Windows Server 2008 SP2のHyper-Vとゲストのライセンス

2009年前半にWindows Server 2008のService Pack2がリリースされる。先日、RCの発表があったため、リリースノートを読んでいたらHyper-Vのライセンスについて以下のような記述があった。

SP2 provides the Hyper-V virtualization environment as a fully integrated feature of Windows Server 2008, including one free daughter OS with Windows Server 2008 Standard, four free licenses with Windows Server 2008 Enterprise and an unlimited number of free licenses with Windows Server 2008 Datacenter.

どうやらWindowsを買うと標準でHyper-VのゲストOSのライセンスがついてくるようだ。

• Standard Edition : 1つ
  
• Enterprise Edition : 4つ
  
• Datacenter Edition : 制限なし
  

先日の仮想化に関する本の無料公開といいMicrosoftの気合を感じるな。

追記：

ライセンスについては、ここに詳しく出ていた。SP2でなくともゲストのライセンスはついてくるようだ。

Citrix XenServerがフリーになった

Citrix XenServer Enterprise Editionがフリーになった。くわしくはこちら。ESXiなんかよりも遥かに高機能なものがフリーで使用できるようになるとは、すごい世の中だ。

仮想化のコア部分は既にコモディティ化が進んでおり、Xenを使おうがHyper-Vを使おうがESXiを使おうができることは似たり寄ったりになってきている。今後はデスクトップ仮想化やエンタープライズ向けの製品の「ソリューション」としての完成度が製品を選定する上でのキーとなってくるんだろう。

そういえばCiscoによるVMwareの買収の話はどうなったんだろう。

UPKIフォーラム2009に行ってきた

国立情報学研究所主催UPKIフォーラム2009に行ってきた。講演内容はこちら。

今回の公演はUPKIが行ってきた3年間に渡るプロジェクトの締めとも言える内容だった。話はSSO関連が中心で、7大学＋αにおけるSSOの取り組みについて面白い話が聞けた。

UPKIではSSO製品として、Sibbolethを用いている。SibbolethはInternet2の成果物の一つで、海外ではよく使われている製品だ。でも、日本での知名度はイマイチ。この他に、このジャンルの製品としてはLiberty Aliance, OpenID, Windows Cardspaceなどがあるが、これらの製品の話は全く出てこなかった。現在のところ、UPKIはSSOの相互運用の実験をしているといったところで、本格的な運用段階はしていないようだ。各大学のパネルによる展示もあったが、大学ごとに導入レベルが異なっていたり、セキュリティドメインの定義の仕方がまちまちのため、相互運用を行なうのはまだ先になるような気がした。

NetBSD 5をDOM0に使う場合のPAEサポート

NetBSD 5 RC2にXen 3を入れて遊んでいたのだがハマってしまった。どうやらDOM0にNetBSDを使うときは、PAEなしのXenを使わなければならないようだ。Port-xenのメーリングリストによると、DOM0のNetBSD + PAEは先週にcurrentにコミットがあったばかりだそうで、まだ実用には耐えないだろうな。くわしくはこちら。

その他の解決策としては、i386からamd64に移行してしまうというのもある。amd64ならば、PAEの有無は関係ないので。うーむ、またDOM0をビルドし直しか。こうやってハマるのも楽しいからいいんだけどね。

D945GCLF2でNetBSDを使う

G945GCLF2にNetBSD 5.0 RC2 + Xen を入れてみた。XenカーネルではD945GCLF2に載っているイーサーネットカードが認識しなかったので、チョイと手を入れてみた。チップは通称ギガニのRealtek 81x9シリーズ。症状は、

• Xenカーネル使用時のみ不安定になる
  
• 起動時に「re0: Unknown revision (0x3c4000000)」
  
• ifconfig re0 upとすると、「re0: reset never completed!」とコンソールに出る。
• 認識してもパケットロスが多すぎて使い物にならない。
  

