TECH PLAY

SCSKクラウドソリューション

SCSKクラウドソリューション の技術ブログ

1268

こんにちは、SCSK 林です! 今回は先日の Google Cloud Next ’23 にてプレビュー版の提供が発表された、Duet AI in Google Cloud を触ってみました。 Duet AI とは 2023年5月の Google I/O で発表された Duet AI は、Google の Generative AI 基盤モデルを搭載した、様々なユーザーに必要な支援を提供するAI コラボレーターです。 Duet AI は大きく2つにわけられ、今回の Google Cloud Next ’23 で以下が発表されました。 Duet AI in Google Workspace:GA版がリリース Duet AI in Google Cloud:機能拡張、プレビュー版がリリース さらに「Duet AI in Google Cloud」にも様々な機能があり、、 アクティビティの種類 製品 アプリケーション開発支援 Cloud Workstations、Cloud Code for VS Code、Cloud Code for IntelliJ and other JetBrains IDEs、Colab Enterprise データ分析支援 BigQuery、Cloud Spanner オペレーション支援 Duet AI in Google Cloud Console、Cloud Logging、Error Reporting ということでこの記事では「Duet AI in Google Cloud Console」を触ってみた!という記事になります。   Duet AI in Google Cloud の公式ドキュメントはコチラ↓ Duet AI in Google Cloud overview Learn about Duet AI features and benefits. cloud.google.com Google Cloud Next ’23 にて発表された内容はコチラ↓ ユーザーをサポートする AI コラボレーター「Duet AI」を Google Cloud 全体で拡張 | Google Cloud 公式ブログ cloud.google.com   Duet AI in Google Cloud を有効にする 2023年8月時点では、Duet AI in Google Cloud はデフォルトで使用できるわけではなく、使用するにはフォームから申請が必要です。 ざっくり以下の手順になります。 フォームからプレビュー版の使用を申請 1~2日で Google からメールが届き、プロジェクト番号を入力し再度申請 3~4日で Google から完了メールが届く 「 Cloud AI Companion API 」を有効化する(CLIからのみ可能) 詳しい手順はこちらのドキュメントに記載があります。 Set up Duet AI for a project  |  Google Cloud Learn how to set up Duet AI for a project before you use it. cloud.google.com   Duet AI in Google Cloud Console を触ってみる Duet AI in Google Cloud Console は右上のボタンから開けます。 英語表記になっていますが、日本語でも返してくれます。 返せない質問を投げると「Sorry, I can’t help you with this.」と返ってきます。 公式ドキュメントにあった例文を投げてみます。 それの日本語版。コマンドがワンクリックでコピーできるのはうれしいですね! 返答のコマンド右上にある各アイコンを見てみます。 左から「クリップボードにコピー」、「Cloud Shell にコピー」、「Code Snippet を展開」です。 「Cloud Shell にコピー」をクリックすると、Cloud Shell が起動しコマンドが入力された状態になります。 「Code Snippet を展開」をクリックすると画面中央にプロンプトが現れてコマンド全体が見れるようになります。   Duet AI vs Bard 色々使ってみて Bard とどう回答が違うのかを比較してみました。 Google Cloud で画像認識サービスを開発する手順 質問文 コンピュータ ビジョン アプリケーションの開発に興味があります。たくさんの Google ドライブにあるラベル付けされていないトレーニング データがたくさんあります。どのように始めればよいのかわかりません。このデータを使って画像認識サービスを開発するには、まずどのようなステップを踏めばよいでしょうか?このデータを使って画像認識サービスを開発するために、まず何をすればいいのでしょうか? ※公式ドキュメントに記載の例文の日本語訳です。( https://cloud.google.com/duet-ai/docs/quickstart#more-duet-ai-examples ) Duet AI Google Cloud で具体的に何をすればよいかがわかりやすい!   Bard 質問文に「Google Cloud」というワードを入れていないので、Bard は一般的な回答になってしまったのかもしれないですね。。 Compute Engine を作成する gcloud コマンドの生成 質問文 Compute Engineを作成するgcloudコマンドを生成してください Duet AI コマンド全文 gcloud compute instances create [INSTANCE_NAME] –zone=[ZONE] –machine-type=[MACHINE_TYPE] –image-family=[IMAGE_FAMILY] –image-project=[IMAGE_PROJECT]   Bard Bard の方が圧倒的情報量。。 Google Cloud の ETL サービス紹介 質問文: Google CloudのETLサービスについて教えてください Duet AI Bard やはり情報量では Bard が勝る。。 Redshift と BigQuery の比較 質問文: Redshiftと比較してBigQueryの利点を教えてください Duet AI Bard やはり情報量では(以下略 番外編:AWS の ETL サービス紹介 質問文: AWSのETLサービスについて教えてください Duet AI さすがに AWS の質問は答えてくれませんでした。。 参考:Bard   さいごに Google Cloud の細かい技術内容、Google Cloud に特化した内容であれば、Duet AI in Google Cloud Console を使うのは有用だと感じました。 内容によっては Bard を使った方がいいかも、、とも思いますが、Duet AI はGoogle Cloud コンソールのサイドパネルでさくっと開けるので使い勝手はよいと思いました。返答も今後さらによくなることを期待します! 今回はこんなところで次回、 Duet AI in BigQuery 編をぜひお待ちください!
昨年(2022年7月)より提供を開始しているCatoクラウドのFAQサイトについて話をします。 FAQサイト よくあるご質問 | Cato Cloud ケイトクラウド - SCSK Cato SASE Cloud Platform. powered by SCSK cato-scsk.dga.jp CatoクラウドのFAQサイトは、日々多くの方にアクセスいただいております。 ( 1日あたり平均700~800PV  ※2023年10月時点) ただし、Webアクセス元は、お客様というよりも Catoクラウドのリセラーやパートナーからのアクセスが多い傾向のようです。 ちなみに当社が導入事例としてリリースされているので、ご存知の方が多いと思いますがFAQサイトは、株式会社スカラコミュニケーションズの i-ask を利用しております。 SCSKが提供する「CATO クラウド」にi-askが導入されました – 株式会社スカラコミュニケーションズ scala-com.jp 導入事例 | SCSK株式会社 | 250社以上の導入実績「i-ask」| ナレッジ共有&見つかるFAQ管理サービス | スカラコミュニケーションズ | コンテンツの出し分けでお客様が使いやすいFAQサイトを構築。スムーズな情報発信でお問い合わせを削減しました。 | i-ask 導入事例 lp.scala-com.jp i-ask を採用し、FAQコンテンツの出し分け(表示するページデザインや内容を変えて表示)を実施しております。 つまり、広く一般に公開している情報以外に、当社とご契約を頂いているお客様に対しては(契約者IDでのログインにて)より詳細な技術情報を始め、CatoのKnowledge Baseへのリンクや、当社が作成した手順書やマニュアルを添付資料としてご提供をしております。   一般利用者と契約者の違い FAQサイトにおける一般のご利用者と、ご契約者のカテゴリ別アクセス状況についてです。 広く一般に公開している情報については、「 1. トラブル・不具合 」、「 2. リリースノート 」、「 3. はじめに 」になっており、多くはトラブルや不具合を目的にFAQを利用されていることが分かります。リリースノートの閲覧数も多いことから、すでにCatoクラウドをご利用になられているお客様からのアクセスも多くあるのではないかと想定しております。 一方で、ご契約者のカテゴリ別アクセス状況は、「 1.手順書 」、「 2.リリースノート 」、「 3.機能 」となっており、ご契約を頂いているお客様は、手順書カテゴリ(このカテゴリは、ご契約者サイトにしかございません)を利用され、次に、Catoクラウドの毎週更新されるアップデート情報をご利用されていることが分かります。   検索語ランキング 次に一般に公開している情報への検索キーワード Top10です。 No. 検索キーワード 1 Socket、vSocket、ソケット 2 TLS、SSL 3 クライアント 4 ケイト 5 証明書 6 PoP 7 ログ 8 帯域 9 Authentication 10 認証 やはり、SASEの”エッジ”である「 Socket/vSocket 」や「 Catoクライアント 」に関する検索が多く、次に多いのは、「 TLS 」でありTLS Inspectionに関しての疑問が多くあるのではないかと想定しております。   アンケート(フリーフォーマット)について FAQのそれぞれ回答(文書)には、参考になったかどうかの[はい]、[いいえ]と、フリーのアンケート入力フォームがあるのですが、このアンケートへの記載内容、以下について話をしたいと思います。 FAQへの追加質問について FAQの間違い指摘について 便所の落書きについて   FAQへの追加質問について FAQの記載情報に対し、さらに追加の質問をアンケートに書かれる場合が多くあります。 「○○○とありますが、どういう意味でしょうか?」 「○○○とありますが、理由は何でしょうか?」 「○○○とは、△△△のことでしょうか?それとも×××のことでしょうか?」 匿名で連絡先の記載もないため、そもそも直接回答する手段がありません。 何かご質問があれば、当社の問い合わせ先までお願いいたします。 お問い合わせ 製品・サービスについて 入力 | SCSK株式会社 SCSK株式会社 製品・サービスについてご意見・ご質問をお受けしております。 www.scsk.jp ただし、当社のFAQサイトは、前述の通り、一般公開情報とご契約者様とでコンテンツの出し分けを行っております。 当社のサポート窓口のご契約を頂いているお客様には、Catoクラウドの技術問い合わせをサービスとしてご提供しており(24H365Dの受付、回答は平日9:00-17:00)、さらに、FAQサイトの契約者IDをお渡しておりますので、一般公開していない情報についても、ご覧いただくことが可能になっています。 逆に、ご契約されていない方には、お問い合わせ対応や追加情報のご提供はしておりませんので、予めご了承ください。 もちろん、 現在Catoクラウドのご採用を検討中のお客様や、すでにCatoクラウドをご利用で、既存リセラー(パートナー)からの切り替えを検討されているお客様の質問であれば、遠慮なく当社の問い合わせ先までご連絡ください 。   FAQの間違い指摘について Catoクラウドは、ご存知の方も多いと思いますが、毎週サービス機能がアップデートされています。 リリースノート | よくあるご質問 | Cato Cloud ケイトクラウド - SCSK リリースノートについて cato-scsk.dga.jp ちなみに、 昨年(2022年)度は、年間 3,000を超える機能がリリースされています ので、FAQの情報はすぐに古くなります。 当社で適宜FAQの情報を更新していますが、やはり手が行き届かず、最新情報と異なる情報も多くあります。 アンケートで情報が古いという指摘をいただくことがありますが、これは非常にありがたいです。ありがとうございます。 ご指摘いただいた文書が間違った情報であることが確認できれば、速やかに修正しますので、引き続き間違いを発見された際には、ご指摘いただれば幸いです。   便所の落書きについて 具体的な内容は書けないですが、こちらを馬鹿にする内容などです。 今後も続くようであれば、アンケート入力フォームを停止しようと思っており、場合によっては、FAQサイトの一般公開を停止し、すべてご契約者限定にしようと考えております。 SCSKでは、ネットワークセキュリティのクラウドサービスである「SASE」さらに「Catoクラウド」が、そもそも新しい概念・サービスであるため、多くの疑問点や不明点が出てくるため、その解消を目的にFAQサイトの運営(一般公開)を行っております。 特に、Catoクラウドについては、日本語の情報が非常に少ないため、このエンジニアブログ(TechHarmony)も利用し、積極的な情報発信を行っております。 もちろん、SCSKとしてのマーケティングや販促効果も期待しておりますが、FAQ(i-ask)も無料ではありません。情報を無料で閲覧されるのはもちろん全く問題ないですが、アンケート入力フォームに、馬鹿にする内容、侮辱的な内容を記載されることは受け入れがたく、良識のある行動をお願いできれば幸いです。 もちろんですが、このような内容を書かれた時間、IPアドレスについてはすべて把握しております。   まとめ 毎度のことですが、SCSKでは、2021年からSASEの主要ソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit(通称 S4)」を定期的に開催しており、これまで1,000名以上の方にご参加いただいております。 次回は、2023年10月12日(木)に開催を予定しておりますので、是非ご参加いただれば幸いです。 SCSKでは、Catoクラウドは、2019年より取り扱いを開始し、すでに多くのお客様の導入/運用をご支援させていただいております。 Catoクラウドの知名度向上に向けて、お客様導入事例の制作や、今回ご紹介したFAQサイトの運営、この技術ブログ(TechHarmony)で、さらに皆様のお役に立て、Catoクラウドの知名度UPに少しでも貢献できればと考えておりますので、引き続きよろしくお願いします。
こんにちは。一重です。 とある案件でS3のクロスアカウントアクセスの検証を行った際に、エラーでハマったので共有したいと思います。 VPCエンドポイント経由でアクセスをする際、接続がタイムアウトしているというメッセージが出ており、その原因について今回は記載していきます。 やりたかったこと 下記情報を参考にアカウントAに構築したLinuxサーバからAWS CLIを利用して、アカウントBのS3バケットにアクセスしようとしました。 EC2 インスタンスに S3 バケットへのクロスアカウントアクセス権限を付与する Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを使用して、別のアカウントの Amazon Simple Storage Service (Amazon S3) バケットにアクセスしたいと考えています。インスタンスに認証情報を保存することなく、このアクセス権限を付与するに... repost.aws すると下記のエラーになってしまいました。 [ec2-user@XXXX ~]$ aws s3 ls s3://bucketname Connect timeout on endpoint URL: "https://sts.amazonaws.com/" 原因 エラーになっていた原因はAWS CLIのバージョンが古かったことでした。 AWS CLI バージョン 2 の新機能と変更点 - AWS Command Line Interface 新機能と、AWS CLI バージョン 1 と AWS CLI バージョン 2 の間の動作における変更について説明します。 docs.aws.amazon.com この記事によると「AWS CLI バージョン 1 はデフォルトで、AWS STS リクエストをグローバル AWS STS エンドポイントに送信する」設定になっているようです。 AWS CLIバージョン1はデフォルトで、AWS STSリクエストをグローバルAWS STSエンドポイントに送信するため、リージョン固有の設定によってタイムアウトが発生する AWS CLIバージョン2ではデフォルトでリージョンエンドポイントにSTSリクエストが送信されるため、この問題が発生しない 解決方法 AWS CLIバージョン1をアンインストールして、AWS CLIバージョン2をインストールすることで解決しました。 バージョン1からバージョン2への詳しい更新方法は下記をご参照ください。 AWS CLI バージョン 2 の移行手順 - AWS Command Line Interface AWS CLI バージョン 1 からAWS CLI バージョン 2 への移行方法を説明します。 docs.aws.amazon.com まとめ これまでにAWS CLIは多少触ったことがあったのですが、特にエラーや不都合がなかったのでバージョンを意識せずに利用していました。 原因で参照しているURL先を見ると、バージョン1とバージョン2の差異もかなりあったので、利用時にはきちんとバージョン意識して利用しないとダメですね。
こんにちは、SCSK 西山です。 AWS User Notifications を使用して、AWS から IAM ルートユーザー宛に配信される通知を、複数メールアドレスに送信する機能を実装しましたのでご紹介いたします! やりたいこと ルートユーザーのメールアドレス宛に届くAWSの通知を、複数メールアドレスへ送信したい。 簡単な処理の流れ: Healthイベントが発生→User Notificationsで受信→登録したメールアドレスへ送信   AWS User Notifications AWS User Notificationsとは? AWSサービスからの通知を、一元的に設定して表示できるサービスです。マネジメントコンソール上で、AWSサービスからの通知を確認できます。 新着 – AWS の通知を一元的に設定する | Amazon Web Services 5月3日、AWS User Notifications をリリースしました。これは、AWS コンソール内で、複 aws.amazon.com 利用料はかかる? AWSに確認したところ、User Notifications自体の利用料は 無料 とのことです!   設定手順 下記ファイルに設定手順をまとめました。 ダウンロードしご確認ください。 AWS User Notifications設定手順書 Download Now! 15 Downloads   補足 Healthはベストエフォートベースでイベントを配信するため、ルートユーザーに届く通知を全て受信できるわけではないようです。 Monitoring AWS Health events with Amazon EventBridge - AWS Health Use Amazon EventBridge to monitor status changes and receive AWS Health events. docs.aws.amazon.com そのため、全ての通知を受信したい場合はHealth APIをLambda関数で定期的に呼び出し、新しいイベントがある場合には通知を行うといった構成を構築する必要があります。   まとめ 今回は、HealthイベントをUser Notificationsに設定しましたが、EC2やCloudWatchなどのAWSサービスも設定できるので、ご利用中のAWSサービスに合わせて是非お試しください!
