カテゴリー: IT環境

Webサイトの常時SSL化が叫ばれていますが、SSL化するのは意外と難しいです。このサイトではWindows10のパソコンでSSLサーバ証明書を作れるようになることを目的として作り方を説明します。

順番に実行していただければ簡単にできると思います。最終的なアウトプットはSSL秘密鍵のファイルをSSLサーバ証明書の22つのファイルです。

SSLサーバ証明書に必要な物

SSLサーバ証明書と呼ばれていますが、原理は公開鍵暗号の技術を使っています。公開鍵暗号はその名の通りデータを暗号化する鍵が2つ必要ではあるのですが、一つの鍵を公開することができる暗号化方式です。

公開鍵暗号の特徴をまとめると以下になります。

SSL秘密鍵

SSL秘密鍵は、暗号化通信を始める際に必要な情報を管理しています。秘密鍵のは暗号の2010年問題(外部サイト)から2048ビット以上使うことを推奨されています。つまり2048ビット使う場合は、2²⁰⁴⁸の種類のデータの中から一つをえらんで鍵として使っています。

秘密鍵は名前の通り、絶対に秘密にしておく必要があります。

SSLサーバ証明書

SSLサーバ証明書は、SSL秘密鍵に対応する公開鍵のことを言います。SSL秘密鍵とSSLサーバ証明書の2つが無いとWebサイトのSSL化はできません。

CSR（証明書署名要求）

SSL秘密鍵から、SSLサーバ証明書を作る時に、SSL秘密鍵の特徴を表す情報と組織情報を指定して組み合わせたものをCSR(証明書署名要求)と言います。

CSRが必要な理由は、認証局にSSLサーバ証明書を発行してもらうために、最低限必要なSSL秘密鍵の特徴を認証局に提供するためです。

SSLサーバ証明書を作れる環境の準備

OpenSSLのインストール

Windows用のOpenSSLを作るのは手間がかかりますので、すでに公開されているサイト（外部サイト）から手に入れましょう。2020年2月15日現在、以下のような外観です。

上のサイトから下に半分くらいスクロールすると、下の図のようにOpenSSLのダウンロードリンクが表示されます。

SSLサーバ証明書を作成したり、確認するだけであればLight版で事足ります。64bit版のOSの場合はWin64が付いているリンクを、32bit版のOSの場合はWin32が付いているEXEのリンクをクリックしてインストーラをダウンロードします。

ダウンロードするとWin64OpenSSL_Light-1_1_1d.exeか Win32OpenSSL_Light-1_1_1d.exeのインストーラファイル名になります。 ダウンロードしたインストーラを実行します。

上の図は64bit版ですが、起動すると下のようなウィンドウが開きます。

上の図のようにライセンス合意画面が表示されます。赤枠を選択して、右下のNextをクリックします。

上の図のようにOpenSSLの保存先を指定する画面に変わります。変更が不要なら右下のNextをクリックします。

上の図は、OpenSSL用のスタートメニューをどこに作成するかフォルダ名を指定します。指定した名前のフォルダがスタートメニューに作成されます。右下のNextをクリックします。

上の図は、OpenSSLの動的ライブラリをとこに置くかのウィンドウです。変更は不要ですので、右下のNextをクリックします。

上の図はインストール前の最終確認画面です。間違いなければ右下のNextをクリックします。

上の図は、OpenSSLのインストールが成功したことを示しています。寄付をされるのであればチェックボックスにチェックを入れてFinishをクリックします。

OpenSSLコマンドのPATHの設定

OpenSSLのインストールが完了しましたが、まだ実行するにはOpenSSLへのコマンドのパスを通しておかないとフルパスで指定する必要があります。ここで便利に使えるようPATH変数に加えておきます。

上の図のように、①タスクバーの検索メニューをクリックして、PCと入力します。②メニュー左上にPCが表示しますので、右クリックして、③プロパティをクリックします。

上の図のようにコンピュータの基本的な情報の表示ウィンドウを表示します。左側メニューの赤枠内「システムの詳細設定」をクリックします。

上の図のように、システムのプロパティが表示されます。赤枠で囲っている環境変数ボタンをクリックします。

上の図のように環境変数の設定画面が表示されます。①赤枠のPATH部分をクリックして、青色背景に変更して、②右下の編集ボタンをクリックします。

上の図のように、ウィンドウが開きます。先ほどのパス変数を一行ごとに区切って表示しています。上の図の赤枠のように、最初の空行をダブルクリックして、インストールしたフォルダに/binを付けた文字列を入力します。

例えばC:64ビット版のOpenSSLを標準のフォルダにインストールした際は下の図のように入力します。

上の図のように入力します。入力が完了したらEnterキーで入力した文字列を確定します。

上の図のように、①入力したパスの文字列が確定したら、②OKをクリックします。

OpenSSLコマンドのPATH設定を確認

では実際にOpenSSLコマンドがフォルダを省略して使えるか確認します。コマンドプロンプトを開きます。openssl version とコマンドを入れてみます。

上の図のように、OpenSSLのバージョンが返ってきたら成功です。

Webサイト名の決定

Webサイト名は、例えばこのサイトで言えばsingomemo.comになります。

Webサイト名と使うWebサーバーで名前が異なる場合は、SSLサーバ証明書がChromeやFirefoxなどのWebブラウザでエラーを表示しますので、気を付けましょう。

