2009年6月28日日曜日

Active Directoryを使う時のファイアウォールの設定

Active Directory関連のシステムを構築する際にファイアウォールの設定に泣かされる事が多い。どのポートを開けなければ行けないかが微妙にクリアになっていないためだ。MSのTechnetにWindows Server 2008 R2のADDSが使用するポートの一覧があったので記載しておく。

Active Directory and Active Directory Domain Services Port Requirements

2009年6月27日土曜日

PKI Day 2009に行って来た

6/24にJNSAのPKI Day 2009に行って来た。今年もいい話が聞けた。当日の講演資料はこちらでダウンロードできる。当日行なわれたセッションは全部で8つ。特に面白かったのは、木村泰司氏の「PKIの標準化動向とリソースPKI」、神田雅透氏の「政府機関及び金融機関のSSLサーバ暗号設定に関する調査結果について」、渡辺 清氏・浅野昌和氏の「Windows 7とWindows 2008 R2で実現するPKI」の3つ。

「PKIの標準化動向とリソースPKI」のセッションでは、2008年6月に採択されたRFC 5280の解説だった。5280は読まなきゃなぁと思ってたところだったので、ちょうどいいタイミングだった。ちなみに、IPAが日本語訳を出してくれている。ありがたや。

「政府機関及び金融機関のSSLサーバ暗号設定に関する調査結果について」のセッションでは政府機関のSSLサーバーで使われている暗号アルゴリズムを調査した結果をまとめた物だった。特に、政府期間にSSLで繋ぐときに、IE7 + Windows XPでは85%がRC4-MD5で接続してしまったりで、かなり危ない感じ。IE7 + Vistaではここらへんが改善され、55%がAES128-SHA1で接続しているそうだ。Windows 7も出る事だし、さすがにXPの時代は終わったように思える。

「Windows 7とWindows 2008 R2で実現するPKI」のセッションではWindows Server 2008 R2とWindows 7でのPKI関連の話だった。大半は、以前紹介した資料の焼き直しだったが、Globalsignの人によるHTTP登録機能のデモがありとても参考になった。MicrosoftのPKIはWindows 2000, 2003, 2008, 2008 R2と順調に進化しているように思える。Microsoftの本気具合は十分に感じる事ができた。

全体的には非常に有意義な一日となったと思う。参加者も100名を超えるくらいはいたと思うし、日本におけるPKIのカンファレンスとしては、すでに定番になっているように思える。来年も参加したいな。

2009年6月15日月曜日

Interop Tokyo 2009に行って来た

Interop Tokyo 2009とRSA Conference 2009の展示会に行って来た。今年は6/10, 6/11, 6/12の3日間で、130,000人(主催者による発表)の来場者があったそうな。最終日の午後に行ったのだが、混雑と暑さで3時間程度でヘトヘトになってしまった。

セキュリティ関連の展示で各社が積極的にプッシュしていたのは、電子メールの暗号化&管理ツールとログの管理ツールだった。各社ともコンプライアンスの観点からこられのソリューションをプッシュしており、J-SOXやPCI-DSSの関係で需要が伸びてきているそうだ。また、ワンタイムパスワードトークン関連の製品も少しだけ展示されていた。

個人的に興味を引いたのが、株式会社インターネット総合研究所PHYSECという製品。この商品は光通信量子暗号方式Y-00, AlphaEtaというのを使って、光ファイバー線の物理層レベルでの暗号を行うものだった。ファイバーに通る光に雑音みたいなものを添加して、光ファイバーを通る光自体を読み取っても通信内容が分からないというしくみらしい。今のところは開発段階で、米国のNuCrypt社と共同開発(?)をしているらしい。市場に出るのは少なくとも数年は先になるそうだ。
ちなみに、展示されていたNuCrypt社のプロトタイプには、「Bob」と「Alice」というコネクタがあって、暗号ネタ的に笑えた。

後は、仮想化、10Gbitイーサネット、WiMAXの展示があったくらいで特に目新しいものは無しでした。

2009年6月12日金曜日

5月25日のMicrosoftルート証明書の更新

久しぶりにWindows Updateを起動し、追加選択パッケージのアップデートをしてみたところ、「Update for Root Certificates [May 2009](ルート証明書の更新プログラム[2009年5月])」というのがあった。対応するKBは、KB31125 : Microsoft root certificate program members (February 2009)... あれ?2009年2月って書かれてる。誤植かね。

2009年6月9日火曜日

また買ってしまったD945CGLF2D

またD945GCLF2を買ってしまった。今回買ったのは、型番のお尻に"D"がつくビデオ端子が省略されたバージョン。今回のお買い物は、
  • マザーボード+CPU:D945GCLF2D 8000円
  • ケース:SCYTHE BM639 8900円
  • HDD:HDT721010SLA360(1Tbyte) 7200円
  • メモリー:ノーブランドDDR2-800 2000円
合計で26100円。SCYTHE BM639のケースが安かったのがありがたい。実は安いのには訳があって、このケースは電源の排気がケース内でグルグル回ってような感じになっており、スムースにケース外に排出されない。おまけにケースファンが標準でついていないもんだから、そのままだとCPU温度が90度くらいに上がってしまう。極めつけは電源ファンの音が結構うるさい。なんでこんな設計になっているんだろう...
静穏PCとかには全く興味がなく、そこそこ小さいケースが欲しい人にはオススメかも。

ってBlogを書いているうちにCentOSのネットワークインストールが終了。Linuxのインストールも簡単になったもんだ。

2009年6月4日木曜日

新たなSSL証明書販売業者

ジェイサート株式会社が格安なワイルドカード証明書の販売を開始するらしい。この会社の特長は、ロードバランサーを使う場合でも、ロードバランサーの台数分だけ証明書を買えばいいと...今までは、ロードバランサーの裏にあるWebサーバーの台数によって課金されていたからなぁ。

日経BPのニュースリリースによると、証明書のラインナップと値段は以下の通り。全て1年の場合。
  • スタンダードSSL シングルドメイン: 26,520円
  • スタンダードSSL 複数ドメイン: 78,570円
  • スタンダードSSL ドメイン無制限: 131,250円
  • デラックスSSL シングルドメイン: 52,500円
  • デラックスSSL 複数ドメイン: 105,000円
  • デラックスSSL ドメイン無制限: 157,500円
たぶん、スタンダードSSLがドメイン認証で、デラックスSSLが企業認証だと思う。EV証明書は2010年で提供開始ということだ。価格体系を見ると、RapidSSLみたいに低価格路線ではなく、GlobalSignのような路線を目指しているようだ。ちなみに価格はGlobalSignの3割引と言った感じ。ドメイン無制限&ロードバランサで1枚という価格体系は嬉しい会社にとっては凄く嬉しいんじゃないかな。