利用者入門講習会【ネットワーク、セキュリティ、PC設定について】利用者入門講習会ネットワーク、セキュリティ、PC設定医科学研究所 ITサービス室津田倫延（内線 75795 E-mail：[email protected]）【目次】 ■ 医科研のネットワーク構成 ■ セキュリティについて ■ PC設定について ■ ITサービス室について利用者入門講習会ネットワーク、セキュリティ、PC設定 ※ この講義の資料は、ITサービス室ホームページからもダウンロード可能です。 http://www.ims.u-tokyo.ac.jp/imswww/Soshiki/it_service/ 医科研のネットワーク構成 ◆ 医科研内は２つのネットワーク空間で構成されている 1: 東大基幹ネットワーク（UTnet）（133.11.xxx.xxx、157.82.xxx.xxx）ゲノムセンター棟を除く全ての建物 2: HGCネットワーク（202.175.144.xxx～202.175.159.xxx）ゲノムセンター棟、総合研究棟6～8階 ◆ ネットワークにより、管理する部署が異なる 1: ITサービス室 2: ゲノムセンターSE室医科研のネットワーク構成セキュリティについて ■ CERTについて ■ ネットワーク管理者について ■ ウイルス対策について ■ その他 CERTについて ◆ CERT = Computer Emergency Response Team （情報システム緊急対応チーム）東大では、UT-CERT が全体のセキュリティ管理を行っている。その下に各部局のCERTが存在し、部局内でのセキュリティ管理を行っている。 ◆ 医科研CERT 「東京大学医科学研究所CERT内規」により定められている http://157.82.98.20/shonai/kanri/kisokushu/2-21.htm 実働メンバーは、基本的にITサービス室とゲノムセンター SE室である。医科研CERTの役割 ◆ 医科研CERTの役割 * セキュリティインシデント（外部への攻撃・不審なパケットの放出・SPAM中継）発生の際、UT-CERTからの連絡窓口となり、ネットワーク管理者に対策を指示する。 * 個別の対策が困難な場合、緊急にその支線部分をLANから遮断することがある。 * 平時、セキュリティ関連の情報を通知することでユーザーの注意を喚起する。情報の提供 ● メールネットワーク管理者メーリングリスト ● WWW * UTnetホームページ http://www.nc.u-tokyo.ac.jp/ * UT-CERTホームページ http://park.itc.u-tokyo.ac.jp/ut-cert/ * JPCERTホームページ http://www.jpcert.or.jp/ * ソフトウェアメーカーのホームページマイクロソフト、シマンテック、トレンドマイクロ等ネットワーク管理者について ◆ 研究分野・施設・科・部には少なくとも１人のネットワーク管理者を置くことになっています。 ◆ ネットワーク管理者の仕事は次のようなものです。 * 研究室内でのコンピュータ及び関連機器（特にLANに接続されているもの）の管理 * セキュリティ対策 * メールアカウント年度末更新等、各種申請の取りまとめネットワーク管理者の仕事 ● 研究室内でのコンピュータ及び関連機器の管理 * IPアドレス使用状況の把握（機種・MACアドレス対応表） ※対応表の提出をお願いすることがあります（不定期）。 * 可能な範囲でのトラブルへの対処 ● セキュリティ対策 * セキュリティ関連情報（ITサービス室からメール・ホームページを通じて連絡）の研究室内周知と対策 * セキュリティインシデントへの対処 ※ インシデント発生時の連絡経路は下のようになっています。 UT-CERT → ITサービス室・ゲノムSE室 → 管理者 ※ インシデント発生の際には、基本的な処置として、直ちにLANケーブルを抜いてLANとの接続を遮断して下さい。