Catoクラウドには以下のような様々なセキュリティオプションがあります。 これらのセキュリティ機能・ツールを組み合わせることで、さまざまな脅威から包括的に保護することが可能となります。 ・ 次世代型ファイアウォール(NGFW) ・ セキュア Web ゲートウェイ(SWG) ・ 次世代型アンチマルウェア(NGAM) ・ 不正侵入検知防御(IPS) ・ SaaS・アプリケーション利用の可視化/評価/制御(CASB) ・ 情報漏洩対策(DLP) ・ リモートブラウザ分離(RBI) ・ SaaS Security API この中から今回は、Catoクラウドの情報漏洩対策にあたる「DLP」について紹介していきます! はじめに CatoクラウドのDLPは、標準搭載されている機能ではなくセキュリティオプションです。 また、DLPについては、同じくセキュリティオプションであるCASBのご契約が行われていることが前提となっております。 つまり、DLPは、CASBをベースとしてアプリケーション制御に追加するデータおよびコンテンツの検査を行う機能となります。 DLPのコンテンツ検査は、透過型(インライン)プロキシのため、CASBと同じくTLS Inspectionの有効化が必須です。 Catoクラウドのサービス体系については別記事で詳しく説明しておりますので是非ご参照ください! Catoクラウドのサービス体系について Catoクラウドのサービス料金を含むサービス体系、オプションやマネージドサービスについて紹介します。 blog.usize-tech.com 2023.08.17 DLP(Data Loss Prevention)とは DLP(Data Loss Prevention)とは、機密情報や個人情報の損失および情報漏洩を防ぐセキュリティツールのことです。 従来の情報漏洩対策といえば、操作ログの取得のように、ユーザーが不審な行動をしていないかを監視する方法が主流でしたが、この方法では、ログやアラートの量が多くなってしまい、運用の負荷が高くなる点が課題となっていました。 それに対し、DLPは重要データそのものを監視するため、ログやアラートの数を必要最低限に抑えることができます。 さらに、データごとに操作制限を設けることで正規ユーザーによる機密データの持ち出しを防ぐことができるのがメリットといえます。 DLPの機能をざっくりまとめると、以下の3つです。 重要データの 識別 する機能 重要データに対して 操作制限 を設ける機能 インシデント 検出 機能 それでは、Catoクラウドにおけるそれぞれの機能について紹介していきます。 CatoクラウドのDLP 識別 重要データの識別方法は以下設定箇所にて、定義ができます。 *設定箇所:Security>DLP Configuration(2023年10月時点) 定義の方法は次の3通りです。 Catoが事前に定義してくれている定義型を利用する *設定箇所:Security>DLP Configuration> Data Types Catalog (2023年10月時点)                  Data Types Catalog にて事前定義型一覧の確認が可能です。 日本では”機密”という文字が記載されたデータや”マイナンバー情報”等個人情報が記載されたデータが定義されています。 カスタム定義型を作成する *設定箇所:Security>DLP Configuration> User Defined Data Types (2023年10月時点)                  事前定義型でカバーできない場合は、 User Defined Data Types にてデータ型のカスタマイズが可能です。 KeyWordやDoctionary、正規表現 等、要件に沿って定義します。 Microsoft 365 のMIPラベルを利用する *設定箇所:Security>DLP Configuration> DLP Connectors Settings (2023年10月時点) *設定箇所:Security>DLP Configuration> Sensitivity Labels (2023年10月時点)                  DLP Connectors Settings にて APIコネクタを構成し、使用するMIPラベルを Sensitivity Labels より 自動的に取得します。 1の事前定義型を利用する方法が1番簡単そうですが、事前定義型でカバーできない場合は2や3を利用することでポリシーに沿った設定が自由にできます。 操作制限 ルールを作成するにあたり、以下設定箇所でProfileの作成をします。 *設定箇所:Security>DLP Configuration>Content Profiles(2023年10月時点) 作成したProfileを使って以下設定箇所でルールを作成することで、操作制限ができます。 *設定箇所:Security>Application Control Policy(2023年10月時点) 検出 Catoクラウドには、DLP Dashboardがあり、指定時間内のDLPの検出結果を確認することができます。 *設定箇所:Monitoring>DLP(2023年10月時点)   DLP Dashboardの画面左上、Top Violating Rulesには作成したルール毎にイベントの出力件数が表示されます。 数字をクリックすると、Monitoring>Eventsページに遷移し、出力されたイベントのより詳細な情報を確認することもできます。(手動でFilterをかけて対象のイベントを探すより簡単です!)   DLPの動作 CatoクラウドのDLP機能について理解ができたところで、実際にDLPの設定を行い動作テストをしてみました! 今回は、”機密”の文字が入ったテキストファイルをSlackでアップロードさせないという動作を再現しています。 CatoクラウドのDLP設定は以下 3Step のみで完了です。 Step1:重要データの識別方法を定義 Step2:Step1で定義したデータ型のProfileを作成 Step3:Step2で定義したProfileを利用したルールを作成 まずは Step1 。 データ型の定義は、事前定義型のConfidential document markers [Japan]が利用できそうなので、これを利用することにします。 次に Step2 。 ”test profile”という名前でProfileを作成していきます。 Profileが追加されました。 そして最後に Step3 。 ”test rule”という名前でルールを作成していきます。今回は以下通りの設定を行いました。 Source:Any Application:Slack Activities:Upload DLP Profiles:test profiles ※STEP2で作成したProfileを選択 Actions:Block Tracking:Event 以上でCMA設定が完了しましたので、実際にBlockされるのかSlackにログインして試してみると・・・ Cato ClientをOFF(Disconnected状態)の場合、”機密”の文字入りのテストファイルはアップロードされていますが、 その後、Cato ClientをON(Connected状態)にして再度アップロードを試してみると、想定通りBlockされました。 DLP Dashboardを確認すると、このように表示されています。 さらに、Monitoring>Events画面でも今回のテストログ出力が確認できました。 まとめ 今回は、Catoクラウドの情報漏洩対策にあたる「DLP」について解説を行いましたが、冒頭でも記載の通りその他セキュリティ機能・ツールと組み合わせることで、さまざまな脅威から包括的に保護することが可能となります。 是非、その他セキュリティ機能を併せて導入をご検討ください。
みなさん、こんにちは。SCSKで飼育されているひつじです。 最近社内のWell-Architected Reviewの促進に取り組んでおります。 そんな中とても便利な機能「テンプレート」が発表されたので紹介します。 そもそもWell-Architected Reviewってなに? AWSが提供するクラウドアーキテクチャのベストプラクティスに基づく評価サービスです。 AWSワークロードを評価し、最適化の機会やセキュリティの強化ポイントを特定するのに役立ちます。 マネジメントコンソール上のQA形式のフォーム(Well-Architected Tool)に登録することで評価することができます。 「テンプレート」機能ってなに? 事前に回答情報を登録しておいて、使い回すことができます。 たとえば同一組織で運用されている複数のシステムがあるとします。 その時に統一的なポリシーや設定に関する設問はテンプレートに記載しておくことでレビュー時間を削減できるのです。 今までのやり方 各システム共通でログ管理の仕組みがあるにも関わらず 同じ質問を同じように回答する手間があった。 テンプレートを利用したやり方 テンプレートとして統一的なやり方を登録しておけば他のシステムは 「他のシステムと同じです」と回答を省エネできます。 実際にやってみた テンプレートというメニューが表示されていますね。     テンプレートの名前を記入します。※本記事執筆時点では日本語だとエラーになりました。 通常のレビューどおりテンプレートに登録情報を記載します。 テンプレートの情報を入力保存したあと、テンプレートから通常のレビューを起票することができます。便利! まとめ ちょうどいま同一のお客様で複数のシステムをレビューする要件がありましたので さっそくテンプレートを活用して効率的にレビューを書いていこうと思います!
はじめに インターネットで Web サイトにアクセスするとき現在は HTTPS を用いるのが一般的であり、HTTPS を用いるとクライアント PC 上のブラウザと Web サーバとの間で暗号化通信を行えます。一方で、ネットワーク管理者やシステム管理者の立場になると、HTTPS 通信の中身をファイアウォール等では確認できないため、ウイルス・マルウェアのチェックや不正なサイトへのアクセスの検知が行えません。 Cato クラウドでは TLS Inspection という機能が用意されており、HTTPS 通信であってもウイルス・マルウェアチェックや不正サイトへのアクセス検知などのセキュリティ対策を一元的に行えるようになっています。 しかし、この機能を有効にすると TLS 証明書関連で躓いたり別の課題が生じたりすることが多いため、本記事では躓く原因でもある証明書関連の仕組みや課題について概要を解説します。 通常のインターネットアクセスにおけるサーバ証明書 まず、Cato 網を経由せずにインターネットにアクセスするときのサーバ証明書を確認してみます。 弊社の Web サイト にブラウザでアクセスすると、次の図のように GlobalSign によって発行された OV のワイルドカード証明書であることが確認できます。 また、OpenSSL コマンドを用いて “openssl s_client -connect www.scsk.jp:443” のように実行すればブラウザを使わなくても証明書の内容を確認でき、その中でも証明書のチェーンは次のようになっていました。 Certificate chain 0 s:C = JP, ST = Tokyo, L = Koto-ku, O = SCSK Corporation, CN = *.scsk.jp i:C = BE, O = GlobalSign nv-sa, CN = GlobalSign RSA OV SSL CA 2018 a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256 v:NotBefore: Jan 11 01:47:27 2023 GMT; NotAfter: Feb 12 01:47:26 2024 GMT 1 s:C = BE, O = GlobalSign nv-sa, CN = GlobalSign RSA OV SSL CA 2018 i:OU = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256 v:NotBefore: Nov 21 00:00:00 2018 GMT; NotAfter: Nov 21 00:00:00 2028 GMT この結果からも、弊社の Web サイトでは GlobalSign によって署名された証明書を利用していることが確認できます。 Cato網を経由したインターネットアクセスにおけるサーバ証明書 次に、Cato 網を経由したインターネットアクセスにおけるサーバ証明書を確認してみます。今回は Windows マシンで Cato Client を用いて Cato 網に接続して試しました。 弊社の Web サイト にブラウザでアクセスすると、次の図のように “Cato Networks server tok2catod7a” という認証局によって発行された証明書に変わっていました。 OpenSSL コマンドでも確認すると、”Cato Networks server tok2catod7a” は中間認証局によって署名された証明書に変わっており、その上位には “Cato Networks CA” というルート認証局があるという結果になっていました。 Certificate chain 0 s:CN = www.scsk.jp i:CN = Cato Networks server tok2catod7a a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256 v:NotBefore: Sep 21 02:10:22 2023 GMT; NotAfter: Nov 23 02:10:22 2023 GMT 1 s:CN = Cato Networks server tok2catod7a i:C = IL, L = Tel Aviv, O = Cato Networks, CN = Cato Networks CA a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256 v:NotBefore: Aug 2 14:40:37 2023 GMT; NotAfter: Oct 11 14:40:37 2025 GMT 2 s:C = IL, L = Tel Aviv, O = Cato Networks, CN = Cato Networks CA i:C = IL, L = Tel Aviv, O = Cato Networks, CN = Cato Networks CA a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256 v:NotBefore: Nov 1 09:32:12 2015 GMT; NotAfter: Oct 29 09:32:12 2025 GMT TLS Inspection 機能を有効にしていると、Cato クラウドがクライアントPC と Web サーバ等の間に入って通信を中継します。このとき、Cato クラウドはクライアント PC に対して TLS サーバとして振る舞うとともに、実際の Web サーバ等に対する TLS クライアントとしても振る舞います。上記の確認結果は、Cato クラウドが TLS サーバとして振る舞うために、Cato 自身でサーバ証明書を発行していることを示しています。 さらに、Windows の証明書ストアを確認すると、”Cato Networks CA” が信頼されたルート証明機関として追加されていました。 クライアント PC では Cato クラウドのルート認証局を OS にて信頼することで、Cato によって発行されたサーバ証明書の検証が成功し、ブラウザでは証明書エラーになることなく通常通りインターネットにアクセスできるようになっています。 なお、Cato のルート認証局の証明書は Cato Client とともにインストールされています。Cato Client をインストールしていない PC には Cato のルート認証局証明書がインストールされていないため、Socket を使ってインターネットにアクセスするとブラウザでは次のように証明書エラーが表示されてしまいます。 TLS Inspection 機能を有効にしている場合、Socket を使って Cato 網を経由してインターネットにアクセスする PC には、ルート認証局証明書を別途インストールする必要があるという点は重要なので覚えておきましょう。 なお、Cato クラウドの標準のルート認証局 “Cato Networks CA” の代わりに、独自のルート認証局を用意し、その認証局を使って Cato クラウドにサーバ証明書を発行させることもできます。他のソリューションから Cato クラウドに乗り換える場合などで、既に独自のルート認証局証明書が PC にインストールされている場合には、その機能を使えば Cato クラウドの証明書をインストールしなくても済みます。 ブラウザ以外で証明書エラーが発生する場合 前述の通り、PC に Cato のルート認証局証明書をインストールしていないと証明書エラーとなってしまいますが、インストールしていても証明書エラーになる場合があります。一般的なブラウザ (Microsoft Edge や Google Chrome など) は OS の証明書ストアを参照するため基本的には問題は生じないものの、一部のソフトウェアは OS の証明書ストアを参照せずに自身で認証局ストアを持っているために問題が生じます。 