特にwww.有りのサイトと無しのサイトがある場合はサイト名が異なります。2つのSSLサーバ証明書が必要となりますので、注意してください。

Webサイト名は英大文字・英小文字・数字と特殊文字はハイフン(-)とアンダースコア(_)までが安全です。他の特殊文字（アスタリスク(*)やパーセント(%)、シャープ(#)やビックリマーク(!)）はトラブルを引き起こしかねませんので使わないようにしましょう。なお、大文字と小文字は区別しません。

SSLサーバ証明書を作る

お待たせしました。いよいよSSLサーバ証明書を作成します。OpenSSLコマンドを使ってSSLサーバ証明書を作成する順番は次の通りです。

SSL秘密鍵の作成

どこでも良いのですが、フォルダを作ります。ここではデスクトップにTmpフォルダを作ります。

実際にコマンドを実行すると以下のようなファイルになります。

上の図は2つのことを実行しています。①opensslコマンドでSSL秘密鍵を作成します。出力するSSL秘密鍵のデータをprivate.keyファイルにリダイレクトして保存します。②typeコマンドでprivate.keyファイルの内容を表示します。これはテキストエディタで開いてみてもOKです。

SSL秘密鍵のファイルは「—–BEGIN RSA PRIVATE KEY—–」と「—–END RSA PRIVATE KEY—–」で囲まれていれば正常にできれいます。

これでSSL秘密鍵を作成することができました。なお、SSL秘密鍵はコマンドを実行するごとに内容が変わります。一回作成したSSL秘密鍵と同じ物は得られませんので、本番用にSSL秘密鍵を作成する際はバックアップを必ず取ることをお勧めします。

CSR（証明書署名要求）の作成

SSL秘密鍵を作成したら、SSLサーバ証明書を作成するために中間データのCSRを作成します。CSRはSSL秘密鍵の特徴と、Webサイトの情報を入力します。

では実際に作ってみましょう。コマンドプロンプトを開き、先ほどSSL秘密鍵を作成したフォルダへ移動して、CSRを作成します。

CSR作成コマンドを実行すると、赤枠内の表示で止まります。Country Nameは国名で日本はJPを入力してください。次にState or Provinceは州ですが、日本では都道府県を指定します。上の図では「**-ken」としてます。Locality Nameは市を入力します。上の図では「**-shi」としてます。Organizational Nameは会社名、Organizational Unit Nameは会社の部署名です。

次のCommon Nameが重要です。Common NameはWebサイトの名前で、公開する時に指定するサイト名と合わせてください。www有り無しも含めてです。

後の3つ、Email AddressとA Challenge password、An optional company nameは空欄で大丈夫です。

では作成したCSRのファイルを見てみます。

上の図のようになります。「—–BEGIN CERTIFICATE REQUEST—–」と 「—–END CERTIFICATE REQUEST—–」で囲まれていればCSRのファイルが正常にできています。

SSLサーバ証明書の作成

SSLサーバ証明書は認証局から購入する方法が一般的です。グローバルサイン（外部サイト）が人気でしょうか。認証局を運営するサイトにCSRや必要な書類を送付してSSLサーバ証明書を提供してもらう方法です。認証局ごとに購入方法が異なりますので、認証局の手順をご確認ください。

ここでは自己署名によるSSLサーバ証明書の作成を紹介します。自己署名ですが、SSL暗号化通信は実現できます。

それでは実際にコマンドプロンプトを開き、SSLサーバ証明書を作って表示してみます。

上の図のようになります。「—–BEGIN CERTIFICATE—–」と 「—–END CERTIFICATE—–」で囲まれていればSSLサーバ証明書のファイルが正常にできています。

SSLサーバ証明書とSSL秘密鍵の対応確認

SSLサーバ証明書とSSL秘密鍵、CSRの3つのファイルがあるわけですが、ファイルの内容を見てもすぐにそのWebサイトの証明書かわからないものです。そこで3つのファイルが同じWebサイト用かを確認する方法を説明します。

今回作った、SSL秘密鍵・CSR（証明書署名要求）・SSLサーバ証明書のファイルについて、Modulus値を表示してみます。

3つのファイルともにmodulus値が合っていることがわかります。

以上でSSLサーバ証明書の作成方法は終了です。

Ruby on Railsを最短で構築するのは意外と大変です。Windows10に自分専用にRuby on Rails環境を構築する手順をまとめました。参考になれば幸いです。

2つの前提条件が必要です。①コマンドプロンプトとエクスプローラの操作ができて、②テキストエディタで設定ファイルを修正する知識があることです。

慣れると1時間程度で構築できます。ポイントは以下になります。赤字部分は私が引っかかったところです。

Ruby on RailsをWindows10ではなく、CentOS8にインストールしたい方は、Ruby on Railsを最短でcentos8に構築してみよう！にまとめていますので、参考にしてください。

Ruby on Railsのインストール準備

Ruby on Railsはruby本体と開発キット、そして関連ソフトウェアの3つが必要になります。

Ruby on Railsに必要なインストーラを入手

ここではRuby on Railsを動作させるために必要なソフトウェアの入手手順を具体的に説明します。

Ruby本体と開発キット

Ruby本体と開発キットはRubyのホームページから辿れます。

左上にある「ダウンロード」ボタンをクリックすると下の図のようなページが表示される。

上の図の矢印にあるRubyInstallerのリンクをクリックします。

上の図のようにRubyInstallerのサイトへ移ります。右上にあるDownloadリンクをクリックします。

上の図のようにやっとrubyInstallerファイルをダウンロードできるページにたどり着きました。右上にお勧めバージョンが英語で書いてありますが、上の図で矢印にあるようにお勧めは太字で協調されています。

