データセンターや企業のサーバルーム(オンプレミス環境)で動作している
サーバやネットワーク機器
コンピュータはネットワークでつながれ、その間で様々な種類のデータ通信が行われています。これを実現するには異種間のデータ通信を実現するための、ネットワーク構造の基本的な設計方針が決められている必要があります。これが1982年頃にメーカーごとに異なるネットワークアーキテクチャを1つに統一しようと、ISO(国際標準化機構)とITU(国際電気通信連合)によりOSI(Open Systems Interconnection:開放型システム間相互接続)と呼ばれるネットワーク標準規格の策定が始められ、このOSIで用いられる通信のモデルがOSI参照モデルとなります。OSI参照モデルとは、コンピュータネットワークに求められる機能(通信機能)を7階層の構造に分割し定義したものです。
プロトコルの英語本来の意味は「約束事」ですが、コンピュータネットワークであれば、通信プロトコル、IT用語としての「通信規則」「通信規約」「通信手順」を示し、通信をする上で守らなければいけない約束、ルールです。コンピュータがネットワークとして様々な情報をやり取りする上では、この決まりがないとお互いに通信が出来なくなってしまいます。IP、HTTP、SMTPなどの表現は見たことがあると思います。この最後のPがプロトコルです。各種のプロトコルはOSI参照モデルの7階層によって以下のように分類されています。
| 層 | 名称 | 規格(プロトコル) | 概要 | 利用例 |
|---|---|---|---|---|
| 7層 | アプリケーション層 | HTTP,FTP,DNS,SMTP,POPなど | 個々のアプリケーション | www,メール |
| 6層 | プレゼンテーション層 | SMTP,FTP,Telnetなど | データの表現形式 | HTML |
| 5層 | セッション層 | TLS,NetBIOSなど | 通信手段 | HTTPS |
| 4層 | トランスポート層 | TCP,UDP,NetWare/IPなど | エンド間の通信制御 | TCP,UDP |
| 3層 | ネットワーク層 | IP,ARP,RARP,ICMPなど | データを送る相手を決め 最適な経路で送信 |
IP |
| 2層 | データリンク層 | PPP,Ethernetなど | 隣接する機器同士の通信を実現 | Ethernet |
| 1層 | 物理層 | RS-232,UTP,無線 | 物理的な接続、電気信号 | UTPケーブル,光ファイバーケーブル |
OSI参照モデル階層別の名称とプロトコル
OSI参照モデルは各層に応じてカバーしている領域に分けられます。下の図で着目をするべきところは「領域」を色分けをした部分で「ハードウェア」の1層は機器同士をつなぐケーブル、「ネットワーク」の2〜4層はシステムが構成される際の回線に関する内容、「ソフトウェア」の5〜7層はサーバで動作しているアプリケーションやクライアントマシン(PCやスマートフォンなど)で動作しているソフトやアプリに関連する領域になります。アイティーエムが提供しているシステム運用監視サービスは対象となるシステムに接続をする際に、監視回線に関して考える必要があります。パブリッククラウドに接続をする際は一般的に利用しているブロードバンド回線のインターネット接続を利用すればよいのですが、個人情報や機密情報を扱っている場合には限られた関係者のみアクセスできる環境があり、該当するのがプライベートクラウド環境やオンプレミス環境、データセンターです。着目するべき層は主に「3層(L3)ネットワーク層」「2層(L2)データリンク層」「1層(L1)物理層」の深い層に該当します。各層の主な役割と通信の規則や定義などについて見ていきましょう。
OSI参照モデルの各階層の名称や役割について
図はハードウェアの中身でソフトウェアと通信機能が結ばれているイメージです。ハードウェアにインストールされているソフトウェアによってハードウェアの通信機能が反応をし、窓口の部分で通信をするソフトウェアのプロトコルに変換をしソフトウェアの通信が実現しています。
