TCP/IPとは、インターネットを含む多くのコンピュータネットワークにおいて、世界標準的に利用されている通信プロトコルのことです。TCP/IPはインターネット・プロトコル・スイートとも呼ばれ、World Wide Webの発明と共にコンピュータ及びコンピュータネットワークに革命をもたらしたことがきっかけで現在でも標準的に利用されている通信規則です。インターネットを利用する際は異なるハードウェアやOSであっても通信が確立していなければネットワークは繋がりません。従ってTCP/IPは機器やOSが異なっても共通のプロトコルを用いて通信を成立させるものです。
例を上げると、私たちがインターネットでWebページを見るときに利用するプロトコルは、TCP(Transmission Control Protocol)とIP(Internet Protocol)を利用しています。
TCPとは通信プロトコルのひとつで簡単に説明すると「送ったデータが相手に届いたか、その都度確認しながら通信するやり方」や「正確な信号を送信する通信の規格を定めたもの」と言えます。わかりやすく言うと、エラーが起きてもクライアント側は繰り返しサーバにリクエストを送信し、サーバ側は正常に受け取って確実にレスポンスを返します。この一連の流れをセッションと呼びHTTPではリクエストとレスポンスで完結されます。詳しくは「HTTPリクエストとレスポンス」を御覧ください。
IPとはIPアドレスと呼ばれる数値を付与しその数字を用いて通信先の指定及び呼び出しを行いネットワーク通信を行うことです。IPアドレスにはIPv4とIPv6が存在し記述の仕方が異なります。
詳しくは「IPアドレス」のページを御覧ください。
パソコン(PC)とサーバのIPアドレスを用いた通信イメージ
TCP/IPは4層に分かれた通信方法を定義しています。1層のネットワークインターフェイス層は主にLANなどで用いられる通信方法です。2層のインターネット層はIPアドレスを用いた通信方法です。3層のトランスポート層はTCPとUDPで通信の品質が変わります。4層のアプリケーション層ではメールやWebページ閲覧など利用するアプリケーションによって通信方法は変わり多数存在します。
| 層 | 名称 | 規格(プロトコル) | 主な利用例 |
|---|---|---|---|
| 4層 | アプリケーション層 | HTTP,HTTPS,SMTP,POP3, IMAP4,DHCP,DNSなど |
Webサイト閲覧、メール、ファイル転送など |
| 3層 | トランスポート層 | TCP,UDP,NetWare/IPなど | TCP/UDP (データを適切なアプリケーションへ振り分け) |
| 2層 | インターネット層 | IP,ARP,RARP,ICMPなど | ルーティング、エンドツーエンド通信 |
| 1層 | ネットワーク インターフェイス層 |
Ethernet | LAN |
TCP/IPの階層は、上から「アプリケーション層」「トランスポート層」「インターネット層」「ネットワークインターフェイス層」の4層に分かれています。TCP/IPは4つの階層のプロトコルが正常に機能して初めて通信ができます。覚え方は上の層が人間が利用するアプリケーションに関係すること、中間層がアプリケーション通信をする際の補助的な役割を果たすもの、下層が電気信号などの物理的な信号に対して送られる暗号のようなものとして分けて考えると理解しやすいです。
アプリケーション層はアプリケーションで扱うデータのフォーマットや手順を決める役割を担います。アプリケーションは基本的には人間が扱うため、文字や画像など人間が認識できるようにデータを表現します。主なプロトコルは「HTTP」「SMTP」「POP3」「IMAP4」「DHCP」「DNS」などです。HTTPはWebブラウザで利用し、SMTP、POP3は電子メールソフトで利用します。DHCP、DNSはアプリケーション通信を行うための準備のプロトコルとして補うことを担います。