と、といったところ。

NetBSD -currentのソースを見てみると、currentのドライバーならばsrc/sys/dev/ic/rtl81x9reg.hに0x3c4000000が記載されている。5.0 RC2に始めから入っているバージョンはダメっぽいので、currentのrtl81*をコピーしてカーネルをリビルド＆インストールしたらOKだった。

Linux系, Solaris, OpenBSD, FreeBSDなど、いろいろいじって来たが、NetBSDが一番使っていて自分に合ってような感じがする。ソースツリーの配置、pkgsrc、ドキュメントとかがマルチプラットフォーム対応という思想を元に一貫して作られていて、その一貫性がシプルさと信頼につながっているように思える。

CRYPTRECシンポジウム2009の記事

Nikkei IT ProでCRYPTRECシンポジウム2009のネタが投降されていた。日経の記者さん、私の代わりに聞いておいてくれてありがとう。
記事はこちら。「電子政府推奨暗号」は２つで十分？, シンポジウムで専門家が検討
http://itpro.nikkeibp.co.jp/article/NEWS/20090218/324974/?ST=security

サイドチャンネル攻撃についても話があったとは。仕事放り出してでもいくべきだったかな。サイドチャンネル攻撃というのは、HSM（ハードウェアセキュリティモジュール）などの耐タンパー性のあるハードウェアが演算するときに出る電磁波や、電源ラインの揺らぎを見て、内部で行なわれていることを推測する手法。当然、暗号鍵が漏洩してしまうこともあり得る。この手法はIPA暗号フォーラム2008でも話題になっていて、そのときは評価基準を制定するためのテストベットを作っていた。結局、「どのような試験をしたら安全と言えるか」といったコンセンサスが無いもんだから、使う側としては製品の選定のしようがない状態になっている。

IPA暗号フォーラム2008でDr.Shamr先生（RSAのSの人ね）が、暗号アルゴリズムの脆弱性も重要だけど実装による脆弱性も重要なんだ、と言っていた。たしかにそうだ。実装がヘボければいくらよいアルゴリズムを使ったとしても意味が無い。ソフトウェアならばオープンソースを使って多数の目による評価が可能だが、ハードウェアはそういったアプローチが取れないし...そのうち、「X社のHSMには、AES-128を使った暗号演算を行なう場合の電源ラインの揺らぎパターンが解析された。」なんていうセキュリティアラートが発生するのかもしれない。

VMware Fusion 2.0.2リリース

いつの間にかVMware Fusion 2.0.2がリリースされていた。VMwareのサイトよりダウンロードできる。ダウンロードの際には、McAfee VirusScan付きか無しのどちらかのパッケージを選択する事ができる。私は迷わずVirusScan無しを選択した。余計な物はいらない。

今回のアップデートで追加された新機能は、以下の通り。

• Allows importing Windows virtual machines from both Parallels Desktop 4.0 and Parallels Server for Mac.
• Supports mounting unencrypted .dmg file format as a CD/DVD disk image, in addition to .iso file format.
• Supports Mac OS X 10.5.6 as a host operating system.
• Provides experimental support for Mac OS X Server 10.5.6 as a guest operating system.
• Supports Ubuntu 8.10 as a guest operating system, including features such as VMware Tools with prebuilt kernel modules, Easy Install, and Unity.
• Ships with a 12-month complimentary subscription to McAfee VirusScan Plus 2009 antivirus software, with localization support for French, German, Italian, Spanish, Simplified Chinese, and Japanese.
• Provides performance improvements when browsing mirrored folders and shared folders in Windows virtual machines.
• Supports display of Windows applications in Unity view as 48 pixel x 48 pixel icons.
• Resolves issues with "Optimize for Mac OS application performance" preference option for Mac OS X 10.5.5 and later

この中で一番注目すべきはMac OS X Server 10.5.6のサポートでしょう。Experimental(正式じゃない)サポートだが、かなり遊べそうな機能になっている。どうせだったら、Server版ではない普通のMac OS Xのサポートをしてくれた方がユーザーとしてはうれしいのだが。

