[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

第5回 開かれた門にも強固な扉を築く




1995年6月号の UNIX USER 誌に掲載された「ルート訪問記」の過去記事

第5回 開かれた門にも強固な扉を築く

この立命館大学びわこ・くさつキャンパス(滋賀県草津市 [注1])
は、1994年4月に理工学部 [注2] が拡充移転してスタートした新
しいキャンパスで、総面積57万平方m(甲子園の約15倍)の広大な
敷地を有する恵まれた環境にあります。

RAINBOW(Ritsumeikan Academic Information Network Bridging
Our World)と命名された教育と研究のための統合情報システムは、
このキャンパスと京都市内にある立命館大学衣笠キャンパスをその
中心とするネットワーク・システムであり、大学内の総合情報セン
ターによって構築・運用されています。

今回は、この統合情報センターの教育研究システム課びわこ・くさ
つキャンパス分室の武田龍馬(たけだ りょうま)さんを訪ね、こ
の統合情報システム(RAINBOW)について、とくにびわこ・くさつ
キャンパスのシステムの構築に関してお聞きしました。


*びわこ・くさつキャンパス見学ツアー

私(以下、Y):初めまして。今日は念願かなって、びわこ・くさ
つキャンパスに足を踏み入れることができて光栄です。実は私、こ
こからかなり近いところに住んでいまして、一度来てみたかったん
です。

武田さん(以下、T):統合情報システムRAINBOWが提供している
のは、研究支援機能、教育支援機能、マルチメディア機能、運用管
理システム機能、コミュニケーション・システムの5つです。これ
らの施設の各部屋に置かれているコンピュータを合計すると、800
台以上になります。これは、私たち総合情報センターが管理してい
る教育用およびオープン利用のコンピュータの数で、研究室用のコ
ンピュータ、先生用や事務用のコンピュータは含んでいません。

Y:質問なんですけど、たとえばどこかの学科の研究室がワークス
テーションを買った場合は、研究室が独自にこのネットワークに接
続するわけですね。

T:はい。勝手につないでもらってOKです。ただし、マシンのアド
レス [注3] だけは、私たち(統合情報センター)の方で発行しま
す。

Y:なるほど。もう1つ質問なんですけど、これだけ広いキャンパ
スにこれだけ多くのワークステーションが置かれていて、学生が自
由に利用しているときのサポートはどうされているのですか?

T:「RAINBOW COUNTER」というのですが、学生の相談窓口を主な
施設に設けており、「RAINBOW STAFF」と呼ばれる相談員(コンサ
ルタント)が常時、ユーザーの質問やエラーの処理に対応していま
す。相談員の大部分は大学院生のスタッフです。


*負荷を分散させるシステム作りのために

Y:これだけ立派なシステムを作られるのには、長い準備を要した
でしょうね。

T:構想から完成まで3年ぐらいですね。新しいキャンパスの情報
基盤の整備に、ある程度のお金が使えることになり、このようなシ
ステムが作れました。

Y:システム作りで一番工夫された点はどこですか?

T:負荷がかからないようなネットワークを作ったことです。FDDI
のリング [注4] は1つではなく、4部屋ある情報処理演算室だけ
のリングとか、スーパー・コンピュータ用のリングなどのように、
リングを複数使うなどの工夫をしています。

 授業では、いっせいにみんなが同じコマンドを実行しますから、
同時に負荷がかかる特殊な環境なのです。

Y:びわこ・くさつキャンパスと衣笠キャンパスは、専用回線 [注5]
で結ばれているのですね。

T:はい。1.5Mbps [注6] の高速デジタル専用線(NTT) [注7] 
で接続されています。この専用線は、RAINBOWシステム用以外にも、
内線電話やメインフレーム関係の事務処理システムの情報通信用に
も使われていますから、RAIN BOW用に使えるのは512Kbps程度です。