証明書エラーが発生する場合、そのソフトウェアの証明書ストアに Cato のルート認証局証明書をインストールして解決するのが良く、Knowledge Base の How to Install the Cato Certificate のページではいくつかのソフトウェアについて証明書のインストール方法が案内されています。しかし、他にも多数のソフトウェアで証明書エラーが発生し、証明書のインストール方法は各ソフトウェアしだいですので、画一的な対応方法を案内できないというのが実情でもあります。 証明書エラーが出る場合は、まず OS に証明書がインストールされているか確認しましょう。OS に証明書がインストールされているのであれば、証明書エラーが出るソフトウェアにインストールが必要ですので、各ソフトウェアの開発元にお問い合わせいただくのが確実です。 なお、証明書の検証を無効にする機能がそのソフトウェアに用意されているのであれば、それを使って問題を回避することもできますが、これはあまり望ましい方法ではありません。 証明書をインストールできない場合 OSやソフトウェアに証明書をインストールできれば良いのですが、そうはいかないケースもあります。 PC ・サーバ・モバイル以外にも様々な機器がインターネットに接続しますが、そのような機器の大半は証明書をインストールできないでしょう。実際 TLS Inspection が原因でオフィスの複合機の一部機能が動作しなくなるという事例がありますし、機器のファームウェアの自動アップデートやその他インターネットと連携する機能が動作しなくなるという事象が発生することも予想されます。 また、PC 上で動かすソフトウェアに証明書をインストールする機能や検証を無効化する機能が用意されておらず、ソフトウェアが動作しないという事例も多々あります。 このような場合、該当する通信を TLS Inspection 機能のバイパス対象にすれば解決できます。イベントログのサブタイプ “Internet Firewall” で正常に動作しない機器がどの Web サーバ等と通信しているか確認し、その Web サーバのホスト名やIPアドレスをバイパス設定に追加してください。 証明書をインストールしてもエラーとなる場合 ソフトウェア内に Web サーバ等の証明書が埋め込まれているケースもあります。一般に証明書のピンニングと呼びますが、この仕組みはソフトウェアが本来期待する Web サーバとは異なる Web サーバと通信してしまったとしても、そのソフトウェア自身が気付けるようにする仕組みです。金融機関などセキュリティを重視するサービスが提供するソフトウェアやモバイルアプリで採用されていることがあります。 ソフトウェアにこの仕組みが導入されていると、たとえ OS に Cato クラウドのルート認証局の証明書がインストールされていたとしても、TLS Inspection 機能によって発行された証明書とソフトウェア内に埋め込まれた証明書が一致しないため、ソフトウェア側では証明書エラーとなって正常に動作しないということになります。 このような場合も、TLS Inspection 機能のバイパス対象にすることで解決できます。 Untrusted Server Certificates 設定について TLS Inspection 機能には “Untrusted Server Certificates” という重要な設定項目があります。 この設定項目のデフォルト値は Allow ですが、 Prompt または Block とするのが望ましい です。 TLS Inspection において、Cato クラウドが実際の Web サーバ等に対する TLS クライアントとして振る舞う際、Cato クラウドは Web サーバの証明書が正当なものであるかどうか検証しています。”Untrusted Server Certificates” は、Web サーバの証明書でエラーが発生する場合にクライアント PC に対してどのように振る舞うかを決める設定項目です。 この項目を Allow としていると、実際の Web サーバの証明書エラーが発生したとしても、Cato クラウドはエラーを無視して Web サーバに対して HTTPS リクエストを送信し、そのレスポンスをクライアント PC に対して返すようになります。このとき、クライアント PC では証明書エラーが発生せず、Web サーバの証明書エラーが発生していることに気付くこともなくアクセスできてしまいます。 仮に DNS サーバの侵害等により 中間者攻撃を受ける状況 になったとき、TLS Inspection 機能を利用しない場合は TLS の仕組みによってユーザは攻撃に気付くことができますが、 Allow を設定していると攻撃に気付くことができない という問題があります。 Allow ではなく Prompt や Block を設定していれば、クライアント PC では証明書エラーは発生しないものの Cato の警告・ブロック画面が表示されるため、ユーザは中間者攻撃に気付くことができます。 警告画面の例 (Prompt の場合) ブロック画面の例 (Block の場合) ただし、Prompt または Block にすると、別の問題を引き起こす場合もあります。 一部のセキュリティ製品は、サーバ証明書を独自に署名・発行し、クライアント PC にも証明書をインストールして利用するものがあります。このような場合、Cato クラウドがセキュリティ製品のサーバにアクセスする際に証明書エラーが発生するため、Prompt または Block を設定しているとセキュリティ製品には警告・ブロック画面のレスポンスが返り、期待通り動作しなくなります。 この問題を解消するには、そのような製品が通信するサーバを TLS Inspection 機能のバイパス対象に設定する必要があります。Cato のイベントログでは証明書エラーが発生するサーバに関するイベントが “TLS” というサブタイプで記録されていますので、証明書エラーになっているサーバのホスト名やIPアドレスを調べて、バイパス対象に設定を追加して解消しましょう。 まとめ Cato クラウドの TLS Inspection 機能で躓く原因である TLS 証明書関連の仕組みや課題について解説しました。 TLS Inspection 機能は非常に有用ではありますが、躓くことが多い機能でもありますので、躓いた時の解決のために本記事の内容をお役立てください。解決方法がわからない場合は弊社のサポートまで気軽にお問合せください。
近年、各種クラウドセキュリティサービスに Remote Browser Isolation (RBI、リモート ブラウザ分離) 機能 が搭載されるようになってきました。 Catoクラウドも、セキュリティオプションとしてRBIを提供しています。 RBIとは何か?どんなメリットがあり、どういった利用方法が考えられるのか? をご紹介します。 RBI (Remote Browser Isolation) とは? Webサイトの描画を、端末のブラウザではなくクラウド上の隔離されたブラウザにて行い、結果の画面だけを端末に転送する仕組みです。 例えば、アクセスしたWebサイトにマルウェアが仕込まれていた場合、通常のアクセスだとマルウェアがダウンロードされてしまいますが、RBIを使用している場合、クラウド上で防御され、端末には届きません。 端末の安全を守るのに有効な機能で、Catoクラウドはもちろん、Netskope, Zscaler, Cisco Umbrella といった、各種クラウドセキュリティサービスにも実装されています。 RBIの動作 それでは、CatoクラウドでRBIの動作を見てみましょう。 今回は動作検証用のテストサイトを利用します。このサイトは、アクセスすると自動で無害なテキストファイルがダウンロードされるように設定されています。これがもしマルウェアだったとすると端末に入り込んでしまうという想定です。 以下は、RBI機能は利用せず、通常どおりアクセスした際のスクリーンショットです。 URLを開いただけで、テキストファイルが端末にダウンロード されました。 続いて、CatoクラウドのRBI機能をONにして同じサイトにアクセスします。すると、RBIが動作し、 ファイルのダウンロードは無事ブロックされました。 また、画面上部にRBI動作中であることが表示されています。 このように、RBIはWebサイトの不審な動作を阻止してくれますので、内部ネットワークのセキュリティに大きく貢献します。 では、 すべてのWebサイト表示をRBIに任せれば安心かというと、これは利便性の面で難しい です。 RBIの仕組み上、描画して画面だけ転送するのには数秒かかり、 ユーザとしては表示が遅く感じてしまうため です。 CatoクラウドにおけるRBI運用 では、どういったWebサイトへの通信をRBI経由にすると良いのでしょうか。 信頼できるサイトは通常どおり接続 するのが利便性が良く、 危険性の高いサイトはそもそもアクセスをブロック するべきですので、 危険かどうかの判断が付かないサイト(※)をRBI経由にするのが良い ということになります。 ※URLカテゴリが分類できないサイトや、作成されたばかりで情報のないサイトなど。一般的に、マルウェアサイトやフィッシングサイトといった悪意のあるサイトは、作られては規制されまた新しく作るいうことを繰り返すため、これに該当しやすいです。 Catoクラウドでは、クラウド上の Internet Firewall のAction(Block,Allow,Prompt等)のひとつとして、RBIが指定可能です。条件を指定し、一致した通信をRBIを経由させるよう設定します。 推奨設定は、Webサイトのカテゴリ判定で 「 Uncategorized(未分類) 」および「 Unknown(不明) 」となるサイトをRBI経由にすること です。これは上記の「判断が付かないサイト」に該当するものです。もちろん、この他のカテゴリやURLを指定してRBIを経由させる設定も可能です。 なお、リスク低のアクセスであっても、不審な通信が紛れ込む可能性はあるため、IPSやAnti-Malware等のセキュリティ機能でチェックする必要があります。 注意点 CatoクラウドのRBIには利用上の注意点があります。 1つめは、その名の通りブラウザの通信を対象とした機能のため、ブラウザ以外(メールソフト、クライアントソフト等)の通信には適用されない点です。また、モバイル端末(iPhone、iPad、Android)のブラウザには現状対応していません。 2つめは、RBI経由で表示中のWebサイトにも、文字入力ができる点です。RBI経由であっても、個人情報や機密情報を入力してしまうと、相手先に届いてしまいます。RBI経由ではRead-Onlyにさせるような機能があれば良いのですが。Cato社に要望していきます。 まとめ RBIは、Webブラウザ経由のマルウェア感染等を防ぐ有効な機能です。 IPSやAnti-Malwareといった他のセキュリティ機能と併せて、ぜひ導入をご検討ください。
こんにちは、SCSK三上です。 今回は、気になっていたAmazon QuickSightのPaginated Reportingについて概要と実際に触ってみたので画面イメージなど共有していきます! Paginated Reportingは簡単にいうと Quicksightで作成したダッシュボードをレポートやスケジュールで配信できる サービスです。 Amazon QuickSight Paginated Reports - Amazon Web Services フルマネージドかつクラウドベースの単一のビジネスインテリジェンス (BI) ソリューションから、レポートとデータのエクスポートを作成、スケジュール、共有します。 aws.amazon.com Amazon QuickSightの特徴についておさらい 今までのBIに関する課題 BIの難しさ 2022年中に生成されたデータ量:98ZB 平均的なBIツール数:4つ 意思決定者によるBiの利用率:<20% BIツールの問題 BIの利用者のニーズやスキルがバラバラ BIツールが多数存在する(Excel、Dashboards、Custom Code Embedding、High-Code Forecasting) Amazon QuickSightとは? あらゆる分析ニーズに対応する統合BI データリッチな体験を素早く構築 自動スケーリングによる一貫した高性能 従量課金での書かう設定でコストを削減 Amazon QuickSightの利点 あらゆるニーズに対応する統合BI インタラクティブなダッシュボード、Q、組み込み分析、同じソースからのPagintated Reports 全ての場所でインサイト あらゆるアプリやポータル でシームレスなデータ体験を実現するために、広範なAPIを使用して簡単に組み込み可能 拡張された分析 Qによる自然言語での質問、内蔵MLで予測 オートスケーリング SPICEインメモリデータエンジン による1B以上のデータセットまで拡張可能 ポリシーに基づくガバナンス、セキュリティ 行および列レベルのセキュリティ、ロールベースでのアクセス制御 で安全に共有可能 より少ないコストでより多くのものを 従量課金制によるコスト削減 従来のBI環境とQuickSight 従来のBI環境 Amazon QuickSight BI環境のサイロ化 専門トレーニング、各専門スタッフ プラットフォームごとに異なるUI 高価なライセンスとメンテナンスの分離 ハイパースケールでの統合BIサービス 追加トレーニングや技術トレーニングは不要 同じUIで数週間ごとに新機能 コストのかかるライセンスをなくし、従量課金制に Amazon QuickSightの特徴 論理的ネットワーク環境でオンプレなど どこからでもアクセス可能 SPICEを利用して高速にデータアクセス可能 直接データにクエリ発行可能 ML Insightや異常検知やSageMakerとの連携で更なる分析が可能 全ての人にBIを利用 していただくことが可能 例:社内のポータルサイト Paginated Reportingとは? フルマネージドかつクラウドベースの単一のビジネスインテリジェンス (BI) ソリューションから、 レポートとデータのエクスポートを作成、スケジュール、共有 できるサービス。 クラウドで行うPaginated Reportingについて   高度なフォーマットで印刷可能なレポート 豊富なビジュアルと画像を含む複数ページのPDFレポート PDFおよびCSVエクスポートのスケジュール配信 例:毎週月曜日にエグゼクティブ向けにレポートを送る 統一されたオーサリング ダッシュボードとレポート間での同じデータセットを管理 使い慣れたIFで新たな学習が不要 サーバレスで需要に応じて自動スケール インフラやソフトウェアの管理(ソフトウェアのアップデートを含む)が不要 使用量に応じた従量課金 Paginated Reportingの特徴 その1:複数ページのレポート エクスポート時にテーブル/ピボットテーブルの全ての行をレンダリングする PDFレポートの生成 作成者が定義した 明示的な改ページ により、生成される出力のフローを制御 その2:ヘッダーとフッター ページ番号など、あらかじめ定義されたシステムパラメータを追加可能 ヘッダーやフッターに テキストや画像を追加 して、リッチなビジュアルを作成可能 その3:スケジュール配信 複数ページにまたがる内容の PDF文書をスケジュールする機能 CSVにエクスポートする要約データを選択 その4:スナップショット履歴 レポートのスナップショットにオンデマンドでアクセス Paginated Reportingの料金 タイプ 含まれるユニットレポート 料金 1つのレポート ユニットあたりの追加料金 1ヶ月あたりのプラン 500/月 $500/月 $1.00 年間プラン 4,000/月 $2,000/月 ($24,000/年 $0.50 画面イメージ(レポート作成・スケジュール配信) 今回、既存のダッシュボードをレポート化してヘッダーやフッダーを追加し、スケジュール配信をしてメールでレポートを受け取るところまで実施したので画面をお見せします! レポート作成 今回はこちらのダッシュボードを利用してレポート化していきたいと思います。 まずはシート名の右にある「+」をクリックし、新規シートで「ページ分割されたレポート」から用紙サイズや向きを選択し追加をクリックします。 追加を押すと、このようにレポート形式のシートが作成されるので、既存のダッシュボードからレポート用のシートに複製してレポートを作成していきます。 (対象ビジュアルを選択>一番右にある「 」を押下>ビジュアルを指定して複製>複製先のシートを選択) ヘッダーやセクションに、テキストやインサイト、計算フィールドなどを駆使するとこのようにレポートを作成することができます! 今回は、「テキスト」「インサイト」「計算フィールド」を利用して作成しました。 スケジュール配信 作成したレポートを週次の打ち合わせ前にメンバに展開したい時などに便利なスケジュール配信を利用してみます。 対象のレポートから画面右上の共有を選択し、「ダッシュボードの公開」をクリックします。 公開したいシートのみ選択し、ダッシュボードの公開をします。 「スケジュールを追加」をクリックし、スケジュール内容を選択・記載していきます。 ここで対象のシートの選択や、スケジュール設定、Eメールの件名や受信者等設定します。 すると、このようにレポートが添付ファイルとしてメール受信できました! 今回は添付ファイル形式にしましたが、ダウンロードリンクにすることも可能です。 以上画面イメージでした。 感想と今後の期待 今回半年以上ぶりにQuickSightを利用したのですが、かなりアップデートされていて感動しました!!🎵 会議の時に毎回、Excelでピボットテーブル作成してコピーしてパワポに貼りつけて文章考えて…とやることたくさんの方にはうってつけなのではないかと思いました! レポート中の文章も計算フィールドを駆使して自動化できるのでかなり時間コスト削減されるのではないでしょうか…! 今後は、ビジュアルの複数選択や配置揃えなどパワポライクになることを期待します…!! やっぱりQuickSight楽しい~~★と思った時間でした。 以上、ご拝読いただきありがとうございました。 他にもAmazon QuickSight関連の記事を発信していますので、ぜひご覧下さい。 8/4開催!Amazon QuickSight Roadshowイベントレポート オンサイト開催のAmazon QuickSight Roadshowイベントに参加したのでレポートアップします! やはりオンサイトのイベントは他社の方との交流含めてテンションが上がりますね~ オフィスはもちろん、ドリンクやお菓子のサービス、お弁当まで大変豪華でした! blog.usize-tech.com 2023.08.15 AWSを用いたデータ活用基盤でデータの可視化・分析・診断を実現しよう! SCSKでは、アマゾン ウェブ サービス(AWS)を利用した『データ活用基盤の構築から可視化の流れ』や『データを可視化した後の分析方法』 を学べる動画コンテンツを公開しました! 皆さんのデータ活用にぜひご活用下さい。 blog.usize-tech.com 2023.04.06