上の図では、Ruby+Dekit 2.6.5-1(x64)をダウンロードします。132MBもあるので、ダウンロード完了まで時間がかかります。なお、最新の2.7系をインストールすると、一部パッケージが非対応のため進めることができませんでした。

rubyinstaller-devkit-2.6.5-1-x64.exeファイルをダウンロードできたらRubyと開発キットのセットは準備完了です。

関連ソフトウェア

Ruby on Railsを動作させるには関連するソフトウェアの準備も必要です。明示的に必要と表示されないこともありますので、注意が必要です。

SQLite3

SQLiteのホームページから、ダウンロードします。https://sqlite.org/index.htmlへアクセスします。

上の図のようにSQLiteのホームページが表示されるので、上の図の赤枠のDownloadボタンをクリックします。

上の図のように32bit版か64bit版かの選択が必要です。基本はOSのアーキテクチャに合わせます。私は64bit版を使います。

Git

Railsではバージョン管理システムのgitを内部で使っていました。gitをインストールしないと、エラーは出ないのですが、処理が進まない状態でした。

Gitのホームページからダウンロードします。 https://git-scm.com/へアクセスすると下の図のようにWebサイトが表示されます。

上の図のようにDownloadsリンクをクリックして進みます。

上の図のようにOS事に分かれているので、赤枠のWindows版をクリックします。

GitのWindows版ダウンロードのページへ進むと上の図のようになります。通常自動でダウンロードが始まりますが、ダウンロードできなかった場合は、上の図の赤枠内から32bit版もしくは64bit版をダウンロードします。

Ruby on Railsの最短インストール手順

Ruby on Railsを動かすために必要なソフトウェアが揃いました。順番に入れていきます。

Gitをインストール

ダウンロードしたファイルの中から、Git-2.25.0-64-bit.exeを実行します。

上の図のようにインストーラを実行します。

上の図のようにGitをインストールする前にGNUのライセンス画面が表示されます。Nextボタンをクリックして進みます。

上の図のようにGitをインストールするフォルダの指定画面が表示されます。変更が必要なら変更してNextボタンをクリックして進めます。インストール先フォルダが既に存在すると下の図のように確認ダイアログが表示されます。上書きしてよければ「はい」をクリックします。

「いいえ」を選ぶとインストール先のフォルダを指定する画面に戻ります。

次へ進むとインストールするコンポーネントを選択する画面になります。

特別チェックを入れる必要は無いと思いますので、変更せずNextをクリックします。

変更の必要がなければ変更せずにNextをクリックします。

上の図のように、Gitで使うエディアを選択するが表示されます。Ruby on Railsを使うだけならどれでも影響はないので、今回のインストールでは変更せずNextをクリックします。

好みのエディタがあればセレクトボックスから変更してください。

上の図のようにPATH変数への設定方法の確認ページです。お勧めの真ん中が選択されていますので、変更せずNextをクリックします。

上の図のようにSSL選択画面が表示されます。OpenSSLを使いますので、上の図のように選択していることを確認してNextをクリックします。

改行コードを変更するかしないかの選択画面が上の図のように表示されます。変更しない方が良いと思いますので、上の図のように一番下を選択してNextをっクリックします。

上の図のように、Gitが使うターミナルエミュレータを選択します。Windowsの標準のコマンドラインで良いので、上の図のように選択してNextをクリックします。

上の図のように、インストール前の最後の確認があります。一番下のシンボリックリンクのチェックを入れてInstallをクリックします。インストールが完了すると下の図のように完了画面が表示されます。

上の図まで来たら、Nextをクリックして終了します。

gitが使えるかを確認しておきます。コマンドプロンプトまたはPowerShellを新しく開き、”git –version”と入力するとインストールしたバージョンを表示すれば正しくインストールできています。「新しく」開く理由は、インストール環境の変化がWindowsに反映していない場合もありますので、必ず新しく起動してください。

Ruby のインストール

次はいよいよruby本体をインストールします。

上の図のように、ダウンロードしたファイルから、rubyインストーラを起動します。しばらく待つとSetupウィンドウが開きます。

上の図のようにライセンスに合意するか確認してきます。BSDライセンスの変形版です。ソフトウェア自体を再配布する際の制限はありますが、フリーソフトなので使うだけであれば気にする必要はありません。

上の図の赤枠のI accept the Licenseを選択すると右下のNextをクリックできるので、インストールを進めます。

上の図のように、Rubyソフトウェアのインストール先を指定します。変更不要であればInstallをクリックします。

Rubyインストール先のフォルダが存在すると、上の図のように確認ダイアログを表示します。インストールしてよければ「はい」を、修正する場合は「いいえ」をクリックします。「いいえ」をクリックすると戻って、Rubyソフトウェアのインストール先の指定するウィンドウに戻ります。

「はい」をクリックするとインストールする部品を選択します。

上の図のようにRuby本体は選択済みです。下のMSYS2 development toolchanにチェックが入っていることを確認して、Nextをクリックするとインストールが始まります。

開発キットが900MB近いので少し時間がかかります。

Rubyのインストールが完了すると上の図のように完了画面が出ます。赤枠内のチェックを外してからFinishボタンをクリックします。

ridk installのチェックを外し忘れた場合には、下のような画面が出ますが、右上の×ボタンでウィンドウを閉じてください。

Ruby の開発キットのインストール

次はRubyの開発キットをインストールします。実施することは3つになります。

pacman.confの修正

インストールしたフォルダの下のmsys64\etc\pacman.confを修正します。Rubyを標準のC:\Ruby26-x64にインストールしたのであれば修正するファイルはC:\Ruby26-x64\msys64\etc\pacman.confになります。

