連載
運用管理者のための知恵袋(2)


基本サービスこそ運用が難しい

sanonosa

2006/3/25

基本的なITサービスにも、運用が意外に難しいものが多い。メール、DNS、FTPを例に、実際の運用にかかわる問題点を紹介する(→記事要約へ)

 ITサービスやソリューションの導入における大原則は、仕組みを正確に理解し、きちんと準備することである。一番無難なのは、導入や運用に自信を持てないソリューションを導入しないことである。しかし、導入しないわけにはいかないものも多い。今回は、よく使われるものでありながら扱いが難しく、お恥ずかしながら個人的に苦手だと感じているサービスを3つ取り上げ、苦手としている理由も記してみたい。

その1 メールサーバ

- PR -

 メールサーバ関連の仕事は最も苦手なもののうちの1つである。苦手な理由にはいろいろあるが、おそらく一番の理由は、どこまで気を使っても完璧とは思えないところにある。

 メールサーバ関連作業を行う際には、知っておかなければならない知識が多い。「うそ〜、簡単だよ」と言う読者がいるとすれば、関連技術のすべてを正確に理解しているか、もしくは自身が何を知らないのかを知らない状態のいずれかだと思われる(おそらくほとんどの場合が後者である)。メールサーバは、わずかな設定ミスが外部に対して大きな悪影響を及ぼす。このため、ほかのサーバを立てる以上に慎重さが求められるが、どこまでテストを行えば完璧と言えるのかの判断がなかなか難しく、個人的にはいつも気持ちが悪い。

 メールサーバ関連作業の中でも、メールサーバ入れ替えは特に苦手な作業である。メールサーバ入れ替えは、データの移行方法に関する検討や、移行中に届いたメールの一時退避方法など、考慮しなければならない要素が山積みである。

 過去にフリーのMTAから商用MTAの移行を行った際は、利用ユーザー数が非常に多く、スプールされているデータ量が非常に膨大で、それらも含めてデータ移行を完璧に行える自信がまったく持てなかったため、最終的には経験豊富な業者に作業を依頼することにしてしまった。また別の機会には、ハードウェア変更のためにメールサーバの入れ替えを行ったが、その時は同じMTA間でのデータ移行であったためか、ドキュメントが豊富で、自分たちである程度自信を持って作業を行うことができた。

その2 DNSサーバ

 次に苦手なのはDNSサーバ系である。

 DNSサーバの設定は、簡単なようで実は難しい。世の中のDNSサーバを見渡すと、大多数のサーバに設定の誤りが含まれているという現状が、DNSサーバ構築の難しさを物語っている。試しにhttp://www.dnsreport.com/などのサイトを使って、自社サイトのDNS設定が正しいかどうか調べてみていただきたい。すべての設定をパスしている組織はあまり存在しないのではないだろうか。

 また、DNSといえばDNSのキャッシュ問題を取り上げないわけにはいかない。DNS設定を変更しても、ほかのサイトのDNSサーバのキャッシュが破棄され、新しい設定が適用されるまでは、新しいDNS設定が完全に有効になったとはいえない。定石通りTTL値を小さくしておいてからDNS設定を変更したとしても、ごく一部のDNSサーバもしくはPCのキャッシュが更新されないため、古い情報を使った昔のIPアドレスに対するアクセスが必ず発生する。これはアクセスしてきた側のシステムの問題なので、こちらではどうにもならない。

 昔はこうした事象への対応策を躍起になって探していたこともあったが、どうにもならないことはどうにもならないと悟り、現在DNS作業を行う際は、定石通りの対応をすればそれでよしとしてしまっている。

その3 FTPサーバ

 パスワードが平文で流れるFTPの利用はそろそろ止めたいと思うが、使い勝手が良いためかまだまだニーズが高い。情報システム部門が強い企業であれば、FTPの利用を禁止するという正論が通るが、そうでない企業は利用者側のニーズとして押し切られることとなる。後者の場合は必然的に、FTPとどう付き合っていけば良いのかを考えていかなければならない。

 FTPを利用するためには、セキュリティの脆弱性を極力隠ぺいする仕組みが必要になるが、なかなか一筋縄ではいかない。以前、この問題をファイアウォールの設定で対応しようとしたことがある。しかし例えば家庭用ADSLからのアクセスともなると、固定IPでない場合がほとんどなので、ACLをどう定義すべきなのか大いに悩んだ記憶がある。

 結局、最終的に選択した方法はSSL-VPNの導入である。SSL-VPNを導入することで途中経路の通信が暗号化されるため、セキュリティ脆弱性の問題を解決することができた。ただSSL-VPNを導入するためにはコストの問題や利便性低下の問題があり、最適な解決策だったのかどうかは評価の分かれるところである。

扱いが難しいソリューションへの対応

 冒頭に記したように、導入や運用に自信を持てないソリューションを導入しないことが一番無難である。もし、どうしても必要だが導入に自信が持てない場合は、どんなにコストがかかっても信頼のおける業者にアウトソーシングすることが一番安全ではないかと思われる。まずは自社で自信を持って行えるシステム構築・運用管理の範囲を明確にすることが大切だと思われる。

筆者プロフィール
sanonosa
国内某有名ITベンチャー企業に創業メンバーとして携わる。国内最大規模のシステムを構築運用してきたほか、社内情報システム業務を経験。韓国の交友関係が豊富なことから、韓国関連で多数のシステムインテグレーションを行ってきた。
■要約■
今回は、個人的に苦手としているメールサーバ、DNSサーバ、FTPサーバの運用について紹介する。

メールサーバは、特に入れ替えの際に注意点が多く、ミスが大きな影響を与えることになる。DNSサーバでも、正しい設定をしていると自信を持っていえる人はどれほどいるだろうか。FTPには、平文で流れるパスワードの脆弱性をどうカバーするかが問題となる。

自社での導入や運用に自信がないITソリューションについては、外部の業者にアウトソーシングすることを考えなければならない。
記事の先頭<Page1>に戻る

運用管理者のための知恵袋 バックナンバー 連載インデックスへ»


ホワイトペーパーTechTargetジャパン

ITインフラ 新着記事
@IT情報マネジメント メールマガジン 情報マネージャのための情報源(無料)

@IT情報マネジメント 新着記事

この記事に対するご意見をお寄せください managemail@atmarkit.co.jp

キャリアアップ

@IT Sepcial
→ @IT情報マネジメント Special ヘ

イベントカレンダー

PickUpイベント

- PR -
もっと見る

TechTargetジャパン

@IT Sepcial
→ @IT情報マネジメント Special ヘ
ソリューションFLASH

求人情報