■ＰＬＣを使ってみた（2006.12.12）
　 ＰＬＣ（PowerLineCommunication:高速電力線通信）アダプターがついに発売された。パナソニックＰＬＣアダプターBL-PA100KTだ。親機と子機がセットで同梱され、それぞれ電源コンセントに接続することで、両者の間がネットワークで接続される。双方にコンピュータやルータをＬＡＮケーブルで接続すればすぐ使い始められる。正式にはＨＤ−ＰＬＣ方式と呼ばれる伝送方式は、５５Ｍｂｐｓの実効値を実現することになっているがその性能をテストした。

左　構成の概略説明　
右　本体とパッケージ　
　 ＜クリックで拡大します＞

(１)減衰試験は良好
　 管理人の家は２階に光ファイバーとルーター、サーバ類があり、１階の居間でノートコンピュータを利用することが多い。早速２階に親機、１階に子機を置き、どの程度の効率でネットワークを実現するのかテストした。

○測定１
　 ２階のサーバに直接接続したコンピュータからサーバにファイルを転送。それにかかった時間を測定。

○測定２
　 ２階のサーバにＰＬＣの親機を接続。
　 １階のコンピュータにＰＬＣ子機を接続。
　 １階のコンピュータから２階のサーバへファイルを転送。
　 それにかかった時間を測定。 　

○測定結果集計
　 測定１，２をそれぞれ１０回実施して集計する。
　 なお時間計測はソフトウェアを利用。

　結果は以下のとおりだ。数値はネットワーク速度Ｍｂｐｓ。
　直接接続した場合、２９Ｍｂｐｓであるのに対し、ＰＬＣを経由すると２２Ｍｂｐｓとなった。

　独自のファイル転送テストでの結果であるから、絶対値よりも、１階と２階の相対差をご参考願いたい。家電製品のノイズが常に行きかう電力線はＰＬＣに少なからず影響を与えるとされるが、管理人の自宅のケースでは大きな減衰は見られない。
　ちなみにこれまで利用していた無線ＬＡＮは、IEEE802.11gを利用できる比較的高速なものだったが、同じ測定方法で半分以上の減衰が見られ、何よりも不安定であった。

(２)ノイズの影響は見られない。
　 テレビやラジオへのノイズの混入は見られない。地上波アナログ、デジタルともサージやピックが入るなどの問題はない。逆に製品が影響を受けやすいとする、コンピュータや電子レンジなどの高周波ノイズも問題ない。ＩＨ製品なども恐らく大丈夫ではないだろうか。無線ＬＡＮの当時は電子レンジを使用するとネットワークが切断したが、ＰＬＣはそんなことがない。コンピュータを見ながら料理ができるのだ。

(３)使い勝手
　 先に書いたとおり非常にコンパクトな筐体である。


左　本体前面。インジケータランプが並ぶ。
右　本体背面。上が電源、下がＬＡＮコネクタ。
　 ＜クリックで拡大します＞

　本体背部にコンピュータやルータ側と接続するＬＡＮコネクタ、ネットワークと本体電源供給を兼ねた電源コネクタが各１。前面に３つのインジケータランプ。上面に初期化などで使うＳＥＴＵＰボタンがある。特筆は電源を内蔵している点である。大きく重たいＡＣアダプタをぶら下げて、本体の小型軽量を謳う製品が多い中、電源ケーブルとＬＡＮケーブルのみで非常にすっきりとレイアウトできる。長時間利用しても発熱はほんのり暖かい程度。夏場でもさほど上昇しなだろう。
　 ただし問題もある。電源にテーブルタップをはさむと通信ができない。壁コンセントにすると嘘のようにつながる。１口の延長ケーブルでの接続は確認したが、添付の電源ケーブルが４５ｃｍと短くしてあることからもあまり延ばさないほうが良いのだろう。
　 コンセント数の少ない一般家庭では非常に厳しい。タコ足はもちろんまずいが、二股プラグを使う程度は許して欲しいものだ。