テキストエディタでpacman.confを開きます。お勧めはUnixの改行コードを扱えるサクラエディタです。

上の図の赤線の箇所、19行目ですが、先頭にコメントを意味するシャープ記号(#)があります。これを削除して保存します。もう一度開くと下の図のようになります。

19行目の最初のシャープ記号が無くなっていることがわかります。

SQLite3のインストール

SQLite3のライブラリをインストールします。

上のようにsqlite-dll-win64-x64-331010.zipをダブルクリックするとZIPの中のファイルが下の図のように表示されます。

上の図にあるsqlite3.dllとsqlite3.defファイルをインストールしたフォルダ下のbinフォルダに置きます。標準のC:\Ruby26-x64にインストールした場合は、C:\Ruby26-x64\bin\下に置きます。

上の図のようにsqlite3.dllとsqlite3.defファイルを置けば完了です。

Ruby開発キットをインストール

Ruby開発キットをインストールする前に以下3点を確認します。

問題なければいよいよRuby開発キットをインストールします。

Rubyの開発キットをインストールする最初の手順はmsys2.exe（Rubyをインストールしたフォルダの下のmsys64フォルダの下にあります）を実行します。標準のフォルダにインストールした場合には、msys2.exeの絶対パスはC:\Ruby26-x64\msys64\msys2.exeになります。

コマンドプロンプトのような画面を表示します。

上の図のように表示したら、初回起動時は10分くらい時間がかかるので、しばらく待ちます。エラーとか出ますが気にしないで下の図のようになるまで待ちます。

上の図になったら、MSYS2を画面のメッセージ通り起動しなおしますので、右上の×をクリックして閉じてください。

もう一度msys2.exeを起動します。

上の図のように表示できたら、

pacman-key --init

と入力してpacmanコマンドが使う署名情報を初期化します。

上の図のように表示されれば成功です。

次に、Ruby開発インストール時にエラーにならないよう署名鍵を設定します。

pacman-key --lsign-key A47D45A1

と入力してください。

上記のように表示されれば設定完了です。右上の×をクリックしてウィンドウを閉じてください。

コマンドプロンプトを開き、ridk installと入力します。

上の図が表示されたら、インターネットへ接続できることを確認してEnterキーを入力します。Ruby開発キットのインストールが開始して、5分ほどで完了します。

上の図のようになれば、Ruby開発キットのインストールは完了です。Enterキーを入力して、コマンドプロンプトへ戻り、右上の×をクリックしてコマンドプロンプトを閉じます。

Railsをインストール

RubyにRailsをインストールします。コマンドプロンプトを起動して、gem install railsと入力します。

上の図のようにインストールが進みます。1分ほどすると下の図のように終了します。

もう一つSQLite3のパッケージもインストールする必要があるため、gem install sqlite3でインストールします。

上の図のようにSQLite3パッケージのインストールが始まり、下の図のように完了すれば正常です。

インストールしたRailsは-vオプションを付けると表示します。

Railsのバージョン5系を使いたい場合はrails6系をアンインストールしてからインストールします。updateはありましたが、downgradeはないようです。

インストールしたrailsを削除するにはrailsとrailtiesを削除する必要があります。railtiesはrailsの実行ファイルですので、これも削除しないと整合が取れなくなるようです。

次にどのバージョンが有効かを確認します。

上の図からrailsの5の最新バージョン5.2.4.1をインストールします。gem installコマンドで-vオプションでバージョン指定が可能です。

これでRailsのインストールは完了です。

RailsアプリケーションとWebサーバの構築

Rubyのインストールと開発環境は出来上がったので、いよいよRailsアプリケーション用のフォルダを作成します。

Railsアプリケーションを作成

今回は最短で立ち上げることを目的としていますので、rails newコマンドでRailsアプリケーションフォルダを作ります。

上の図のようにrails newコマンドでプロジェクトを作りますが、フルパスで指定しないと今いるフォルダの直下にプロジェクト名を作成します。フルパスで指定するとそのフォルダを作成します。

gitをインストールしていないとgit initの所でエラーを表示することなく終了します。

Railsアプリケーション用のWebサーバーを起動

いよいよ最後です。Railsアプリケーション用のWebサーバを起動します。作成したRailsアプリケーションのフォルダへ移動して、rails serverを入力します。

rails s（sはオプションsevrerの省略系で識別できれば文字を省略できます）と入力してシグナル処理が利用できない警告は出ているようですが、WebサーバとしてはlocalhostのTCP/3000番のポートで起動しました。

さっそくChromeなどのWebブラウザでhttp://localhost:3000/のサイトに接続してみましょう。

上の図のように表示されれば成功です。

Railsアプリケーション用のWebサーバーを停止

rails serverで起動したコマンドプロンプト上でCtrl+C（Ctrlキーを押しながらCキーを押す）を入力すると停止できます。「バッチジョブを終了しますか（Y/N）？」と表示しますので、Yを入力すればWebサーバーを停止できます。

これでRuby on Railsの基本的な開発環境は出来上がりました。

まとめ

Ruby on Railsの開発環境を構築するのは3点ほど気を付けると簡単にできます。参考になれば幸いです。

今や、パソコンだけでなく、スマートフォンやタブレットもインターネットにつながっています。でもインターネットは、組織が自前のLANを構築して繋げているだけなので、インターネット全体を管理している組織は存在しません。

