(IT) Big-IPがやられたけど、仮想化してたから速攻でリカバーできた話


サーバセンターなんかで赤くて丸いf5と書かれた筐体を見たことがある人も多いはず(普通見ないかw)。

いまいる会社でもファイヤーウオールとロードバランサーで使ってるわけで。この会社の事例紹介でも取り上げてもらった。
ご存知の通り、紹介されるといろんなサービスがあっ(以下自粛)
採用したのはaws上(クラウド上)で動くVE(Virtual Edition)版ではあるものの、令和の時代にあっても、多くの企業や行政ではリアルな筐体でBig-IPを採用しているところは多い(はずだ)。
で、この日本だけではなく、世界でシェアをもつファイヤーウオールに脆弱性が発見された。
例えば、Windows10に脆弱性が見つかって攻撃されても、パソコンの中に入っている一人か二人分の個人的なデータ漏えいする可能性があるだけ(シゴト用のパソコンでサーバーへのログイン情報とかが記録されていたらその限りではないけどね)。しかし、一般的なWebサーバーは、「そいつ(ファイヤーウオール)が守ってくれるから、(一般的なことはするにしても)特別な防御をしなくてもいいよね?」という前提で、インターネットに直で出しているサーバーよりも安心感を持って設定してあるわけ。そこへもってきて、ファイヤーウオールに脆弱性があるってことは、みんなが頼りにしてたそいつに弱点があって、何ならログインされて、踏み台にされたら、壁の内側を荒らされ放題(技術的にはかなり高度な知識と経験がいるけど)になる可能性があるわけよ。もう、インフラ屋からすればオカルトそのもの(怖)。
一般的な「セキュリティ」の考え方としては、「可能性がある」時点で、「やられてしまった」と捉えて対応しないと、大変なことになる「可能性がある」ので、対応必須というのが常識なわけで。
というわけで我々も対応開始。業界的にいうと、「お祭りがはじまった」状態なわけだ。

セキュリティ上の問題で、当該のファイヤーウオールがどんな状態だったかは詳しく書けないけど、少なくともこの脆弱性をついた攻撃はゼロ回じゃなかったことだけは確かだと観測された。だって、前述の通り「この会社はf5のマシン使ってまっせー!」ってインターネット上に書いてあるんだから、ここの事例集に載ってる会社にはとりあえず攻撃してみるのが正しい「悪意のある人」の行動。
ということはもう、可能性があるわけだから、やられちまった前提で対応を開始。
とりあえず、メーカーが推奨しているようなネットワーク上の設定はすぐに実施したが、問題は機器の再構築。
オンプレでリアルの筐体を使っている会社はマシンをネットワークから外し、初期化して、ゼロからインストールして、それまで実施してきたシグネチャの適用を全部順番にしないといけない。それはそれは気の遠くなるような作業で、ベンダーさんに頼んでも何百万円もかかって何日いや何ヶ月かかるかもしれない。
しかしオレが担当しているファイヤーウオールは仮想化といって、クラウド上で構築されているので、毎日その機器の状態を「スナップショット」という形式でバックアップしている。なので、攻撃が開始された前日のスナップショットから復元することで、数時間で安全な状態に復帰できる、はずだった。スナップショットからの復帰については大きな問題はなかった。2台が並行して動いていて片方が死んでももう片方がすべてのトラフィックを捌ける設定となっており、リソース的に問題ないことも実験済だった。この機能を利用して、1台づつネットから隔離して復元してネットに復帰させれば、全体のネットワークを止めず、業務影響なく対応できるはずだった。
ところがネットワーク内の他のサーバーで数台、片方のファイヤウオールからの応答がないと動作に支障をきたす設定となってるものがあり、1台をネットから外すといくつかの部署で悲鳴があがる状況で、一台ずつ設定の確認と変更を実施したので、そこで時間がかかってしまった。
2日間にわたるお祭りも、そんな小さなトラブルもありながら、なんとか完了できた。何ヶ月もかかる可能性があるオペレーションが2日でできたし、追加のコストもなく完了したのは、スタッフやベンダーさんの緊張感を持ったオペレーションのたまものではあるわけだが、もう一つの手柄は「Big-IPをaws上のスナップショットから復元させる機能をメーカーであるf5に実現させた」男の存在だ。
VE版の出始めの頃、f5社はスナップショットからの復元は正式にサポートしていなかった。おいおい、f5さん、ソフトウエアの会社になると宣言している割には、むっちゃハード寄りというかオンプレ前提の話じゃないっすか、それ。VE版なんだからスナップショットからの復元をサポートしてくれよ、と強行に申し入れをして、結果サポートを勝ち取った。あれから3年以上経った日に、あの交渉が活きたということ。インフラを守るというのはこういうこと、と思ったよ。当時f5と直談判してくれた同僚に本当に感謝している。

