著者
松本 亮介 栗林 健太郎 岡部 寿男
出版者
The Institute of Electronics, Information and Communication Engineers
雑誌
電子情報通信学会論文誌 B (ISSN:13444697)
巻号頁・発行日
vol.J101-B, no.1, pp.16-30, 2018-01-01

Webサービスのハードウェアコストや運用管理コストを低減するために採用される高集積マルチテナントアーキテクチャは,複数のユーザを同居させる特性上,ユーザ単位でセキュリティを担保するために,適切な権限分離を行う必要がある.そして,ホストに配置されるWebコンテンツを事業者が管理できないことを前提に,コンテンツに依存することなく基盤技術でセキュリティと性能を両立させるアーキテクチャが必要である.これまでに,実用上十分なセキュリティを担保しつつハードウェアの性能とリソース効率を最大化するための手法が数多く提案されてきた.また,マルチテナントアーキテクチャでは,ホスト間で権限分離だけでなく適切なリソース分離が行われる必要がある.リソース分離が不十分な場合,収容するホスト数が増えるにつれ,管理者により高負荷の原因となっているホストを特定し対処する作業の必要が生じ,運用管理コストが逆に増大してしまう.そのような運用上の問題の生じないリソース分離が可能なマルチテナントアーキテクチャの必要性も高まっている.更に,高集積マルチテナントアーキテクチャ採用時に,セキュリティを担保し,リソース分離を適切に行いながら,付随して生じる運用・保守に関するコストを低減させるためには,いかに運用技術を改善していくかが重要である.本論文では,Webサーバの高集積マルチテナントアーキテクチャにおいて,Webコンテンツをサービス事業者が管理できないことを前提に,高い性能とリソース効率を維持しつつハードウェアや運用管理コストを低減させるためのアーキテクチャについて,これまでの研究を概観するとともに,著者らによる最新の研究成果について紹介する.
著者
岡部 寿男 中沢 実
雑誌
情報処理
巻号頁・発行日
vol.61, no.6, pp.548-551, 2020-05-15

情報処理学会では2020年3月情報処理学会では,新型コロナウィルス感染症への対策として,第82回全国大会の現地開催を中止し,一般・学生セッションについてオンライン開催を行った.本稿では,急遽オンライン開催を決定した経緯と運営の考え方,当日の状況について報告する.
著者
柏崎 礼生 坂根 栄作 込山 悠介 宮崎 純 中沢 実 岡部 寿男
雑誌
研究報告インターネットと運用技術(IOT) (ISSN:21888787)
巻号頁・発行日
vol.2020-IOT-49, no.7, pp.1-8, 2020-05-07

新型コロナウイルス感染症 (COVID-19) の日本国内での蔓延に伴い,2020 年 2 月中旬以降に開催が予定されていた大規模な集客を見込むイベントは中止,延期を余儀なくされた.学術においても状況は同様であり,日本国内においては特に卒論・修論発表会の終わった 2 月中旬から 3 月下旬まで学会・研究会が集中して開催される時期である.本稿では 3 月上旬に開催された,参加人数が例年 500 人を超える規模のイベントがどのようにオンライン開催の意思決定を行い,そのための準備を進め,運用を行ったのか情報共有を行い,同様の有事が発生する未来に対する議論と提言を行う.
著者
津崎 善晴 松本 亮介 小谷 大祐 宮崎 修一 岡部 寿男
雑誌
研究報告インターネットと運用技術(IOT)
巻号頁・発行日
vol.2014-IOT-24, no.11, pp.1-6, 2014-02-20

電子メールが広く普及し,メールが宛先に遅延なく配送されることが望まれてきている.意図しない大量メールが短時間にメール中継システムに送信されることは珍しくない.これらのメールはしばしば,システムの負荷を超過させ,ネットワーク帯域を占有する原因となり,このような状況ではメール配送に重大な遅延をもたらす.本稿ではハシシュテーブルで管理されたエンベロープ From アドレスとエンベロープ To アドレスの組を用いて効率的に大量のメールを検知するメール中継システムを提案する.提案システムではエンベロープ From アドレスとエンベロープ To アドレスの組数を数え,もし,ある短い期間で特定の組の配送数が事前に設定した閾値を超えた場合,これらのペアが大量メールの原因とみなす.エンベロープ From アドレスとエンベロープ To アドレスを管理するハッシュテーブルの肥大化を低減するために複数のハッシュテーブルを使用し,これらのハッシュテーブルを時間毎に分け,ある決まった間隔でエントリーを空にする.また,事前に大量のメールの判断するためにブロックリストも準備する.最終的にシステムを実装し評価する.
著者
丸山 伸 小塚真啓 中村 素典 岡部 寿男
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告インターネットと運用技術(IOT) (ISSN:09196072)
巻号頁・発行日
vol.2006, no.6, pp.49-54, 2006-01-20
参考文献数
7