管理している組織はありませんが、ガイドラインはあります。また相手があることですので、手順やルールが決められています。

このページではインターネットを代表する通信手順であるTCP/IPについてわかりやすく説明します。TCP/IPが理解できると、インターネットの概要は理解できます。

TCP/IPは何ができるのか？

TCP/IPはTCPとIPの組み合わせです。インターネットを構成するプロトコルの中でも、TCPとIPは一番重要なプロトコルです。さらにUDPというプロトコルもあります。UDPについては後述します。

TCPとIPを使うことで、通信したパソコンやスマートフォンやタブレットはIPアドレスとTCPのポート番号を指定することで通信することができます。例えば、Webサイトを見ようとして、Google ChromeなどのブラウザにURLを入力してWebサイトを開くと思います。

具体的にはこのサイトのトップページを見ようとして、https://singomemo.com/のURLをブラウザのアドレスバーに入力する状況を想像してみてください。

ブラウザはWebサーバからWebサイトのコンテンツを受け取ると下のように表示します。

パソコンやスマートフォンの機械が処理するのであっと言う間ですが、実際には次の順番で処理します。

2でTCPとIPのプロトコルを使います。このようにTCPとIPを使うとネットワークに繋がっているWebやDNS、YouTubeなどのサービスを提供するサーバと接続して情報を送ったり受けたりできます。

IPとは何か

インターネットに接続してデータを送受信する時に、IPというプロトコルを共通で使います。IPで決められている送受信先はパソコンやスマートフォンのネットワーク接続のためのインターフェース（ネットワークインターフェースカード略して「NIC」と呼びます）までです。

NICまで到達したデータはパソコンやスマートフォンに取り込まれ情報としてデータを処理します。データの処理というと難しいですが、Webサイトを表示したり、音声としてスピーカから鳴らしたり、ネットワークを通して受け取ったデータを出力することです。

TCPとは何か

IPが、インターネットで使うIPアドレスとIPアドレスの間で、データ送受信を行います。ただし、データの送受信時の紛失など、受信側がデータを正しく受信できるかは保証していません。なぜデータ送受信時の紛失を保証しないかというと、TCP/IP登場時のコンピュータの処理能力では、通信速度を出せなかったためです。またIPはすべてのネットワークに同じ通信手順を提供する役割だけ持つことにしてデータの送達保証は上位層にゆだねることにしました。

例えば、ファイルコピーなどデータを送信する時にデータの欠損があると受信側は送信元のデータを正しく扱えません。このような時はTCPが送達を担保する仕組みを提供します。逆に送達を担保する必要が無い場合もあります。

送達を保証しない方が良い場合は、例えば電話通信やストリーミングなど、データ送受信の保証ではなく、リアルタイムにデータを送達できることの方が大事な場合があります。こちらはUDPが担当します。

さらに、TCPやUDPはIPの上位層に位置しています。さらに上位にはアプリケーションがあり、アプリケーションのマルチタスクの通信手順を提供します。IPが送信元と送信先への通信の手順を提供するだけでした。

TCPとIPを組み合わせて何ができるのか

TCPとIPを組み合わせると、IP通信のデータ送受信し、TCPでデータの損失を再送により保証しつつ、複数の通信制御を行います。下の図にWeb閲覧とメール受信の通信イメージを記します。

サーバ側について、WebサーバはTCPの80番ポートでWebサイトの情報を提供します。メール受信サーバはTCPの110番ポートでPOP3プロトコルで受信したメールを提供します。

もう少しTCPとIPの役割を、実際の通信のイメージをプロトコルスタック(階層構造)を使って説明します。

答えは時代の流れにあります。複雑になりすぎるからです。一社が一つの製品で作ると時間もかかるし、変更にも時間がかかる。世界を一つに統一するのが難しいのは、国が分かれていることからもわかります。ソフトウェアで言うとオブジェクト指向も同じ考えた方で、「分業して作りましょう。ただデータの受け渡しは決めておきますね。」ということになります。

インターネットを支えるプロトコル

ここからはTCP/IP以外のプロトコルを簡単に紹介します。

アプリケーション層

アプリケーションは具体的にはGoogle Chromeなどのブラウザが使うHTTPやHTTPSというプロトコル、メール送受信で使うSMTPやPOP3、IMAPというプロトコルがまとめています。下の層の何を使うかも併せて下の表にまとめます。

アプリケーション名	主に使うアプリケーションプロトコル	使う下層のプロトコル
ブラウザ(Chrome等)	HTTP, HTTPS,	TCP
メール(Outlook等)	SMTP, POP3, IMAP	TCP
IP電話	SIP(制御用), RTP（通話用）	TCP(制御用), UDP(通話用)
名前解決	DNS	TCP, UDP

LINEも説明したかったのですが、高機能なためわかりにくくなります。ここでは比較的わかりやすいWebブラウザ、メールソフト、IP電話について説明しました。

DNSについてはDNSとは何か？をご覧ください。

ネットワークインターフェース層

ネットワークインターフェースで、一番身近になったのは無線です。スマートフォンが出始めてから急速に普及しました。無線と言っても、3G、4G、無線LANを総称しています。

次に有線LANをご存じではないでしょうか。一般的なものは下の図のようなUTPケーブルです。よく見ると8本の導線が一列に並んでいます。最長でも100mまでしかデータを送れません。

