ゲノムセンター計算機利用の準備

利用者入門講習会
【ネットワーク、セキュリティ、PC設定について】
利用者入門講習会
ネットワーク、セキュリティ、PC設定
医科学研究所 ITサービス室 津田 倫延
(内線 75795 E-mail:[email protected])
【目次】
■ 医科研のネットワーク構成
■ セキュリティについて
■ PC設定について
■ ITサービス室について
利用者入門講習会
ネットワーク、セキュリティ、PC設定
※ この講義の資料は、ITサービス室ホームページ
からもダウンロード可能です。
http://www.ims.u-tokyo.ac.jp/imswww/Soshiki/it_service/
医科研のネットワーク構成
◆ 医科研内は2つのネットワーク空間で構成されている
1: 東大基幹ネットワーク(UTnet)
(133.11.xxx.xxx、157.82.xxx.xxx)
ゲノムセンター棟を除く全ての建物
2: HGCネットワーク (202.175.144.xxx~202.175.159.xxx)
ゲノムセンター棟、総合研究棟6~8階
◆ ネットワークにより、管理する部署が異なる
1: ITサービス室
2: ゲノムセンターSE室
医科研のネットワーク構成
セキュリティについて
■ CERTについて
■ ネットワーク管理者について
■ ウイルス対策について
■ その他
CERTについて
◆ CERT = Computer Emergency Response Team
(情報システム緊急対応チーム)
東大では、UT-CERT が全体のセキュリティ管理を行ってい
る。
その下に各部局のCERTが存在し、部局内でのセキュリテ
ィ管理を行っている。
◆ 医科研CERT
「東京大学医科学研究所CERT内規」により定められている
http://157.82.98.20/shonai/kanri/kisokushu/2-21.htm
実働メンバーは、基本的にITサービス室とゲノムセンター
SE室である。
医科研CERTの役割
◆ 医科研CERTの役割
* セキュリティインシデント(外部への攻撃・不審なパケットの放
出・SPAM中継)発生の際、UT-CERTからの連絡窓口となり、ネ
ットワーク管理者に対策を指示する。
* 個別の対策が困難な場合、緊急にその支線部分をLANから
遮断することがある。
* 平時、セキュリティ関連の情報を通知することでユーザーの
注意を喚起する。
情報の提供
● メール
ネットワーク管理者メーリングリスト
● WWW
* UTnetホームページ
http://www.nc.u-tokyo.ac.jp/
* UT-CERTホームページ
http://park.itc.u-tokyo.ac.jp/ut-cert/
* JPCERTホームページ
http://www.jpcert.or.jp/
* ソフトウェアメーカーのホームページ
マイクロソフト、シマンテック、トレンドマイクロ等
ネットワーク管理者について
◆ 研究分野・施設・科・部には少なくとも1人のネットワーク管理
者を置くことになっています。
◆ ネットワーク管理者の仕事は次のようなものです。
* 研究室内でのコンピュータ及び関連機器(特にLANに接続
されているもの)の管理
* セキュリティ対策
* メールアカウント年度末更新等、各種申請の取りまとめ
ネットワーク管理者の仕事
● 研究室内でのコンピュータ及び関連機器の管理
* IPアドレス使用状況の把握(機種・MACアドレス対応表)
※対応表の提出をお願いすることがあります(不定期)。
* 可能な範囲でのトラブルへの対処
● セキュリティ対策
* セキュリティ関連情報(ITサービス室からメール・ホームページを通じて
連絡)の研究室内周知と対策
* セキュリティインシデントへの対処
※ インシデント発生時の連絡経路は下のようになっています。
UT-CERT → ITサービス室・ゲノムSE室 → 管理者
※ インシデント発生の際には、基本的な処置として、直ちにLANケーブ
ルを抜いてLANとの接続を遮断して下さい。
ウイルス対策について
◆ウイルス(ワーム)には次のような種類がある
●メール感染型(MyDoom等)
●ネットワーク感染型(Blaster等)
●Web感染型(Gumblar等) ←近年もっとも多い
●外部記憶メディア感染型(Autorun等)
メール感染型ウイルス
●メール感染型
* メールの添付ファイルを開くことで感染する
* セキュリティに欠陥のあるメールソフトでは、本文をプレ
ビューしただけでも感染する
