Transcript ゲノムセンター計算機利用の準備

利用者入門講習会
【ネットワーク、セキュリティ、PC設定について】
利用者入門講習会
ネットワーク、セキュリティ、PC設定
医科学研究所 ITサービス室 津田 倫延
（内線 75795 E-mail：[email protected]）
【目次】
■ 医科研のネットワーク構成
■ セキュリティについて
■ PC設定について
■ ITサービス室について
利用者入門講習会
ネットワーク、セキュリティ、PC設定
※ この講義の資料は、ITサービス室ホームページ
からもダウンロード可能です。
http://157.82.98.20/imswww/Soshiki/it_service/
医科研のネットワーク構成
◆ 医科研内は２つのネットワーク空間で構成されている
1: 東大基幹ネットワーク（UTnet）
（133.11.xxx.xxx、157.82.xxx.xxx）
ゲノムセンター棟を除く全ての建物
2: HGCネットワーク （202.175.144.xxx～202.175.160.xxx）
ゲノムセンター棟、総合研究棟6～8階
◆ ネットワークにより、管理する部署が異なる
1: ITサービス室
2: ゲノムセンターSE室
セキュリティについて
■ CERTについて
■ ネットワーク管理者について
■ ウイルス対策について
CERTについて
◆ CERT = Computer Emergency Response Team
（情報システム緊急対応チーム）
東大では、UT-CERT が全体のセキュリティ管理を行ってい
る。
その下に各部局のCERTが存在し、部局内でのセキュリテ
ィ管理を行っている。
◆ 医科研CERT
「東京大学医科学研究所CERT内規」により定められている
http://157.82.98.20/shonai/kanri/kisokushu/2-21.htm
実働メンバーは、基本的にITサービス室とゲノムセンター
SE室である。
医科研CERTの役割
◆ 医科研CERTの役割
* セキュリティインシデント（外部への攻撃・不審なパケットの放
出・SPAM中継）発生の際、UT-CERTからの連絡窓口となり、ネ
ットワーク管理者に対策を指示する。
* 個別の対策が困難な場合、緊急にその支線部分をLANから
遮断することがある。
* 平時、セキュリティ関連の情報を通知することでユーザーの
注意を喚起する。
情報の提供
● メール
ネットワーク管理者メーリングリスト
● WWW
* UTnetホームページ
http://www.nc.u-tokyo.ac.jp/
* UT-CERTホームページ
http://park.itc.u-tokyo.ac.jp/ut-cert/
* JPCERTホームページ
http://www.jpcert.or.jp/
* ソフトウェアメーカーのホームページ
マイクロソフト、シマンテック、トレンドマイクロ等
ネットワーク管理者について
◆ 研究分野・施設・科・部には少なくとも１人のネットワーク管理
者を置くことになっています。
◆ ネットワーク管理者の仕事は次のようなものです。
* 研究室内でのコンピュータ及び関連機器（特にLANに接続
されているもの）の管理
* セキュリティ対策
* メールアカウント年度末更新等、各種申請の取りまとめ
ネットワーク管理者の仕事
● 研究室内でのコンピュータ及び関連機器の管理
* IPアドレス使用状況の把握（機種・MACアドレス対応表）
※対応表の提出をお願いすることがあります（不定期）。
* 可能な範囲でのトラブルへの対処
● セキュリティ対策
* セキュリティ関連情報（ITサービス室からメール・ホームページを通じて
連絡）のラボ内周知と対策
* セキュリティインシデントへの対処
※ インシデント発生時の連絡経路は下のようになっています。
UT-CERT → ITサービス室・ゲノムSE室 → 管理者
※ インシデント発生の際には、基本的な処置として、直ちにEthernetケ
ーブルを抜いてLANとの接続を遮断して下さい。
ウイルス対策について
◆ウイルス（ワーム）は2種類に大別される
●メール感染型（MyDoom等）
●ネットワーク感染型（Blaster等）
メール感染型ウイルス
●メール感染型
* メールの添付ファイルを開くことで感染する
* セキュリティに欠陥のあるメールソフトでは、本文をプレ
ビューしただけでも感染する
* 感染すると他のアドレス宛てに自身のコピーを送信する
・ アドレス（宛先、送信元）は、感染PC内のアドレス帳や
Webブラウザのテンポラリファイル等から取ってくる
（→全く面識のない相手からウイルスメールが届く）
・ 送信はバックグラウンドで行われるため、PCの送信済