アプリケーション層(L7)はユーザが操作するソフトウェアが提供する具体的な機能についての仕様や通信手順やデータ形式などを定めています。Webプラウザを利用してWebページを閲覧するときはHTTPで同時に暗号化通信を行う際はHTTPS、サーバにファイル転送をするときはFTPで同時に暗号化転送を行うときはSFTPで簡易的なファイル転送の場合はTFTP、メール送信の際はSMTP、メール受信の際はPOP、サーバの遠隔操作はTelnetで同時に接続の際にパスワードを暗号化する場合はSSH、ドメイン名からIPアドレスに変換するときはDNSですがドメイン名を入れるとIPアドレスの名前解決によりWebページが表示されるのもDNSの役割です。多数あるこれらはユーザは用途に合わせてアプリケーションを利用し、そこで利用されるプロトコルはアプリケーションによって様々なものがあり、すべて異なります。その他のソフトウェアやアプリケーションを通じてコンピュータ機器に接続をする際は異なるプロトコルが無数にあるため、利用するソフトウェアやアプリケーションに応じてハードウェアの通信機能でプロトコルの制御を行い通信を確立しています。
図はサーバにHTMLファイルを転送したあとに形式を合わせてサーバが変換をし端末でサーバのHTMLファイルにアクセスをするとWebブラウザで正しく表示される例です。一般的にWebページを表現するHTMLファイルはFTPと呼ばれるファイル転送ソフトでサーバにデータを送信します。HTMLファイルがWebサーバに転送されたらWebサーバは文字コードや改行コードをもとに適切な形式で表示するために変換を行います。これを実行することによりWebブラウザで文字化けが発生せずに正確な文章が表示されるようになります。
プレゼンテーション層(L6)の主流となっているプロトコルはSMTPやFTPです。SMTPは電子メールを伝送する際に利用されるプロトコルでFTPはサーバにファイル転送を行う際に利用されるプロトコルです。どちらもファイルを転送する役目がありますが、送ったファイルがサーバで動作しているアプリケーションの形式に沿ったフォーマットでなければ思ったとおりに表示されません。よくある不具合は「文字化け」です。文字コードが不適切であった場合はWebブラウザでWebページを閲覧しても文字化けにより文章が読めなくなってしまいます。適切な文字コードや改行コードでHTMLファイルを作成しファイル転送を行うことで上層のアプリケーション層にデータを渡すことができます。具体的な例はWebページを表現するHTML言語は世界的に最もポピュラーな文字コードのUTF-8にし改行コードは利用しているパソコンのOSで合わせることで文字化けや文字の改行が正確に表示できWebページが正確に表示されるようになります。反対に下層のセッション層に渡す際はデータの「暗号化」を用いてTLSプロトコルで暗号化通信をするために適切な形式にする役目もあります。
図はパソコン(端末)でWebブラウザを利用しインターネットでWebサイトを閲覧する例です。最新の状態にブラウザを更新するとサーバが受信をしパソコンのブラウザに更新された内容を表示するよう送信をします。このときにサーバは例えば関係のないメーラソフトに送信をしないようWebブラウザに送信をするよう制御をし通信を確立させ維持をしパソコンのブラウザで終了させる一連の流れに則って行います。
セッションとは通信の開始から終了までを管理する1つの単位のことです。ホストとはサーバやパソコンなどの端末を意味します。従ってセッション層(L5)では通信の確立、維持、終了するまでの手順を規定しています。主流となっているプロトコルはTLSです。TLSはSSLの次世代に定義された安全に通信をするためのセキュリティプロトコルです。SSL3.0にアップデートしてからは通信の仕方は殆ど変わりませんのでSSL/TLSと表記されることもあります。SSLサーバ証明書は「運営者の実在性を確認」し、ブラウザとウェブサーバ間で「通信データの暗号化」を行うための電子証明書で認証局から発行されます。これにより通信中の「なりすまし」「盗聴」「改ざん」などのリスクを回避し「フィッシングサイト」による詐欺被害を防止することが出来ます。詳しくは「SSLサーバ証明書」のページをご覧ください。
図はTCPプロトコルを利用した例です。機器間の通信を確実にするためのもので、Webサーバとデータベースが確実に通信を行い連動するためにTCPプロコトルを用います。Webサーバで動作しているアプリケーションで代表的なものはCMSのMovable TypeやWordPressなどですが、これらはWebサーバとデータベースの連動で動作しているため通信が途切れることなくサーバ同士の確実な通信が求められます。
トランスポート層は高信頼性やリアルタイム性など目的に応じた通信品質を実現します。代表的なプロトコルはTCPとUDPです。