どうも、SCSKの齋藤です。 今回はAWS上のサイバー攻撃が起こった際に通知される、「Abuse-report」、「Irregular activity」についてまとめてみました。 この2種類の通知が来た際、それぞれどのような対応をすれば良いのかをまとめていきたいと思います。 また、なぜそのような攻撃が起きるのかの原因も簡単に記載したいと思います。 このブログで記載する原因はあくまで一例であり、悪意のある攻撃者は様々な隙をついて攻撃しますので、このブログで記載する原因以外もあることを念頭においてください。 Abuse-report Abuse-reportとは? Abuse-reportという通知は、EC2インスタンスを侵害された場合に、AWSから通知されるメールの件名となります。 メールには、なぜAbuse-reportが送付されたかの理由が英文で書かれております。 過去にあったケースですと、DDoS攻撃に加担した挙動や、ポートスキャンを実施したのを確認した場合に送付されることが多いようです。 ちなみに、Abuse-report内に該当のインスタンスIDが記載されています。 受信したらどうしたら良いか? EC2インスタンスが侵害されているので、速やかにセキュリティグループなどで通信を遮断してください。 その後、原因調査をしてください。主な原因は後述するので、それらが該当するかをまず確認すると良いでしょう。 原因調査後、インスタンスの安全が確認できない場合は、AMIを含めてインスタンスを削除した方が良いです。(バックドアが仕掛けられている可能性があるためです) 原因が判明し、恒久的な対応や再発防止策がなされた場合、AWSへその旨を返信する必要があります。 このAWSへの返信がされないと、AWSアカウントが停止される可能性もありますのでご注意ください。 また、インスタンスを停止するだけでは、恒久的な対応とはならないため、削除をすることを推奨します。削除しなくても良いと判断した場合は、その理由をAWSに報告した方が良いです。 なぜEC2インスタンスの侵害が起こるのか? 過去事例ですと、セキュリティグループを開けたことが主な原因です。 SSHやRDPの設定で、アクセス元を0.0.0.0にしていると、どこからでも入れてしまうため侵害されやすいです。 アクセス制御は必ず実施しましょう!   Irregular activity Irregular activityとは? Irregular activityとは、AWSアカウントへの侵害を確認した場合に、AWSから通知されるメールの件名です。 こちらも、なぜ送付されたのか理由が書かれておりますが、件名の通り不審な挙動がAWSアカウントであった場合に通知されます。 例えば、1日で大幅な課金が発生したり、普段使っていないリージョンでの課金が発生したりした場合です。 受信したらどうしたら良いか? AWSアカウントの侵害なので、ルートユーザーか、IAMユーザーの侵害が考えられます。 しかし、Irregular activityのメールだけですと、それを特定するのが難しいです。 そのため、CloudTrailを確認する必要があります。 CloudTrailのログを見て、意図しない操作を行なっているユーザーが、侵害されたユーザーとなります。 そのユーザーを特定したら、真っ先にコンソールログインの無効化を実施すると良いでしょう。(IAMユーザーの場合) ルートユーザーの場合、パスワード変更などを実施すると良いでしょう。 その後、原因調査をしてください。主な原因は後述するので、それらが該当するかをまず確認すると良いでしょう。 原因調査後、不正に作られたリソースが他にないかCloudTrailをくまなくチェックし、念の為全て削除を実施してください。原因が判明し、恒久的な対応や再発防止策がなされた場合、AWSへその旨を返信する必要がございます。 このAWSへの返信がされないと、AWSアカウントが停止される可能性もありますのでご注意ください。 なぜアカウント侵害が起こるのか? 主な理由は2つあります。 MFAを有効化していなかったため。 アクセスキーを有効化しており、gitなどに公開してしまったため。 上記理由で、アカウント侵害が起きるケースがとても多いと、私は感じております。 初歩的な対策ですが、絶対に忘れずに実施しましょう! まとめ 今回はAWSへのサイバー攻撃の際に通知される2つのメールについて概要や対応方法、原因をまとめました。 どれも初歩的な対策で防ぐことができる問題なので、必ず対策を怠らないようにしましょう。 ちなみに、検証環境などで起こることが多いと私は感じております。顧客向け環境などはしっかり対策を練るため、あまり発生しないことが多いです。 たとえ検証環境でも、侵害されれば大きな損害を出しますので、気を抜かずに対策することを強く推奨します。 また、侵害されたことで大量の課金が発生した場合は、恒久的な対策を実施することで、AWS社に利用料減免を交渉することができます。 詳しくは、AWSあるいはアカウント提供元のAWSパートナーへご相談ください。
どうも、子育て支援猫型ロボットの実現を心待ちにしている寺内です。 ついにAmazon Bedrock が2023年9月29日に一般公開されました。 AWS、生成系 AI のイノベーションを加速する新しい強力なサービス / 機能の提供を発表 | AWS aws.amazon.com Amazon Bedrockは、複数の機械学習モデルを共通的なAPIでアクセスできるサービスです。いわば機械学習モデルのエコシステムをAWSは構築しようとしていると考えられます。 さっそくboto3を使って、APIアクセスをしてみましょう。 準備 Amazon BedrockのAPIを使い始める前に以下の準備を行います。 IAMポリシーでの権限設定 APIアクセスに使用するアクセスキーの所有IAMユーザに、以下のポリシーをアタッチします。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "bedrock:*", "Resource": "*" } ] } 機械学習モデルの有効化 AWSマネジメントコンソールでAmazon Bedrockサービスの管理画面を出し、使用したいモデルの有効化を行います。 左のメニューから、”Model access” を選びモデル一覧を出します。 各モデルのEULA(End-User License Agreement:使用許諾契約)を確認します。 右上のEditボタンで、使用したいモデルを選択し有効化します。 以下のように、”Available” から “Access granted” に変われば、利用可能となります。 boto3のバージョンアップ pythonプログラムを実行する環境において、boto3をバージョンアップもしくはインストールします。 Amazon Bedrockのサポートをしているboto3バージョンは、1.28.57 以上となります。 既にboto3がインストール済であれば、以下のコマンドでバージョンアップします。 $ pip install --upgrade boto3 新規にインストールする場合は、以下の手順をご参照ください。 AWS SDK for Python | AWS aws.amazon.com 実行 では早速使ってみましょう。使用するモデルは、以下の2つです。 AI21 Labs の Jurassic-2 Ultra v1 Anthropic の Claude v2 Amazon Titanは、Titan Embeddings Generation 1 (G1) については公開済ですが、Titan Text Generation 1 (G1) は2023年10月1日時点でまだ未公開です。Titan Embeddings Generation 1 (G1) はテキストでの回答はせず、ベクトルデータのみ返すため、LangChainとの連携が必須となりますので、今回は試しませんでした。 ここで紹介するプログラムは、 Amazon Bedrock ドキュメントのサンプルプログラム をベースにして若干の修正をしています。 アクセス権はSTS一時認証のプロファイルを使用 リージョンは、全てのモデルが揃っているバージニア(us-east-1)を使用 Jurassicの実行プログラム import boto3 import json session = boto3.Session(profile_name='sts') bedrock = session.client(service_name='bedrock-runtime', region_name='us-east-1') body = json.dumps({ "prompt": "ブラックホールの構造を教えてください。", "maxTokens": 200, "temperature": 0.5, "topP": 0.5 }) modelId = 'ai21.j2-ultra-v1' accept = 'application/json' contentType = 'application/json' response = bedrock.invoke_model( body=body, modelId=modelId, accept=accept, contentType=contentType ) response_body = json.loads(response.get('body').read()) # text print(response_body.get("completions")[0].get("data").get("text")) Jurassic実行結果 $ python jurassic.py ブラックホールは宇宙にある暗黒の巨大な結晶の中に閉じ込められた場所です。 宇宙には数多くのブラックホールが存在しますが、最も重要なのは、銀河の中心にある「銀河のブラックホール」です。 銀河のブラックホールは、銀河の中心にある巨大な結晶の中に閉じ込められています。 この結晶は銀河の中心にある超重力の場所です。 銀河のブラックホールは、銀河の中心にある超重力の場所で、銀河の中心にある巨大な結晶の中に閉じ込められ Claudeの実行プログラム import boto3 import json session = boto3.Session(profile_name='sts') bedrock = session.client(service_name='bedrock-runtime', region_name='us-east-1') body = json.dumps({ "prompt": "\\n\\nHuman:ブラックホールの構造を教えてください。\\n\\nAssistant:", "max_tokens_to_sample": 300, "temperature": 0.1, "top_p": 0.9, }) modelId = 'anthropic.claude-v2' accept = 'application/json' contentType = 'application/json' response = bedrock.invoke_model( body=body, modelId=modelId, accept=accept, contentType=contentType ) response_body = json.loads(response.get('body').read()) # text print(response_body.get('completion')) Claude実行結果 $ python claude.py ブラックホールの基本的な構造は以下の通りです。 - ブラックホールの中心には重力が非常に強い「奇点」がある。この奇点では、物理法則が破綻する。 - 奇点を取り囲む「事象の地平面」という球状の境界がある。この内側では光さえも脱出できない。事象の地平面の内側がブラックホールそのもの。 - 事象の地平面のすぐ外側には「アククレーションディスク」がある。これはブラックホールに吸い込まれたガスが高速で回転する円盤状の構造。 - さらに外側には強力な磁場と、ブラックホールの両極から噴出する相対論的ジェットがある。 - ブラックホールに落ちていく物質は、スパゲティ化現象に Amazon Bedrockの良いところ さて、上記2つのプログラムを見比べてください。違いは以下3つです。 1. 10行目のプロンプトの文字列。同じ質問をしていますが、その書式が違います。 [Jurassic] "prompt": "ブラックホールの構造を教えてください。", [Claude] "prompt": "\\n\\nHuman:ブラックホールの構造を教えてください。\\n\\nAssistant:", 2. 11行目の推論パラメータです。同じパラメータですが、名称が異なります。 [Jurassic] "maxTokens": 200, [Claude] "max_tokens_to_sample": 300, 3. 30行目の出力文章の取得方法です。 [Jurassic] print(response_body.get("completions")[0].get("data").get("text")) [Claude] print(response_body.get('completion')) それ以外は同じコードになっています。これは、API呼び出し方法が全く同じであることを意味します。 このように、Amazon Bedrockは機械学習モデルへのアクセスを統一します。 モデルに入力する文章構造と出力されるデータ構造が異なるところがあるので、そこはモデルに合わせなければなりませんが、現状のChatGPTやBard毎にAPIや依存ライブラリが異なるよりは開発効率は上がります。 現状ですとLangChainのようなLLMヘルパーライブラリを使うほうが便利な面もまだあると思いますが、今後こうしたモデルの使い分けをワンタッチで行えるようになる利便性の向上に期待したいと思います。