CRYPTREC2009シンポジウムに行きそびれた

CRYPTREC2009のシンポジウムに参加しそびれた。今回のネタは電子政府推奨暗号リストの改訂に関するお話だったので、楽しみにしていたのだが... 来週の月曜日（2/23）にはUPKIシンポジウム2009があるので、こちらは参加するつもり。

Microsoft純正のISOイメージマウントツール

MicrosoftがISOイメージをマウントするツールを出していた。ダウンロードは以下のURLを参照のこと。

Virtual CD-ROM Control panel for Windows XP

http://download.microsoft.com/download/7/b/6/7b6abd84-7841-4978-96f5-bd58df02efa2/winxpvirtualcdcontrolpanel_21.exe

MSのサポートなしのツールだけど結構使える。これでDaemon Toolsとはオサラバできる。

BIOSアップデート用FreeDOS on USBメモリーの作り方

今時のBIOSアップデートはWindowsからアップデートツールを使用して行なうのが常だが、Windowsでない環境ではアップデート用のFDを作ったりしなければならず、どうにも不便極まりない。しかも、所有しているマシンにはCDドライブやFDドライブが付いていないものが多くて困り果てていた。こんなときはUSBメモリーから起動し、そこからBIOSのアップデートを行うのがとても便利だ。私はFreeDOSをアップデート用に愛用している。

今までは、FreeDOS入りのUSBメモリーは、HPが配布していた「HP USB Disk Storage Format Tool」を使って作成していたが、最近は配布が終了しているようだ。怪しいサイトではコピーが配布されているが、さすがに使う気にはならなかった。
しかたがないので、新たなツールを物色していたところ、HP USB Disk Storage Format Toolと同じツールが配布されていた。どうやら以前のツールの後継でFreeDOSとアップデートツールを同時にコピーするようだ。

ROMPaq for HP Notebook System BIOS (68PSU) - FreeDOS Bootable Media
http://h50222.www5.hp.com/support/FZ637PA/more_info_soar_ob-67814-1.html

上記のツールで作成されたFreeDOSにはCommand.comが入っていないので、FreeDOS本家よりCommand.comを入手してUSBメモリーのトップディレクトリーにコピーする。同時に、BIOSアップデートツールもインストールしておく。あとはUSBメモリーから起動して、シェルを選ぶプロンプトにてCommand.comと入力する。これで、DOSのコマンドプロンプトが表示される。

マザーボードがIntelの場合は、この後、「iflash /p BIOSNAME.BIO」を実行しアップデートを行なう。このとき、チェックサムエラーが発生してアップデートに失敗する場合は、/nrオプションをつけて再起動を抑制するとたいていの場合は成功する。

なんだかんだ言ってBIOSのアップデートはリスクが大きい。アップデートに失敗すると、最悪、マザーボードがお釈迦になるためだ。できればやりたくないのだが、システムの安定動作には不可欠だったりするわけで、悩ましいとこだ。

Intelのドライバーアップデートのお知らせのRSS配信

Intelがドライバー等のアップデート情報をRSSで配信してくれている。
個別の製品ごとに配信されていてとても便利そう。RSSフィードの入手方法は、IntelのWebページより「サポート」を選択し、「ダウンロード・センター」を表示する。次に、RSSを受け取りたい製品のOSの選択画面を表示する。OSを選択する画面の、左側のペインより「RSS」をクリックするとRSSが取得できる。
RSSでは、製品のドライバーやBIOSアップデート以外にも、Intel Desktop Utilities等の関連する製品の情報までが配信されている。DQ45CBはBIOSのアップデートが頻繁に行なわれるので、かなり重宝しそうだ。

Intel DQ45CBには手を出すな

Intel VT-d対応マシンでも組んでみようかと思っていたら、ちょうど、Q8200が価格改定で安くなった。チャンスだと思ったので､以下のスペックでマシンを組んだ。全部で6万円程度。