* 感染すると他のアドレス宛てに自身のコピーを送信する
・ アドレス(宛先、送信元)は、感染PC内のアドレス帳や
Webブラウザのテンポラリファイル等から取ってくる
(→全く面識のない相手からウイルスメールが届く)
・ 送信はバックグラウンドで行われるため、PCの送信済
み記録には残らず、ユーザーは感知できない
メール感染型ウイルス
●メール感染型
* 添付ファイルを開くことを誘発するために、送信者
名や本文に虚偽の内容を記述しているものが多い
例:[送信者名]
technical support team、mail administrator 等
→ これらの名称は医科研では用いていません。
例:[本文] ※実際は英語であることが多い
・ あなたのPCにはセキュリティ上問題があります。解決するために、
添付のプログラムを実行して下さい。
・ あなたのメールアカウントはまもなく期限が切れるため、継続手続きが
必要です。詳細は添付ファイルを参照して下さい。
→ こういった通知には原則としてファイルを添付することはありません。
詳細な説明が必要な場合は、ホームページを通じて行います。
ネットワーク感染型ウイルス
●ネットワーク感染型
* OSのプログラム上の欠陥(セキュリティホール)を悪用
して侵入する
* ネットワークに接続しているだけで、Webやメールを使って
いなくても感染する
* ファイアウォールを導入してネットワーク通信を制御する
(パケットフィルタリング)ことで防ぐことができる
ネットワーク感染型ウイルス
●ネットワーク感染型(P2P経由)
* WinnyなどのP2Pファイル共有を経由して感染する
* 感染PC内のファイルを共有ネットワークに流出させる
→官公庁、企業の情報流出が続発し、問題になっている
(2004年頃から)
* 共有ネットワークに情報が流出すると収拾は不可能
(誰のPCにダウンロードされたかわからないので、全てを
削除できない)
* 亜種・変種が多く、ウイルス対策ソフトで検出しきれない
場合もあると言われている
ウイルス対策について
●P2P通信の監視について
* 平成19年度より、UT-CERTでUTnetを通じたP2P通信を監
視しています。
医科研で検出されたケースについては、P2Pの使用を停止
していただくようお願いしています。
* ファイル共有ソフト以外にも、Windowsメッセンジャー、
Yahooメッセンジャー等のチャットツールはP2P通信を行う
場合がありますので使用しないで下さい。
Web感染型ウイルス
●Web感染型
* Webサイトに置かれた不正プログラムにより、サイトを表示
しただけで感染する
* 正規のサイトが改ざんされ、ウイルスへのリンクが埋め込
まれることがある
外部記憶メディア感染型ウイルス
●外部記憶メディア感染型ウイルス
* USBメモリの普及により増大
* Windowsの場合、「自動実行・再生」機能を悪用し、接続し
ただけで自動的にウイルスが実行されてしまうことがある
ウイルス対策について
● 最新の情報の入手
● ウイルス対策ソフトの導入
パターンファイル(定義ファイル)は常に最新のものに保つ
★ 市販のウイルス対策ソフトでは、更新に期限(3ヶ月~1年)が設定
されており、延長手続き(有料)を行わないと更新が止まってしまう
● 修正プログラムの適用
MicrosoftUpdate (Windows)、Security Update (Mac OS)
● アカウントの管理
特に、Administrator権限のユーザーにはパスワード(破られに
くいもの)を必ず適用する
ウイルス対策について
●Web感染型ウイルスへの対策
* ウイルスへのリンクを弾くための「URLフィルタリング」を
適用する
(最近のウイルス対策ソフトには兼備されている)
* Webサイト表示のための関連ソフトのセキュリティに注意
する
Adobe Flash Player、Adobe Reader等のアップデート
●外部記憶メディア感染型ウイルスへの対策
* 不審なメディアを接続しない
* 自動実行・再生機能をオフにする
ウイルス対策ソフトの導入
◆ 情報基盤センターで、トレンドマイクロ社の
「ウイルスバスター」(Windows版)
「Sophos Anti-Virus」(Win/Mac)
「ESET Smart Security」(Windows版)を安価に提供している。
\ 1,000/年 (運営交付金から移算)
医科研での年間申請数: 約600ライセンス
◆ 申請については下記URLに解説されている。
http://www.nc.u-tokyo.ac.jp/security/vb.html