Y:外部のネットワークとの接続はどうなっていますか。

T:外部とも、1.5Mbpsの高速デジタル専用線(NTT)で結ばれて
います。RAINBOWは、京都大学大型計算機センター [注8] にIPで
接続されています。また、京都大学からWIDEにも接続されているた
め、基幹のネットワークに対して近いところに位置しています。


*「便利だけど危ない」UNIXの世界

Y:セキュリティ [注9] の問題についても、いろいろと考えて運
用されているのでしょうね。

T:外との関係では、ゲートウェイのマシン [注10] を置いて内部
を守っています。ユーザーにとっては、いったんゲートウェイに入っ
てから外部と接続しなければいけないのは不便でしょうけど。セキュ
リティの確保はスキルが必要になります。外に対しては情報を開放
していきたいし、自分のところは守りたいというジレンマが常にあ
ります。

 従来のメインフレームでしたら「入れさせないぞ」でおしまいな
のですが、インターネットの考え方は違うじゃないですか。わりと
自由にデータを見せてもらったり、見せてあげたり。それをしなが
ら、かつ、セキュリティを守ることが最大の課題ですね。

 UNIXというのは、もともとオープンな思想で作られていますよね。
誰のファイルでもデフォルトの設定では自由に読めます。ファイル
の属性(「まめちしき」参照)として、すべての人にr(Read:読
み出し可能)の権限を与えていますから。その認識のないユーザー
にとっては、裸で外を歩いているようなものなんですよ。他人には
w(Write:書き込み可能)の権限はありませんから、勝手に消さ
れることはありませんが、個人的な内容の書かれたファイルでも、
自分で属性を変えるなどの設定をしておかなければ、自由に読まれ
たりコピーされたりする可能性があるでしょう。

 これだけUNIXが大衆化してくると、そのあたりの難しさがありま
すね。一定のスキルがあって自覚がある人だけがUNIXを使う時代は、
終わりつつあるといえるでしょう。

 たとえば、「あなたのホーム・ディレクトリでは、ここと、ここ
にはきちんと鍵がかかって(他人からは読めないようになって)ま
すが、ここはオープンですよ。他人から読まれたりコピーされたり
してもいいですね」という問いかけを、OSの方が積極的にユーザー
に知らせていくような何かがないと、気がつかないうちに漏れてたっ
てことになってしまいます。

 たとえば、デフォルトの状態では、先生が自分のディレクトリに
作ったテスト問題のファイルも、生徒から読まれてしまう危険も潜
んでいるのです。先生がどれだけ自覚をもってファイルを管理して
いるかに任されているのです。

Y:「○○先生が○月○日から○日ごろに作ったファイルで、内容
に○というキーワードが含まれているファイルを探せ!」という命
令をUNIXに与えると、探してくれそう。「ls -l」 [注11] と grep
[注12] とfind [注13] コマンドをうまく組み合わせればなんとか
なるような。:-)

T:その行為は、電子的にテスト問題を職員室に盗みにいっている
ようなものなんですよ。ですから、先生の側が責任を持ってテスト
問題の置かれた引き出しには鍵をかけておかないといけません。

 セキュリティについては、UNIXのユーザー側一人一人の能力(ス
キル)と責任が問われる時代だと思います。まずは「便利だけど危
ない」という自覚を持つことが大切ですね。

Y:うーん、気をつけないといけないですねえ。心配になってきま
した。さっそく、自分のファイルの属性や自分のホーム・ディレク
トリの下にあるサブディレクトリの属性を、きちんとチェックして
みようと思います。


*UNIXのユーザーは自分で自分のファイルを守らなければならない

T:UNIXを昔から使っている人は、大切なファイルをハードディス
クに置きっぱなしにしていても平気でしょう。あれも危険ですね。
ここでは、個人が自分のファイルをフロッピーにバックアップする
ように指導しています。私は、ファイルの保存にはMO [注14] を使っ
ています。仕事上のメールが1日に40通程度届きますから、フロッ
ピーだと追い付かないんですよ。ファイルを保存したMOは持ち歩い
ています。システムから切り離して自分で持っておくのが一番安全
です。