• CPU：Intel Q8200
• マザー：Intel DQ45CB
• Mem:：2Gbyte x 4(ノーブランド）
• HDD：なし（USBブートなので）
• イーサネットカード：Intel Pro/1000 PT
• ケース：OWL-PCBM-01(B)/300II

Dual CoreのE8400も同価格で買えたが、VMware ESXiで遊びたかったのでQ8200にした。Qシリーズは全機種Intel VT-xに対応しているから安心して買える。マザーはIntel VT-dに対応しているものを選択したらこれしかなかった。Intel Pro /1000 PTはESXi用に購入した。

さて、組み立てだが意外なトラブルに見舞われた。１つ目は電源の相性。買ったケースについてきた、Owltechの SYPRESS OWL-300SFXとIntel DQ45CBの組み合わせは良くないらしく、いくら頑張っても電源が入らない。電源を別のマザーにつなげると電源は入るので、相性っぽい。しかたがないので、秋葉原まで行って別の電源を買って来て解決。

2つ目のトラブルは、電源を投入するとPOSTを抜けずに固まってしまう現象。他にも、BIOSのログがフランス語になってしまっていたり、CPUファンの回転数を取り間違ったり、そもそも電源が入らなくなってしまったり､普通では考えられないような現象が多発した。これはIntelから出ているBIOSアップデートを当てる事によって解決した。POSTを抜けたり抜けなかったりないもんだから、BIOS当てるのにも難儀した。BIOSアップデートの際に注意する点は、

• Intel vProをオンにしないとアップデートに失敗する。
• Intel vProの初期パスワードは「admin」となっている。
• Intel vProの初期パスワードはすぐに変更する必要がある。新パスワードは「複雑なもの」でないと弾かれる。
• BIOS Update中にリブートして固まることがある。その場合は最初からやり直し。5回くらい頑張ったら成功した。

BIOSアップデートはマザーボードが発売されてから毎月のようにリリースされている。1月の段階で7回目。気になったので、リリースノートの修正履歴を見ると、今までに74個の修正を行なっていた。とりあえずDQ45CBを買うときはトラブルを覚悟をすべし。BIOSアップデートしないと、どうしようもなく不安定だから。

肝心のVMare ESXiは問題なく使えている。オンボードのイーサネットは使えないが、Intel Pro/1000 PTのおかげで問題なし。ICH10DのSATAもoem.tgzを修正して対処できた。

マイクロソフト公式の仮想化の本が無料ダウンロードできるようになった

Microsoftプレスより発行されている「Understanding Microsoft Virtualization Solutions - From the Desktop to the Datacenter」が無料でダウンロードできるようになった。すばらしい！！Microsoftは仮想化に乗り遅れたように見えたが、徐々に本気を出して来た模様。

ダウンロードはこちらから。
http://csna01.libredigital.com/?urmvs17u33

Windows 7のエディションが多すぎる

MicrosoftはVistaの失敗から何も学んでいなかったようだ。MicrosoftがWindows 7の販売戦略を発表した。大方の予想通り6つの（そして、差のよくわからない）エディション分けとなっている。忘れてはいけない。それぞれのエディションがx86とx64の2つのアーキテクチャーに対応している。(もしかするとStarterはx86だけかもしれないが。)

    * Windows 7 Starter

    * Windows 7 Home Basic

    * Windows 7 Home Premium

    * Windows 7 Professional

    * Windows 7 Enterprise

    * Windows 7 Ultimate

Microsoftは、大半の顧客が求めているのは、自分の用途に合ったエディションではなく、必要な機能が全て入っていて、必要ない機能は顧客の意思で容易にオフにすることができるOSだということに気づいていないようだ。「HOME Basicだからファイル共有ができない」といった心配は顧客とっては何の利益をもたらさず、Windowsはファイル共有すらできないOSだといったイメージを植えつけるだけになるだろう。