み記録には残らず、ユーザーは感知できない
メール感染型ウイルス
●メール感染型
* 最近は、添付ファイルを開くことを誘発するために、送信者
名や本文に騙りの内容を記述しているものが多い
例：[送信者名]
technical support team、mail administrator 等
→ これらの名称は医科研では用いていません。
例：[本文] ※実際は英語であることが多い
・ あなたのPCにはセキュリティ上問題があります。解決するために、
添付のプログラムを実行して下さい。
・ あなたのメールアカウントはまもなく期限が切れるため、継続手続きが
必要です。詳細は添付ファイルを参照して下さい。
→ こういった通知には原則としてファイルを添付することはありません。
詳細な説明が必要な場合は、ホームページを通じて行います。
ネットワーク感染型ウイルス
●ネットワーク感染型
* OSのプログラム上の欠陥（セキュリティホール）を悪用
して侵入する
* ネットワークに接続しているだけで、Webやメールを使って
いなくても感染する
* ファイアウォールを導入してネットワーク通信を制御する
（パケットフィルタリング）ことで防ぐことができる
ネットワーク感染型ウイルス
●ネットワーク感染型（P2P経由）
* WinnyなどのP2Pファイル共有を経由して感染する
* 感染PC内のファイルを共有ネットワークに流出させる
→官公庁、企業の情報流出が続発し、問題になっている
（2004年頃から）
* 共有ネットワークに情報が流出すると収拾は不可能
（誰のPCにダウンロードされたかわからないので、全てを
削除できない）
* 亜種・変種が多く、ウイルス対策ソフトで検出しきれない
場合もあると言われている
ネットワーク感染型ウイルス
●ネットワーク感染型（P2P経由）
* 研究所内で使用する（重要なデータが入っている）PCでは
ファイル共有ソフトを使用しないのが安全
* 私物のPCを持ち込む場合にも注意が必要
ウイルス対策について
● 最新の情報の入手
● ウイルス対策ソフトの導入
パターンファイル（定義ファイル）は常に最新のものに保つ
★ 市販のウイルス対策ソフトでは、更新に期限（3ヶ月～1年）が設定
されており、延長手続き（有料）を行わないと更新が止まってしまう
● 修正プログラムの適用
MicrosoftUpdate （Windows）、Security Update （Mac OS）
● アカウントの管理
特に、Administrator権限のユーザーにはパスワード（破られに
くいもの）を必ず適用する
ウイルス感染時の処理
◆ 拡散を防ぐのが最重要ですので、まずはケーブルを抜いてLANから分離し
て下さい。
◆ 次にウイルス対策ソフトを用いてウイルス検索を行いますが、LANから分
離する前にパターンファイル（定義ファイル）を更新しておいて下さい。
◆ ウイルス検索だけですと、感染ファイルが完全に削除できなかったり、シス
テムに施された変更が残っていたりすることがあります。
危険度の高いウイルスに関しては、ソフトウェアメーカーのホームページで
専用の駆除・修復ツールが配布されていますのでご利用下さい。
また、手動での修復手順も解説されています。
◆ OSのセキュリティホール経由の感染の場合、同じところから再感染する危
険がありますので、速やかに修正プログラムを適用して下さい。
PCを初期化した場合も同様です。
ウイルス対策ソフトの導入
◆ 情報基盤センターで、トレンドマイクロ社の「ウイルスバスタ
ー」を安価に提供している。
\ 1,000/年 （運営交付金から移算）
医科研での年間申請数： 約400ライセンス
◆ 申請については下記URLに解説されている。
http://www.nc.u-tokyo.ac.jp/security/vb.html
申請書の受付はITサービス室で行っている。 《資料1》
※ 「経理責任者」欄は部局単位ですので、分野長ではなく経理課長の名前に
なります。
※ なるべく研究室内で調整の上、まとめて申請して下さい。
UT-CERTインシデントレポートシステム
◆ 2004年12月から、従来メールで行っていたインシデントの処
理報告をWWW経由で行うことになりました。 《資料2》
処理報告用ホームページ
https://certdb.nc.u-tokyo.ac.jp/cgi-bin/report/login_menu.pl
ログインにはID・パスワードが必要
（UT-CERTからのインシデント発生の連絡メール中に記載）
PC設定について
■ ネットワーク関連の設定
■ メール関連の設定
■ その他のソフトウェア
ネットワーク関連の設定
●設定項目
*
*
*
*
IPアドレス
サブネットマスク