近年,複数のIPアドレスを同時に利用するトランスポート層のプロトコルが注目を集めている.SCTPはこのようなプロトコルの代表的なもので,「TCP同様の信頼性」「TCPに類似したAPI」でありながら,「両端が複数のIPアドレスを利用する」という特散を持つ.しかし,これまでのSocket AIPは「1つのSocketには1つのIPアドレス」が割当てられることを前提としているため,1つのSocketに複数のIPアドレスを割りあてるSCTPとは親和性の悪い部分がある.そこで本論文では,1つのsocketに複数のIPアドレスを割当てるためのPF_BUNDLE(AF_BUNDLE)型を提案し,それに対応するようSocket APIを拡張する手法を提案する.その上で,getaddrinfo(3)のようなライブラリがこれらのPF_BUNDLE型を利用するようにホスト名の表記を拡張することで,SCTPのような複数アドレスを用いるプロトコルも,従来の「プロトコル独立プログラミング」の枠組みで適切に扱えることを示す.Recently transport protocols which handle multiple IP addresses are focused. SCTP is a representative of such Protocol, and has not only features of "TCP like reliability", "TCP like API", but of"Multiple IP addresses on both ends". Since "Socket API" assume that "single IP address for each socket", they are incompatible with SCTP which allocates multiple IP addresses for a single socket. In this paper, we first propose "PF_BUNDLE (AF_BUNDLE)" which are new kinds of address Family and protocol Family, which handle muldple IP addresses within a single socket, and we also propose extentions to "Socket API' to suite for "PF_BUNDLE". Next , we also improve libraries such as getaddrinfo(3) to be capable of handling "PF_BUNDLE", and show that "Protocol Independent Programing" style is still suitable for protocols like SCTP.
著者
浜田 彰夫 岡部 寿男 大久保 英嗣 津田 孝夫
雑誌
全国大会講演論文集
巻号頁・発行日
vol.48, pp.83-84, 1994-03-07

分散OSでは、OSに必要な情報が複数のノードに分散されていることが多いので、システムの動作中に安易に一つのノードの電源を停止すると、他のノードにおいてOSとしての機能を続行させることが不可能となる場合がある。また、停電などによりすべてのノードの電源が一斉に停止すると、再び電源を投入しても以前の状態を回復することは通常不可能である。本研究では電源異常等によってシステムに障害が発生することを防ぐことを目的としている。電源の供給が予告無しに停止すると仮定すると、いつ電源が停止してもその時のシステムの状態情報を復活できる必要があり、したがって任意の時点におけるシステムの状態情報をすべて二次記憶等に保存しなければならないが、これは非常に効率が悪い。そのため、ここでは電源が停止するまでにある程度の時間的余裕があると仮定する。たとえば、突然に停電が起こった場合でも、自動的に予備電源が入り、残り数分間だけは電源が供給されるという場合などである。このような場合にシステムの実行状態を凍結したり、一部のノードを切り離したりすることによって、システムを安全な状態にとどめる方式に関して論ずる。我々は、現在開発中である分散OS DM-1においてこの機能を実現する予定である。
著者
岡部 寿男 古村 隆明 佐藤 周行 山地 一禎 中村 素典
雑誌
研究報告インターネットと運用技術(IOT)
巻号頁・発行日
vol.2014-IOT-24, no.12, pp.1-6, 2014-02-20

Web サービスの認証連携で属性情報を用いてサービス提供サーバが認可判断を行う場合において、認証連携プロキシを経由することで、属性提供サーバが提供する個々の属性情報の詳細をサービス提供サーバに対して秘匿すると同時に、サービス提供サーバの認可の条件を属性提供サーバに対して秘匿したいという相反する要求に対応するための仕組みを提案する。
著者
松本 亮介 岡部 寿男
雑誌
研究報告インターネットと運用技術(IOT)
巻号頁・発行日
vol.2012, no.6, pp.1-6, 2012-06-21