TCPは機器間の接続を作り通信が終わるときに接続を切り、確実な信号を送信するためのプロトコルです。特ににパケット通信の際に不具合が見つかった際に再送をし重複するデータを削除したり、パケットの順序を入れ替えるなどを行います。従ってリアルタイムの通信には不適切でありますが、Webサーバへのアクセスなどデータが抜け落ちて困るときは信頼性の高いTCPを利用します。
もう一つの目的に分けて使い分けるUDPプロトコルはTCPのように通信の信頼性を高めることはしませんが、すぐに使える身近な通信機能を提供しまので、TCPとは反対に正確性はないがリアルタイム性の高い通信が可能で、動画ストリーミング配信やリモート会議などで使用されるライブ配信などのように速度を重視した通信が可能です。
サーバAとサーバBの通信を実現したい場合は中継網となるルータを経由しデータを転送します。その際に各コンピュータ機器にIPアドレスを付与し機器同士を通信させネットワーク経路にある全ての機器を通信させることが出来ます。これにより隣接した機器を超えて目的のコンピュータ機器同士の通信が可能となります。
複数のネットワークをつないで相互にパケットをやり取りする機能を実現することをインターネットワーキングと言います。L2では直接接続された機器同士の通信ですが機器が増えた場合はL2プロトコルではインターネットワーキングは実現できません。ネットワーク機器の中で代表的なものはルータです。ルータはネットワークの中継機能の役目をし所定の方向にパケットを転送します。これをルーティングとよび中継機能のルータはルーティング機能でサーバにデータを転送します。
また、ネットワーク層(L3)で利用されるプロトコルの代表的なものはIPです。IPアドレスというものを接続するコンピュータ機器に付与し機器同士を通信することで用いられます。これにより直接つながっていないネットワーク間でパケットをルーティングする機能で提供し、この働きによりコンピュータ機器が直接つながっているかどうかを問わず任意のコンピュータとの通信が実現できます。
図はサーバAとサーバBは隣接するブリッジによって接続されています。その間はMACアドレスでコンピュータ機器を識別しイーサネット接続で通信を行います。通信の仕方はデータを送信する際に衝突しないよう送り出すタイミング確認し、伝送中にデータが破損していないかエラーの検出を行いどのように対処するかを決定し、ローカルエリア内の接続で隣接するノード間の確実な通信が行われます。
隣接する機器のことを隣接するノードと言います。データリンク層(L2)は通信回線のことを示し正確に通信をする規則が定められています。代表的な組み合わせはMACアドレスによるイーサネット接続です。MACアドレス(Medium Access Control Address)とはノード間のデータ転送を行う際の宛先として使われるアドレスでコンピュータ機器の製造時に割り振られたもので、これを物理アドレスやノードIDともいいます。イーサネット(Ethernet)とは主に室内や建物内でコンピュータや電子機器をケーブルで繋いで通信する有線LAN(構内ネットワーク)の標準の一つで、最も普及している規格です。また室内でも「無線LAN」がありLANケーブルを必要としない通信技術も存在します。要するにイーサネットの概念は有線でも無線でもローカルエリア(室内、企業のオフィス内)のネットワークであることです。
従ってMACアドレスで機器を識別しイーサネットで接続をすると、隣接したノード間で通信中のデータが壊れていないかのチェックをしながら確実な通信が実現できます。
ハードウェア同士を光ファイバーケーブルなどの配線で接続をし通信させます。
物理層(L1)はハードウェアのコネクタ形状やピン数などの物理的な接続を定めるものです。バイナリ転送とは特定の文字コードの範囲に収まらない任意のビット列を含むバイナリデータを保存したファイルを転送することで、機器間の電気信号や光信号などを用いてビット(0と1の符号化)単位でデジタル信号の送信・受信を行う通信方法です。一方でハードウェア同士接続をするケーブルや配線ではこの信号をもとに機器同士を電気信号などで通信をしている接続線のことです。これらの一連の流れによりハードウェア同士を物理的に通信を行う方法が物理層の通信です。
OSI参照モデルとTCP/IPでは通信に対する概念が異なるため区切られている層が異なります。下の図はOSI参照モデルとTCP/IPの関連する階層とTCP/IPのプロトコル、コンピュータ上の処理です。TCP/IPを用いた通信で着目するべきところは3層トランスポート層のプロトコルTCP、2層インターネット層のプロトコルIPです。ともにOSの領域に位置しパソコン、ルータ、サーバとOSが異なっても共通の通信規則(プロトコル)を用いインターネット接続を実現しています。