デフォルトゲートウェイ（ルータアドレス）
DNSサーバー（ネームサーバー）
ネットワーク関連の設定
* IPアドレス
ネットワーク上での識別番号
医科研では原則としてグローバルの固定IPアドレス
（1台1台に固有の番号が恒久的に割り当てられる）
・ ITサービス室から研究室ごとにネットワーク管理者に一定数
のIPアドレスをまとめて配布している
・ ネットワーク管理者は配布範囲内から空いているIPアドレス
をユーザーに割り当てる
ネットワーク関連の設定
* サブネットマスク
ほとんどの建物で 255.255.255.0
ただし、次に挙げる建物では 255.255.255.192
・ 診療B棟・C棟、アムジェンホール、
動物センター、クレストホール、合同ラボ棟
・ 総合研究棟の一部
* デフォルトゲートウェイ（ルータアドレス）
外のネットワークと通信するための出入り口のアドレス
建物によって異なる
ネットワーク関連の設定
* DNSサーバー（ネームサーバー）
マシン名とIPアドレスの変換を行うサーバー
（例） www.ims.u-tokyo.ac.jp ⇔ 157.82.98.20
所内で共通
157.82.98.226 ：優先（プライマリ）
157.82.98.227 ：代替（セカンダリ）
ネットワーク関連の設定
●設定手順
* Windows
コントロールパネル
「ネットワークとダイヤルアップ接続」（2000）
「ネットワーク接続」（XP）
「ネットワークと共有センター」 （Vista）
↓
「ローカルエリア接続」のプロパティ
↓
「インターネットプロトコル（TCP/IP）」
「次のIPアドレスを使う」を指定し、アドレスを入力
ネットワーク関連の設定
●設定手順
* Mac OS
コントロールパネル「TCP/IP」（OS 9）
システム環境設定「ネットワーク」（OS X）
↓
経由先・表示 ：内蔵Ethernet
設定方法
：手入力
上記の通り指定し、アドレスを入力
ネットワーク関連の注意事項
◆ IPアドレスの設定の際には、必ず研究室のネットワーク管理
者の指示を仰ぎ、許可されているアドレスを設定して下さい。
間違ったアドレスを指定した結果、他のマシンとアドレスが重複
してしまった場合、本来そのアドレスが割り当てられていた他の
マシンのユーザーがインターネットに接続できなくなってしまうこ
とがあります。
ネットワーク関連の注意事項
◆ 研究室によっては、ファイアウォールを導入してプライベート
アドレスを割り当てているところもあります。その場合は設定が
異なりますので、ネットワーク管理者の指示を仰いで下さい。
◆ ノートPCを別の建物に持ち運んでLANに接続する場合は、設
定をその建物に適したものに設定しなおす必要があります。
医科研メールサーバー
◆ 医科研に所属する方は個人用のメールアドレス
（[email protected]）を取得することができる。
◆ 利用期間は1年間で、毎年年度末に更新手続きを行う必要が
ある。
◆ メールサーバー（mail.ims.u-tokyo.ac.jp）はITサービス室で管
理されている。
メール関連の設定
●設定項目
*
*
*
*
ユーザー名（アカウント名）
メールアドレス
受信用サーバー（POPサーバー）
送信用サーバー（SMTPサーバー）
メール関連の設定
* ユーザー名（アカウント名）
メールアカウント発行時に送付される認定書に記載
* メールアドレス
ユーザー名@ims.u-tokyo.ac.jp
* 受信用サーバー（POPサーバー）
mail.ims.u-tokyo.ac.jp
* 送信用サーバー（SMTPサーバー）
mail.ims.u-tokyo.ac.jp
メール関連の注意事項
◆ 設定項目に「パスワードを保存する」という項目があります
が、万が一PCが盗難された場合にメールを読まれてしまう危険
性があります。またパスワードを忘れる要因にもなりますので、
保存はせずに毎回受信時にパスワードを入力することを推奨し
ます。
◆ 「メッセージのコピーをサーバーに残す」という項目があります
が、残したままの状態で使い続けていると蓄積されたメールがサ
ーバーのディスク容量を圧迫します。必ず一定期間が経ったら
サーバーから削除されるように設定して下さい。
また、バックアップ目的の場合はPCからメディアにコピーを取る
ようにして下さい。
メール関連の注意事項
◆ Windows版Outlook Expressをお使いになる場合は、バージョ
ン6.0 SP1以降をお使い下さい。さらに、MicrosoftUpdateを用い
てセキュリティの欠陥を修復しておいて下さい。また、安全性向
上のため、送受信にはテキスト形式を指定して下さい（メニュー
の「オプション」で設定できます）。