Web サーバを利用したサービスの増加に伴って,Web サーバ上で生じるインシデントも増加している.これらの問題を解決するために,Web サーバソフトウェアの機能拡張が必要である.Apache を利用していた場合,機能拡張のためには C 言語や Apache 内部の仕様を深く理解している必要があり,開発の敷居が高く,コンパイルが必要となって保守性が低い.そこで,現在注目されてきている組み込みスクリプト言語 mruby を利用して,Apache に機能拡張のための mruby 用インターフェイスを実装し,mruby スクリプトによって簡単に Apache 内部の機能拡張を行える機構 mod_mruby を提案する.mod_mruby は,Apache 内部に存在する各種リクエスト処理フェーズにおいて,任意の mruby スクリプトを任意のフェーズでフックして実行できるインターフェイスを提供している.フックする際には,Apache 内部でのみ保持しているリクエスト処理情報を,組み込みスクリプトの特性を生かして,mruby スクリプト上で操作可能にした.また,mruby スクリプト実行時に生成される状態遷移を保存する領域や拡張ライブラリのロードを複数の mruby スクリプトで共有し,コンパイルされたバイトコードのみを使い分ける事によって,高速に動作するように設計した.その結果,mruby は広く利用されている Ruby と同様のオブジェクト指向による実装が可能である事と相まって,多くの開発者が Apache の機能拡張に取り組み易くなると考えている.As the increase of services using Web servers, the number of incidents also is increasing rapidly. In order to solve those problems, it is necessary to extend a functionality of a Web server software. In case of using Apache, developers are required high coding skill of C language and internal specifications of Apache in order to extend the functionality of it. The development of a web server extension requires some high skills, and the maintainability is low since that extension need to compile a code. Therefore, we propose mod_mruby that is a web server extension mechanism using embeddable scripting language mruby which has been attracting attention now. mod_mruby allows to extend the functionality of Apache easily by implementing a mruby script. mod_mruby provides an interface to hook and execute any mruby scripts in the various phases of processing requests inside Apache. When hooking mruby scripts, mruby scripts can process the data of processing requests inside Apache, taking advantage of the characteristics of a embeddable scripting language for C language. We have designed that mod_mruby run at high speed by sharing the data of state transition and the extension library of mruby by multiple mruby scripts and using only different byte code each mruby script. Many developers can implement a web server extension easily by mod_mruby in cooperation with coding style of mruby which is the same as object oriented programming ruby which is widely used by web developers.
著者
島岡 政基 西村 健 古村 隆明 中村 素典 佐藤 周行 岡部 寿男 曽根原 登
出版者
The Institute of Electronics, Information and Communication Engineers
雑誌
電子情報通信学会論文誌 B (ISSN:13444697)
巻号頁・発行日
vol.J95-B, no.7, pp.871-882, 2012-07-01

通信の安全を確立するサーバ認証を適切に行うには,パブリック認証局から発行されたサーバ証明書が必要である.しかしながら,過去にはパブリック認証局から発行を受けることの重要性が正しく認識されてこなかったことがあり,更には商用のサーバ証明書は審査手続きが煩雑な上に学術機関の実態に沿っていないなどの課題もあったため,学術機関におけるサーバ証明書の普及は遅れていた.そこで筆者らは,学術機関のために最適化したサーバ証明書発行スキームと,証明書自動発行支援システムからなる学術機関のためのサーバ証明書発行フレームワークを提案した.国立情報学研究所による実証実験と本運用を通じて,同スキームにより高い身元確認レベルを確保しつつ審査手続きの学術機関最適化を,また同システムにより認証事業者の証明書発行業務を自動化するとともに各学術機関が必要な学内システムを用意した場合には学術機関側の工数削減も可能であることを実証した.
著者
松本 直樹 小谷 大祐 岡部 寿男
雑誌
研究報告インターネットと運用技術(IOT) (ISSN:21888787)
巻号頁・発行日
vol.2021-IOT-52, no.28, pp.1-8, 2021-02-22

一般家庭のネットワークにはパソコン・スマートフォン以外にもスマートスピーカなどの多機能なデバイスが接続されつつある.しかし,デバイスが情報の窃取などを目的とした,ユーザーの意図しない通信を受けた場合,デバイスを保護する手段が存在しない.そこで,ネットワーク側でデバイスを保護する手法が提案されているが,ネットワークに関して未熟なユーザーがデバイスごとに細かい制御を行い保護することは困難である.一方,デバイスの細かいアクセス制御を行う手法として Capability に基づくアクセス制御(Capability Based Access Control; CapBAC)が提案されており,最小権限の原則や認可内容を容易に把握できる点からホームネットワークのアクセス制御に適したモデルである.本研究では,ホームネットワークにおける Capability に基づく認可アーキテクチャとアクセス制御手法を提案する.デバイスの各機能を Capability で表現することで,ユーザーによる認可に基づき,ホームネットワーク下のデバイスごとに細かいアクセス制御をすることが可能であることを示した.また,プロトタイプを OpenFlow を用いて実装し,実際にアクセス制御が機能することを確認した.
著者
中村 素典 西村 健 山地 一禎 佐藤 周行 岡部 寿男
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. ICM, 情報通信マネジメント (ISSN:09135685)
巻号頁・発行日
vol.113, no.23, pp.163-169, 2013-05-02

