第5回計算機・ネットワーク運用委員会議事録 日 時  2002年4月25日(木)13:30〜17:05 場 所  4号館セミナー・ホール 出席者  福永力、山中卓、加美山隆、飛松敬二郎、一井信吾、片山伸彦、宮本彰也、 千葉順成、朴哲彦、武藤豪、戸田信、山本昇、和気正芳、川端節彌、 苅田幸雄、馬渡博司、湯浅富久子、真鍋篤、工藤義男、牧村正史、平山文昭、 加藤直彦、鵜飼熊太郎、八代茂夫 (欠席者 磯暁、新井康夫、坂元真一、阿部勇)                               [順不同、敬称略] 列席者  渡瀬芳行(計算科学センター長)、金子敏明(計算科学センター)                               [順不同、敬称略]  議事に先立ち、渡瀬センター長より、管理局の委員の変更について報告があった。  前回の議事録の確認に当たり、課金について、渡瀬センター長より補足説明があり、質 疑応答の結果、前回議事録を原案通り了承した。(資料1) 【報告事項】  計算機およびネットワークの各システムにつき、前回委員会(2001年7月4日)以 降の運用状況の報告が概ね次のように行なわれた。 1.共通データ解析システム  2001年1月に運用を開始した今期共通計算機システムの主要部分を構成する共通 データ解析システムは、運用が本格化するに従い、いくつかの問題点が発生してきてお り、逐次それらを解決しながら運用を続けている。特に世界に米国インディアナ大学と 本機構にしか例のない HPSS-DFS ゲートウェイ機能において、発生した問題の多くは原 因究明と対策がなされたものの、まだ調査中の問題がある。また加速器のワークグルー プのログインサーバで実メモリ不足が指摘されており、対策を検討中である。  システムに追加された機能として、「Linux 互換環境」が新たに設けられ、SuperDLT が利用可能になっている。(資料2)  報告に対し次のような意見および質疑応答があった。 (1)実メモリの不足で大変苦労している。回避策等の対策を早急にお願いしたい。 (2)パソコンからデータ・サーバへのアクセスに関する問題点はその後どうなって いるか。 −ネットワーク上を平文のパスワードが流れるというセキュリティ上の問題の解 決は、現在ほぼ絶望的である。 2.研究情報 WEB システム  共通計算機システムの一部として導入されたが、センターの人手不足のためシステム 構築作業が遅れ、2001年7月17日に正式運用を開始した。このシステムを使うこ とにより、研究者等が個人として、また研究グループとして、WEB を使って情報を発信 できるようになっている。現在、登録グループ数21、登録ユーザ数77で運用は順調 である。(資料3)  報告に対し次のような意見が出された。 (1)現有のディスク資産を有効に利用するような運用をして欲しい。 3.原子核物理計算機システム  2001年9月から、全 48 CPU から 16 CPU を分離し、これを大強度陽子加速器計 画における中性子遮蔽計算専用とする運用形態をとっている。従来分および分離分とも に CPU 使用率 40% 程度で順調に稼働している。(資料4) 4.Bファクトリー計算機システム  DTF2 テープ・ドライブの障害が多発している点を除けば、概ね運用は順調である。 前回報告以降、2001年11月に100台の PC のハードディスクを予防保守の観点 から交換し、2002年3月に DTF2 テープ・ドライブのドラム・ヘッドを不良対策の ため全数交換した。また Belle 実験に参画している大学の研究室をスーパー SINET 経 由で当システム関係のネットワークに接続する作業が完了、もしくは進行中である。 (資料5)  報告に対し次のような質疑応答があった。 (1)大学の研究室を機構のネットワークに接続する際、セキュリティにはどう対処 しているか。 −相手方のネットワークの状況を十分に把握するようにしている。現在テストを 行なう予定の大学や、ネットワークの運用ルールを作成中の大学がある。 5.電子メール・システム  この一年間、計画停電時以外は無停止で運用を行なってきた。利用者数は2002年 3月末で 1427 人であり、本機構の職員数より多い。これは共通データ解析システムお よび原子核物理計算機システムにアカウントを持っているユーザは、自動的に当メール ・システムにもアカウントが設けられるためである。月に約 160 万件のメールを処理 し、91 テーマのメーリング・リストを運用している  昨今ウィルス付きメールが次々と発生し、迷惑メールが大量にばらまかれている。当 システムでもこれらに対するセキュリティ対策が重要となってきており、ウィルス付き メールに対処するための具体策を現在検討中である。(資料6) 6.