◆ 医科研外からはmail.ims.u-tokyo.ac.jpを用いての送信はでき
ないようになっています。
◆ 添付ファイルの大きさがメガバイト単位になると正常に送信が
できない場合があります。送信前に圧縮・分割などの処置をして
下さい。
その他のソフトウェア
● Telnet（遠隔ログイン）
Windows
：Tera Term
Mac OS 9 ：NCSA Telnet J
Mac OS X ：Terminal （OSに付属）
● FTP（ファイル転送）
Windows
：FFFTP等
Mac OS
：Fetch （OS XはTerminalからも可能）
◆ ソフトの入手先
Vector
http://www.vector.co.jp/
Google
http://www.google.co.jp/ で検索
ITサービス室について
■ アクセス
■ 受付申請事項
■ FAQ
アクセス
●
●
●
●
場所： 1号館2階
内線： 75795
E-mail： [email protected]
URL： http://157.82.98.20/imswww/Soshiki/it_service/
※ 業務内容の区分について
当室ではメール（@ims.u-tokyo.ac.jp）、PC関係、東大基幹ネット
ワーク（UTnet）に関するお問い合わせを承っております。
メール（@hgc.jp）、スパコン、データベース、HGCネットワークに
関しましては、ゲノムセンターSE室（内線： 75620 E-mail：
[email protected]）までお願い致します。
ITサービス室で受け付けている申請事項
● メールアカウント（@ims.u-tokyo.ac.jp）の登録申請
【要・申請書：ITサービス室HPにてダウンロード可】
● IPアドレスの追加申請
● DNSへの登録申請
【要・申請書：ITサービス室HPにてダウンロード可】
● ウイルス対策ソフトの申請（情報基盤センター）
【要・申請書：UTnet HPにてダウンロード可】
● 研究分野ホームページ作成のためのディレクトリ作成申請
よくある質問
【Q】 メールの送受信ができない。
【A】 次の点をご確認下さい。
* WWWブラウザは正常に動作するか
* 同じ部屋の他のマシンではどうか
┏ ネットワーク接続の問題
┗ メールソフトの動作の問題
┏ マシン単体での問題
┗ 部屋全体の問題
よくある質問
● ネットワーク接続の問題
* TCP/IPなどのネットワーク関連の設定の問題
* ハブやケーブルといった機器関連の問題
§ ハブの電源はついているか
→リブートすると解決する場合がある
§ ハブの端子は生きているか
→他の端子に差し替えてみる
→壁の端子に直接つないでみる
§ ケーブルに断線はないか
→他のケーブルに替えてみる
よくある質問
● メールソフトの動作の問題
★エラーメッセージが手がかりになる
* メールソフトの設定の問題
* パスワード入力の問題
※大文字と小文字は区別される
* 巨大な添付ファイル
* サーバー側でロックがかかっている
（数十分たつと回復する）
→受信チェックの間隔の設定
よくある質問
【Q】 パスワードを紛失してしまった。
【A】 パスワードは暗号化されており、管理者にも分からないよう
になっておりますので、なくしてしまわれた場合は新たにパスワ
ードを再発行致します。
お名前・ご所属・ユーザー名・内線番号をお知らせ下さい。
新パスワードを書面にて送付致します。
よくある質問
【Q】 パスワードの変更方法を教えてほしい。
【Q】 メールの転送方法を教えてほしい。
【A】 上記2つの質問に関しては下記のURLに手順を記載してお
りますので、そちらを参照して下さい。
http://157.82.98.20/imswww/Soshiki/it_service/mail/mail.htm
よくある質問
【Q】 医科研外で@ims.u-tokyo.ac.jpのアドレスを用いてメールの
送受信がしたい。
【A】 今年度より、Webメール機能を公開することになりました。
これにより、インターネット接続環境のある場所であれば所外で
もメールの送受信が可能になります。
URL、利用方法、ルール等につきましては、後日ITサービス室
ホームページに掲載しますのでお待ち下さい。
よくある質問
【Q】 迷惑メールが多い。
【A】 サーバー管理者側では、迷惑メールのフィルタリングは明ら
かに不正な送信元と判断されるもののみにしか適用していませ
ん。フィルタリングの強度を上げると迷惑メールは減りますが、本
来受信しなくてはいけない内容のメールを誤って遮断してしまう
危険性があります。
お手数ですが、PC側で削除して下さるようお願い致します。
～ 終 ～