私達はパソコンやスマートフォンでネットワークを介した複数のアプリケーションを使っていますが、その裏ではトランスポート層が活躍しています。トランスポート層の役割は、データを適切なアプリケーションに振り分けることです。最下層からトランスポート層まで正しく機能すると、送信元と宛先のアプリケーション間でデータの送受信ができるようになります。主なプロトコルはTCPとUDPに分けられます。TCPは送信中にデータが破損してしまったり損失してしまっても、これらを検出してデータの再送を行い確実に通信をしてくれます。例を上げるとWebサイトのWebページを閲覧したりメールの送受信を行うなどインターネットで実行する通信方法の殆どがTCPを利用しています。UDPは身近な機能を用いて相手にデータを送信する方法です。正確性は無いのですが、素早くデータを送信する際に適した方法です。例を上げると、Web会議や動画サイトの映像と音声の通信方法で、リアルタイムに通信をする方法です。従ってデータ通信にエラーが生じた際は、繰り返し再生するのではなく、映像の乱れや音声が途切れたりすることが生じ、リアルタイムに映像と音声が流れる仕組みです。
インターネット層は複数のネットワーク間のデータ転送を行う役割を持っています。ネットワークは1つのネットワークにあらゆる機器が接続されているわけではなく、たくさんのネットワークが存在し、そこに色々な機器を接続していることで実現しています。多数のネットワーク同士を接続してデータ転送を行っているのは「ルータ」です。ルータによるネットワーク間のデータ転送を指して「ルーティング」と呼びます。また、ネットワーク間のデータ転送を指して「エンドツーエンド通信」と呼びます。具体的なプロトコルは「IP」「ICMP」「ARP」などで主に「IP」を用い、ICMPはエラーレポートや診断機能で、ARPはIPアドレスからMACアドレスを求める為などの補佐的なプロトコルです。
離れたネットワークに接続されているPC間の通信=エンドツーエンド通信
ネットワークインターフェイス層の役割は、同一のネットワーク内でデータを転送することです。技術的な観点から言えば、1つのネットワークは、ルータやレイヤ3スイッチで区切られる範囲、またはレイヤ2スイッチで構成する範囲です。例えばパソコンからレイヤー2スイッチにデータ転送を行ったり、サーバからハブやルータにデータ転送を行う際は「0」「1」の「2進法」で実行します。このデジタルデータを電気信号などの物理的な信号に変換して、伝送媒体で伝えていきます。具体的なプロトコルは、有線の「Ethernet(イーサーネット)」や無線LAN(Wi-Fi)、PPPなどが挙げられます。すべて統一する必要はなく例えば、有線のイーサネットと無線LANのWi-Fiを組み合わせたローカルネットワーク構築も可能です。
社内ネットワークの同一ネットワーク内の通信方法の例
Webアプリケーションやスマートフォンアプリを作る際は、
様々なプログラム言語と技術を用いて開発します。
TCP/IPのソケット通信とは、ソケットインターネットとも呼ばれ、主にプログラムの世界とTCP/IP世界を結ぶ特別な出入り口のことを意味し、TCP/IPのトランスポート層を指します。Webアプリケーションやスマートフォンアプリケーションを制作する際はプログラム言語を用いて開発します。またソケット通信の原理は、プログラムで実行される処理を各項目に分けて組み込む形で設計をしていきます。
コンピュータには通信機能が存在しますので、出入り口であるソケットに向かってプログラムで命令文を記述すれば、コンピュータ同士がどのようにデータを送信するかなど、意識することなく通信機能を制御することができるため、ソケット通信を用いてアプリケーション開発を実行します。
そもそもTCPとUDPではソケット通信の方法も大きく変わります。TCPはコネクション型の通信方法でUDPはデータダイヤグラム型の通信方法です。その他にも違いがありますので以下の比較表を御覧ください。
| TCP | UDP | |
|---|---|---|
| 通信方法 | コネクション型 | データダイヤグラム型 |
| 特徴 | 確実性重視 | 即時性重視 |
| 信頼性 | 髙い | 低い |
| 利用速度 | 低速 | 高速 |
| 利用例 | Webサイト閲覧、メールなど 一般的にインターネットを利用する方法 |
IP電話、映像配信、Web会議など リアルタイム性を重視する方法 |
ホスト(サーバやネットワーク機器)で動作しているアプリケーションへデータを振り分けるには、それぞれのアプリケーションを識別できなければいけません。そこで用いられるのが「ポート番号」です。ポート番号とは、TCP/IPのアプリケーションを識別するための識別番号でTCPヘッダーまたはUDPヘッダーに指定されます。ポート番号は16ビットの数値なので、0~65535の範囲で指定されます。
| ポート番号の範囲 | 意味 | |