ウイルス対策について ◆ウイルス（ワーム）には次のような種類がある ●メール感染型（MyDoom等） ●ネットワーク感染型（Blaster等） ●Web感染型（Gumblar等） ←近年もっとも多い ●外部記憶メディア感染型（Autorun等）メール感染型ウイルス ●メール感染型 * メールの添付ファイルを開くことで感染する * セキュリティに欠陥のあるメールソフトでは、本文をプレビューしただけでも感染する * 感染すると他のアドレス宛てに自身のコピーを送信する・アドレス（宛先、送信元）は、感染PC内のアドレス帳や Webブラウザのテンポラリファイル等から取ってくる（→全く面識のない相手からウイルスメールが届く）・送信はバックグラウンドで行われるため、PCの送信済み記録には残らず、ユーザーは感知できないメール感染型ウイルス ●メール感染型 * 添付ファイルを開くことを誘発するために、送信者名や本文に虚偽の内容を記述しているものが多い例：[送信者名] technical support team、mail administrator 等 → これらの名称は医科研では用いていません。例：[本文] ※実際は英語であることが多い・あなたのPCにはセキュリティ上問題があります。解決するために、添付のプログラムを実行して下さい。・あなたのメールアカウントはまもなく期限が切れるため、継続手続きが必要です。詳細は添付ファイルを参照して下さい。 → こういった通知には原則としてファイルを添付することはありません。詳細な説明が必要な場合は、ホームページを通じて行います。ネットワーク感染型ウイルス ●ネットワーク感染型 * OSのプログラム上の欠陥（セキュリティホール）を悪用して侵入する * ネットワークに接続しているだけで、Webやメールを使っていなくても感染する * ファイアウォールを導入してネットワーク通信を制御する（パケットフィルタリング）ことで防ぐことができるネットワーク感染型ウイルス ●ネットワーク感染型（P2P経由） * WinnyなどのP2Pファイル共有を経由して感染する * 感染PC内のファイルを共有ネットワークに流出させる →官公庁、企業の情報流出が続発し、問題になっている（2004年頃から） * 共有ネットワークに情報が流出すると収拾は不可能（誰のPCにダウンロードされたかわからないので、全てを削除できない） * 亜種・変種が多く、ウイルス対策ソフトで検出しきれない場合もあると言われているウイルス対策について ●P2P通信の監視について * 平成19年度より、UT-CERTでUTnetを通じたP2P通信を監視しています。医科研で検出されたケースについては、P2Pの使用を停止していただくようお願いしています。 * ファイル共有ソフト以外にも、Windowsメッセンジャー、 Yahooメッセンジャー等のチャットツールはP2P通信を行う場合がありますので使用しないで下さい。 Web感染型ウイルス ●Web感染型 * Webサイトに置かれた不正プログラムにより、サイトを表示しただけで感染する * 正規のサイトが改ざんされ、ウイルスへのリンクが埋め込まれることがある外部記憶メディア感染型ウイルス ●外部記憶メディア感染型ウイルス * USBメモリの普及により増大 * Windowsの場合、「自動実行・再生」機能を悪用し、接続しただけで自動的にウイルスが実行されてしまうことがあるウイルス対策について ● 最新の情報の入手 ● ウイルス対策ソフトの導入パターンファイル（定義ファイル）は常に最新のものに保つ ★ 市販のウイルス対策ソフトでは、更新に期限（3ヶ月～1年）が設定されており、延長手続き（有料）を行わないと更新が止まってしまう ● 修正プログラムの適用 MicrosoftUpdate （Windows）、Security Update （Mac OS） ● アカウントの管理特に、Administrator権限のユーザーにはパスワード（破られにくいもの）を必ず適用するウイルス対策について ●Web感染型ウイルスへの対策 * ウイルスへのリンクを弾くための「URLフィルタリング」を適用する（最近のウイルス対策ソフトには兼備されている） * Webサイト表示のための関連ソフトのセキュリティに注意する Adobe Flash Player、Adobe Reader等のアップデート ●外部記憶メディア感染型ウイルスへの対策 * 不審なメディアを接続しない * 自動実行・再生機能をオフにするウイルス対策ソフトの導入 ◆ 情報基盤センターで、トレンドマイクロ社の「ウイルスバスター」（Windows版）「Sophos Anti-Virus」（Win/Mac）「ESET Smart Security」（Windows版）を安価に提供している。 \ 1,000/年（運営交付金から移算）医科研での年間申請数：約600ライセンス ◆ 申請については下記URLに解説されている。 http://www.nc.u-tokyo.ac.jp/security/vb.html 申請書の受付はITサービス室で行っている。 ※ 「経理責任者」欄は部局単位ですので、分野長ではなく経理課長の名前になります。なるべく研究室内で調整の上、まとめて申請して下さい。 UT-CERTインシデントレポートシステム ◆ 2004年12月から、従来メールで行っていたインシデントの処理報告をWWW経由で行うことになりました。処理報告用ホームページ https://certdb.nc.u-tokyo.ac.jp/cgi-bin/report/login_menu.pl ログインにはID・パスワードが必要（UT-CERTからのインシデント発生の連絡メール中に記載）その他ウイルス感染以外にも、情報倫理に反する行為として次のようなものがあります。決して行わないようにして下さい。 ◆ ライセンス違反・ソフトウェアの不正コピー、不正インストール・オンラインジャーナルの不正ダウンロード ◆ 不正な情報発信・インターネット掲示板、ブログ等への不適切な書き込みこれらは全て管理者側でIPアドレスを記録し、アクセス元のPCを割り出すことが可能です。ハンドルネームを使っているからといって、完全に匿名というわけではありません。その他ウイルス感染以外にも、情報倫理に反する行為として次のようなものがあります。決して行わないようにして下さい。 ◆ 著作権の侵害音楽・映像のダウンロードも違法化（2010.1.1～） PC設定について ■ ネットワーク関連の設定 ■ メール関連の設定ネットワーク関連の設定 ●設定項目 * * * * IPアドレスサブネットマスクデフォルトゲートウェイ（ルータアドレス） DNSサーバー（ネームサーバー）ネットワーク関連の設定 * IPアドレスネットワーク上での識別番号医科研では原則としてグローバルの固定IPアドレス（1台1台に固有の番号が恒久的に割り当てられる）・ ITサービス室から研究室ごとにネットワーク管理者に一定数のIPアドレスをまとめて配布している・ネットワーク管理者は配布範囲内から空いているIPアドレスをユーザーに割り当てるネットワーク関連の設定 * サブネットマスクほとんどの建物で 255.255.255.0 ただし、建物によっては 255.255.255.128、255.255.255.192 を用いる場合もある * デフォルトゲートウェイ（ルータアドレス）外のネットワークと通信するための出入り口のアドレス建物によって異なるネットワーク関連の設定 * DNSサーバー（ネームサーバー）マシン名とIPアドレスの変換を行うサーバー（例） www.ims.u-tokyo.ac.jp ⇔ 157.82.98.20 医科研では 133.11.205.20 ：優先（プライマリ） 133.11.225.55 ：代替（セカンダリ） ※情報基盤センターDNSホスティングサービスに移行しましたネットワーク関連の注意事項 ◆ IPアドレスの設定の際には、必ず研究室のネットワーク管理者の指示を仰ぎ、許可されているアドレスを設定して下さい。間違ったアドレスを指定した結果、他のマシンとアドレスが重複してしまった場合、本来そのアドレスが割り当てられていた他のマシンのユーザーがインターネットに接続できなくなってしまうことがあります。ネットワーク関連の注意事項 ◆ 研究室によっては、ファイアウォールを導入してプライベートアドレスを割り当てているところもあります。その場合は設定が異なりますので、ネットワーク管理者の指示を仰いで下さい。 ◆ ノートPCを別の建物に持ち運んでLANに接続する場合は、設定をその建物に適したものに設定しなおす必要があります。医科研のメールについて ◆ 医科研に所属する方は個人用のメールアドレス（[email protected]）を取得することができる。 ◆ 利用期間は1年間で、毎年年度末に更新手続きを行う必要がある。 ◆ 2009年1月から情報基盤センターのメールホスティングサービスに移行した。