ワークステーション管理者支援とソフトウェア支援  HP、SUN、DEC(後に Compaq)の3機種のワークステーションの管理者を支援する活 動が、1993年に、機構内ボランティアと機器提供会社の協力のもとに開始され、2 002年4月に Linux システム管理者をも支援対象に加えて、今日に至っている。2 001年度にはユーザから計76件の問い合わせがあり、各種情報提供のための4つの メーリング・リストに、現在計167名(重複を含む)のユーザが登録されている。  上記支援活動とほぼ同時に、機構全体をサービス対象とする NFS ファイル・サーバ の運用が開始されたが、1999年12月に機器を更新し、現在に至っている。106GB のサービスのためのディスクを有し、フリー・ソフトウェア、サイトライセンス・ソフ トウェア、パッチ・データ等の利用環境整備に活用されている。  商用ソフトウェアとしては、Mathematica、Solaris 用コンパイラ群、 SSH Secure Shell、Gaussian98 の各サイトライセンスを有償また無償で獲得しており、 Ansys、 Opera-2d、ME10、U-Graph、Wnn6、VirusScan を共用ソフトウェアとして導入してい る。   また1992年から2000年にかけては、 Cern Library を国内向けに再配布する ことを実施し、1996年から1998年にかけては、Netscape の一括購入と配布を 行なった。(資料7) 7.ネットワーク  機構内ネットワークについては、2001年度から新ネットワークのみのサービスと なり、すべての情報コンセントで 100BaseTX が使用できるようになった。また200 0年度補正予算の執行によりすべての建物と中央とが GbE で結ばれた。  同予算はスーパー SINET への接続環境整備にも執行され、スーパー SINET の IP バックボーンと機構ネットワークとが 10Gbps で接続された。機構内ネットワークで端 末を GbE で接続できるようになり、7本の GbE 専用線によりスーパー SINET を介し て大学等と GbE で直接接続できるようになった。またファイアウォールが導入され た。  2002年4月より、共同利用宿舎において無線 LAN の運用を開始した。可搬型端 末の MAC アドレスを登録した後、無線 LAN に端末を接続する。機構内の他の場所でも 無線 LAN が使えるよう検討している。  国内ネットワークについては、2002年1月4日、10Gbps の IP バックボーンを 有し、研究施設等を直接 GbE で接続するための専用線を有するスーパー SINET が運用 を開始した。本機構を含む14のノードが設けられており、従来の HEPnet-J はスー パー SINET 内に設定された HEP 用 MPLS-VPN を用いて再構成されている。  スーパー SINET の GbE 専用線は、本機構のグループ用 VLAN を各大学の研究室まで 延長するのに使われており、実験データ等の高速転送に使われている。  2002年10月には、スーパー SINET に北海道大学等の9ノードが新たに追加さ れる。HEP 用 MPLS-VPN には筑波大学等の5箇所が新たに追加され、GbE 専用線の接続 先が3箇所追加される予定である。また理論グループもこの時点から GbE 専用線を活 用しようとしている。  スーパー SINET の運用開始に伴い、既存の HEPnet-J 用 ATM-PVC には端点を KEK から他に移す等の大幅な変更が必要となった。スーパー SINET のノードでもなく SINET のノードでもない大学については、広域イーサネット・サービスへの転換の可能 性を追求していく。  国際ネットワークについては、2002年1月に国立情報学研究所(NII)の国際回 線が増強され、高エネルギー物理用に確保されていた ESnet、CERN、DESY への ATM- PVC の帯域幅が大幅に増強された。NII の国際回線の次の増強は2003年1月に予定 されている。  その他、台湾への回線の転換や、ロシア BINP への回線の増強が行なわれた。  テレビ会議システムについては、2002年4月、TCP/IP パケット・テレビ会議シ ステム(H.323)の運用を開始した。また多地点会議ができるようにした。さらに ISDN テレビ会議システム(H.320)から当システムへの移行が困難なサイトのために、両シ ステムの相互通信を可能とする Gateway を設置した。 ISDN ベースから IP ベースの システムへの移行により、通信費が大幅に節減できるが、その節減分で前記国内回線の 支線部分の帯域幅の増強を図ることができる。