(４)総合的に見て
　 製品自体は性能も高く非常に良くできている。配線工事のできなかった賃貸住宅などでは２万円で実現するこの環境は朗報である。ただしノイズ問題は、無線帯域への漏れこみや高周波ノイズによる様々な被害の可能性があり、無線業界やアマチュア無線愛好家からの訴訟も起こっている。法務省や総務省の見切り発車と言わざるを得ない。
　 管理人の環境では幸い問題はなかったが、電源を共有する集合住宅などは注意が必要だ。思わぬ近所トラブルにならぬよう、利用時にはぜひ自宅のテレビやラジオのノイズ混入をチェックしてほしい。そして少しでも影響があれば、必ずご近所にもノイズで迷惑をかけていないかを確認してほしい。また親機子機の組み合わせが接続条件とはいえ、どんな敵がいるかしれない。無線ＬＡＮほどではないにしても外部侵入には気をつけたい。

■関連会社との接続（2006.7.3）
　先月は関連会社を１社接続するためネットワーク改造をした。次期導入予定の業務システムを、関連会社と共通化するため、ネットワークの統合の必要を生じたのだ。長年交流のある関連会社とはいえ、お互いに１０年近く独自でネットワークを築いてきたから、いざ接続となると双方のいろいろ違う点を調整しなければならない。国が一緒になるのと同じくらい大変だ。
　下記で、左側の水色エリアがうちの会社で、今度接続したのが中央下のピンクで示す関連会社だ。中央の接続部分は業務サーバを置くデータセンターで、関連会社接続と、共通で利用するインターネット接続の２種類のファイアーウォールを通す。うちからはインターネットと業務システムは接続できる(グリーンのライン)が、関連会社へは接続できない（赤のライン）。関連会社側（紫のライン）もほぼ同様だ。

　ファイアーウォールやレイヤースイッチの技術的な調整は双方のサポート会社がやってくれるのでさほど苦労しなかったが、情報部門の担当としてはポリシーを明確に決めなければならない。

（１）業務サーバとインターネットを共同利用とする。
（２）会社間の直接接続、経由接続は一切しない。
（３）別のバイパス線や冗長回線を持たない。
（４）無線ＬＡＮは禁止。
（５）必要としないアドレスやポートはすべて明示的に遮断。

　どちらかがどちらかのポリシーに合わせないといけないから、相手情報部門の担当者とのコミュニケーションに非常に神経を使った。（３）の冗長回線禁止は、ネットワークの安定継続という意味では逆であるが、情報管理の性格上、データは決まった経路をただひとつ通過することが必要であり、バックアップ回線を無くすという意味ではない。事故停止による冗長回線はもちろん考えてある。
　無事接続を完了したが、妥協しないといけない点もあった。それは（４）。先方は無線ＬＡＮが主流であり、その多さから有線化は一度見送らざるを得なかった。世間では無線ＬＡＮの見方も変わりつつあるが、うちの会社は現行はＮＧである。年内か遅くも春までには廃止をめぐって結論を出したい。
　今後も来年に向けて、関連会社との接続統合を予定する。

■CD起動ルータ（2006.5.22）
　故障するとサーバに次いで困るのがルータ。停止の及ぼす広範な被害はサーバより大きい。業者がサポートしていればこれに従うべきだが、誰も面倒を見てくれない事情がある場合は、交換までの時間つなぎに役立つのがLinux Live-CD Router。
　CD１枚にLINUXサーバとファイアーウォールやＤＮＳ、ＤＨＣＰなどの基本サービスが収録してあるから、ＣＤＲＯＭを持つ３８６系コンピュータさえあればすぐ代替ルータとして利用できる（ただしセグメントを変換する用途にはボードを１枚追加する必要あり）。さらに設定はフロッピーメディアに保存するため、これに利用したコンピュータ自体も一切変更しない。
　ローカルでＤＨＣＰサーバを起てていたが、先日大規模なネットワーク変更をした際に壊してしまった。急遽これを古いコンピュータでブートし、場をしのいだ。
　上記ページからＣＤ１枚分のイメージファイルをダウンロードし、ＣＤ−Ｒに焼くことで製作は完了する。このＣＤでコンピュータを起動すると、ＬＩＮＵＸが起動し、シンプルな起動画面が表示される。デフォルトで用意されたユーザ名root、パスワードcdrouterでログインする。もちろん管理者パスワードは変更できるし、他のユーザも自由に作成できる。