(IT) 1年間無料で使えるAndroid端末をほぼタダでゲットする方法(楽天モバイル)


携帯乞食(敬称)な友人たちがこぞって契約していたので、多分お得なんだろうとは思っていたものの、詳しく自力で調べるのが面倒で放置していた楽天モバイル、リアル飲み会の時にざっくり聞いたので、契約してみることにした。

まとめると、
・エリアが狭いが、楽天圏内だと通話も通信も最初の1年は無料、2年目からは2980円。
・Rakuten Linkというアプリを使えば楽天圏外でも通話も無料。
Rakuten Miniという小さい端末が1円だったが今は納期未定で1円ではない。
Galaxy A7というAndroid端末は17000円だけど、ポイントで15000円分返って来る。
・友だちから紹介コードもらって契約すると、友達に3000ポイント、自分に2000ポイント。

というわけで、実質ほぼゼロ円で1年間使い放題の新しいAndroid端末がもらえる、ということだ。

初回の申し込みはしくじった。
納期未定のRakuten Miniを選択してしまったのは金曜の夜。Webにはキャンセルのページが見当たらない。携帯乞食(敬称)に聞いたら「そういうのは電話だな」だそうで。
翌朝9時から電話をした。いくつかの番号を押したら、保留になった。ハンズフリーになって待つこと30分(楽天クオリティその1)。しかたないんだ、タダなんだからと自分に言い聞かせて待った。
機種の途中変更はできないとのことだったので、キャンセルとしてもらったが、注文が「免許書写真が不鮮明」という理由で途中で保留された状態らしく、キャンセルに数日かかる(楽天クオリティその2)のと、通知は行かないので、マイページを時々確認してくれ(楽天クオリティその3)、とのことだった。その後数日マイページにログインすると「申込みが保留状態です。免許証の写真を再度送信してください」という画面になっていた。

まつこと5日(楽天クオリティその4)。木曜の朝になって、ようやく保留中の画面がでなくなったのでWebで手続き再開。Galaxy A7を選択し、乞食の一人からもらったコードも入力。1年後に解約したあと端末の割賦が残ってると面倒くさいので、一括払い。解約した時はWifiで使うAndroid端末にすればいいかな、と。タダだしな。SIMフリーにできる方法があれば、それで。
端末の送り先は楽天の会員登録のある住所(免許証の住所と同義)しか選べないのだが、留守がちなのと、すぐに端末が欲しかったので、店頭受け取りを指定した。
5つある手順のうちWebでは4つ目まででおしまいで、その後はメールで送られて来たQRコードを店頭で提示して手続きを進め端末を受け取るということだった。
リモートワークしてる場所から一番近いのは、家電量販店にあるショップだったんだが、サイトには「来店予約をしてから来店してください」と書かれているが、地図ページに来店予約のボタンがない(楽天クオリティその5)。サポートのチャットに問い合わせをしてみた。

そしたらなんと、来店予約ができるのは直営店だけで、「ショップ」というところでは継続の手続きはできない(楽天クオリティその6)し端末も渡せない、とのこと。「でも『直営店』って地図でわからないですよね?(楽天クオリティその7)」「ピンをクリックして『来店予約をする』ボタンがあるところが直営店ですキリっ(楽天クオリティその8)」まじかw
例えば東京駅周辺の地図を見ると、秋葉原に2箇所、東京駅に3箇所、有楽町に2箇所ありそうに見えるが、その中であたりは東京駅の1箇所だけで、あとはハズレ(来店予約ボタンがない)だ。