OSI参照モデルとTCP/IPの関係図
パソコン(PC)とルータとサーバとファイアウォールは、それぞれ機器もOSも異なりますがTCP/IPに則って通信をするとインターネットに接続できます。
TCP/IPはインターネット・プロトコル・スイートとも呼ばれ、World Wide Webの発明と共にコンピュータ及びコンピュータネットワークに革命をもたらしたことがきっかけで世界標準的に利用されている通信プロトコル(通信規則)です。インターネットを利用する際は異なるハードウェアやOSであっても通信が確立していなければネットワークは繋がりません。従ってTCP/IPは機器やOSが異なっても共通のプロトコルを用いて通信を成立させるものです。
TCP/IPはインターネットを可能にする2つのネットワークプロトコル、TCP(Transmission Control Protocol)とIP(Internet Protocol)で構成されています。
TCPとは通信プロトコルのひとつで簡単に説明すると「送ったデータが相手に届いたか、その都度確認しながら通信するやり方」や「正確な信号を送信する通信の規格を定めたもの」と言えます。OSI参照モデルではトランスポート層にあたるプロトコルで、インターネット等で利用され、信頼性は高いが転送速度が低いという特徴があります。
IPとはIPアドレスと呼ばれる数値を付与しその数字を用いて通信先の指定及び呼び出しを行いネットワーク通信を行うことです。IPアドレスにはIPv4とIPv6が存在し記述の仕方が異なります。
詳しくは「IPアドレス」のページを御覧ください。
パソコンでメールを送信し相手のパソコンに受信させる例で考えてみましょう。メーラソフトから送信をするとメールサーバに送信されメールサーバから相手のパソコンに送信しパソコンが受信する流れです。OSI参照モデルとTCP/IPの階層に沿って送信者から受信者のデータの流れを見ていくと、下階層に従って階層ごとに「ヘッダー」と呼ばれるものを付与し受け渡しが行われます。送信元や宛先のアドレス・データが破損しないように必要な情報を付け加えて保護するものです。
これをデータの「カプセル化」と呼び、反対にサーバが受信側のパソコンにデータを送る場合は上階層に従って「ヘッダー」が外れてデータを送信するため「非カプセル化」と呼びます。各層によって呼称が異なり、7〜5層は「データ」、4層は「セグメント」、3層は「パケット」、2層は「フレーム」、1層は「ビット」となります。「カプセル化」「非カプセル化」はOSI参照モデルでもTCP/IPでもほとんどのネットワーキングモデルに共通する特徴があり互いに比較をしながら見ると理解しやすいです。
上の図はTCP/IPの通信プロトコルを利用している例です。階層はOSI参照モデルを基準に見ますが、データがトランスポート層まで降りてくると「ポート番号」「シーケンス番号」などの情報を付加して下層に渡します。ネットワーク層では送信元IPアドレス、宛先IPアドレスなどの情報を付加して下層に渡します。データリンク層では「MACアドレス」などの情報と「L2トレーラ」と呼ばれる送信中に起きたエラーをチェックするための情報も付与し下層に渡します。物理層では機器の伝送に適した0と1のビットパターンに符号化します。サーバが受信するパソコンに向かうときは以上の流れと反対の仕組みでデータが上層に向かって渡されます。
MacOSででWi-Fiを使用している例。図はルータに接続する際にIPアドレス(数値やアルファベットの羅列)が表示されているが取得できなかった場合はルータが起動していないことやネットワークに接続できていない可能性があるのでルータを再起動する必要があります。
OSI参照モデルは主に個々のネットワーク機能の説明および理解に使用されるで単なる概念モデルです。それに伴いTCP/IPモデルはインターネットが開発した標準プロトコルに基づいているため、ネットワーク障害が発生した際に最初に特定の問題を解決するように設計されています。例えばパソコンが正常に動作しているのにも関わらず、インターネットに繋がらないトラブルが発生した場合はTCP/IP2層のインターネット層で設定不備があることがあります。OSI参照モデルでは3層のネットワーク層に該当しパソコンがルータに接続できていない、もしくはルータがネットワークに接続できていない、起動していないなどのトラブルが多いです。