|---|---|---|
| ウェルノウンポート | 0〜1023 | サーバアプリケーション用に予約されているポート番号 |
| 登録済みポート | 1024〜49151 | よく利用されるアプリケーションのサーバ側ポート番号 |
|
ダイナミック/ プライベートポート |
49152〜65535 | クライアントアプリケーション用のポート番号 |
| プロトコル | TCP | UDP |
|---|---|---|
| HTTP | 80 | |
| HTTPS | 443 | |
| SMTP | 25 | |
| POP3 | 110 | |
| IMAP4 | 143 | |
| FTP | 20/21 | |
| DHCP | 67/68 |
TCPとUDPでは通信の処理の工程が変わります。TCP(コネクション指向型)では、相手を確認し接続をしてから通信をするため、確実に送信ができ相手に届きます。1度の通信でエラーが生じてしまった場合は、接続できるまで繰り返し接続をするため、エラーを解消する時間はかかりますが確実に送信し相手が受け取ることが可能です。
UDP(コネクションレス型)では、通信相手を確認すること無く送信をするため、相手が確実に受信できているとは限りません。その変わり素早く送信したい時に利用するため、速度重視の際に利用される通信方法です。
ソケットはプログラムから通信機能を利用するための仕組みで、通信に先立って用意し、通信を終了するときに破棄する機能です。
| TCP | UDP | |
|---|---|---|
| 通信処理 | コネクション指向型 | コネクションレス型 |
| 特徴 |
|
|
データの呼び方には色々あり、TCP/IPの階層別に名称が異なります。
| TCP/IP階層 | 代表的なプロトコル | TCP | UDP |
|---|---|---|---|
| アプリケーション層(4層) | HTTP,DNS | メッセージ | |
| トランスポート層(3層) | TCP,UDP | セグメント | データグラム |
| インターネット層(2層) | IP | パケット | データグラム |
| ネットワークインターフェイス層(1層) | Ethernet | フレーム | |
IPパケットとはTCPとIPによる通信を行う際にインターネット層でIPを用いる際に取り扱われるデータの名称です。このように呼び方の違いがあることで、ネットワーク通信を考えるときにどの階層に注目しているのかが明確になります。以下の図ではTCP/IP階層ごとにデータの呼び方例を記載しますのでご参考ください。
データの呼称が明確にあるわけではありませんが「階層に注目をしデータを呼び方を使い分けることがある」ことを目安に考えることが必要です
IPプロトコルにはIPアドレスを用いた通信方法が実行されます。IPアドレス(Internet Protocal Adress)とは、IPと呼ばれるプロトコルを使うネットワークにおいて、各コンピュータを識別するために、コンピュータへ付与する番号の列です。
DNS(Domen Name Service)とは、ユーザがURLなどのアプリケーションのアドレスを指定すると、ホスト名に対応するIPアドレスを自動的に求める役割をすることです。ホスト名からIPアドレスを求めることを「名前解決」と呼び、DNSは最もよく利用されている名前解決の方法です。DNSはレジストリ・レジストラと呼ばれる世界的にドメインとIPアドレスを管理している組織によって運用されています。例えば、自身のホームページ(ブログなど)を開設し公開をした場合は、ドメインを取得しIPアドレスと紐付いた書面を見たことがあると思います。ドメインを取得する際は申し込んだときにサービス提供側で全て設定をしてもらえるので、利用者からは確認をするだけで、ドメインを利用したURLを利用することができます。IPアドレスによるDNSの名前解決はルートドメインから階層を辿って問い合わせを行い、ホームページなどを表示させ、繰り返し問い合わせを行います。このことを「回帰問い合わせ」と呼んでいますが、毎回ルートドメインから問い合わせを行うことは、通信に時間がかかってしまうため効率がよくありません。そこで、「DNSサーバ」や「DNSリゾルバ(アプリケーションを利用するユーザやホスト名を指定すると、自動的にDNSに対応するIPアドレスを問い合わせること)」は問い合わせた情報をしばらくの間キャッシュに保存します。どのくらいの期間キャッシュに保存するかは設定次第ですが、過去の問い合わせ結果のキャッシュが残っていれば、ルートから辿らずに名前解決が出来ます。