Y:うーん、どうしましょう。私はディスクに頼りきっていて、自
分ではあまりバックアップもとっていないのです。またまた、心配
になってきました。:-)

T:それから、パスワード [注15] の設定も定期的に変えるように
指導しています。危ないパスワードというのは、だいたい次の3つ
です。最初にこちらから与えたパスワードを変更していない場合、
短すぎる場合、そして人の名前を使っている場合です。Crack [注16] 
とよばれるパスワードのセキュリティ向上のためのツールを利用
すると、あらかじめ登録されたパターンや単語と同じパスワードを
使っている人を見つけ出してくれます。定期的にそのツールでチェッ
クして、それにひっかかったパスワードの利用者には、自動的にメー
ルを出して [注意するように設定しています。

 最近の学生には、「銀行のキャッシュ・カードの暗唱番号には自
分の誕生日など、他人から分かるような数字を使ってはいけない」
という概念がありますから、パスワードの概念も指導しやすいです
ね。

Y:うーん、困りました。私のパスワード、先ほどいわれた「危な
いパスワード」に近いんです。なんだかすごく心配になってきまし
た。


*RAINBOWを利用して「よい教育・研究文化」を作っていきたい

Y:このシステムを構築されるために、アメリカの大学のシステム
もいくつか見学されたそうですが、どこの大学が印象深かったです
か。

T:州立ミシガン大学(Ann Arbor、Michigan州)です。アメリカ
の大学というのは、町の中に溶け込んだセンターとしての役割を持っ
ています。門がなくて、町をドライブしていると自然に大学の中に
入って行けるところが日本の大学とは違います。

 ここの見学をして感動した点がありました。それは、システムに
そんなにお金を使っているわけではないのに、いろいろな面で工夫
 [注17] されていた点です。

 日本では、「まず設備投資が大切」と考えられて「設備がないか
らできない」とあきらめてしまう傾向がありますが、そんなことを
いっていると「いくらあっても足りない」になってしまうでしょう。

Y:「ワークステーションを使った環境」というのは、工夫して工
夫して作り上げるというアメリカの考え方だと思います。古くなっ
てメモリやディスクが不足しているワークステーションでも、クラ
イアント [注18] としてなら使えるからと使い続けられるでしょう。

 では、最後にひと言、まとめの言葉をお願いします。

T:このRAINBOWを利用して、よい教育、よい研究文化を作ってい
ければと思います。理工学部では1年前から、「専門英語」という
科目を英語のネイティブ・スピーカーの先生によって行っているの
ですが、RAINBOWのユーザーである先生の方から「この授業では、
情報処理演習室で学生にネットワーク環境を使わせながら専門英語
の授業をしたい」という希望が出てきました。

その結果、4月からの授業では、学生の英語力を高めるために、電
子メール、ニュース、WWWを使っていくことになっています。この
例のように、積極的にRAINBOWを利用することで、よりよい教育・
研究文化を作っていけることを願っています。

Y:RAINBOWのますますの発展を祈っています。今日は本当にあり
がとうございました(本インタビューは、立命館大学出身の寺尾洋
子さんのご協力によって実現しました。Thanks!)。



[注1] 草津市

草津市の中心であるJR草津駅は、京都から30分、大阪から1時間で
あるため、京都、大阪のベッドタウンとして栄えている。びわこ・
くさつキャンパスの開学にともない、JR南草津駅が開設された。

[注2]  拡充された理工学部

理工学部は94年4月の新キャンパスへの移転と同時に3学科を新設
し、6学系8学科の体制となった。6学系8学科とは、数学物理系
(数学物理学科)、応用化学系(化学科、生物工学科)、電気電子
系(電気電子工学科)、機械システム系(機械工学科)、建設環境
系(土木工学科、環境システム工学科)、情報系(情報学科)であ
る。