メール関連の設定 ●設定項目 * * * * ID（ユーザー名、アカウント名）メールアドレス受信用サーバー（POPサーバー）送信用サーバー（SMTPサーバー）メール関連の設定 * ID（ユーザー名、アカウント名）メールアカウント発行時に送付される認定書に記載 [email protected] IDには@以降も全て含まれる（メールアドレスと同じ） * 受信用サーバー（POPサーバー） pop-d.ecc.u-tokyo.ac.jp、 SSLを使用する * 送信用サーバー（SMTPサーバー） sbms-d.ecc.u-tokyo.ac.jp、 SSLを使用する、送信時の認証を行うメール関連の設定 * 所外でのメール送受信 Webメールで行う https://ms.ecc.u-tokyo.ac.jp/ ※既読メールの削除はユーザーが行う必要がある（削除しないままWebメールを使い続けるとメールボックスの容量オーバーで受信できなくなります） * 転送、パスワード変更、受信拒否等 Webメールの「オプション」から設定できるメール関連の注意事項 ◆ 設定項目に「パスワードを保存する」という項目がありますが、万が一PCが盗難された場合にメールを読まれてしまう危険性があります。またパスワードを忘れる要因にもなりますので、保存はせずに毎回受信時にパスワードを入力することを推奨します。 ◆ 「メッセージのコピーをサーバーに残す」という項目がありますが、残したままの状態で使い続けていると蓄積されたメールがサーバーのディスク容量を圧迫します。必ず一定期間が経ったらサーバーから削除されるように設定して下さい。また、バックアップ目的の場合はPCからメディアにコピーを取るようにして下さい。メール関連の注意事項 ◆ 安全性向上のため、送受信にはテキスト形式を推奨します（メニューの「オプション」で設定できます）。 ◆ 添付ファイルの大きさがメガバイト単位になると正常に送信ができない場合があります。送信前に圧縮・分割などの処置をして下さい。 ITサービス室について ■ アクセス ■ 受付申請事項 ■ FAQ アクセス ● ● ● ● 場所： 1号館1階内線： 75795 E-mail： [email protected] URL： http://www.ims.u-tokyo.ac.jp/imswww/Soshiki/it_service/ ※ 業務内容の区分について当室ではメール（@ims.u-tokyo.ac.jp）、PC関係、東大基幹ネットワーク（UTnet）に関するお問い合わせを承っております。メール（@hgc.jp）、スパコン、データベース、HGCネットワークに関しましては、ゲノムセンターSE室（内線： 75620 E-mail： [email protected]）までお願い致します。 ITサービス室で受け付けている申請事項 ● メールアカウント（@ims.u-tokyo.ac.jp）の登録申請【要・申請書：ITサービス室HPにてダウンロード可】 ● IPアドレスの追加申請 ● DNSへの登録申請【要・申請書：ITサービス室HPにてダウンロード可】 ● ウイルス対策ソフトの申請（情報基盤センター）【要・申請書：UTnet HPにてダウンロード可】 ● 研究分野ホームページ作成のためのディレクトリ作成申請よくある質問【Q】メールの送受信ができない。【A】次の点をご確認下さい。 * WWWブラウザは正常に動作するか * 同じ部屋の他のマシンではどうか ┏ ネットワーク接続の問題 ┗ メールソフトの動作の問題 ┏ マシン単体での問題 ┗ 部屋全体の問題よくある質問 ● ネットワーク接続の問題 * TCP/IPなどのネットワーク関連の設定の問題 * ハブやケーブルといった機器関連の問題 § ハブのポートは正常に動いているか →リブートすると解決する場合がある →他のポートに差し替えてみる →壁のポートに直接つないでみる § ケーブルに断線はないか →他のケーブルに替えてみるよくある質問 ● メールソフトの動作の問題 ★エラーメッセージが手がかりになる * メールソフトの設定の問題 * パスワード入力の問題 ※大文字と小文字は区別される * 巨大な添付ファイルよくある質問【Q】パスワードを紛失してしまった。【A】パスワードは暗号化されており、管理者にも分からないようになっておりますので、なくしてしまわれた場合は新たにパスワードを再発行致します。お名前・ご所属・ユーザー名・内線番号をお知らせ下さい。新パスワードを書面にて送付致します。よくある質問【Q】医科研のメールについて、自分を送信者としたウイルスメールや迷惑メールが届くことがある。【A】ウイルスメール、迷惑メールは送信者を詐称して送られる場合があります。詐称に用いられるアドレスは、ランダムに生成される場合や、収集データから取得される場合があります。後者に関しては、迷惑メールにおいて文中に配信停止のための返信先が記述されている場合がありますが、これに返信してしまうと自分のアドレスがデータとして収集されてしまいます。返信はしないようにして下さい。～終～