申請書の受付はITサービス室で行っている。
※ 「経理責任者」欄は部局単位ですので、分野長ではなく経理課長の名前に
なります。なるべく研究室内で調整の上、まとめて申請して下さい。
UT-CERTインシデントレポートシステム
◆ 2004年12月から、従来メールで行っていたインシデントの処
理報告をWWW経由で行うことになりました。
処理報告用ホームページ
https://certdb.nc.u-tokyo.ac.jp/cgi-bin/report/login_menu.pl
ログインにはID・パスワードが必要
(UT-CERTからのインシデント発生の連絡メール中に記載)
その他
ウイルス感染以外にも、情報倫理に反する行為として次のよう
なものがあります。決して行わないようにして下さい。
◆ ライセンス違反
・ソフトウェアの不正コピー、不正インストール
・オンラインジャーナルの不正ダウンロード
◆ 不正な情報発信
・インターネット掲示板、ブログ等への不適切な書き込み
これらは全て管理者側でIPアドレスを記録し、アクセス元のPCを割り出すことが可
能です。ハンドルネームを使っているからといって、完全に匿名というわけではありま
せん。
その他
ウイルス感染以外にも、情報倫理に反する行為として次のよう
なものがあります。決して行わないようにして下さい。
◆ 著作権の侵害
音楽・映像のダウンロードも違法化(2010.1.1~)
PC設定について
■ ネットワーク関連の設定
■ メール関連の設定
ネットワーク関連の設定
●設定項目
*
*
*
*
IPアドレス
サブネットマスク
デフォルトゲートウェイ(ルータアドレス)
DNSサーバー(ネームサーバー)
ネットワーク関連の設定
* IPアドレス
ネットワーク上での識別番号
医科研では原則としてグローバルの固定IPアドレス
(1台1台に固有の番号が恒久的に割り当てられる)
・ ITサービス室から研究室ごとにネットワーク管理者に一定数
のIPアドレスをまとめて配布している
・ ネットワーク管理者は配布範囲内から空いているIPアドレス
をユーザーに割り当てる
ネットワーク関連の設定
* サブネットマスク
ほとんどの建物で 255.255.255.0
ただし、建物によっては
255.255.255.128、255.255.255.192
を用いる場合もある
* デフォルトゲートウェイ(ルータアドレス)
外のネットワークと通信するための出入り口のアドレス
建物によって異なる
ネットワーク関連の設定
* DNSサーバー(ネームサーバー)
マシン名とIPアドレスの変換を行うサーバー
(例) www.ims.u-tokyo.ac.jp ⇔ 157.82.98.20
医科研では
133.11.205.20 :優先(プライマリ)
133.11.225.55 :代替(セカンダリ)
※情報基盤センターDNSホスティングサービスに移行しました
ネットワーク関連の注意事項
◆ IPアドレスの設定の際には、必ず研究室のネットワーク管理
者の指示を仰ぎ、許可されているアドレスを設定して下さい。
間違ったアドレスを指定した結果、他のマシンとアドレスが重複
してしまった場合、本来そのアドレスが割り当てられていた他の
マシンのユーザーがインターネットに接続できなくなってしまうこ
とがあります。
ネットワーク関連の注意事項
◆ 研究室によっては、ファイアウォールを導入してプライベート
アドレスを割り当てているところもあります。その場合は設定が
異なりますので、ネットワーク管理者の指示を仰いで下さい。
◆ ノートPCを別の建物に持ち運んでLANに接続する場合は、設
定をその建物に適したものに設定しなおす必要があります。
医科研のメールについて
◆ 医科研に所属する方は個人用のメールアドレス
([email protected])を取得することができる。
◆ 利用期間は1年間で、毎年年度末に更新手続きを行う必要が
ある。
◆ 2009年1月から情報基盤センターのメールホスティングサービ
スに移行した。
メール関連の設定
●設定項目
*
*
*
*
ID(ユーザー名、アカウント名)
メールアドレス
受信用サーバー(POPサーバー)
送信用サーバー(SMTPサーバー)
メール関連の設定
* ID(ユーザー名、アカウント名)
メールアカウント発行時に送付される認定書に記載
[email protected]
IDには@以降も全て含まれる(メールアドレスと同じ)
* 受信用サーバー(POPサーバー)
pop-d.ecc.u-tokyo.ac.jp、 SSLを使用する
* 送信用サーバー(SMTPサーバー)