ひと昔前であれば電話線もADSLとしてインターネットに使われていました。

他にはあまり見かけないと思いますが光ケーブルも使います。

まとめ

TCP/IPは聞いたことがあってもあまり知らないことが多いのではないでしょうか。インターネットを使う分にはそれほど知っているべき知識でもないですし、インフラ技術者が主に知っておくべき知識としてまとめました。

これからIT技術を理解したい人にとっても入り口になれば幸いです。

いろいろなサイトで安全なパスワードの作り方は教えてくれますが、安全に保管することが難しいです。私が実践している比較的安全に保管する方法を紹介します。他にもっと良い方法がある方はコメントに残していただけると幸いです。

パスワードの保管方法

安全なパスワードは作ったが、さてどこに保管するか…。Excelファイルに安全なパスワードを記載して、安全のためそのExcelファイルにパスワードをかけるとします。 Officeをお持ちでない場合にはテキストファイルに安全なパスワードを記載して、パスワード付きZIPファイルで保管します。よくある光景だと思います。

でもここで気になることが出てきます。

いつまで経っても最後のパスワードの保管方法が決まりません。入れ子のような構造になって、いつまで経っても解決しません。

ではパスワードをどこに保管するのが良いのでしょうか？　実は全く関係が無い場所に保管すると安全に管理ができることに気づきました。

具体的にはどこになると思いますか？　私は個人持ちのスマホにデータとして保管するのが最善だと考えます。理由については次項から説明します。

安全な保管場所は個人のスマホ

一番安全な場所は個人のスマホの中に記載します。使う本人だけが分かればどこでも良いのです。ただし条件があります。パスワードだけを記載して保管してください。どの「Webサイトで使う」とか「IDは〇〇」とかパスワードを使う場所が特定できる情報を書いてはダメです。

ではなぜ個人のスマホが重要なパスワードを保管するために適していると判断したのでしょうか？　現在個人のスマホは財布と変わりない域にまで機能が拡張されていますので、皆さん自分で厳重に管理しているはずです。そのため、大事なスマホを無くすことはありえません。私は万一失くしたら必死に見つかるまで探します。

記載場所はデータとして保管するならどこでも良いのですが、メモ帳などにパスワードの文字列を記載しておきます。実は「パスワード」と書いてなければ、それを見た他の人は何のための文字かは分からないのです。もし文字列がパスワードと分かったとしても、何のパスワードかどこで使うかがわからなければ結局使うことはできません。しかも関連するIDやユーザー名が無いため、どこのパスワードか探し当てるのは難しいと思います。

これですべて解決するでしょうか？　そうとは言えないです。もう一つ心配事があります。

判らないように記録するコツ

他人から見てわからないようにするには、独自のルールを決めればよいのです。使いやすいのは次の2つの方式です。

逆順で書く

横書きのパスワードの文字列は通常左側から認識します。これをあえて逆順にして、右側から書きます。または後ろの文字から書いていきます。良くないパスワードの例ですが、パスワードを「Password1234」とすると下のように書きます。

この文字を他人が見て、仮にパスワードだとわかったとしても、常識的に考えて左から入力するはずですので、そのためパスワードがバレることはありません。ちょっと例が悪いので上の例だと右側から書いているとわかってしまいますが、安全なパスワードであれば、後ろから書いているとは気づきません。

ただし、悟られないように注意してください。悟られるならば次の手も併せて使ってください。

先頭にダミー文字列を入れる

パスワードを逆順にするだけでは不安だという人には、先頭にダミー文字を入れましょう。

1文字でも2文字でも何文字でも本人が理解できれば大丈夫です。自分はダミー文字列を外してパスワードを入力すればOKです。何文字ダミーを入れるかも本人次第です。自分のパスワードなので先頭に何文字ダミーがあるかは一目でわかるはずです。

他人がその文字列をパスワードとして見ると必ず1文字目から入力をします。何文字ダミーかの情報も入れないのでわかりません。この情報も悟られてはいけません。自分だけの秘密の規則（以後「マイルール」と言います）として忘れないようにしてください。

例えば先ほどの例と同じようにパスワードを「Password1234」とするとダミー文字を2文字「1@」を入れてみます。

いかがでしょうか。左側はダミーの最初の2文字を付与したものがそのままパスワードと誤認しても仕方ないですよね。本人は区切り文字を特殊文字にすると間違いないと思います。

さらに後ろにもダミーを入れてみます。特殊文字であればダミーを含めてパスワードと誤認する確率はかなり高まります。

^と$の間の文字列が本当のパスワードです。正規表現で^は始まりを、$は最後を示すマイルールとすることで、本人は識別できますが、他人は識別できないメモとなります。

いろいろ応用は効きますので、試してみて使いやすいマイルールを見つけてください。

ハズレを入れておく

パスワードに使わない文字列を本当のパスワードの前後に入れておきます。ハズレが多いほど良いです。具体的には次のように書きます。

1. 21dorwssaP
2. 1@Password1234
3. St.^Password1234$enD

３行上のような文字列を書いておき、例えば上の3項の^と$の間が本当のパスワードというマイルールにしておくと1項と2項はハズレになります。正しいパスワードが漏れるリスクを下げられます。

安全なパスワードの簡単な作り方

使い捨てにも使える複雑で安全なパスワードの作り方はノートンのブログに紹介されていました。パスワード自動生成ツールを使いましょうという結論ですが、少し工夫してみます。

先ほどのPassword1234という文字列ですが、特殊文字が無いだけで、大文字小文字数字と入っています。ただ辞書に登録してある文字が入っているため破られやすいです。