こんにちは、SCSK株式会社の川原です。 Google Cloud が開催するカンファレンスイベント Google Cloud Next が国内4年ぶりに東京での開催が決定! 米国本社からの講演者を含む多彩な講師陣による基調講演から始まり、先進事例セッション、テーマ別のブレイクアウトセッションなど、 11月15日(水)-16日(木) の二日間にわたり充実のプログラムがご用意されております。今回は 東京ビックサイト での開催です。 この度当社は、Platinumスポンサーとして出展いたします! IT 業界のみならず様々な業界のリーダー、意思決定者、エンジニア、そして開発者の皆様にご満足頂けるセッションコンテンツが準備されていますので、この機会をぜひ​ご活用ください! 皆様のご参加を心よりお待ちしております! ご登録がお済でない方は、まずはこちらからご登録ください↓↓ ※招待コード【 FY23nx_P030 】の入力をお願いします。 Google Cloud Nextとは Google Cloud Nextは、Google Cloudが主催する国際的なカンファレンスイベントです。 毎年、テクノロジー関連のプロフェッショナル、エンジニア、ビジネスリーダーが集まり、クラウドテクノロジーの最新情報を共有します。イベントでは、基調講演、テーマ別のブレイクアウトセッション、ハンズオンセッション、展示ブースなどが用意され、参加者は最新のクラウドテクノロジーに触れる機会を得ます。 この年に一度のカンファレンスは、Google Cloudの最新技術、製品、トレンドについて知識を深め、業界のリーダーや専門家とネットワーキングする素晴らしい機会です。 **参加の価値** Google Cloud Nextへの参加は、以下の点で大きな価値があります。 – 最新のテクノロジートレンドに追いつく機会 – Google Cloudエキスパートとの直接対話 – ネットワーキングとビジネスチャンスの拡大 – クラウド戦略の改善と最適化 最新情報の入手、ネットワーキング、スキル向上の機会を提供し、参加者にクラウドテクノロジーの最前線での存在感を築く手助けをします。 SCSK セッションのご紹介 SCSKのパートナーセッションでは、国内大手製造工場の生産プロセスにGoogle AIを組み込み、業務を変革するまでの過程をご紹介いたします。 開始日時:11/16(木)12:00~12:40 登壇者: SCSK株式会社 ソリューション事業グループ クラウドサービス事業本部 サービス開発推進部 清水 大海 製造業界においてはこれまで以上に競争が激化しており、最新テクノロジーを活用することが生存と成長のカギとなります。AI技術は、競争優位性を築くための強力なツールとなり、未来を切り開く助けになります。 熟練工の技術を AI が超える事は容易ではありません。しかし、日々の業務に AI を組み込み、例えば抜き取り検査が全量検査に、さらに全自動検査になれば生産プロセスに大きな変革を起こすことができます。 本セッションでは、国内大手製造業様における「外観検査業務の改善プロジェクト」を通じ、 高性能なGoogleAIと、それを十分に活用するために 当社がソリューション全体にどのようにAIを組み込み成功させたのかをご紹介します。 SCSKでは長年にわたり製造業のお客様向けのシステム開発を行っており、そのノウハウを活かすことで製造業の現場にAI技術を落とし込むまでの課題を解決することができました。 本セッションを通じ、 製造業DX関係者の方に参考になる内容をお届けできればと思います。 ぜひご登録ください! SCSKブース SCSKのブースでは、AIはもとより、 ”幅広いGoogle Cloud活用”をご紹介します。 お客様の様々な課題に対し、多様なGoogle Cloud の活用でお応えできることをお伝えいたします。特に推しポイントは、2つです。 エンタープライズでのGoogle Cloud 活用の観点で、SAP on Google や、大規模マイグレーションをご紹介 ERPや業務アプリケーションのプラットフォームとして、また、そこからのデータ活用という観点で、エンタープライズ企業におけるGoogle Cloud活用についてお伝えします。 Google Cloud AI の体験 当社のセッションでもご紹介する国内大手製造業様における、外観検査業務に使えるAIや、コンタクトセンター対応を支援するAIなど、様々な業務知見を持つ当社が、実際のシステム開発プロジェクトでAIをどのように組み込んでいるかお伝えいたします。 ブースでは、実際にカメラでスマホを映しての外観検査や、コンタクトセンターAIなどを体験していただけます! 他にも、Google Cloud の高度なSIMEサービス、「chronicle」の導入事例や、API管理基盤「Apigee」活用事例など、SCSKはGoogle Cloud活用の総合力で、皆さまの課題解決に貢献します。 ぜひSCSKブースに立ち寄り、AIだけではない、Google Cloudソリューションの広がりに触れてくだいさい!   では皆様、 GoogleCloudNextTokyo’23を楽しみにお待ちください。 当日はSCSKセッションならびに展示ブースへの来場をお待ちしております!
こんにちは、丸山です。 前回に続き、Oracle DBからMySQLへの異種DB移行に関する事例を紹介します。 本日は、③性能の壁です。 【Oracle to MySQL】異種DB移行の壁を乗り越える!①変換の壁、②仕様の壁編 Oracle からMySQLへの変換について実際の事例の中から紹介します。 blog.usize-tech.com 2023.09.28 ③性能の壁 <VIEWのTEMPTABLEアルゴリズム> 同じRDBMSでも、オプティマイザはそれぞれ独自に開発されているので、アルゴリズムも製品によって異なり、その違いにより性能問題が発生してしまうこともあります。その中でも、今回はTEMPTABLEアルゴリズムについて紹介したいと思います。 MySQLのビューに関するアルゴリズムは3種類ありますが、その中でTEMPTABLBEアルゴリズムが採用されるケースは注意が必要です。    では、TEMPTABLEアルゴリズムについて、もう少し詳しく説明します。 以下の例について説明していきます。 ・ イベントの参加者一覧(テーブルt)から、20歳以上の参加者一覧のView(ビューv)を作成 ・ このビューvから東京都からの参加者を抽出したい この場合、VIEWの定義は CREATE VIEW v_Adult (v_No,v_Name, v_Pref ) AS SELECT v_No,Name, Pref FROM Guest WHERE Age > 19; 欲しいデータを取得するためのSELECT分は以下となります。 Select * from v_Adult where v_pref = “東京都”; このVIEWを検索するSELECT分を実行した際に、内部でどのような処理をするのかがアルゴリズムの種類によって変わります。 例えば、MERGEアルゴリズムが採用された場合、 内部ではVIEWの参照先テーブルから直接検索が実施される のに対し、 TEMPTABLEアルゴリズムが採用された場合、 内部でVIEWの実行を実施しその結果を一時保存したうえで本来のSELECT分がその一時保存されたテーブルに対して実行 されます。そのため、必要のないデータが大量に読み込まれ、無駄なI/Oが大量発生した結果、性能が下がってしますのです。 もちろん、上記のSQLはTEMPTABLEアルゴリズムを説明するために用意したものなので、実際はMERGEアルゴリズムが採用され効率的な実行がされますのでご安心を。 実際に起きた一例としては、本来テーブルからは400行ほどの読み込みですむSQL分が、TEMPTABLEアルゴリズムが採用されるケースに該当したため1億行もの読み込みが発生してしまい、処理時間が長くなってしまいました。   そのため、TEMPTABLEアルゴリズムが採用されないように書き換える必要があります。しかし、 書き換えは単純なものではなく、SQLを熟知した技術者がそれぞれのSQLを個別に書き換える必要 がありました。その上、私たちが携わった案件ではVIEWを多用しており、TEMPTABLEアルゴリズムが採用される条件に当てはまりそうなSELECT分が多く、書き換えには多くの時間が発生してしまいます。 そのため、以下のような手順で書き換えを実施し、対応することにしました。 上記のように実施することで、変換工数を抑えつつ、システム全体の性能劣化を防ぎました。 補足 この問題は、OracleからMySQLへ移行した際に必ず起こるというものではありません。 OracleDBで現在記述されているSQLの傾向が今回に当てはまるかどうかを確認してみてくださいね。 では、今回はこれで以上となります。
こんにちは、SCSK浦野です。 やっと暑さが落ち着いてきた気がしますが、よく考えたらあと数日で10月ですね。 さて、9月26日にAmazon DynamoDB データエクスポートで増分のエクスポートが追加され、すべてのリージョンで利用可能との事ですので、早速触ってみることにしました。 Announcing incremental export to S3 for Amazon DynamoDB 前提など 既にテーブルが作成されている状態から開始します。また、エクスポート先のS3についても準備済みとします。 DynamoDBに事前に登録してあるデータは以下です。   増分エクスポートの検証 ポイントインタイム リカバリ (PITR) の有効化 通常のエクスポートでも必要な設定ですので、既に設定している場合はスキップしてください。   [バックアップ]タブを選択、ポイントインタイム リカバリ (PITR)欄から確認できます。 状態が「オフ」となっているときは、編集から有効にしてください。 フルエクスポートの実施 ソーステーブル、送信先S3を選択肢、今まで通りの全体のエクスポートを実行します。         実行結果を見ると、フルで取得されていることが分かります。 S3に保存されたデータを確認してみると、以下の内容になっていました。全部入っていますね。 { "Item": { "Dept": { "S": "Development" }, "Id": { "N": "3" }, "name": { "S": "Charlie Coder" } } } { "Item": { "Dept": { "S": "Sales" }, "Id": { "N": "2" }, "name": { "S": "Bob Salesman" } } } { "Item": { "Dept": { "S": "Administration" }, "Id": { "N": "4" }, "name": { "S": "Diana Admin" } } } { "Item": { "Dept": { "S": "Development" }, "Id": { "N": "1" }, "name": { "S": "Alice Developer" } } } { "Item": { "Dept": { "S": "Sales" }, "Id": { "N": "5" }, "name": { "S": "Eve Consultant" } } }   DynamoDBへのアイテムの追加 コマンドを利用して、1件アイテムを追加します。 追加後の結果はこちら。 増分ののエクスポート の実施 S3へのエクスポートのページに移動し、[S3へのエクスポート]ボタンを押して新たなエクスポートを作成、実行します。 エクスポート期間では、先ほど追加のアイテムを追加した時間が入るように期間を設定します。   実行結果を見ると、増分で取得されていることが分かります。      S3に保存されたデータを確認してみると、以下の内容になっていました。該当時間に追加されたデータが入っていました。 ※増分データは、取得時に作成されるフォルダの中ではなく、一つ上の階層に data フォルダが出来てそこに保存されるようです。  { "Metadata": { "WriteTimestampMicros": { "N": "1695885268847648" } }, "Keys": { "Dept": { "S": "Management" }, "Id": { "N": "6" } }, "NewImage": { "Dept": { "S": "Management" }, "Id": { "N": "6" }, "name": { "S": "Frank Manager" } } }   まとめ DynamoDB のS3への増分エクスポートを試してみました。 実際の運用で定期的な実行には、Amazon EventBridge などを使用して、スケジュール設定する必要などが出てくるかと思いますが 増分エクスポートができるようになったことで、利便性が向上したと思います。
本記事ではCatoクラウドの管理画面である、Cato Management Application(CMA)を実際の画面を交えて管理画面の見方と主に使用する項目について紹介していきます。 Catoについて知ったばかりでもっと知りたい!や、実際にCatoってどういう操作画面なのか見てみたいという方向けにご紹介させていただきます。 Catoについての詳細に関しましてはこちらの記事をご参照してみてください! 世界初のSASEプラットフォーム Catoクラウドとは? Cato Networks社 の Catoクラウド(ケイトクラウド)についてご紹介します。 Catoクラウドは世界初のSASEのサービスであり、強固なセキュリティとシンプルな運用管理を実現します。 blog.usize-tech.com 2023.08.15 管理画面 それではCatoクラウドの管理画面をみていきましょう! なお管理画面の仕様や配置については、アップデート等で変更する可能性がございますので予めご了承ください。 こちらがCMAの画面となります(2023年9月時点)   この管理画面上からネットワーク、セキュリティの設定やネットワークトラフィック、セキュリティイベントに関する分析や確認が可能となります。   各種機能 次に、管理画面から使用できる以下4点の機能についてご紹介していきます。 ナレッジサイト 通知画面 検索機能 日本語訳機能   ナレッジサイト 画面上部右側にクエスチョンマークのアイコンがあります。こちらをクリックすると以下のような項目がでてきます。 「Knowlege Center」の項目を選択すると、Cato社が提供している設定方法やナレッジ情報があるサイトに移動することができます。このサイトは英語表記ですが、翻訳機能を使用すれば日本語での確認ができます。基本的な機能説明や応用方法などの記載があるため何か困った際はご参照いただければと思います。   通知画面 次にベルマークのアイコンです。 通知が確認できる箇所となります。バージョンアップを実施した記録やそれが正常に完了しているか失敗しているか、SocketとSiteを紐づける等の通知が表示される箇所となります。   検索機能 次に以下赤枠の箇所のアカウントメニューについてです。   こちらを選択すると項目を検索できる機能が以下画面のように現れます。 各機能がどこにあったかわからなくなることがあると思いますので、こちらの検索機能を用いて探してみて下さい!   日本語訳機能 最後にプロフィールのアイコンです。   アイコンをクリックすると以下のような画面が表示されます。Languageの▼のところをクリックすると日本語表記に変換することができます。   ただ日本語訳が上手くされていない箇所が多々あるので日本語表記にする際はご注意下さい!   設定項目 次に、実際に設定を投入していく画面について説明していきます。 画面上部に記載があるこちらが各種設定の大項目となります。   大項目は、Monitoring、Netowork、Access、Security、Assets、Administration の6つがあります。 各大項目の主な機能内容としては以下となります。 Monitoring ログ確認、利用状況確認等 Network NW全体設定、拠点設定 Access VPN接続設定、端末制御 等 Security FW設定、IPS、アンチマルウェア 等 Assets グループ設定、カテゴリ設定 Administration 管理者登録、通知設定 等   大項目を選択すると画面左側に中項目が出てきます。 中項目を選択すると、それぞれの機能を設定する画面が表示されるので、そこで設定投入していきます。   それでは、大項目の内容についてそれぞれ見ていきましょう。   Monitoring 接続しているユーザーやSite(拠点)の情報・使用状況などの確認ができる項目となります。 Monitoringの画面で確認できる機能の一覧についてみてみましょう(2023年9月時点) Topology 接続されているSite・ユーザーの構成が表示されます。 Events Catoクラウドのすべてのログが一元的に確認できる機能です。詳細について以下ブログに記載しておりますのでご確認ください。 https://blog.usize-tech.com/how-to-filter-catocloud-events/ Sites Overview Site(拠点)一覧やSiteごとのトラフィックがグラフで確認できます。 SDP Users Overview モバイルユーザー(SDPユーザー)の一覧・詳細情報が確認できます。 App Analytics どのアプリが多く使われているかなどアプリケーションに関する分析ができる機能です。 Audit Trail 管理者が行った操作のログを確認できる機能です。 Security Threats 悪意がある、または疑わしいアクティビティを表示できます。 MITRE ATT&CK  自社ネットワークに対してどのような攻撃や攻撃予兆があったのかを確認できる機能です。詳細について以下ブログに記載しておりますのでご確認ください。 https://blog.usize-tech.com/cato-mitre-attck-dashboard/ Cloud Apps Dashboard クラウドアプリの使用状況とリスク分析の確認ができます。 DLP データコントロール ポリシーに基づいて、ネットワーク内のデータおよびコンテンツ関連のアクティビティの確認ができる機能です。 SaaS Security API SaaSアプリへのトラフィック監視および制御を確認できる機能です。 SDP Users SDPユーザーの接続履歴などが確認できます。 Network Dashboard Site-Cato網間のトラフィックが確認できます。 Best Practices Catoクラウドに設定している各機能が、Cato社の推奨設定と一致しているかを確認する機能です。詳細について以下ブログに記載しておりますのでご確認ください。 https://blog.usize-tech.com/catocloud-best-practices/ Stories Dashboard Catoクラウドによって検出されたネットワークに対する潜在的な脅威を確認できます。 Stories Workbench Stories Dashboardで確認できた脅威についての詳細が確認できます。 Reports SiteやSDPユーザー、期間の指定やネットワーク関連やアプリケーション関連などのタイプを選択し関連データと情報をPDFとしてレポートを生成できます。   