近年,シングルサインオンの技術を応用し,組織をまたがった認証連携を行う取り組みが広がりを見せている.民間ではOpenIDの仕組みを活用した認証連携が進む一方,学術ではSAML(Secudty Assertion Markup Language)を用いた認証連携の枠組みが,国を単位として世界的に立ち上がってきている.OpenIDやSAMLでは,認証結果とともに,認証された利用者に関する属性情報をサービス提供側に受け渡す仕組みが用意されているため,単なる利用者の本人確認にとどまらない,高度な情報連携の可能性を秘めている.本報告では,大学等が運用管理する認証サーバと,民間のサービス提供サーバとを連携させ,大学が保持する職種(学生,職員,教員など)に関する属性情報を提供することにより,学割サービスを実現するためのプロトコルゲートウェイの設計および試作について述べる.
著者
大庭 隼人 宋 中錫 高倉 弘喜 岡部 寿男
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. IA, インターネットアーキテクチャ (ISSN:09135685)
巻号頁・発行日
vol.106, no.465, pp.31-36, 2007-01-11

ネットワーク不正侵入検知システム(IDS)は誤検出が多く、ログが膨大になることが知られている。そのため、管理者の負荷を軽減すべく種々のデータマイニング手法や可視化手法が提案されている。現状ではそのテストデータにはKDDCup'99のデータが広く利用されているが、データが作成時期が古く現在のIDSログデータとは異なる点が多い。本研究では、京都大学に設置されたIDSのログデータを用い、両データの違いを明確化すると共に学習に基づく可視化手法を提案する。
著者
松本 亮介 岡部 寿男
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.55, no.11, pp.2451-2460, 2014-11-15

Webサービスの大規模・複雑化にともない,Webアプリケーションの開発だけでなく,Webサーバソフトウェアの機能拡張も必要になる場合が多い.Webサーバの機能拡張において,高速かつ軽量に動作することを重視した場合,C言語による実装が主流であったが,生産性や保守性を考慮した場合はスクリプト言語で機能拡張を行う手法も提供されている.しかし,従来手法は,Webアプリケーションの実装だけでなく,Webサーバの内部処理を拡張することを主目的とした場合,高速性・省メモリ・安全性の面で課題が残る.そこで,スクリプト言語で安全に機能拡張でき,かつ,高速・省メモリに動作するWebサーバの機能拡張支援機構を提案する.Webサーバプロセスから内部処理としてスクリプトが呼び出された際,高速に処理するために,インタプリタの状態を保存する状態遷移保存領域の生成を,サーバプロセス起動時に生成しておいて,それを複数のスクリプトで共有して実行するアーキテクチャをとった.また,メモリ増加量を低減し,かつ,状態遷移保存領域を共有することにより生じるスクリプト間の干渉を防止して安全に機能拡張するために,スクリプト実行後に状態遷移保存領域からメモリ増加の原因となるバイトコード,および,任意のグローバル変数・例外フラグを解放するようにした.このアーキテクチャの実装には,組み込みスクリプト言語mrubyとApacheを利用し,Rubyスクリプトによって容易にApache内部の機能拡張を行えるようにした.このApacheの機能拡張支援機構をmod_mrubyと呼ぶことにする.
著者
松本 亮介 岡部 寿男
雑誌
インターネットと運用技術シンポジウム2013論文集
巻号頁・発行日
vol.2013, pp.79-86, 2013-12-05