　netconfigと入力し、ホスト名、ドメイン名、ＩＰアドレスのほか、必要に応じてＤＨＣＰのスコープ等を設定する。ＩＰアドレスの初期値は192.168.1.1で設定されている。

　設定した内容は、configsave /dev/fd0　によりフロッピーメディアへ記録される。次回よりフロッピーディスクドライブにメディアを入れたまま起動すれば前回記録した設定で、入れてなければＣＤのデフォルト設定で起動する。
　また別のコンピュータから、そのアドレスをブラウザで開くことでＧＵＩ設定画面が表示される。これについてはうまくすべてが機能しなかったので改良を望む。

　もしもの場合に、このＣＤ１枚と使い古しのＰＣ１台あれば、安心である。もともとはネットワーク環境のテスト用なので、永続利用は薦めないが、２〜３日の暫定利用であれば充分な働きをする。難点は日本語マニュアルが配布されていない上に、日本の利用者の情報もサイト上には数えるほどしかない点だ。配布はフリー版とＷＥＢＭＩＮをセットした商用がある。少し継続してリポートする。

■ＤＨＣＰ専用ルータってないんですか？(2006.5.8)
　社内のネットワーク機器は今、冗長化を求められている。通常、バックアップ機器の設置と機器分散によりこれを実現する。これまでうちの社内のネットワークにおいて、インターネットやＷＡＮの接続ルータは、�@ファイアーウォール�AＤＨＣＰ�Bセグメント変換と、複数の機能を１台で受け持っていたが、ファイヤーウォールを専用機に、セグメント変換をＬ３レイヤースイッチにそれぞれ受け持たせることにより、機器分散を実現した。これまでのようにルータ１台が故障したらすべてが停止するということはなくなった。しかし、ＤＨＣＰだけが残った。ＤＨＣＰぐらいサポート会社に任せずともこちらで作ってやろうということで、別立てのＤＨＣＰを市販ルータで設定したのだが、これがどうにもうまくいかない。
　ＤＨＣＰとは、固定アドレスを持たない端末に、接続の都度アドレスを発行して、接続を許可してやる機能である。セキュリティ上決まったアドレスを持たないというのは良いことではないが、他の事業場や外部へ持ち歩くことの多い携帯型端末(B5サイズのノートPC)は、この方式で社内接続している。
　ＤＨＣＰにより配布されるのは、
　�@ＩＰアドレス（＋サブネットマスク）
　�Aゲートウェイ
　�BＤＮＳ
　ここで、大事なのはゲートウェイである。ルータがすべてを受け持っていた場合は、ゲートウェイは自分(ルータ本体)のアドレスを接続端末に配布すれば良かったが、ＤＨＣＰを配布するルータを別立てにした場合にそのルータは、自分のアドレスをゲートウェイとして配布したのでは、端末はＤＨＣＰルータをＷＡＮやインターネットの接続口と思い込み、それらサービスへの接続ができない。詳しくは下記図をつらつら眺めてほしい。（クリックで拡大します）