もし、私がWindows 7をリリースするならば、以下の2つのエディションだけにする。

    * Windows 7 Starter

    * Windows 7 Ultimate

StarterはNetbook向け、Ultimateはその他全部に対応する。これでいいじゃないか。

悲しんでいるのは顧客だけではない。私の職場ではこのニュースは大きな落胆をもって迎えられた。私は仕事でWindows向けのソリューションを提供している。6エディション x 2アーキテクチャー = 12プラットフォームをサポートするソフトウェアの開発はとてもコストがかかる。そして旧来どおりVistaもサポートしなければならない。製品ドキュメントには、「*1 Windows 7 HOME Basicでは...」という文書があふれ、とても読めたものではなくなるだろう。

Microsoftは製品戦略を見直すべきだ。このような戦略はコンシューマーと開発者にとって何の利益にもならない。この戦略を知って喜んでいるのはAppleの販売担当者だけだろう。

指紋とられちゃいました

先日、とある会社のデータセンターに入るための入館証を作成した。そのときに左手の指のすべての指紋をスキャナーで採取し、その会社が運営する認証システムに登録する必要があった。なんだか犯罪者みたいだなーとか考えながら素直にスキャンされてきた。

どうやらシステムの初導入後の一発目だったらしく、認証危機メーカーの技術担当者も同席していたのでいろいろ聞いてみた。担当者曰く、

1. 指紋の画像は保存しない
2. 指紋の特徴点情報のみが保存される
3. 保存した情報は暗号化されている
4. 保存した情報から元の指紋は抽出できない
5. 保存した情報を暗号化した鍵はデータを保管するPCに保存されている。

問題は5.だね。暗号化したデータは独自のDB(と言っていた。どうせファイルだろうが）に保存され、暗号鍵を知らないと情報を取り出せないらしい。そしてその暗号鍵は指紋 情報と同じPC内に保存されていると。これはよくない。全くよくないぞ。だって鍵が入手できれば全員の特異点情報を情報をゲットできちゃうじゃん。それってヤバくね？ダイアル式の金庫の扉に、付箋で暗証番号を張っておくようなもんだ。「右に３、左に1、右に6」なんてね。

ちなみに登録を担当している人（技術者じゃないよ）に、「入館証の有効期限が切れたら指紋データを削除してください。」と言ったら、「できるかどうか検討します」って言われた。いままでそんなこと言われたことがないらしい。えぇー！御社の社員はそんなに会社を信頼しているのですか！つーか、このVisual Basicで作った学生の宿題みたいなソフトを信用していいんですか！金属探知器があるデータセンターを自社で持ってるのに....

そもそも指紋は、本人が意図しないところに指紋の陰影を公開してしまう可能性がある。ということは、指紋自体はPKIで言うところの公開鍵みないなもんなんじゃないのかなーとか考えたりした。

blogs.verisign.comのSSL証明書の期限切れ

blogs.verisign.comのSSLサーバー証明書が期限切れになっていた。2009/2/2で切れてます。日本ではかなりのシェアを持っているVerisignだが、こういったミスは信用を落としかねないだろう。

SSL証明書の期限切れは意外と穴になりやすい。私が関わった案件でも何件かトラブルを経験している。たとえば、テスト用の証明書の有効期限が切れてシステムテストが実行できなくなったことや、IP電話用の証明書を発行するCA（認証局）の証明書が切れて、内線が全部使えなくなったりといったことが起こった。最近では、2008年9月におこったANA（全日空）のシステムトラブルが記憶に新しい。

では、こういったトラブルは多発しているのだろうか？　以前、関係者に聞いたところでは、このような事故を事前に防ぐために、SSL販売業者は有効期限切れの何日か前にメール（場合によっては電話も)で「有効期限切れのお知らせ」を送っているそうだ。しかし、たいていの場合はスルーされてしまい、有効期限切れになってから、あわてて証明書の更新を依頼するケースが多いらしい。皆様もSSL証明書の有効期限切れにはご注意あれ。

あ、よく見たらblog.verisign.comの証明書はEV証明書じゃないか。EV証明書の期限切れは始めてみたかも。