試しに、MonitoringのEventsがどんな画面か見てみましょう。   上記のようなグラフが表示されます。確認できる内容としては、イベントログの量や確認したいイベントの分類[SecurityやRoutingなど]や日時など指定してログの確認が可能となります。   また、Monitoring項目の中に「Best Practices」という、各設定項目がCato社の推奨としている設定になっているかを確認してくれる機能があります。 ただこちらの機能での設定項目確認については各社利用状況が異なるため、一概には「Best Practices」の機能に従えば良いというものではありません。SCSKでは、各社に適した項目をご提案できる設定診断サービスを提供しておりますので是非ご利用下さい。   Network ネットワーク全体の設定や、Site(拠点)ごとのネットワーク設定を行える項目となります。   Networkはこのような画面となってます。 Networkの項目では以下のような機能が実装されております。(2023年9月時点) Sites 対象のSite名を選択するとそのSiteのイベントログやトラフィックの詳細情報を確認できます。またSocketのLAN側のアドレスやルーティングの設定、LAN Firewallの設定が可能です。 Network Rules QoSやNATなどのネットワークルールの設定を作成できます。 DHCP DHCPの設定が行えます。 DNS Settings DNSの設定が行えます。 Remote Port Forwarding インターネットからのTCP/UDPトラフィックをCatoクラウドを介して指定したリソースに転送を行える機能です。 Bandwidth Management 帯域の管理と優先順位の設定を行えます。 IP Allocation お客様固有の固定グローバルアドレスを取得できます。 Connection SLA SLAの接続に関する設定を行えます。 Floating Ranges BGPを利用する際の機能です。 IP Ranges 複数のポリシーでグローバル IP 範囲を使用する機能です。 Link Health Rules 接続または品質に関連する問題が発生した場合にメール通知をするよう設定が行える機能です。 Last Mile Monitoring 特定のサイトとPoP間のISPリンクの品質を監視できます機能です。   Access VPNの接続設定や端末制御、モバイルユーザー(SDPユーザー)の追加・設定ができる項目となります。 Accessの項目では以下のような機能が実装されております。(2023年9月時点) Users ユーザーの情報確認や作成ができる項目です。 User Groups ユーザーをグループごとに仕分けることができる機能です。 Directory Services CatoアカウントとADドメインを連携するための操作を行う項目となります。 User Awareness Socketの配下、またはオフィスモードのユーザを識別できる機能です。 Single Sign-On Microsoft AzureやOktaなどの Single Sign-On (SSO) プロバイダーを 1 つ選択し、ユーザーおよび管理者に対して、Catoクラウド接続の認証方法を設定できます。 MAC Authentication MAC アドレスの認証制御ができる機能です。 Device Posture Catoクラウドへ接続するデバイスに対して、製品指定や対象の証明書などが入っているかなどで識別し接続を制限する機能です。 Client Connectivity Policy デバイスがセキュリティ要件に準拠している場合にのみ、ネットワークに接続できるようにする機能です。 Client Access ユーザーがCatoクラウドへ接続する際の各種設定を行う項目となります。 Client Rollout Catoクライアントのアップデートを管理する機能です。詳細について以下ブログに記載しておりますのでご確認ください。 https://blog.usize-tech.com/cato-client-rollout/ Always-On Policy CatoクライアントのON/OFFをユーザー側で制御させず、ユーザーからのトラフィックを常にCatoクラウドへ通過させる機能です。詳細について以下ブログに記載しておりますのでご確認ください。 https://blog.usize-tech.com/catocloud-always-on/ IP Allocation Policy SDPユーザーのDynamic IP範囲を定義する機能です。また、特定の SDP ユーザーに対してStatic IPアドレスの割り当ても行える項目となります。 DNS Settings Policy SDPユーザーのDNS設定を管理する項目となります。 Browser Access Catoクライアント証明書を使用して、ブラウザーアクセスポータルに対して認証を行う機能です。 Client Customization SDPユーザーに対して表示させるロゴのカスタマイズができる機能です。   Security インターネットへの通信を制御するInternet Firewallや拠点間の通信を制御するWAN Firewallなどのセキュリティに関する設定を行う項目です。   Firewall機能についての詳細に関しまして以下ブログをご参照ください。 CatoクラウドのFirewall機能について CatoクラウドのFirewall機能について解説いたします。 blog.usize-tech.com 2023.09.28   証明書の確認設定を行う「TLS Inspection」やCASB機能の設定ができる項目となっています。 CASB機能の詳細については以下技術ブログをご参照ください。 CatoクラウドのCASBについて Catoクラウドのセキュリティオプション CASB について解説します。 blog.usize-tech.com 2023.09.12   Catoクラウドで提供しているセキュリティオプションと内容について以下となります。 Next Generation Anti-Malware アンチマルウェア(Anti-Maalware)と次世代型アンチマルウェア(Next Generaation Anti-Malware) IPS Intrusion Prevention System。不正侵入防止システム(DNS Protectionを含む) CASB Cloud Access Security Broker。SaaS・アプリケーション利用の可視化/評価/制御 DLP Data Loss Prevention。機密漏洩や重要データの漏洩対策 RBI Remote Browser Isolation。Webブラウザ分離 SaaS Security API 外部クラウドサービスのAPIによるセキュリティ検査(アンチマルウェア、DLP) Assets ユーザーのグループ設定やカテゴリ設定を行う項目となっております。     詳細については以下Cato Networks社が提供しているKnowlege Baseに詳細が記載されておりますのでご参照ください。 Security check support.catonetworks.com   Administration 管理画面を編集できるアカウント(管理者)を追加・設定できる項目となります。     Administrationの項目では以下のような機能が実装されております。(2023年9月時点) Administrators 管理者の一覧が表示されます。管理者の追加もこちらの項目で実施します。 Roles & Permissions 管理者の権限一覧が表示されます。 Login Restrictions ログインの制限の設定を行えます。 Email Notifications メール通知に関する設定を行えます。 Email Customization メールに通知が来るフォーマットの編集を行えます。 Mailing Lists メーリングリストの作成を行えます。 License 契約帯域や契約ユーザー数、契約期間などに関する情報が記載されています。 Sockets Inventory インストールやテナントに接続されたかなどSocketに関するイベントの履歴が確認できます。 API & Integrations APIキーなどにAPI関連の操作を行う機能です。 Log Exporter AuditTrailやSecurityなどログの種類を選択し、Jsonなどのフォーマットでクライアントスクリプトをダウンロードできる機能です。 System Settings システムの設定を行う機能です。メンテナス実施日時の指定など可能です。   まとめ 以上がCatoクラウドの管理画面であるCato Management Application(CMA)となります。 簡単ではありますが各項目の内容と主に使用する項目について紹介させていただきました。 各種機能を管理画面上で設定していきユーザーや拠点、ルールを一元管理・可視化できることが実際の画面を通じて感じていただけたかと思います。 これを機にCatoクラウドに関して更に知りたい事がございましたらお気軽にお問い合わせください。
ソフトウェアやシステムの開発手法の1つにアジャイル開発があります。アジャイル開発はユーザーニーズに素早く対応するための、アプリケーションを高速に開発する手法です。そしてアジャイル開発には、作成したアプリケーションを素早くリリースするためのCI/CD環境が必要になります。 今回は、AWSのCodepiplineを用い、EC2インスタンスへDockerイメージをビルドし自動デプロイする方法を書きます。構成はシンプルなものですが、ご参考になれれば幸いです。 構築環境について 構成図は下記の通りです。AWS上のWEBサイトのCI/CD環境を構築いたします。   基本的な流れ パイプラインの流れは下記の通りです。 Visual Studio code上に作成したファイル群をCodeCommitにプッシュすると、Codepiplineが起動し、2以降が開始 ファイル群の中にあるDockerファイルから、CodebuildでDockerイメージをビルド 作成したDockerイメージがECRにプッシュ ECRにプッシュされたDockerイメージが、EC2インスタンスからプルされる + CodeCommit上にあるWEBサイトのhtmlファイルが、デプロイされる ※すでにECR上に同じDockerイメージがECRにプッシュされている場合は、2と3はスキップ。   利用イメージ WEBサイトの表示内容を変更したい 変更したindex.htmlファイルをCodecommitにプッシュすると、変更したindex.htmlがEC2インスタンスにデプロイされ、WEBサイトの表示内容を変えることができます。 Dockerコンテナを更新したい 変更したDockerファイルをCodecommitにプッシュすると、新しいDockerイメージが作成されECRにプッシュされます。その後EC2インスタンスに新しいDockerイメージがプルされ、新しいDockerコンテナが立ち上がります。   設定方法 前準備 配信先のEC2インスタンスへは、事前に下記の3つが必要になります。 EC2インスタンス用のAWS Identity and Access Management (IAM)ロールをアタッチ CodeDeployエージェントのインストール CodeDeployエージェントの設定ファイルを編集 VPCには下記の3つが必要になります。 VPCエンドポイントの設定 VPCエンドポイントへのセキュリティグループの設定 EC2インスタンス用に作成したIAMロールに対し、プライベートVPC用のポリシーを付与 詳細は、下記をご確認ください。 AWS CodePipeline作成時の確認ポイント – TechHarmony (usize-tech.com) Amazon ECRの説明 Amazon ECR上にリポジトリを作成します。ここではCodebuildでビルドするDockerイメージと同じ名前にする必要があります。ここではリポジトリ名は、img_mywebとしています。   AWS CodeCommitの説明 ローカルの端末にVisual Studio codeをインストールし利用します。Visual Studio code上に作成したフォルダ構成は下記の通りとしました。 [Visual Studio code上のフォルダ構成] ├── buildspec.yml #CodeBuildでビルド実行時に実行するコマンドを記述するYAMLファイル ├── dockerfile #ビルドするDockerイメージの内容を記載 ├── appspec.yml  # CodeDeployで利用するでデプロイ処理を記述するYAMLファイル ├── index.html # 配信先のEC2インスタンスへ配布するhtmlファイル └── src │ ├── Docker.sh #EC2インスタンス上で実行させる、ECRからDockerイメージをプルしてコンテナを起動するスクリプト そのあと、CodeCommit上に下記の内容のファイル群をプッシュいたします。Codecommitとローカル端末のVisual Studio codeとの連携には、下記URLが参考になります。 Visual Studio CodeでAWS CodeCommitを使う (zenn.dev) ※ちなみに、AWSのコンソールログイン時にMFAを強制にしていた場合は連携が失敗します。下記方法で回避が可能です。 MFAを強制しながらCodeCommitをgitコマンドや各種ツールから利用する – Qiita   次に、それぞれのファイルについて詳しく見ていきます。 buildspec.yml Codebuildで実行させるbuildspec.ymlを記載いたします。buildspec.ymlとは、CodeBuildでビルド実行時に実行するコマンドを記述するYAMLファイルのことです。ここでは、img_mywebという名前のDockerイメージをビルドします。 version: 0.2   #DOCKER_HUB アカウントを記載 env:   parameter-store:     DOCKER_USER: /CodeBuild/DOCKERHUB_USER     DOCKER_PASSWORD: /CodeBuild/DOCKERHUB_PASS   variables:     DOCKER_BUILDKIT: “1”   phases:   pre_build:     commands:       – echo Logging in to Amazon ECR…    #ECRにログインしてDockerイメージをプル       – aws ecr get-login-password –region $AWS_DEFAULT_REGION | docker login –username AWS –password-stdin $AWS_ACCOUT.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com         #CodebuildのAPI呼び出し制限を回避するため、DOCKER_HUBにログイン       – echo Logging in to Docker Hub…       – echo ${DOCKER_PASSWORD} | docker login -u ${DOCKER_USER} –password-stdin         – docker pull $AWS_ACCOUT.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com/img_myweb:latest || true     build:     commands:       – echo docker build…       – docker build -t img_myweb .            #img_mywebという名前のDockerイメージをビルド   post_build:     commands:       – echo Pushing the Docker image…     #作成したDockerイメージ img_mywebをECRにプッシュ       – docker tag img_myweb:latest $AWS_ACCOUT.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com/img_myweb:latest       – docker push $AWS_ACCOUT.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com/img_myweb:latest artifacts:   files:     – ‘**/*’ $AWS_DEFAULT_REGION:使用するリージョンに読み替えてください。 $AWS_ACCOUT:使用するAWSアカウントに読み替えてください。 補足1 pre_buildフェーズにおいて、ECR上の作成済のDockerイメージをプルする、docker pullコマンドを実行しています。この記述を追加することで、ビルドに要する時間をスキップできます。初回やdockerfile変更時などで、ECR上に存在しない場合は、buildフェーズで一からビルドされます。 