　管理人はDHCP機能搭載！と謳う、プラネックスコミュニケーション社のBRL-04URを購入して設定を行なった。しかし、DHCP機能として配布できるゲートウェイアドレスは自分のアドレスのみであった。同社に問い合わせの際に、「では別の上位機器ではできるのですか？」と聞いたところ、「他の機器もできません。そのような機能が必要であれば、DHCPルータでインターネットに接続してください」との回答。法人用途でもある程度行けると信頼していた同社のこの対応には非常にがっかりさせられたが、他社のルータもそれが多いらしい。インターネット、ファイアーウォール、DHCPすべてをルータ一台に集約した用途（家庭用？）しか想定していない。
　企業のネットワーク機器がこれまで以上に重要性を担っているこの時期に、家庭用に毛の生えたような製品しかラインアップせず、そのくせ法人市場に介入する大手メーカーたちには非常に疑問である。 　

　＊何百万円もする超法人級の機種はこの限りではない。
　＊調べた結果、YAMAHAルータは家庭用（１０万円以下）でも全機種対応している。

■ＥＤＩの罪悪(2005.3.13)
　ＥＤＩをご存知だろうか。企業のＯＡ管理をやっている方であれば、導入で少なからずもめた経験があるのではないだろうか。
　ＥＤＩ（Electronic Data Interchange）は電子データ交換と訳され、データのやりとりに発生する無駄をなくしたシステムである。これを企業活動では、定期的継続的に決まった客先と取引する場合に、その都度発注内容を電話やＦＡＸで受け取るのでなく、直接注文主に注文データを送信してもらい、それをそのまま製造、発注データとして処理することに利用する。従来までの注文内容を人が聞いたり書いたりしたものを、あらためてシステムに打ち込んで処理するのと異なり、効率や発注スピードのアップ、発注間違いなどのトラブルを防ぐことができる。
　しかしこのシステムは共通した規格が全くない。管理人の会社の場合は注文をＥＤＩで受ける立場であるが、注文主ごとにＥＤＩシステムが異なる。インターネットを利用するもの、専用線へ接続させるもの、アナログ回線に接続させるもの、ＩＰＳＥＣを利用して接続するものなど、注文主ごとにばらばらである。注文主は「注文が入れてあるから見に来い」と言わんばかりに注文を引き出すための様々な処理を強要する。様々なソフトウェアを導入させられ、ネットワークの設定変更も個別に行なわなければならないから、機器の統一性や安定稼動などあったものではない。
　しかし我々システム管理者側は、導入したくもないこれらシステムを導入しなければならない。導入しないと取引ができないと注文主ばかりか利用者側からも「どうにかしろ」と迫られる。前述のように社内標準でないシステム設定が原因で機器も不安定にもなるから利用者側からクレームも出る。やむなく対応すればオペレータには「わたし忙しいんですけど！」と溜め口を吐かれる。誠に馬鹿らしい。
　 これまで社内ネットワークを守るために、吟味しながら導入してきた機器やネットワークが、注文主たちの勝手なできそこないシステムで台無しである。自分たちの都合で押し付けるのはいい加減にしてほしい。

■高速モバイル(2005.2.27)
　会社に訪れた電話会社ＫＤＤＩのＰＲで、モバイル用携帯のデモ機を一週間貸してもらった。エアエッジ（ウィルコム(旧ＤＤＩポケット)）や、＠Ｆｒee（ＮＴＴドコモ）に対抗すべくａｕのＣＤＭＡ１ＸＷＩＮを利用する。本体はＷ０１Ｋ(京セラ製)で、パソコンのＰＣＭＣＩＡカードスロットに挿入して利用する。



上左　Ｗ０１Ｋ本体　　上右　アンテナは立てなくても十分な感度であった。
下　パケットカウンター　通信料がわかるので使いすぎが防げる。ＫＤＤＩのサイトから無料ダウンロードできる。

