鍵と呼ぶって事なのかな。

 

IGCI(INTERPOL Global Complex for Innovation)設置@シンガポール

2015年4月に国境を越えるサイバー犯罪の捜査組織の拠点として、国際刑事警察機構(ICPO)がシンガポールにて「IGCI」を開設した。

 

この組織のトップに就任したのが日本人で中谷昇さんという方で、警察庁からの出向とのこと。

このような国際的であり先進的な組織のトップに日本人の方というのはとても誇らしいことですね。

 

ASEAN経済共同体の創設で、共同体の中での取引の敷居が低くなれば、それを狙うサイバー攻撃が増えるのも必然的だ。

 

サイバー犯罪の手口として海外のIPアドレスから攻撃を仕掛ける場合、各国の捜査機関による国際連携では犯罪者の引き渡しの部分での連携が重要になることは容易に想像できるのでこの組織の役割や期待は絶大なものです。

東京オリンピックの裏側で。

おはようございます。

いまモーニングコーヒーを飲んでいますがうちのコーヒーはスタバよりおいしい。

「やなか珈琲のクラシフィコ小室」を数年前から愛飲してますが、苦味・酸味・深み・コストパフォーマンスが最高にバランスが取れていますね。

もうこれ無しで日常過ごすのが嫌なくらいです(笑)

 

 ところでいま東京オリンピックが悪い話題でホットになっていますね。

 

 オリンピック:2020年7月24日(金)~8月9日(日)  - 全28競技

 パラリンピック:2020年8月25日(火)~9月6日(日)  - 全22競技

 

 とっても華やかな話なのに、新国立競技場設計が白紙撤回になったりと残念な感じです。

正直少し出来レース的なところがあったため、設計段階でそれに対する費用を真剣に検討して方向性を決めるステップが抜けてしまったのではないでしょうか。運営側が有名建築家に設計してもらうということで熱が上がってしまったため、誰も費用面でNGをだせずあそこまでいってしまった様に見えました。ザハ・ハディドさんは多分高くなることはわかっていたが、最終決定者があやふやになっていたので、事が進む前に歯止めがきかなかったのではないかと思います。

 確かにこの規模の設計をしてさらにその費用感が最初から正確にわかるなんてことはないというのは理解できます。一戸の住宅を建てるのとは規模が違います。ただみんな、自分自身に責任はあらずとコメントしていて、それはある意味正しいのかも知れないけど、それが正しいとまかり通るような組織体制で運営している事自体が間違っている。頼まれたからやりましたではプロ魂を少しも感じません。

 建築素人の僕の個人的な思いとしては、既に巨匠で知名度のあるザハ・ハディドさんでも安藤忠生さんでも伊東豊雄さんでも山本理顕さんでもない、他の日本のベテラン建築家に設計をして欲しかった。建築家というのは多方面から「未来」を考えてモノを設計している。思想の素晴らしい方が多いので、僕らの様にその業界ではない人からすれば水面下に見えてしまっているけれど未来志向の素晴らしい方々をどんどん起用していって欲しいという思いがあります。僕は多様性が未来を面白くするという思想の持ち主なので、新しい人の採用を期待していました。

 

 さてネットワークエンジニアとして本題に入りますが、その2020年のオリンピック・パラリンピックの裏側で、これまで以上にサイバー攻撃の増加が懸念されるため、先日サイバーセキュリティ基本法が成立しました。今後の展開が気になるところですが、ネットワーク関連も含めたテクノロジーのことでいくつも話題があるため気になった事をピックアップします。

 

 ■セキュリティ系の国家資格が増える:情報セキュリティマネージメント(仮称)

 ■全てのクレジットカードを磁気型からIC型へ移行

 

情報セキュリティマネージメント(仮称)

 2020年に開始される「サイバー攻撃の対策の新技術」の実用化に備えるとの狙いの様で、2016年には試験が開始されます。その「サイバー攻撃の対策の新技術」の概要は、いままではネットワークのみでサイバー攻撃を監視・分析するのが主流だったところを、ネットワークとパソコンなどの機器を同時に監視・分析することでいち早く攻撃を発見できる技術、という。

 現行のセキュリティ系の国家資格といえは情報セキュリティスペシャリストが浮かぶが、今回の資格は「サイバー対策の責任者」として情報漏えい対策の指針やサイバー戦略を作れるかどうかを測る資格の様です。次の知識が問われるとのこと。(日経新聞に記載)


  1.情報安全戦略の立案能力
  2.サーバー攻撃への適切な対処能力
  3.外部委託やコンプライアンスに関する知識の有無
  4.関連法規やガイドラインに関する基礎知識

 