補足2 Docker Hubのアカウントを事前に用意します。AWS Systems Managerに記載し、それを参照してDocker Hubにログインしています。(buildspec.ymlの 赤文字部分 )。これを記述しない場合、まれに下記のアラートが発生する可能性があります。これはCodebuildのAPI呼び出し制限に引っかかるためです。 toomanyrequests: You have reached your pull rate limit. You may increase the limit by authenticating and upgrading: https://www.docker.com/increase-rate-limit 詳しくは、下記をご確認ください。後述の”AWS Codebuildの説明”においても補足します。 CodeBuildのIPガチャを回避するお話 – ITお絵かき修行 (hatenablog.com)   dockerfile 次にdockerfileです。Apacheをプルするだけなのでシンプルなものです。 FROM httpd   appspec.yml 次に、Codedeployで実行させるappspec.ymlを記載いたします。appspec.ymlとは、CodeDeployで利用するでデプロイ処理を記述するYAMLファイルです。ここでは、Codecommitにプッシュしたindex.htmlを、配信先のEC2インスタンスの/var/www/htmlディレクトリに配信するように指示しており、その後Docker.shを実行します。 version: 0.0 os: linux files:    – source: index.html                 #配信したいファイル名      destination: /var/www/html    #配信先のEC2インスタンスのディレクトリ file_exists_behavior: OVERWRITE   #destinationにファイルが既にある場合は上書き hooks:   AfterInstall:      – location: src/Docker.sh           #ECRからDockerイメージをプルし、コンテナを作成するプログラム。詳細は後述   index.html WEBサイトで公開するhtmlファイルです。簡易なものを用意しました。 <!DOCTYPE html> <html> <head>   <title>これはテストです。</title>   <meta charset=”UTF-8″> </head> <body>   <h1>これはWEBサイトです。</h1> </body> </html>   Docker.shプログラム img_mywebのイメージをECRからプルし、古いコンテナがある場合は削除&img_mywebのイメージを用いて、コンテナを起動するプログラムです。ところどころスリープを入れています。appspec.yml上で本プログラムの実行を指示しています。 #!/bin/sh aws ecr get-login-password –region $AWS_DEFAULT_REGION | docker login –username AWS –password-stdin $AWS_ACCOUT.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com sleep 10s sudo docker pull $AWS_ACCOUT.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com/img_myweb:latest #Delete old container sudo docker stop myweb sleep 10s sudo docker rm myweb sleep 10s #Create new container sudo docker run -d -p 80:80 –name myweb -v /var/www/html:/usr/local/apache2/htdocs $AWS_ACCOUT.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com/img_myweb $AWS_DEFAULT_REGION:使用するリージョンに読み替えてください。 $AWS_ACCOUT:使用するAWSアカウントに読み替えてください。 AWS Codebuildの説明 ビルドプロジェクトの作成 CodeBuildの画面から、ビルドプロジェクトを作成していきます。”ビルドプロジェクトを作成する”ボタンを押します。 ■ソース   作成したCodecommitのリポジトリ名とブランチ名を指定します。 ■環境 ・オペレーティングシステム:Amazon Linux2/ランタイム:Standard/イメージ:Standardの最新を選択します。 ・特権付与にチェックを入れます。Dockerのビルドを可能にするためです。 ・buildspec.ymlに前述した、Docker Hubのアカウントをビルドプロジェクトにて記載いたします。追加設定 > パラメータの作成画面 を押下し下記内容でパラメータを作成ください。 名前 値 タイプ DOCKERHUB_USER DOCKER HUBのIDを指定 パラメータ DOCKERHUB_PASS DOCKER HUBのPasswordを指定 パラメータ ■Buildspec  ビルド仕様 は “buildspec ファイルを使用”を選択してください。(デフォルトのままでOKです)   その後、”ビルドプロジェクトを作成する”ボタンを押して完了です。 補足 ビルドプロジェクトで利用するロールに、下記のポリシーをアタッチください。ECRにログインできるようにするためです。 AWS管理:AmazonEC2ContainerRegistryPowerUser AWS CodeDeployの説明 アプリケーションの作成 CodeDeployの画面から、”アプリケーションを作成”ボタンを押します。 “コンピューティングプラットフォーム”は”EC2/オンプレミス”を選択します。   デプロイグループの作成 “デプロイグループの作成”ボタンを押します。 ・サービスロール    AWS管理ポリシーの”AWSCodeDeployRole”がアタッチされたロールを事前に用意し指定ください。 ・環境設定    ”Amazon EC2 インスタンス”をチェック > タググループ1にて、配布したいEC2インスタンスに付与されているタグ名を記載します。 ・ロードバランサー    ここでは無効を指定します。 その後、”デプロイグループの作成”ボタンを押して完了です。 AWS CodePiplineの説明 最後に作成した各Code群をパイプラインでつなぎます。”パイプラインを作成する”ボタンを押下して、作成してきた各構成要素を選択していけば完成です。   結果 最後に、index.htmlファイルをVisual Studio code上で変更して、CodeCommitにプッシュしてみます。   デプロイ前 WEB画面は下記のとおりです。 ※事前にデプロイ先のEC2インスタンスがブラウザから見れるように設定ください。具体的にはEC2インスタンスへのインバウンドのHTTPアクセスを許可してください。   ローカルの端末のVisual Studio code上で、index.htmlの中身を修正します(赤文字:修正行)。 <!DOCTYPE html> <html> <head>   <title>これはテストです</title>   <meta charset=”UTF-8″> </head> <body>   <h1>これは変更後のWEBサイトです</h1>   <p>デプロイ成功しました!</p> </body> </html> 同様に、Visual Studio code上でCodecommitへプッシュするコマンドを実行します。 > git add . > git commit -m “modify index.html” > git push origin master   デプロイ後: WEB画面は下記のとおりとなりました。変更されていることがわかります。     最後に シンプルな構成でしたが、こちらを理解すると応用ができますので、お役に立てれば幸いです。
こんにちは。SCSK池宮です。 今回は、アクセス解析ツールとして有名なGoogle AnalyticsとBigQueryの連携を試してみます。 2つとも同じGoogleサービスのため相性がよく、実はとても簡単に(数回のクリックで)実現できます。 Google Analytics(GA)でできること まずは、GAって何ができるの?という方向けに、(かなりざっくり)サービスのご紹介です(既にご存知の方は読み飛ばしていただいて大丈夫です)。 Google Analyticsは自分のサイトを訪問してくれた人(達)を分析することができます。 何のページが人気なの? どんな経路で来た? どんな操作をした?(ダウンロードやスクロール等) 滞在時間はどのくらい? etc… これらの情報は「Google Analyticsタグ」をサイトに仕込むことで、簡単に取得できるようになります。 Google Analyticsは基本的に無料で利用することができ、ほとんどの操作がコンソールぽちぽち(GUI)で完結するため、初心者にもハードルが低く設定されています。 もちろん、Google Analyticsコンソールからもアクセス解析データを見ることができますが、BigQueryと連携することで解析データの加工や外部データを組み合わせた幅広い分析を実現できます。 Google AnalyticsとBigQueryの連携 ※今回は既にGoogle Analyticsでデータ収集が完了している状態からスタートします。 ①BigQueryを使えるようにする まずは、連携先のGoogle CloudプロジェクトでBigQueryが有効になっているか確認します。 Google Cloudコンソールから、「APIとサービス」の「ライブラリ」を開く。 「カテゴリ」の「ビッグデータ」から、「BigQuery API」を選択。   「APIが有効です」が表示されていたら準備OK!   ②BigQueryリンクを作成する 続いて、Google AnalyticsとBigQueryを連携するためのリンクを作成していきます。 Google Analyticsコンソールにアクセスして、「管理」画面に入る。 「BigQueryのリンク」から、「リンク」を選択。 連携したいGoogle Cloudプロジェクトを選択。(自分のGoogleアカウントからアクセスできるプロジェクトが表示されます。) データのロケーションやエクスポートタイプ(データを連携する頻度)を選択。 最後に「送信」をクリックすると、リンクが作成! データを確認してみよう BigQueryにアクセスすると、「analytics_xxxxxxxxx(Google AnalyticsプロジェクトID)」というデータセットが作成されていることが確認できました。 ※1日1回の連携を選択した場合は、1日~2日ほど待って確認してみてください。 実は、Google Analyticsから連携されたデータを見ると一部のデータが入れ子のようになっています。 調べてみるとネスト型と呼ばれるデータ形式だそうですが、このデータをLooker Studioで接続する方法も別記事でご紹介できればと思います。 単体でも十分便利なGoogle Analyticsですが、BigQueryに連携するとデータ分析の幅がぐんと広がるので、是非活用いただけたら幸いです。 最後までお読みいただきありがとうございました。
こんにちは。丸山です。 お久しぶりですが、現在でもオンプレからGoogle Cloudなどのクラウド環境へ移行する際、 OracleからMySQLやPostgreSQLなどのOSSへDB移行を検討したいという問い合わせが多くあります。 以前、異種DB移行について 移行の際の3つの壁 についてお話ししています。 異種DBマイグレーションはこう備える!成功へ導く3ステップとは 異種DBマイグレーションは、事前に移行のハードルを把握し、PoCを通して移行実現性を確認することが大切です。Oracle DBからAlloyDBへの移行など、Google Cloudへ移行する際にDB変更を検討中の方必見です。 blog.usize-tech.com 2022.10.19 そこで今回は、 実際の事例の中からOracle からMySQLへの変換 について紹介します。 以前お話ししました通り、変換には3つの壁があります。 中でも、OracleからMySQLへの移行する際の例は以下の通りです。   その中で、今回は①変換の壁と、②仕様の壁の一例をお話ししたいと思います。 ①変換の壁 <シーケンス> Oracleは機能が充実しているため、OracleではあってもMySQLではない機能があります。その代表的なものがシーケンスです。当社事例では、このシーケンスの変換について 疑似的にシーケンスの機能を作成する変換方針 を取りました。 上手の通り、シーケンスと同じ動きをするファンクションを用意し、1シーケンスごとに1テーブル作成。シーケンス用のテーブルには、MySQLの機能であるAUTO_INCREMENT属性のカラムを用意しています。性能としても問題なく利用できたため採用となりました。 ②仕様の壁 <NULLと空文字の違い> 次に、Oracle とMySQLの違いである空白とNULLの違いについてお話していきましょう。 この違いは、Oracle からPostgreSQLとも同じ現象が起こります。 まず、前提としてOracleとMySQLには、以下の違いがあります。 Oracle DB 空白とNULLを区別せず、自動的にNULLとして処理 MySQL 空白とNULLを区別する   そのため、 OracleからMySQLへ移行する際にはOracleでの「空白」を、MySQLでは「空白」として扱うのか、それとも「NULL」として扱うのか、移行方針を決めておく必要があります。 弊社の事例では、空白をNULLをして変換することとしました。 そのため、データ移行の際にデータ移行の際に、 Oracleから出力したCSVデータをMySQLにIMPORTする時に「,,」を「,NULL,」に変換することで対応 しました。 ちなみに、 空白をNULLをして扱うことを決めた場合、SQL文の変換では明確にNULLを指定しなくてはならない ので注意が必要です。 NULLを挿入する場合 insert into <テーブル名> values(…,…,NULL); NULLを検索条件に使用する場合 Where <カラム名> IS NULL (または IS NOT NULL) 今回は以上になります。 次回は、性能の壁の1例をご紹介いたします。