一方で企業が利用するネットワークは多数の専用のネットワーク機器やサーバで構成されている大規模なシステムのため、OSI参照モデル階層構造の概念に基づいた考え方が有効であることが多いです。特にL2やL3では専用のネットワーク機器を利用するため、機器が故障した場合は特定しやすく迅速に対応しシステム全体の致命的な障害に発展せず損害が少なく収束できます。
OSI参照モデル、TCP/IPはネットワークアーキテクチャモデルであるため、通信を確立するための規則として利用されます。しかしコンピュータ通信はクラウドサービスでも同様の処理が行われており、各層(レイヤー)に対応したサービスを展開している名称に分けられます。それがクラウドコンピューティングの処理に基づいて「SaaS」「PaaS」「IaaS」に分類されることを意味します。
アイティーエムでは「SaaS」「PaaS」「IaaS」のクラウドサービスに対応した「セキュリティ運用サービス」を提供しています。クラウドサービスの各層に対応したセキュリティ対策サービスを図を見ることで理解が出来ます。「SaaS」セキュリティは、「WEBアプリケーション層脆弱性管理サービス」と「OSS脆弱性管理サービス」でアプリロジックのプログラムの脆弱性とライブラリやフレームワークなどのOSS(オープンソースソフトウェア)の脆弱性を管理しソフトウェアの継続的な脆弱性対策が可能です。「PaaS」セキュリティでは「システムプラットフォーム層脆弱性管理サービス」と「内部ホスト脆弱性管理サービス」でミドルウェアとOSの継続的な脆弱性対策が可能です。「IaaS」セキュリティでは「クラウドセキュリティ設定診断サービス」で土台となるネットワーク、サーバなどのシステム設定を確認することにより脆弱性対策が可能です。
OSI参照モデル、TCP/IPに基づいたクラウドサービスの分類とセキュリティ運用サービスの対応図
セキュリティ運用サービスは、お客様と予め設定したスケジュールに沿って、当社が定期的な脆弱性診断を実施し、その結果をご報告いたします。また、お客様側でのシステムの構成変更等があった際には、ご要望に応じて都度診断も承ります。診断結果レポートに基づく対策支援や運用代行も当社エンジニアが対応いたしますので、安心・安全なシステム運用が効率的に実施可能です。また、他のセキュリティサービスと組み合わせ、年間を通してセキュリティコンサルやアセスメントも承ります。
アイティーエムの主軸サービスであるMSP事業のシステム運用監視サービス(MSL)は、サーバやネットワーク機器の監視やシステム全体の運用・監視など、24時間365日体制で統合的にお客さまのシステム環境をサポートするサービスです。システム監視ルートは、パブリッククラウド環境の場合にはインターネット経由で、プライベートクラウド環境やオンプレミス環境の場合にはインターネット回線でVPN接続や専用線でというように、お客さまご利用のシステム環境に合わせて、対応いたします。
クラウド環境に接続をする「インターネット回線」を用いる場合と、オンプレミス環境やデータセンターに接続するための「専用線」に大きく分けられます。インターネット回線は3層から7層で用いられ、2層は専用線を用い1層はケーブルなどの配線です。それに伴い専用のネットワーク機器が必要になりL2スイッチ、L3スイッチ、ブリッジ、ルータなどが存在し各層に合わせた機器を利用します。下の図で色分けをしている1層から3層に着目をして見ましょう。
監視回線パックとOSI参照モデルの対応図
| パック名 | 接続形態 | 内容 |
|---|---|---|
| GlobalAgent-Line | パブリッククラウド接続 |
インターネット回線経由にて 暗号化通信による監視となります ※ リモートオペレーション不可※1 |
| GlobalProxy-Line | パブリッククラウド接続 |
インターネット回線経由にて 暗号化通信による監視となります。 Proxyサーバ構築/管理費を 含みます。※2 ※ リモートオペレーション可 |
| VPN-Line | 拠点間IPSecVPN |
一般的なブロードバンド回線を 利用して拠点間IPSecVPN接続にて ご提供します。 VPN接続機器の 手配/設置/管理費を含みます。 |
| L2-Line | 広域イーサネットL2網 |
当社手配の専用線による 監視となります。 専用線接続機器の 手配/設置/管理費を含みます。 |
| 当社にて提供する専用線費用 | ||
| DC-Line | 当社データセンター内接続 |