ようやく近くの直営店を探し当て、来店予約をポチっとな。そしたらなんと、予約できるのは翌日以降で当日はできない(楽天クオリティその9)。しかたないので、予約しないで直営店へ突撃。

お客さん一人もいなくて、すぐに手続きしてもらえて、無事端末をゲット。
「お客様、Webで完結してないので、Web申し込みポイントの3000ポイントはつきません(楽天クオリティその10)」まじかw
とはいえ、申込みを開始して3時間で端末をゲットできた。それはまあまあかな。

久しぶりのAndroid端末の設定をしつつ、Nexus7で使っていたOCNのモバイルone(いわゆる格安SIM)をそっと解約しておいた。

(お父さん) 「タブ」と「タグ」


小言じじいじゃ。老害じゃ。反論は受け付けない(笑)
主に仕事中ではあるが、プライベートでも「タブ」と「タグ」がファジーに混同されている場面に直面し、毎回「ちがーう!」と叫んだり、正しく言い直したり書き直したりしていると老害認定されて嫌われるので、blogに書いてストレス発散させてるだけです。ごめんなさい。

<タブ>
「タブ」の話の前に「フォルダ」の話。コンピューターの記憶領域を階層化するための「ディレクトリ」という仕組みを「フォルダ」と呼び始めたのは多分Star(XEROX社)と思う。「フォルダ」とは元はといえば、厚紙を折って三方が開放された封筒のようなもので、これを書類の整理に使っていた。StarやMacやWindowsなどのアイコンを用いたGUIで、「ディレクトリ」のことを紙のフォルダを模したアイコンを使ったのが「フォルダ」の始まりなんだと思う。
で、その「フォルダ」にピョコっとした見出しみたいなものを追加したのが「タブ」。
で、ChromeとかEdgeとかのタブブラウザのこのピョコとしてタイトルが書かれているのが「タブ」。

エクセルのシート名が書いてあるこれも「タブ」。

「タブ」にはもう一つ意味があって、「事前に設定した桁位置」の意味がある。タイプライターにはタブを設定する物理的な装置があって、書類作成時に縦揃えにしたい位置にピンを挿しておくというのが起源。例えば横に80文字の書類を作る時に、10文字目と25文字目と40文字目に「タブ」を設定したとすると、1文字目から打ち始めて3文字でも5文字でも打ってタブキーを押すと、設定した10文字目にジャンプしてそこから打ち始められる。罫線なしの「表組み」したみたいなことができるわけ。これ、いまでもマイクロソフトのWordにその機能があって、これ。

このタイプライターの「タブ」はPCにも引き継がれてて、上記のWordで設定した場合は次のタブ位置へジャンプするためのキーで、事前の設定がない場合はデフォルトは半角8文字に設定されてたりする。
(事前設定のないTABの挙動に関しては、宗教問題に発展する可能性があるので、わざと詳しく書かない)
また、この「次の位置へ飛ぶ」という意味でもこのキーは使われている。Webフォームなんかでこのキーを押すと、マウスでクリックしなくても次の入力フィールドへカーソルが移動するので、フォームでの入力時にキーボードから指を離さなくても(マウス操作をしなくても)入力し続けることができる。Shift+Tabだと逆にひとつ前のフィールドに移動できる。

<タグ>
「タグ」ってーのは、小包を紐でしばったあとで、宛先書いて荷物にくくりつける荷札みたいなやつのことだ。アパレルでは売り物の洋服の値札みたいなやつもタグって呼んでるみたいね。「中身が何であるか書いてある小さな紙片」って感じかな。

で、コンピューターというかWebの世界でタグっていうと、文字の前後にカッコでおまじないと書くと文字の装飾とかリンク先とかを指定できるもののことを言う。この上の方にある「<タグ>」というタイトルは強調文字にするために、当エントリの原稿にはこんなふうにして強調を指定している。