[注3]  マシンのアドレス

IPアドレスのこと。インターネット上で通信を行うために各ワーク
ステーションごとに一意のIPアドレスが決められている。IPアドレ
スは32ビットの数値で表現される。この32ビットを8ビットずつに
区切り(オクテット)、それぞれを10進数に直して「.」で区切っ
て表現する。たとえば、「10000010 00110110 11111110 00000001」
の場合は、「130.54.254.1」となる。


[注4]  FDDIのリング

FDDI(Fiber Distributed Data Interface)は、100Mbpsのリング
型のLANの名称。伝送路には光ファイバーを使う。


[注5]  専用回線

利用者が電気通信事業者から借り受け、専有して使用する回線。対
語は、回線交換。


[注6]  bps

bps(Bit Per Second)とは、情報送受信速度の単位で、1秒間に
送信できるビット数を表す。


[注7]  高速デジタル専用線

高速デジタル回線とは、主として光ファイバ・ケーブルによるデジ
タル回線を使用して、64Kbps以上の高速・大容量のデータ伝送を
行うサービスのことで、その回線が専用線ならば高速デジタル専用
線とよばれる。


[注8]  京都大学大型計算機センター

同センターは、文部省の学術情報センターが、大学を中心とした機
関を接続して運用しているネットワーク「SINET」の、NCA5
(Network Community Area 5:第5地区)の中心に位置している。


[注9] セキュリティ

コンピュータ・システムの安全性、信頼性を確保すること。


[注10] ゲートウェイのマシン

ここでは、外部とのネットワークとのゲートとなるワークステーショ
ンのことを意味している。


[注11]  ls -l

ファイル名(ディレクトリ名も含む)の詳細情報を表示するために
使うUNIXコマンド。詳しくは「まめちしき」参照。


[注12]  grep

大量のファイルの中から、あるキーワード(パターン)を含んでい
るファイルを探すときに使うUNIXコマンド。


[注13]  find

ある名前のファイル(あるいはディレクトリ)がどこにあるのかを
探すのに使うUNIXコマンド。


[注14]  MO

光磁気ディスク(Magneto-Optical Disk)のことで、消去・再読み
書き可能である。磁気薄膜の熱磁気効果および光磁気効果を使って
書き込み、読み出す光メモリ。


[注15]  パスワード

ネットワークなどを利用する際に入力して、正式の利用者であるこ
とをコンピュータ側に伝える文字列。


[注16]  crack

英国在住のAlec D.E. Muffett氏による、パスワードのセキュリティ
向上のためのツール。95年4月現在の最新バージョンは4.1f。


[注17]  工夫

たとえば、比較的安価な「テレビでお絵描きをする子供向けのボー
ド」を、そのビデオ信号とコンピュータ信号を合わせて表示させて
ポインティング・デバイスとして使ったり、ホワイト・ボード代わ
りに使ったりしていた。その他にも、「お金がかからなくて効果的
な手法」が使われており、工夫して工夫してよい教育を提供する環
境を作り出していた。


[注18]  クライアント

クライアント/サーバー方式のクライアントのこと。クライアント/
サーバー方式とは、別々のソフトウェアが連携することで、1つの
アプリケーション・プログラムを効率的に実行する方式。クライア
ントはサーバーに処理を依頼し、サーバーが実行することにより、
クライアントの本来の仕事が実行される。

===================================================================
UNIXまめちしき


ファイルの属性を調べる、変更する

 ファイルの属性とは、そのファイル(ディレクトリも含む)の所
有者や読み書きの許可などの情報のことです。これを調べたり変更
したりするUNIXコマンドは、それぞれ「ls -l」とchmodコマンドで
す。

 では、例を用いながら説明しましょう。まず、私のホーム・ディ
レクトリ/home/yoshidaにあるディレクトリとファイルの属性を調
べてみます。

% ls -l
drwxrwxr-x    2 yoshida    512 Mar 30 17:24 Game
drwx------    4 yoshida    512 Mar 30 17:27 Mail
-rw-rw-r--    1 yoshida   4684 Nov 15  1994 wnn.txt