　今やモバイルは花盛りで、電車内でもモバイルコンピュータを利用しているのを見かける。同機はエアエッジの３２ＫＢＰＳに対して２．４ＭＢＰＳの通信速度である。３２Ｋも２．４Ｍもあくまで公称値であるが、公称値比較で８０倍の差であれば実際の使用感もかなり期待できる。メールだけでなく様々なコンテンツの閲覧や大量データの送受信も可能となるかもしれない。
　速度以外のメリットはWindows-XPであれば特別なドライバを必要としない点である（ＭＡＣへの対応はエアエッジ同様専用ドライバを必要とする。）。現在社内の携帯型コンピュータにはエアエッジを配布しているが、これを使えるようにするには利用者の機器を一度回収してドライバを導入する作業が発生する。Ｗ０１Ｋはこれに対して新たにドライバをインストールする必要がないから、本体を配布すれば利用者側で若干の接続設定さえすれば使い始められる点が大きい。
　使用感であるが、確かに速い。であるが実際は管理人のオフィスのある都会でも、狸を見かける管理人の住まいでも１００ＫＢＰＳ以下での接続となった。営業からは「実質５００ＫＢＰＳ出ます」との話であったのできっと接続条件があるのだろう。それでもエアエッジの公称値の３倍、据え置きアナログモデムの２倍の速度であるから、メールはもちろん通常のホームページの閲覧であればストレスを感じない。さすがに前述で期待した大量データの送受信は厳しいが。料金は定額のエアエッジに対して、基本料（あるところまでパケット料込み）＋従量制（基本料込み分を超えた部分）のタイプしかない。（料金表参照）パケットカウンター（上図）や利用料超過お知らせメールなどの機能があるが、やはり使いすぎを気にすると、どうしても通常より通信に時間のかかるモバイルとしては魅力がかなり半減する。エアエッジは３２ＫＢＰＳで月およそ６０００円であるから、例えば１万円以下の定額サービスができれば、ドライバ不要のメリットと併せてかなり強力な商品となりうるのだが。

■古い？ウィルスに感染？？(2005.2.6)
　またやってしまった。社内にウィルスの拡大を許してしまった。だが、今回はBLASTER、SASSERといったネットワークをダウンさせる凶悪なものではなく、何を目的とするのかよくわからないものであった。ただしその感染スピードは恐るべきものであった。
　名前は「BKDR_SDBOT.CN」という、バックドアタイプのウィルス。トレンドマイクロによるとすでに２年も前のパターンファイルで対応している古いウィルス。仮に検出が認められても、感染はしないはずなのだが、Ｗｉｎｄｏｗｓ−ＸＰ機のみが次々と感染し、感染は全端末の２０％に達した。ただし不思議なのは、同じＷｉｎｄｏｗｓ−ＸＰであっても感染するものとしないものがある点。同じＨＵＢにつながる隣あった機器であるにもかかわらずだ。ウィルスバスターのパターンファイルはもちろん、ＯＳのWindowsUｐＤａｔｅも最新にしてあったが効果がなかった模様。ＯＳがどんなに脆弱性を埋めても、入っているアプリケーションが穴を開けるという話を聞いたことがある。案外そのセンか？　
　状況は終息した(発信源がいなくなった？)が、ひたすら駆除してまわるだけで、再発防止策も抜本的解決策も見つからないままである。

■端末管理ツール(2004.10.31)
　管理人は悩む。ＯＡ化ＯＡ化でコンピュータを配りまくる現状、忙しさのあまり、端末１台１台の設定管理などしていられない。正直言って事業場に配り終えた機器の設定はまちまちになってしまった。新しいＯＳが出ると職場に適した設定を利用者に提供するために、実験やテストを繰り返した上で設置したいところだが、その時間もないまま見切りで設置し、そうこうしているうちに次のＯＳが出てというのが実情だ。Windows-XPの現役期間が長く落ち着いているため、ぼちぼち満足の行く設定になってきたかなという程度。
　ネットワーク上のコンピュータの設定を知るツールは数あれ、それらの目的は稼動中の機器の状況を知るためであるが、以上の状況から管理人はこの手のツールを使って、すでに設置した機器に残るセキュリティ不具合を、ネットワーク上から追いかけて確認するのに利用する。本家マイクロソフトが提供するMicrosoft Baseline Security Analyzerを紹介する。使い方は調べたいアドレス範囲を指定してスキャンするだけ。セキュリティに問題のある端末を調べることを主題にしており、プロファイル情報はコンピュータ名とIPアドレス等わずかな項目に限られる。特にリモートデスクトップや共有設定等脆弱性に結びつきやすい部分の不安要素をかなり詳細にとらえ、この点は同様の他のツールには見られない。より法人向けと言える。