これが「タグ」。
タグで囲まれた中身が何であるか、どう解釈して欲しいかをタグに書いておく的な。

というわけで「タブ」と「タグ」はちゃんと使い分けてくださいね。
はあ、すっきりした(笑)

(IT) マイクロソフトTeamsでオンライン里帰りをする方法


コロナでGWに実家に行けなかったんだが、84歳になる父親が意外と寂しそうにしてたので、政府の要請する新しい生活様式の要請に従ってオンライン里帰りをしてみた。

最初に書いとくけど、Teams、まったくおすすめしない(だったらなんでこんなエントリー書いてるw)。だって面倒くさいんだもん。で、自分だけが面倒くさい思いすれば便利になるってーなら、ちょっとくらいの面倒は我慢するけど、コロナ禍で実家側の設定をリモートでやらないといけないところがこれまた大変面倒くさい。Zoomの方が簡単だよ、絶対。
ただ、

・得体のしれないベンチャー、特に中国系ベンチャーのシステムなんか使わんわい
・Windows使ってるんだからマイクロソフト謹製のものを使うべきじゃろ
・マイクロソフトが好きだ
・これを機会にリモートで画面共有できるようにすればサポートが楽になるかも

みたいな積極的理由がある人だけがTeamsで里帰りなさい。
オレはほら、WindowsMobileに萌えて勝手に盛り上がってたのに、ある日「サポート終了!」って急にハシゴ外されてもWindowsMobileのhp Elite X3に時々電源いれて愛でるようなドMなんで放っておいてちょうだい。

さて、おおまかに書いて手順は大体以下の通り。
(1)ホスト(子供)側のメールアドレスをマイクロソフトアカウントへ登録
(2)ゲスト(実家や兄弟)側のメールアドレスをマイクロソフトアカウントへ登録
(3)ホスト側PCにTeamsをインストール
(4)Teamsに登録、チームを作成、ゲストをメンバー登録
(5)ゲスト側でTeamsをインストール
(6)全員でTeamsにログイン
(7)ホストが会議を開始
みたいな流れ。

(1)ホスト(子供)側のメールアドレスをマイクロソフトアカウントへ登録
Windows10をインストールした時にアカウントが必要なはずなので、それを使うので全然OKだけど、わすれてしまった人はここで登録。以上。

これができないようなら、Teams里帰りをあきらめるべきw

(2)ゲスト(実家や兄弟)側のメールアドレスをマイクロソフトアカウントへ登録
以下同文。
ちなみにうちのゲストはアカウントとパスワードがノートから発掘された。

(3)ホスト側PCにTeamsをインストール
ここからやればインストールできる。

(4)Teamsに登録、チームを作成、ゲストをメンバー登録
先に登録しちゃっておくと、会議の招集がスムーズ。

(5)ゲスト側でTeamsをインストール
これが結構罠が多い(笑)
このURLを送って「インストールしておいて」といってできないことがあるのよ、まじで。

画面はこんななんだけど、多くの老人は「Webフォームとは、空欄を埋めて一番したのボタンを押すものだ」というように理解しているので、書いてあることもボタンの名前も読まないわけ。だから、こういう画面を見ちゃうと、空欄にメールアドレスを書いて、その下の「いますぐ送信」を押して待ってたりする。しかもこのメール、来ないw。
「先にすすまなんだけど?」ってなるわけ。
「そうじゃない、上にある『Teamsをダウンロード』を押して!」と依頼。
ワンクリックでいいのに、ダブルクリックすることなんて、もう、気にするのはやめよう。

うちの場合、Edgeじゃなくて、こじゃれてChromeなんか使ってるから、ダウンロードされたファイルはブラウザのフレームの下のところに表示されるんだが、これをみつけられない。「Chromeの一番した」っていったらここまで(泣)
「枠のところになんかあるっしょ!」といってようやくそこを押してもらえる。