当社データセンター内接続 (閉域網)による監視となります。 専用線接続機器の 手配/設置/管理費を含みます。 構内配線費用は 別途データセンター契約が 必要です。 |
パブリッククラウド環境へ接続をする場合は一般的に利用されているインターネット接続を行います。監視対象にグローバルIPアドレスが付与されているか付与されていかで監視回線が変わります。詳しくは以下のページを御覧ください。
企業にはセキュリティポリシー上インターネット接続でアクセスすることができないシステム環境があります。代表的なものがオンプレミス環境やデータセンターをご利用になる場合です。当社の監視回線は、そのような企業のセキュリティ規則上インターネット接続ができないプライベート環境のシステムにも閉域網接続で監視回線パックを提供しております。以下3種類の監視回線パックを見ていきましょう。
VPN(Virtual Private Network)の一種でありL3(ネットワーク層)のプロトコルであるIP(Internet Protocol)で暗号化通信を行う形式でインターネットを通じて拠点間接続ができリモートアクセスなどで用いられます。IPSecとはTCP/IPネットワークで暗号化通信を行うためのプロトコルです。当社ではL3から上層のレイヤー接続が可能で主に拠点間を結ぶ閉域網として利用します。下の図は「当社の監視センターがプライベートクラウド環境に接続する例」でインターネット接続でありながらVPNを利用することでL3(ネットワーク層)の接続が実現できます。
ブロードバンド回線を用いたインターネット経由の接続でVPNを構築しプライベートクラウド環境にネットワーク層(L3)で通信をする例
VPN(Virtual Private Network)の一種であり地理的に離れた地域同士のLAN(WAN)を結び拡張されたLANとして提供するサービスです。物理的な隣接する機器の接続という考え方ではなくVPNを利用することでL2領域の通信が可能となり拠点間を結ぶ閉域網として利用します。下の図は「当社監視センターがお客様拠点に接続する例」で専用線を利用しWANで地理的に離れた地域に接続をし拡張したLANでL2(データリンク層)の接続が実現できます。
専用線(WAN)で接続をし拠点間をデータリンク層(L2)で通信をする例
データセンター内の機器の接続で用いられるケーブルや配線でL1(物理層)の領域になります。
構内配線はUTPケーブル、光ファイバーケーブルなどがあります。
専用線(WAN)で接続をしデータセンター内のラック機器間の接続や構内配線はケーブルや光ファイバーに該当するため物理層(L1)で通信をする
当社の監視項目は類似した項目をグルーピングし分類しています。監視項目には対象となる機器やサーバに対して通信を行うため、OSI参照モデルのプロトコルに則ってIPアドレスを利用し設定することも行います。それに伴い対象となるサーバや機器が正常に動作しているか確認をする「死活監視」や、インターネット経由で対象となるWebサイトやWebアプリケーションを監視し正常に動作しているか確認をする「Global外形監視」などリモート(遠隔)で監視を行うために、OSI参照モデルのプロトコルに則ってIPアドレスを通じて対象となるサーバや機器に対して通信を確立させます。その他の監視項目に沿った監視グループの詳細は次のページをご覧ください。
システム運用の大まかな定義は24時間365日、問題なくシステムを稼働させるための業務です。システムを構成しているサーバやネットワーク機器はコンピュータで精密機器のため、突然故障する可能性もあります。それがシステム障害の原因になるため、エンジニアが障害を未然に防止するような対策や業務を行ったりバックアップをとるようなシステム構成を考えたり、様々な知識や技術を用いながらシステム運用の業務に取り組んでいます。従ってシステム運用とは、システムの正常状態を維持し、状況に合わせて変化、拡張させることを意味します。
アイティーエムはシステムマネジメント事業を主軸とするMSP事業者です。当社が考えるMSPは「MCSSP」と呼び、新しいシステムマネジメントサービスの形態です。
MCSSP = 「MSP(Managed Service Provider)」+「CS(Cloud & Security)」
従来から存在するMSP(Managed Service Provider)事業をベースとして、昨今のIT環境にて特に注目されている「クラウド利用」と「セキュリティ対策」をより強化したサービスでお客様の安心・安全で、快適なシステム運用をご支援します。
詳しくは下の画像をクリックしサービスサイトをご覧ください。