　起動画面。OSの一機能のような画面で扱いやすい。OS供給元ならでは。
　（開発元はShavlik Technologies）


　「WEBサーバでないコンピュータはIISを停止した方が良い。」との診断結果。

　ちなみに余談であるが、スキャンアドレス範囲をインターネット上のグローバルで指定すると、ファイアーウォールがなかったり、あっても脆弱性の高いサーバは、一部のプロファイルを読み取ることができる。サーバを公開している同志は、自分のサーバを外からスキャンしてみれば危機意識の向上に良いかもしれない。もちろん悪用は絶対いけないが、これで読み取られるようなサーバを平気でネット上に公開するWEB運用者も悪い。

■ルータを交換しました。その後。（2004.７.７）

　 購入したルータは、やはり法人向けだけに設定が難しい。特に管理人の場合、サイトの運用を並行しなければならないため、うっかり侵入を許してＷＥＢサーバを壊すわけにもいかず。こんなことであれば、一般向けの簡単なネットボランチシリーズを購入すれば良かった。でもがんばるのだ。

（１）ルータ機能
　プロバイダのアカウント設定をし、まずはインターネットが接続できるようにする。さらにサーバを公開する場合はＮＡＴを設定し、ルータの取得したグローバルアドレスをＷＥＢサーバに結びつける。

（２）ファイアーウォール
　 悪質な種類のポートスキャンやネットワークウィルスの侵入を、特定のＩＰやポート番号を禁止したり許可したりする。

　ファイアーウォールの設定を記載しておく。
192.168.1.2がやもめサーバのローカルアドレスである。実は下記の設定は管理人が考えて書いたものではなく、同じＹＡＭＡＨＡルータRTA54iの設定を移植したものである。同機はネットボランチシリーズ特有の簡易なＷＥＢ設定画面があり、ここで設定した内容を設定ファイルとして出力してRT-105e に入力してみた。一部互換性のないコマンドを翻訳した結果、そこそこ動いている。まだ若干甘そうだが、シマンテックのセキュリティチェックを行った結果、WEBを公開するポート８０を除いては、塞がっているとの診断を得た。　　　　．．．．．．．．．．．．
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
ip filter 100080 pass * 192.168.1.2 tcp * www
ip filter 100099 pass * * * * *
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.1.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.1.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.1.0/24 icmp * *
ip filter 200031 pass * 192.168.1.0/24 established * *
ip filter 200032 pass * 192.168.1.0/24 tcp * ident
ip filter 200033 pass * 192.168.1.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.1.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.1.0/24 udp domain *
ip filter 200036 pass * 192.168.1.0/24 udp * ntp
ip filter 200037 pass * 192.168.1.0/24 udp ntp *
ip filter 200080 pass * 192.168.1.2 tcp * www
　　　　．．．．．．．．．．．．

■ルータを交換しました。（2004.6.16）

　これまでインターネットの接続にプラネックス社BRL-04Fを利用していたが、ウェブサイトを運用する管理人には少しファイアウォールに不満があった。同機はデフォルトの遮断機能のほかにユーザー側で着送信を禁止できるのが５種類しかない。（もちろんインターネットに接続するだけの用途であればプラネックスのBRLシリーズは必要十分である。）以前より会社でYAMAHAルータを利用し、ファイアーウォールをはじめとする設定の細かさとその優秀な性能を感じていたので、同社のルータラインアップの中から法人向けの一番安価（市場価格６万円前後）なRT-105eを選んだ。３０人程度の同時接続環境を対象とした小規模オフィス向けである。