責任者(マネージャ)としての位置づけなので、情報セキュリティスペシャリストの次のステップと考えればいいのだろうか。いま情報セキュリティ系の資格はあまりないので増えることは良いことだと思うが、現行のCisco Securityなどのベンダ系の資格の認知度を上げること及び企業側がそれを有用な資格だと把握することも、国のセキュリティ能力の底上げとしては近道だと思う。

 ともかく僕自身がセキュリティ系の知識にまだまだ乏しく、勉強したいと思っているため今後こういう資格の取得も視野に入れ様と思っています。でも国家資格系でいくならまずはセスペでしょうね。。。

 

全てのクレジットカードを磁気型からIC型へ移行

これも今日の日経新聞の記事に載っていました。ネットワーク技術ではないけれど取り上げます。

 そもそもそういえばICチップの載っていないクレジットカードがあったな、というくらいの意識しかなかったのですが、これも2020年までに増加が見込まれる不正利用などの対策として、国で移行を推進する様です。いまは全体数の約65%がIC型との事です、意外と低いとおもいました。

 ポイントはユーザー側のカードをIC型にするだけではダメで、店側のリーダーも移行しなければならないというところ。記事には店側には「導入を促す」とあったため、装置の移行費用等を考えるとあと5年で完全移行させるのは難しいかも知れません。ただ個人的にはクレジットカードがもっと普及して、良いサービスとどんどん連携していって欲しいです。

 

 

ネットワークベンダといえばGoogleという日が来る?

 

Googleはテクノロジーの会社であると思ってはいましたが、再認識させられるとても興味深い記事がありました。

 

 

 ◆QUICプロトコルの開発

 ◆Google独自のネットワークスイッチの開発

 

 

QUICプロトコル

本来Webページを閲覧する際には安全性を確保するために3way Handshakeなどを代表とするたくさんの事前通信が必要になり、それをTCPおよびSSL/TLSで実現しているが、それと同等の機能をシンプルにUDPで実装し高速化を実現しているプロトコル

という事の様だ。

 少し前の記事ですがChromium Blogでも下記の通り公開しているように今後は標準化も視野に入れているようです。

-----------------------------------------------

A QUIC update on Google’s experimental transport

・・・・We plan to formally propose QUIC to the IETF as an Internet standard but we have some housekeeping to do first,
like changing the wire format and updating our reference implementation from SPDY-over-QUIC to HTTP2-over-QUIC.・・・・

-----------------------------------------------

信頼性・安全性のある通信の確保をUDPでいかに実現しているかという一番気になるところは、他の記事などを見てもすぐには見つけられなかった。。

これがもっと世に広まる準備ができれば業界に大きな動きが出ると予想しています。いかに広まるかポイントとしてはWebが高速になるという明快なメリットに対して、ユーザー側にはほとんどめんどくさい作業が伴わないという様にできるかというところかと思います、当たり前ですが(笑)

 

Google独自のネットワークスイッチの開発

もちろん内部データセンターでの使用で商品化はされていないため、品名はありませんがGoogleは独自にネットワークスイッチを開発しそれを実装しているようです。

装置のチップは汎用的なもので、プロトコルは独自仕様とのこと。

 

他記事などにも書かれていますが、もともとGoogleのデータセンターでは大量のサーバとはまずは小型スイッチと接続し、それらを束ねるラック毎に設置されたアグリゲーションスイッチに接続し(GoogleJupiterの過去の写真を見るとラックに目一杯スイッチを積んでスイッチ専用ラックがあるイメージ?)、さらにそのアグリゲーションスイッチをスパインスイッチに接続して・・・という構成の様です。

 それらがいかに物理的に大量かつ整然としているかというところにも興味はありますが、正直それ自体はすごく変わった事をしているという訳ではない様に思いました。

つまりフォーカスするべきは物理ではなく論理、あえてスイッチといっているのでルーティング機能の実装はどうしているのかなどなど。

Google社の技術のトップは従来のルータ中心のプロトコルではなく、Google自身の分散コンピューティングアーキテクチュアと共通部分が多い、と漠然なコメントをしている模様。

 

ネットワークベンダといえばGoogleという日が来る?

ネットワークベンダとしてはやはり王者Cisco、そして追随の代表としてJuniperなどが僕の頭にはぱっと浮かびますが、ここにGoogleの名前が挙がる日がくるかも知れない、と勝手な想像をしています。

 QUICの標準化など、いままでのTCP/IPのスタンダートを揺るがすような動きが、業界全体のシェアを一気に覆すことも十分にありえる。それがIT業界のエキサイティングなところです。僕はGoogle愛好者ではないですがすごいなとは思っています。

ちなみにCiscoは好きですので、これらに対して何かアクションがあるのか今後の動向が気になります。