Web サービスの大規模・複雑化に伴い,Web アプリケーションの開発だけでなく,Web サーバソフトウェアの機能拡張も必要になる場合が多い.Web サーバの機能拡張において,高速かつ軽量に動作する事を重視した場合,C 言語による実装が主流であったが,生産性や保守性を考慮した場合はスクリプト言語で機能拡張を行う手法も提供されている.しかし,従来手法は,Web アプリケーションの実装だけでなく,Web サーバの内部処理を拡張する事を主目的とした場合,高速性・省メモリ・安全性の面で課題が残る.そこで,スクリプ卜言語で安全に機能拡張でき,かつ,高速・省メモリに動作する Web サーバの機能拡張支援機構を提案する.Web サーバプロセスから内部処理としてスクリプトが呼び出された際,高速に処理するために,インタプリタの状態を保存する状態遷移保存領域の生成を,サーバプロセス起動時に生成しておいて,それを複数のスクリプ卜で共有して実行するアーキテクチャをとった.また,メモリ増加量を低減し,かつ,状態遷移保存領域を共有する事により生じるスクリプト間の干渉を防止して安全に機能拡張するために,スクリプト実行後に状態遷移保存領域からメモリ増加の原因となるバイトコード,及び,任意のグローバル変数・例外フラグを開放するようにした.このアーキテクチャの実装には,組み込みスクリプト言語 mruby と Apache を利用し,Ruby スクリプトによって容易に Apache 内部の機能拡張を行えるようにした.この Apache の機能拡張支援機構を mod_mruby と呼ぶ事にする.
著者
壺内 将之 岡部 寿男
雑誌
研究報告インターネットと運用技術(IOT)
巻号頁・発行日
vol.2014-IOT-24, no.33, pp.1-5, 2014-02-20

近年デジタルコンテンツの不正アップロードが問題となっている。ソフトウェアの不正コピー防止には従来はハードウェアとソフトウェアを結びつけて特定のハードでのみ動作することを許可する方式が採用されてきたが、正規ユーザには不便な仕様である。本研究では、実行形式ファイルへプログラムの実行順序を電子指紋として挿入することにより、ソフトウェアの不正アップロード者を追跡できるようにすることで、正規ユーザの利便性を損ねることなく不正コピーの流通を抑制することを提案する。プログラムを断片化し、それらの実行順序をランダムに入れ替え、その実行順序を指紋とする。また、ダミーの断片を多数入れることにより、プログラムの実行経路の追跡を困難にして、指紋の除去を防止する。
著者
中村 素典 西村 健 山地 一禎 岡部 寿男
雑誌
研究報告インターネットと運用技術(IOT)
巻号頁・発行日
vol.2014-IOT-24, no.4, pp.1-6, 2014-02-20

H.323 国際標準に準拠したテレビ会議端末の普及が進んでいるが,多くの拠点が参加するテレビ会議を行うためには,テレビ会議端末の他に多地点接続装置 (MCU) が必要となる.このような装置の価格と利用頻度を考えると,各大学が個別に維持することは現実的ではなく,1 台の MCU を複数の大学で共用することが望ましい.そこで,このような設備の共用を促進するために必要となる共通の予約システム FaMCUs を開発した.FaMCUs は学術認証フェデレーション 「学認」 の SP として実現されており,学認に参加する大学の教職員であれば自由に予約を行うことができる.また,多様なネットワーク環境からテレビ会議に参加できるようにするため,併せて Skype とのゲートウェイ機能も用意している.本稿では,FaMCUs の設計と実装について述べる.
著者
谷本 茂明 島岡 政基 片岡 俊幸 西村 健 山地 一禎 中村 素典 曽根原 登 岡部 寿男
出版者
The Institute of Electronics, Information and Communication Engineers
雑誌
電子情報通信学会論文誌 B (ISSN:13444697)
巻号頁・発行日
vol.J94-B, no.10, pp.1383-1388, 2011-10-01

全国大学共同電子認証基盤(UPKI)プロジェクトでは,大学間PKI連携及び構築コスト削減等を実現するキャンパスPKI共通仕様を新たに開発した.本仕様が,PKI連携とコスト削減を同時に満足し,キャンパスPKI普及促進に寄与することを示す.
著者
島岡 政基 片岡 俊幸 谷本 茂明 西村 健 山地 一禎 中村 素典 曽根原 登 岡部 寿男
出版者
The Institute of Electronics, Information and Communication Engineers
雑誌
電子情報通信学会論文誌 B (ISSN:13444697)
巻号頁・発行日
vol.J94-B, no.10, pp.1246-1260, 2011-10-01

国立情報学研究所(NII)では,平成17年度より大学間連携のための全国共同電子認証基盤(UPKI)の構築を行ってきた.UPKIは,コンピュータや学術コンテンツ等を大学間で安全・安心かつ効果的に共有し活用するための基盤として,PKI(公開鍵認証基盤)を中軸に利用者や利用機関の認証とサービスの認可の機能を提供する.本論文では,学術機関における認証の必要性と制約,対象とするサービスの多様性,既存の各種認証基盤との整合性などを考慮して設計した3層(オープンドメイン層,キャンパス層及びグリッド層)のPKIからなるUPKIの基本アーキテクチャについて解説するとともに,設計方針に基づく各層の実装及び連携方法などについて述べる.