そして次の罠がこれ。

「友人や家族向け」を選ぶと思うじゃないですか。でも、ここにすると、Skypeのダウンロードページにとばされちゃう。オンライン里帰りだとしてもここは「仕事向け」を選択する。理由なんて知らんがなw

(6)全員でTeamsにログイン

あとは事前に登録しておいたマイクロソフトアカウントがTeamsを使う設定をすればTeamsが開いてくる。
手順(4)でチームに招待してあるので、Teamsが開いたらすでに家族のチームが表示される。
チュートリアルの消し方もわからなくてしばらく時間使ったわー

最後の罠はチーム名ではなくて、その下の「一般」を押すこと。なんでこんな一般性のない名前が標準のボタンなんだろうとは思うけど、深く考えずに「一般」を押す。あと、

(7)ホストが会議を開始

会社でTeams使ってる人は「えー予定表の出席者にメールアカウント入れて招待しちゃえばいいのに」って思うかもしれないけど、無料版は予定表とのリンクができないので、リアルタイムで招待するしかないわけで。

最後にホストが会議を開始すれば、
ゲスト側に参加ボタンが現れる。

ゲスト側でうまく表示されないときは、このボタンで候補が表示されるので、人物アイコンで招待すれば再度参加ボタンが表示されるはず。

というわけでコツは
・ダウンロードしたインストーラーの起動はできないゲストが多い
・家族友達ではなくて仕事用を選択
・一般性のない「一般」というボタンを押すこと

いままで最大4画面までしかカメラ画像が見えなかったけど、今週末(2020/5/15)あたりに9画面に拡張されるらしいので、ちょっとは他の会議システムに追いつくのかな(上から御免)。

(時事) マイナンバーカードの電子証明書更新


電子証明書の有効期限が概ね長くても5年というのは意味があるとは思う(詳細は割愛)。だからプラスチックカードの中のICチップに書き込まれた証明書を一定期間で更新しないといけないということには抵抗はない。まあ普段、インターネット上のサービスを運営する会社で働いているので、サーバーに入れてあるSSL証明書の更新などは日常的なオペレーションなので、特別な印象もない。
そんなオレ個人のマイナンバーカードのICチップに入ってる電子証明書の更新の通知が郵送されてきた。ネットで予約して、区役所へリアルに行って更新しないといけない。行かないという選択肢はないんや。ネットで完結しないもんかなー、これ。そして、記憶では前回のものは3年期限だったが、今回は5年になるらしい。
マイナンバーカードはe-tax(確定申告)だけで使ってきたが、最近コンビニでの行政書類の取得に使える(事前申し込みは必要)ようになって、ちょっとだけ便利に使っている。
区役所へ予約時間の少し前についたが、窓口が高齢の方で賑わっている。お上に言われて素直にマイナンバー作った人は高齢者が多いのかもと想像した。根拠ないけど、若い人は作ってない人が多いように想像している。先日書いたとある書類でもマイナンバーカードではなくて、「通知カードのコピーを貼れ」ってなってたしな。
そして待ち合いの椅子で待っていると、ブースの中での会話が漏れ聞こえてくる。耳が遠い人なのか、大きな声で会話している。それにしても高齢の方はパスワードを覚えていない笑。ナンマイダーとマイナンバーの区別も怪しい人達に電子証明書の説明とパスワードの再設定を説明する職員さん(多分委託)たちは本当に大変そうだった。高齢の方は電子証明書なんて馴染みがないだろうしなあ。俺は記憶しているパスワード(3種類)が正しいことを確認させてもらって、パスワードの再設定はしなかった(書く書類が1枚少なくて済む)。

そして、5年後は電子証明書だけではなく、カード自体の交換もあるそうで、窓口のごった返し具合を想像するといまから吐き気さえする。やっぱこのICカードをベースにした行政サービスは最善のものかどうかはわからないな。すべての人がスマホを持ってるわけではないことから、スマホ認証にはできず。カードをゼロにすることはできないんだろうし。とはいえ、俺がナンマイダーと区別がつかなくなる前に全部生体認証とか体にチップ埋めるとかしてパスワードから開放されたいなと思ったよ。