DNSサーバは主にレジストリ(各ドメイン情報を持つデータベースを管理している機関)に登録されているレジストラと契約をしている代理店とドメインを取得するためにユーザが利用します。代理店がDNSサーバを保有しているのではなく、レジストリに登録されているレジストラが保有しています。
アプリケーションとは人間がコンピュータを利用しやすいようにプログラムで応用をして機能を持たせたものです。プログラムを書いてアプリケーション開発をするには、プログラミングと開発手法が重要です。アプリケーション開発にはアジャイル開発の手法が近年主流になっており、アプリケーションセキュリティにおける取り組みも、大きく変化してきました。
TCP/IPとOSI参照モデルでは通信に対する概念が異なるため区切られている層が異なります。OSI参照モデルに合わせた考え方では、主に領域に着目するとネットワークの役割が理解しやすいです。OSI参照モデルは主にネットワークエンジニアがシステムのネットワークを理解するために用いる為、細かい階層構造に分けられ定義がされています。OSI参照モデルとTCP/IPと合わせて見ることで、定義されているネットワークアーキテクチャの階層構造の違いが見えるとともに理解が深まります。
TCP/IPとOSI参照モデルの関係図
OSI参照モデルとは、コンピュータネットワークに求められる機能(通信機能)を7階層の構造に分割し定義したものです。TCP/IPとの違いを図解で解説するとともに、OSI参照モデルの各層の通信の規則や定義などを説明します。
OSI参照モデル、TCP/IPはネットワークアーキテクチャモデルであるため、通信を確立するための規則として利用されます。しかしコンピュータ通信はクラウドサービスでも同様の処理が行われており、各層(レイヤー)に対応したサービスを展開している名称に分けられます。それがクラウドコンピューティングの処理に基づいて「SaaS」「PaaS」「IaaS」に分類されることを意味します。
アイティーエムでは「SaaS」「PaaS」「IaaS」のクラウドサービスに対応した「セキュリティ運用サービス」を提供しています。クラウドサービスの各層に対応したセキュリティ対策サービスを図を見ることで理解が出来ます。「SaaS」セキュリティは、「WEBアプリケーション層脆弱性管理サービス」と「OSS脆弱性管理サービス」でアプリロジックのプログラムの脆弱性とライブラリやフレームワークなどのOSS(オープンソースソフトウェア)の脆弱性を管理しソフトウェアの継続的な脆弱性対策が可能です。「PaaS」セキュリティでは「システムプラットフォーム層脆弱性管理サービス」と「内部ホスト脆弱性管理サービス」でミドルウェアとOSの継続的な脆弱性対策が可能です。「IaaS」セキュリティでは「クラウドセキュリティ設定診断サービス」で土台となるネットワーク、サーバなどのシステム設定を確認することにより脆弱性対策が可能です。
OSI参照モデル、TCP/IPに基づいたクラウドサービスの分類とセキュリティ運用サービスの対応図
セキュリティ運用サービスは、お客様と予め設定したスケジュールに沿って、当社が定期的な脆弱性診断を実施し、その結果をご報告いたします。また、お客様側でのシステムの構成変更等があった際には、ご要望に応じて都度診断も承ります。診断結果レポートに基づく対策支援や運用代行も当社エンジニアが対応いたしますので、安心・安全なシステム運用が効率的に実施可能です。また、他のセキュリティサービスと組み合わせ、年間を通してセキュリティコンサルやアセスメントも承ります。
アイティーエムの主軸サービスであるMSP事業のシステム運用監視サービス(MSL)は、サーバやネットワーク機器の監視やシステム全体の運用・監視など、24時間365日体制で統合的にお客さまのシステム環境をサポートするサービスです。システム監視ルートは、パブリッククラウド環境の場合にはインターネット経由で、オンプレミス環境の場合には専用線(L2回線)やインターネットVPNでというように、お客さまご利用のシステム環境に合わせて、対応いたします。
パブリッククラウド環境で構成されているシステムは一般的に利用されているブロードバンド回線によるインターネット接続が可能です。しかしパブリッククラウドのシステムは監視対象に「グローバルIPアドレス」が「付与されているか」「付与されていないか」により監視回線が変わります。詳しくは以下を見ていきましょう。