ここで覚えやすく、他人から見てわからないようにするため、次の変換を使います。

• a → @
• s → $
• o → 0
• 1 →l(小文字のL)またはI(大文字のi)
• 小文字を小文字を変えたり、文字列の位置を変更したりして気息性を無くす
• アンダースコア(_)やハイフン(-)を途中に追加

具体的にPassword1234を変えてみると下のようになり、強力なパスワードになりました。文字の位置までは変えていませんので、もう少し強化できます。

まとめ

パスワードは絶対に紙に書いたりしてはダメということはありません。そもそも「パスワードを管理すること」が目的ではありません。「パスワードがバレて使われる状況にならないようにすること」が目的です。

パスワードの管理はもっと楽になるはずです。上手く機器を使って安全にパスワードを管理していけると幸いです。

2018年からChromeでSSL化されていないWebサイトは警告が表示されるようになりました。SSL化のことは知っていても、なぜ常時SSL化が必要となったかまでわからないことが多いと思います。

ここではSEを生業として見た常時SSL化の必要性と、SSLがあるとどこまでできるかを考えてみたいと思います。併せて簡単ですが、常時SSLが必要となった背景とインターネットの危険性について紹介したいと思います。

SSLで実現できること

WebサイトがSSL化していると次の3点が可能となります。

1. 第三者からWebサイトの正当性を証明できる。
2. 通信内容を他の端末でわからないように暗号化できる
3. 通信内容を途中で書き換えられたことを検知できる

3つ挙げていますが、常時SSL化が取り上げられた理由は1のWebサイトの正当性を証明できるがすべてです。このWebサイトの正当性を証明する証明書のことを「サーバ証明書」「SSLサーバ証明書」単に「証明書」と言います。

なぜWebサイトの正当性を証明する必要があるのか？　これはフィッシングサイトを撲滅するためです。今まではWebサイトの正当性を証明できなかったから、フィッシングサイトから金目の情報を取ることができていました。でも、常時SSL化することにより正当なWebサイトかどうか常に確認することができるようになったのです。

Webサイトの正当性を証明する方法

このWebサイトをChromeでアクセスすると下の図の①付近のように鍵マークが付きます。鍵マークをクリック（①）して証明書のパスを見ていく（②③）と、④のようにサーバ証明書が上から繋がっているのがわかります。

上の図の④のように証明書が繋がっていることが大事で、一番下の証明書がこのWebサイトを証明する身分証明書です。身近なものでいうと運転免許証やマイナンバーカードにあたります。

運転免許証やマイナンバーカードは、それぞれ公安委員会や市区町村長が発行元でお墨付きを与えます。同じようにWebサイトの証明書もお墨付きをもらいます。お墨付きを与えるのが一番上にある証明書でルート証明書と呼ばれます。この繋がったSSL証明書は証明書のチェーン(鎖)と言います。

サーバ証明書がどこから発行され、ブラウザまで受け取る流れを下の図に示します。私たちが、Webサイトを閲覧する前にWebサーバの管理者が認証局からサーバ証明書を発行してWebサイトを開設しておきます（下図左上）。Webサイトができあがったら、①ブラウザを使ってWebサイトにアクセスすると、②Webサーバから証明書を受け取り、③証明書の内容を確認します。

すべてが正常な場合は警告無く接続ができます。

証明書に問題がある時の確認ポイント

今度は証明書に問題がある場合の表示例を見ていきます。問題がある点は、今まで説明したものを満たしていない場合で、次の3点です。

1. 証明書のWebサイト名が違っている
2. 証明書のチェーンが繋がっていない
3. 有効期限が切れている

例えば、自宅にあるNASの管理Webサイトは下のようになります。①のURLでエラーが出ています。クリックして証明書を確認します。②無効となっている証明書をクリックすると証明書の全般画面が出ます。③証明書のパスを見てみると、証明書チェーンが無いことがわかります。

常時SSLが無いとこのようなチェック機能は全く働かないので、フィッシングサイトを回避するためにWebサイトの安全性を確認するには良い対策だと思います。なお、このサイトは私自身が設置したNASで192.168.0.210のIPアドレスも割り当てていますので、間違いないことは把握済みです。

常時SSLに関する疑問

常時SSL化していないWebサイトは大丈夫か？

そのWebサイトにIDやパスワード、個人情報などを提供する必要が無いなら問題は無いです。SSL化するにはそれなりの費用と準備が必要となりますので、準備中の可能性もあります。

常時SSL化していれば安全か？

ブラウザで警告が出ると「フィッシングサイトかも」と疑いを持つことになりますが、最後は使う人次第です。使う人が情報を渡してしまうとせっかくの警告も意味がありません。

警告が出たら納得できるまで確認して、警告が出るようなWebサイトに情報を入力しない方が安全です。事情があって警告が出ていることを理解しているならば大丈夫だと思いますが、ほとんどの人はWebサイトの運用にかかわらないため、その状況はあまりないと思います。

名前が違っていても警告が出ない場合がある

この場合はワイルドカード証明書と言います。例えば、web01.singomemo.comやweb02.singomemo.com、site.singomemo.comの3つの　Webサイトがある場合に3つの証明書を用意するより、1つの証明書で3Webサイト分用意するのが楽という考え方です。この場合ワイルドカード証明書のWebサイト名は「*.singomemo.com」となります。アスタリスク「*」がweb01,web02,siteに適合するように考えてあります。