はじめに CatoクラウドのFWaaS(Firewall as a Service)には、3つのFirewallがあります。(2023年9月現在) それぞれの違いは以下の通り、制御対象となるトラフィックです。     対象トラフィック トラフィック例 ① Internet Firewall 内部からInternetへのトラフィック 支店PC→Webサイト モバイルユーザ→Webサイト ② WAN Firewall 拠点間およびユーザ間のトラフィック 本社PC↔支店PC モバイルユーザ↔AWS上の社内システム モバイルユーザ↔支店PC モバイルユーザ↔モバイルユーザ ③ LAN Firewall 拠点内のトラフィック 本社PC↔本社内のシステム 本投稿ではInternet FirewallとWAN Firewallついてさらに詳しく説明していきます。 ※LAN Firewallについては別途投稿予定です。CatoのKnowledgeBaseにも掲載されていますのでこちらもご参照ください! ソケットLANファイアウォールポリシーの設定 – Cato ナレッジベース (catonetworks.com)   設定方法 Internet Firewall、WAN Firewallともに設定箇所は、[Security]の直下にあります。 Internet Firewall [Security]>[Internet Firewall]を開き、DisabledをEnabledへ変更します。 Internet Firewallにはデフォルトルールが入っており、 Catoが予め明示的に、危ないサイトへの通信をBlock、疑わしいサイトへの通信をPromptしてくれています。 デフォルトで、一番下に暗黙のAllowルールが存在しています。 本投稿ではわかりやすいように明示的に”Any Allow”ルールを追加しました。 [New]よりポリシーに従ってルールを追加していきます。 ルールを追加する際の設定項目は以下の通りです。(2023年9月現在) General ルールの名前やルールの挿入箇所を定義 Source 送信元の定義 Device デバイスの機種を定義 App/Category アプリケーション、カテゴリの定義 Service/Port サービス、ポートの定義 Actions Action Allow , Block , Prompt , RemoteBrowsing(RBI)からアクションを選択 Track イベント出力やメール通知の設定 Time ルールをアクティブにする時間の定義 WAN Firewall [Security]>[WAN Firewall]を開き、DisabledをEnabledへ変更します。 ※Disableの状態では、通信がすべて許可されます。 デフォルトで、一番下に暗黙のBlockルールが存在しています。 本投稿ではわかりやすいように明示的に”Any Block”ルールを追加しました。 [New]よりポリシーに従ってルールを追加していきます。 ルールを追加する際の設定項目は以下の通りです。(2023年9月現在) General ルールの名前やルールの挿入箇所、トラフィックの方向を定義 Source 送信元の定義 Device デバイスの機種を定義 Destination 宛先の定義 App/Category アプリケーション、カテゴリの定義 Service/Port サービス、ポートの定義 Actions Action Allow , Block , Promptからアクションを選択 Track イベント出力やメール通知の設定 Time ルールをアクティブにする時間の定義 補足 補足ですが、以下のような便利な機能もあります。 Section 下図の”New Section”からSectionを作成することで、ルールをグループ化させることができます。 必要項目を設定し、”Apply”するとSecrtionが追加されました。 Exception 該当ルールの右端”…”の”Add Exception”から除外ルールを作成することができます。 必要項目を設定し、”Apply”すると除外ルールが追加されました。   注意点 続いて、ルールを追加する際の注意点についてご説明します。 Firewallのルールを追加する際は、以下4つの点に注意が必要です。 Internet Firewallはブラックリスト型 、WAN Firewallはホワイトリスト型 である点を考慮する リストの順序を考慮する SourceやDestination、App/Categoryは可能な限り制限する(”Any”で設定しない) メール通知頻度を考慮する ブラックリストとホワイトリスト Internet Firewall 前述の通り Internet Firewallは デフォルトで暗黙のAllowルールが存在 しており、必要に応じてBlockルールを追加する ブラック リスト型 です。                   一般的なオンプレFirewallはホワイトリスト型のため、Catoクラウドへの移行の際はホワイトリスト型からブラックリスト型へ変換が必要と言えます。 少し面倒な作業に感じられるかもしれませんが、内部からInternetへの通信要件は予測・把握が難しいため、これまでのようなホワイトリスト型でのルールの管理では、将来限界がくる可能性があります。 Catoクラウドへの移行を機に複数ルールのグループ化や、不要なルールの削除等の棚卸作業を実施しましょう! ブラックリスト型に変換することで、管理がしやすいシンプルな設定になります。 WAN Firewall 一方、 WAN Firewallはデフォルトで暗黙のBlockルールが存在しており 、 必要に応じてAllowルールを追加する ホワイト リスト型 です。 WAN FirewallはこれまでのキャリアのWANではなかった概念のため、Catoクラウドへの移行の際は内部同士の通信要件の洗い出しとルールの設計作業が必要になります。 内部同士の通信要件は、内部からInternetへの通信要件に比べて予測・把握が容易なため、ホワイトリスト型でシンプルに設定・管理が可能です。   順序付きルール CatoのFirewall機能は一般的なオンプレFirewall同様、上位のルールからチェックを行い、一度ルールにヒットした場合そのルール以降はチェックしない仕様になっています。優先すべきトラフィックにおけるルールは上位に設定し、全トラフィックをカバーするルールは下位に設定するといったリストの順序についての考慮が必要です。   ”Any”の利用 設定項目のうち、SourceやDestination、App/Categoryはデフォルトで”Any”つまり”すべて”が選択されていますが、”Any”は非推奨です。   Assets>GroupsやCustom Apps、Categoriesにてグループオブジェクトを作成する、また設定方法の補足でご説明したExceptionの設定をすることで、SourceやDestination、App/Categoryは必要なもののみに制限することを推奨しています。   メール通知頻度 FirewallのEventsは膨大な量出力されます。 設定項目ActionsのTrackの設定にて、Email Notification(メール通知)にチェックを入れ、 さらにFrequency(通知頻度)で”Immediate”(即時)を選択すると膨大な量の通知メールを受信することになります。                   通知メールの量が気になる場合は、”Daily”や”Weekly”を選択することで通知頻度を減らすことができます。   設定例 ここでは、運用上追加および変更が必要となる例を紹介します。 禁止サイトにアクセスできてしまう 稀に、許可されていないVPNソフトを利用したアクセスや、禁止サイトへのアクセスが、デフォルトルール”Default prompt for Categories”にヒットする場合があります。 これは、ユーザの判断で禁止サイトへのアクセスが可能となってしまうことを意味します。 このような場合は、前述の3つの注意点を考慮しながら以下のように個別にルールを作成していきます。 ・ 禁止サイトのURLを指定した個別Blockルールを追加 ・ 許可されていないVPNソフトがカテゴライズされている特定Applicationを指定した個別Blockルール作成 ※対象VPNソフトがどのApp CategoryにカテゴライズされているかはAssets>App Catalogより確認することができます。   前提として、このような禁止されたアクセスが行われていることを検知するために、Monitoring>Eventsよりログを定期的にチェックするようにしましょう!   業務時間外はInternet接続を制限したい 業務時間外はInternet接続を制限させたいという場合にも、Internet Firewallの設定にて実現が可能です。 設定項目のTimeにてCustomを選択すると下図のような設定画面が出力されます。 この設定画面で自由に接続可能時刻をカスタマイズ可能です。   まとめ 今回は、Internet FirewallとWAN Firewallについてまとめました。 セキュリティリスクや、ルールの不整合によるトラブルを軽減するため、Firewallの設定は定期的に見直しを行っていきましょう! 弊社では、設定診断サービスを提供していますので、設定見直しの際にお気軽にご相談いただければと思います! なお、弊社の FAQ サイトでは 、よくあるご質問やCato クラウドのアップデート情報を公開しておりますので、是非ご参照ください。 よくあるご質問 | Cato Cloud ケイトクラウド - SCSK Cato SASE Cloud Platform. powered by SCSK cato-scsk.dga.jp
CatoクラウドのEdgeデバイスである Cato Socket に、新機種 X1600 が追加されました! Cato Networks社よりお借りした実機を、ハードウェア好きの当社Catoチームが調査・検証しましたので、ご紹介します。 まとめますと、 既存の X1500よりだいぶ大きくなっており、ポート数の多さが特徴的な機種 です。 そもそもCato Socketって? 拠点をCatoクラウドへ接続するために設置する専用ハードウェアです。PoPへの接続や通信制御を行うオールインワンデバイスで、ゼロタッチで設置できるのが大きな特徴です。 2023年9月現在、以下の機種があります。 機種名 特徴 利用シーン X1500 コンパクトながらCatoクラウドのすべての機能を備えたベーシックモデル。 小~中規模オフィス X1500B X1500の改良型。サイズが少し大きくなり、ハードウェア・ファームウェアが一部変更されている。 小~中規模オフィス X1600 今回ご説明するタイプ。2023年7月リリース。 中~大規模オフィス X1700 主にデータセンタへの設置を想定した大型機。ラックマウント型。 データセンタ等大規模拠点 X1700B X1700の改良型。サイズが少し大きくなり、ハードウェア・ファームウェアが一部変更されている。 データセンタ等大規模拠点 vSocket ハードウェアではなく、パブリッククラウド用の仮想アプライアンス。AWS, Azure, VMware ESXi上で動作する。 パブリッククラウド これがX1600です!   天板のCatoアイコンが印象的です。フロントのLEDはマルチカラーLEDで、接続中はCato色に点灯します。 外装はプラスチックで角が丸く、金属で四角いX1500よりも優しげな印象です。 背後のケーブルが汚くて恐縮です。当社のリアルな検証環境となっております。 ハードウェアスペック 以下にデータシートが公開されていますので、これに沿って実機を見てみましょう。 X1700, X1600 & X1500 Socket Guides サイズ 幅256mm x 奥行き200mm x 高さ44mm です。 サイズ感を他の機器と比較してみます。上から、X1500, X1600, Cisco891FJ です。 X1500がとても小さいので、比べると大きく感じますね。X1500の倍以上のサイズとなっています。 なお、オプションでラックマウントキットの提供もあります。X1500のラックマウントキットは1ユニットに2台並べてマウントするタイプでしたが、X1600は1ユニットに1台をマウントするタイプとなっています。X1500同様に、電源アダプタも合わせてマウントできます。 また、X1600にはなんと壁掛けキットも用意されています。これは、将来的にWi-Fiモデルの提供予定があるため、アクセスポイントとしてオフィス内に設置する目的のようです。提供予定のモデルについては後述します。 重さ 本体が約1kg、電源アダプタが約200gでした。 なお、X1500の本体は700g程度でしたので、X1600は大きさの割に軽い印象です。 電源 12V電源アダプタが付属します。アダプタのサイズもX1500のものより一回り大きいです。 アダプタは、申込時に利用する地域を申告し、その地域の規格で提供されます。今回は、日本仕様で通常の100V電源・アース付きのプラグです。 本体側の接続部分はロッキングジャックになっており、プラグを差し込んだ後、ネジ式のロックを回して固定します。意図せず抜けることがないので安心です。 消費電力量は、 アイドル時14.3Wh、ピーク時34Wh です。 ファン 裏返すと底面にファンがあります。排熱は左右の側面から出るようになっています。 稼働中は、Socketを持ち上げるとファンの回転音がするのですが、底面を下にして置くと音が小さくなります。X1500と比べるとやはりX1500のほうが静かですが、X1600もオフィスに置いてうるさいということはないです。 スループット性能 X1600のMAXスループットは、上り下り合計で1Gbpsとなります。各Socketを比較すると下記です。 機種 MAXスループット(上り下り合計) (ご参考)Site帯域の目安 X1500/X1500B 500Mbps 300~400M程度まで X1600 1Gbps 600~800M程度まで X1700/X1700B 5Gbps 600M以上 vSocket 仮想マシンのスペックにより可変 – 通常のご利用においては、上り下りが両方ともMAXに出続けるという状況はほぼないため、上記の目安帯域以上でも利用可能な場合が多いです。機種を検討される際は、Catoクラウドの担当エンジニアにご相談ください。 インターフェイス X1600最大の特徴が、豊富なインターフェイスです。 背面の各ポートは以下のようになっています。左から順に解説します。 ポート名 解説 CONSOLE シリアルポートとMicroUSBが用意されていますが、他機種と同様、現在のところユーザは利用することができません。 1(WAN) 1GのCOMBOポートです。RJ45とSFPの口がありますが、どちらか一方しか使用できません。 デフォルトで WAN1インターフェイス となります。WAN以外の用途には利用できません。 2 1GのCOMBOポートです。RJ45とSFPの口がありますが、どちらか一方しか使用できません。 WANにもLANにも利用できます。 3, 4 10GのSFP+ポートです。WANにもLANにも利用できます。 5 2.5GのRJ45ポートです。デフォルトで LAN1インターフェイス となります。LAN以外の用途には利用できません。 6, 7 2.5GのRJ45ポートです。 8 2.5GのRJ45ポートです。デフォルトで Managementポート となります。Socketの初期設定を行う際はこのポートにPCを接続します。 なお、デフォルト状態では1(WAN1)と5(LAN1)のみが有効化されており、その他のポートはDisableとなっています。使用する際は、CMA(Catoの管理画面)からインターフェイス設定を行い有効化する必要があります。 続いて側面です。 側面にはUSB3.0 を2ポート備えています。USB⇔Ethernetの変換アダプタを接続し、Ethernetポートとして利用することが可能です。また、機器の初期化を行う際はここに初期化用のUSBメモリを挿します。 以上インターフェイスの特徴をまとめますと、下記2点がポイントです。 SFP標準搭載、10G回線にも対応 X1700でもネットワークカードの追加によりSFP、SFP+に対応可能でしたが、X1600では標準搭載となっています。 Ethernetポートが最大2.5Gに対応 Cato Socketでは初となる、2.5G NICが搭載されています。対向機器が2.5Gに対応していれば、2.5Gでリンクアップします。Auto Negotiation対応ですので、もちろん従来の1G、100M通信にも問題なく対応します。 なお、 ポートは高性能ですが、Socket本体の処理性能がX1700よりは低いため、前述の スループット性能には注意 が必要です。 (ご参考)複数ポートを利用したLAN構成の例 通常の利用例では、Port5, 6, 7 をLAN側インターフェイスとして利用される場合が多いかと思いますが、X1600に限らず現行のCato Socketの仕様として、 複数のLAN側ポートを同じセグメントに所属させること(Layer2 Portとして利用すること)はできません 。各ポートはLayer 3 Portとなり、独自のセグメントを持つ必要があります。 以下に、LAN側ポートを複数利用する場合の構成例をご紹介します。いずれも当社にて動作検証済みの構成です。 構成例A : ポートごとにセグメントを割り当てる例です。 構成例B : ポートの下で複数のVLANを利用する例です。 なお、いずれの場合も、ポート間・VLAN間の通信は、なんと、 デフォルトではいったんCatoクラウドへ出て戻ってくる大回りな通信となってしまいます 。 Socketで折り返しさせたい場合は、「LAN Firewall」機能にてルーティングとフィルタリングが可能です。LAN Firewallについては近日別の記事にてご紹介予定です。 他機種からの入れ替え方法 Siteで利用中のSocketを、X1500/X1700 から X1600 に入れ替えする場合は、現在のSocketをUnassignし、X1600をAssignし直す必要があります。Unassign後、X1600がAssignされ動作開始するまでの間、Siteは通信断となります。 また、CMA上のNetwork Analytics(Siteのトラフィックグラフ)がリセットされ、交換以前のトラフィックが閲覧不可となるためご注意ください。Eventsはクリアされず保持されます。 また、他機種同様に X1600 2台でのHA(Active/Standby)構成が可能ですが、異なる機種間でHAを構成することはできません。 派生モデルの展開予定 今回検証しているものは X1600 “Baseモデル” と呼ばれる機種ですが、将来的には、以下のような派生モデルの展開が予定されているそうです。 LTEモデル : SIMカードを内蔵し、X1600単体でCatoクラウドへ接続できる機種 Wi-Fiモデル : LAN側に対して、無線LANアクセスポイントを提供する機種 LTE+Wi-Fiモデル : 上記両方の機能を持った機種 今冬リリース予定のようですので、楽しみに待ちたいと思います。 ※上記各モデルはBaseモデルへのモジュール追加ではなく、別機種扱いとして提供される模様です。モデルの変更には筐体交換が必要となる見込みのためご注意ください。正式な情報はリリース時に発表される予定です。 まとめ Cato Socket X1600は、 中~大規模オフィスへの設置を想定した最新機種 です。 X1500よりも高い処理性能と多種のインターフェイス を持ち、様々な利用ニーズに対応します。 現時点では、X1500とX1700の間を埋める中間機的な位置づけですが、派生モデル登場により独自の価値が出てくるものと期待しています。 今後の展開は、情報が入り次第当社サイトでもお知らせしますので、ぜひご確認ください。 よくあるご質問 | Cato Cloud ケイトクラウド - SCSK Cato SASE Cloud Platform. powered by SCSK cato-scsk.dga.jp