 行の先頭に「d」が付いているのがディレクトリで、先頭が「-」
のものがファイルです。その次の「rwx」は自分が読み(Read)書
き(Write)実行(eXecute)できることを表しています。そして、
次の「rwx」が自分と同じグループの人が読み/書き/実行できるか
で、最後の「rwx」がその他の人が読み/書き/実行できるかです。

 たとえば、Mailデイレクトリは、自分だけは読み/書き/実行でき
ますが、グループの人や他人はまったくアクセスできないように設
定されていることが分かります。他人から自分のメールを読まれな
いように、このディレクトリには「鍵をかけている」わけです。

 wnn.doc というファイルの属性は「-rw-rw-r--」となっています。
これは、自分は読み書き可能、グループの人も読み書き可能、他人
は読むことだけ可能という状態で、UNIXのデフォルトの状態で作っ
たファイルは、すべてこの属性になっています。すなわち、「自分
が作ったファイルはみんなから読める」がUNIXのファイルのデフォ
ルトの状態なのです。

 そして属性を変更するコマンドがchmodです。たとえば、グルー
プ(group)の人に、Mailディレクトリにcdコマンドで移動できる
権利とそのディレクトリでlsできる権利を与えるなら、

% chmod g+x Mail
% ls -ld Mail
drwx--x---    4 yoshida    512 Mar 30 17:27 Mail

と、実行します。

 他人(others)にも同じ権利を与えるなら、

% chmod o+x Mail
% ls -ld Mail
drwx--x--x    4 yoshida    512 Mar 30 17:27 Mail

と、実行します。

  この状態だと、すべてのユーザーがこの Mail というディレクト
リの中にどのような名前のファイルがあるのかを見ることができ、
それらのファイルがデフォルトの状態の「-rw-rw-r--」であったな
ら、ファイルの内容を自由に読み書きできてしまいます。

 Mail の下には他人には読まれたくないものもあるでしょうから、

% chmod go-x Mail
% ls -ld Mail
drwx------    4 yoshida    512 Mar 30 17:27 Mail

として、元の属性に戻して鍵をかけておきます。

 また、wnn.doc というファイルをグループの人からも他人からも
読み書き禁止にするなら、

% chmod go-rw wnn.txt
% ls -l wnn.txt
-rw-------    1 yoshida   4684 Nov 15  1994 wnn.txt

のように実行します。

  chmod は、自分のファイルを他人から守るために不可欠なコマン
ドです。

  たとえば、yoshida が、別の人のホームディレクトリにあるファ
イルに対して find コマンドや grep コマンドを使ってあるファイ
ルを探そうとした場合も、他人からアクセスできないようしておけ
ば、「Permission denied」というメッセージがでて探せません。

  しかし、アクセスできるディレクトリの下にあるファイルは他人
も探すことができ、そのファイルが他人からも読める属性であれば、
次の実行例のように無断でコピーすることができます。(この例で
は、yoshida が mike さんのディレクトリの下にある mike.c とい
うファイルを探して、mike さんには無断で自分のディレクトリに
コピーしています。mike さんは、Secret というディレクトリは他
人からアクセスできないように設定していますが、Open というディ
レクトリは他人からもアクセスできるようにしています。すなわち、
この例のように無断でコピーされることを認可していると考えてよ
いわけです。)

% cd /home/mike
% who am i
yoshida  ttyp0   Mar 30 18:47
% ls -l
drwxrwxr-x    2 mike       512 Mar 30 18:36 Open
drwx------    2 mike       512 Mar 30 18:33 Secret
% find . -name mike.c -print
find: ./Secret: Permission denied
./Open/mike.c
% cd Open
% ls -l mike.c
-rw-rw-r--    1 mike      4684 Mar 30 18:30 mike.c
% cp mike.c /home/yoshida
% cd ; pwd
/home/yoshida
% ls -l mike.c
-rw-rw-r--    1 yoshida   4684 Jul 21 14:24 mike.c

===================================================================

以上。


(UNIX USER誌連載「よしだともこのルート訪問記」より)
http://www.tomo.gr.jp/root/ に戻る