sbms-d.ecc.u-tokyo.ac.jp、
SSLを使用する、送信時の認証を行う
メール関連の設定
* 所外でのメール送受信
Webメールで行う
https://ms.ecc.u-tokyo.ac.jp/
※既読メールの削除はユーザーが行う必要がある
(削除しないままWebメールを使い続けるとメールボックス
の容量オーバーで受信できなくなります)
* 転送、パスワード変更、受信拒否等
Webメールの「オプション」から設定できる
メール関連の注意事項
◆ 設定項目に「パスワードを保存する」という項目があります
が、万が一PCが盗難された場合にメールを読まれてしまう危険
性があります。またパスワードを忘れる要因にもなりますので、
保存はせずに毎回受信時にパスワードを入力することを推奨し
ます。
◆ 「メッセージのコピーをサーバーに残す」という項目があります
が、残したままの状態で使い続けていると蓄積されたメールがサ
ーバーのディスク容量を圧迫します。必ず一定期間が経ったら
サーバーから削除されるように設定して下さい。
また、バックアップ目的の場合はPCからメディアにコピーを取る
ようにして下さい。
メール関連の注意事項
◆ 安全性向上のため、送受信にはテキスト形式を推奨します(
メニューの「オプション」で設定できます)。
◆ 添付ファイルの大きさがメガバイト単位になると正常に送信が
できない場合があります。送信前に圧縮・分割などの処置をして
下さい。
ITサービス室について
■ アクセス
■ 受付申請事項
■ FAQ
アクセス
●
●
●
●
場所: 1号館1階
内線: 75795
E-mail: [email protected]
URL: http://www.ims.u-tokyo.ac.jp/imswww/Soshiki/it_service/
※ 業務内容の区分について
当室ではメール(@ims.u-tokyo.ac.jp)、PC関係、東大基幹ネット
ワーク(UTnet)に関するお問い合わせを承っております。
メール(@hgc.jp)、スパコン、データベース、HGCネットワークに
関しましては、ゲノムセンターSE室(内線: 75620 E-mail:
[email protected])までお願い致します。
ITサービス室で受け付けている申請事項
● メールアカウント(@ims.u-tokyo.ac.jp)の登録申請
【要・申請書:ITサービス室HPにてダウンロード可】
● IPアドレスの追加申請
● DNSへの登録申請
【要・申請書:ITサービス室HPにてダウンロード可】
● ウイルス対策ソフトの申請(情報基盤センター)
【要・申請書:UTnet HPにてダウンロード可】
● 研究分野ホームページ作成のためのディレクトリ作成申請
よくある質問
【Q】 メールの送受信ができない。
【A】 次の点をご確認下さい。
* WWWブラウザは正常に動作するか
* 同じ部屋の他のマシンではどうか
┏ ネットワーク接続の問題
┗ メールソフトの動作の問題
┏ マシン単体での問題
┗ 部屋全体の問題
よくある質問
● ネットワーク接続の問題
* TCP/IPなどのネットワーク関連の設定の問題
* ハブやケーブルといった機器関連の問題
§ ハブのポートは正常に動いているか
→リブートすると解決する場合がある
→他のポートに差し替えてみる
→壁のポートに直接つないでみる
§ ケーブルに断線はないか
→他のケーブルに替えてみる
よくある質問
● メールソフトの動作の問題
★エラーメッセージが手がかりになる
* メールソフトの設定の問題
* パスワード入力の問題
※大文字と小文字は区別される
* 巨大な添付ファイル
よくある質問
【Q】 パスワードを紛失してしまった。
【A】 パスワードは暗号化されており、管理者にも分からないよう
になっておりますので、なくしてしまわれた場合は新たにパスワ
ードを再発行致します。
お名前・ご所属・ユーザー名・内線番号をお知らせ下さい。
新パスワードを書面にて送付致します。
よくある質問
【Q】 医科研のメールについて、自分を送信者としたウイルスメー
ルや迷惑メールが届くことがある。
【A】 ウイルスメール、迷惑メールは送信者を詐称して送られる場
合があります。詐称に用いられるアドレスは、ランダムに生成さ
れる場合や、収集データから取得される場合があります。後者に
関しては、迷惑メールにおいて文中に配信停止のための返信先
が記述されている場合がありますが、これに返信してしまうと自
分のアドレスがデータとして収集されてしまいます。返信はしない
ようにして下さい。
~ 終 ~