| パック名 | 接続形態 | 内容 |
|---|---|---|
| GlobalAgent-Line | パブリッククラウド接続 |
インターネット回線経由にて 暗号化通信による監視となります ※ リモートオペレーション不可※1 |
| GlobalProxy-Line | パブリッククラウド接続 |
インターネット回線経由にて 暗号化通信による監視となります。 Proxyサーバ構築/管理費を 含みます。※2 ※ リモートオペレーション可 |
インターネット接続による暗号化通信で監視を行います。お客さまのシステム環境の監視対象に「グローバルIPアドレスが付与されている場合」はこちらの監視回線をご利用になられます。
GlobalAgent-Lineで接続をする例です。「エージェント方式」で対象となるシステムのサーバや機器に当社監視センターが接続をし監視を行います。
インターネット接続による暗号化通信で監視を行います。お客さまのシステム環境の監視対象に「グローバルIPアドレスが付与されていない場合」はこちらの監視回線をご利用頂くことになります。「GlobalAgent-Line」との違いは、代理のサーバ(Proxyサーバ)をお客さまのシステム環境に構築しProxyサーバ経由で監視を行います。
インターネットに接続されているサーバA〜Dを監視する例です。監視対象のサーバA〜DにはグローバルIPアドレスが付与されていないため「Proxyサーバ」が必要になり
裏側から接続をし監視を行います。Proxyサーバ経由で監視を行うため「プロキシ方式」と呼ばれます。
企業のセキュリティポリシー上インターネット接続ができないシステム環境の監視には閉域網で接続する監視回線があります。企業の機密情報や顧客の個人情報などセンシティブなデータを取り扱う場合はオンプレミス環境やデータセンターやプライベートクラウド環境を利用しシステム環境が構成されている場合があります。当社では、そのようなシステム環境の監視に対して閉域網を提供しております。詳しくは下のボタンより次のページで詳細をご覧ください。
当社の監視項目は類似した項目をグルーピングし分類しています。監視項目には対象となる機器やサーバに対して通信を行うため、IPアドレスを利用し設定することも行います。それに伴い対象となるサーバや機器が正常に動作しているか確認をする「死活監視」や、インターネット経由で対象となるWebサイトやWebアプリケーションを監視し正常に動作しているか確認をする「Global外形監視」などリモート(遠隔)で監視を行うために、IPアドレスを用いて対象となるサーバや機器に対して通信を確立させます。その他の監視項目に沿った監視グループの詳細は次のページをご覧ください。
アイティーエムのシステム運用監視サービス(MSL)は上記のように、様々な環境に適応した監視回線でお客様のシステムを監視します。24時間365日体制のカスタマーエンジニアにより、通知アラートを迅速にキャッチし、システムの状況を正確に確認いたします。日々のシステム運用はもちろんのこと、障害発生時の対応においても、効率よくオペレーションが行える監視サービスを実現しています。特に自社のオンプレミス環境に構築されたシステムを監視してほしい、開発エンジニアやアプリケーションエンジニアを本業に専念させたい、クラウド環境に構築したシステムの不具合や障害に備えてユーザが安心して利用できるサービスを提供したい、というニーズには最適なサービスです。
アイティーエムのシステム運用監視サービス(MSL)の一つに、サーバの特徴に応じた運用監視パッケージが存在します。ITシステムを用いた情報システムの大きな課題の一つに、24時間稼働するシステムを安定的に稼働させるための維持管理や昼夜問わず突然発生する障害対応、また切り分けを行いつつ早期回復のための回復作業に多くの人的リソースを費やしていることが挙げられます。特に働き方改革やリモートワークが企業内で推進される中、中小企業様においても特に、24時間365日の体制維持や人的リソースの確保、データセンターやサーバルームへの急な駆け付け、本業への回帰など様々な難題を乗り越えなければなりません。中小企業様のシステム規模でも導入しやすく、エンジニア不足を補うとともに、本業に回帰・集中しながら安定稼動を図れるサーバの特徴に応じた運用監視サービスです。