今は3つのWebサイトで例を出しましたが、10サイト、20サイトとなると1種類でまとめた方が楽というのもわかっていただけると思います。

インターネットの安全性

インターネットは各々のネットワークがつないで出来上がっています。インターネットの中には警察などの取り締まる組織はいません。金銭的犯罪があれば日本の警察は動きますが、海外に犯人が居るとなかなか逮捕できない場合があります。インターネットに国境が無いため、容易にインターネットを経由して入り込むことができるからです。

インターネットは秩序を維持する組織が無いので、自由すぎる点が課題です。そのため犯罪者も入りやすく、金目の情報を渡さないように利用者自身が気を付ける必要があります。

今回のブラウザの警告だけですべての情報漏洩を防ぐことはできません。インターネットは自由で危険と隣り合わせである認識を持って注意して利用すると便利に使うことができるはずです。

ブラウザの対策だけで安心か？

ブラウザはフィッシングサイトの警告を出すようになりましたが、そもそもパソコンやタブレット、スマートフォンにウィルスが入り込むと情報は簡単に漏洩します。

実際に警視庁が公開しているデータを見ると毎年標的型メール攻撃の件数が増えています。標的型メール攻撃は、特定の会社や個人を標的としてウィルス感染やフィッシングサイトへ誘導するためのメールによる攻撃のことを言います。

標的型メール攻撃は日々進歩しており、だれしもが引っかかるあ脳性があります。基本的にメールは疑ってかかるのが正しい対処方法です。お互いに注意しましょう。

何を目指すか

内閣府が提唱している「Society5.0の中で生きている子供たち」へICT環境を構築するとあります。そもそもSociety5.0は次のようになります。

今あるICTをうまく活用できた時に訪れる夢のような社会です。100%上手くいくわけではないと思いますが、目指すべき理想は網羅されています。

短期目標

まずは教育用端末の配備、無線を含むネットワーク環境の構築、ソフトウェアの充実により、ICTを活用した課題解決ができる環境を構築します。

校内LANの配備状況によってはLTEを使っても良いとありますので、一人一台の端末配備は絶対に目指したいものと考えられます。

中長期目標

GAFAに対抗できる国際競争力を持つようにすることと思います。昭和の時代は物造りで成功しましたが、今後はソフトウェアが主流となります。

ICT教育環境を強化して、ICTを使いこなせるようになると、新しいビジネスを開拓できると考えていると思いますが、企業しやすい社会と転職しやすい環境を用意する必要はあると思います。

環境整備だけでは片手落ち

PC、タブレット、スマホや無線LAN環境を配備しますが、SEから見ると後々の問題がいくつか考えられます。

【課題1】ICTを教える教員のスキルアップ

教員は国語、算数、英語、理科、社会などの強化を教える専門です。ICTについてのスキルは教員個人に依存しているため、教員のレベルにまで達していません。教えることは専門ですが、そのためのベースとなるICTの知識は少ない人も多いのではないでしょうか。そもそもICTの知識を持っているか調べてすらいないはずです。教員試験に必要ではなかったはずですから。

教員にいきなりICTの知識を付けて「教えるようになれ」と言っても実現は難しいと思います。ICTを使いこなせるように教員向けの研修が必要です。個人差もありますので、生徒に教えられるレベルに引き上げるのは時間が必要ですし、忙しい教員の方にICTの勉強の時間を取ってもらうも難しいかもしれません。

【課題2】ライセンスなどの費用負担

次に費用負担です。導入までは自治体の補助でできたとしても、その後発生するライセンス費やソフトウェア利用料、端末の保守料など、必要となります。

この費用は受益者負担で考えると、生徒が負担となるはずです。そうなると学校の授業料が上がります。ここを保護者に説明して受け入れてもらう必要があります。昨今労働者の給与が上がらない点を考慮すると相当な負担だと思います。

【課題3】セキュリティ

最後にICT環境のセキュリティです。セキュリティは情報を安全に保護する仕組みのことを言います。セキュリティを維持して情報を安全に保管し続けるには、構築するICTの知識ではなく、セキュリティに特化したICTの知識が必要です。

教員は生徒に教えることが仕事です。セキュリティの維持は主の仕事ではありませんが、セキュリティを疎かにすると、情報資産を狙うクラッカー（悪意を持ってハッキングすること）から狙われると生徒の個人情報や成績などの重要な情報が漏洩したり、パソコンなどが使えない事態となります。

ですので、構築したICT環境のセキュリティを維持するには専門業者に委託するために費用が必要となります。そのためセキュリティ維持費用も授業料に加算され保護者が負担する必要があります。

GAFAに対抗するために

今考えられるだけで先般の3つの課題はありますが、GIGAスクールネットワーク構想を実施する計画には評価できます。今後他にも課題は出てくると思いますが、生徒が新しい発想で大人の想定を超えるようなアイデアを出してほしいです。

新しい斬新なアイデアが出てくるようになればGAFAに対応していくことは難しくないと思います。第二次世界大戦後から復活した日本の国民性があるため、追いかけるのは得意ですからね。

日本の国際競争力を強化するには

今後は成功体験が無い中、まずはGAFAを追いかけ、追い越す勢いでICT教育環境を整備し、生徒の新しいアイデアを生かせるような環境づくりが必要です。我々大人は生徒や子供たちの新しいアイデアを頭ごなしに否定せず、真摯に受け止めビジネス化する支援体制が必要ではないでしょうか。

働き方改革は結構ですが、新しいアイデアを受け入れ、リスクを取って実現に向けて進むことが今の日本には大事ではないでしょうか。