(資料8)  報告に対し次のような意見や質疑応答があった。 (1)テレビ会議システムの変更については、テストを十分にやり、会議の場所の変 更等をユーザによく広報して欲しい。 (2)国際線が増強されて ESnet は速くなったが、他はそれほどでもない。 (3)中性子科学、放射光科学関係の新規プロジェクトにも対応するようにして欲し い。 (4)今回共同利用宿舎の無線 LAN で採用された MAC アドレス登録方式を、機構内 の全機器に拡張し、それに基づき DHCP 等で IP アドレスを割り当てる、という 方式は取れないか。 −センターのオープン利用室では MAC アドレス登録方式を既に実施している。 これは X 端末の信号線をミニハブからはずし、その IP アドレスを自分の PC で不正に使用した例があったためである。 (5)ネットワークの利用が短期滞在者にとって不便であると、上記のような不正も 起こりがちである。利用許可が迅速に得られることが重要である。例えばユー ザーズ・オフィスに事前に MAC アドレスを連絡しておくことにより、機構に到 着後すぐにネットワークに端末を接続できるとよい。 (6)HEPnet-J 国内回線支線部分の増強処置については感謝したい。 (7)大強度陽子加速器計画用のネットワークは、本機構のルータから1つの VLAN を日本原子力研究所に延ばし、日本原子力研究所サイトとの間にはファイア ウォールを設ける形態とする。この VLAN 用に IP ドメインを kek.jp とは独立 に新たに設け、2002年9月1日に運用を開始する予定である(注1)。VLAN の管理は KEK 側で行なう。 8.セキュリティ  2000年度補正予算により、2002年1月半ばに導入されたファイアウォール は、試験を重ね、4月からは暫定的に「DMZ を構成しない方法」(透過モード)で動作 させている。2002年5月末の運用開始をめざして現在試験を続けている(注2)。  2001年3月1日から運用を開始した VPN 接続サービスでは、 NAT 経由でアクセ スできない、Macintosh では通信が暗号化されないといった難点があった。2001年 6月18日、新しい VPN サーバを導入したが、これによりほぼ上記問題を解決できる ようになった他、各種改善が行なわれた。2002年4月15日現在、登録者は136 名である。  2001年7月に新たに不正アクセス監視システム1式を導入した。これは 100Mbps Ethernet に対応し、機構外と機構内双方のパケットを監視している。最近の傾向とし て Worm 型ウィルスによる攻撃が目立っている。  ウィルス対策としては、クライアント PC に対する防御策として、2001年7月、 日本ネットワーク・アソシエイツ社の McAfee VirusScan-J 400ノード分のライセン スを一括購入した。機構職員の他、機構内で使用する限り共同利用者も利用できるよう になっている。2002年4月1日時点の登録ノード数は218である。Macintosh は 利用できない。   2002年度は、新たにシマンテック社の Norton AntiVirus、Norton Internet Security を Windows 用と Macintosh 用の双方について導入することにより、 Macintosh のウィルス対策を可能にし、DMZ に設置する PC や出張先等での可搬型 PC を守るパーソナル・ファイアウォールの機能を利用できるようにする予定である。  その他、2001年12月に、CERN、DESY、BNL、SLAC、FNAL、KEK のセキュリティ 担当者15名の会合を KEK で開催した。2001年12月にはまた、KEK SecureNet の導入についての説明会を開催し、多数の参加者を得た。(資料9)  報告に対し次のような意見や質疑応答があった。 (1)機構ネットワークの入り口でウイルス対策を行なうことで、機構ネットワーク 全体を守ることはできないか。 −ネットワーク全体を防御対象とする場合と、メール・システムのみを防御対象 とする場合とを検討したが、前者では運用コストが膨大になり、実現できな い。後者の線で現在検討を進めている。 −このような場合、コストとそれがもたらす効果とを計量化できる何らかの方式 があるとよいのだが。 −機構から出ていくメールのウイルス検査も、機構に入ってくるメールのウイル ス検査と同様に重要だが、メール・システムにウイルス対策を講じても、メー ル・システムの smtp を使わないで直接外へ出ていくメールは検査できない。 クライアント PC 用のウィルス対策ソフトでここら辺は各自対応してもらうこ とになる。 (2)KEK SecureNet の説明会をもう一度開催して欲しい。 −DMZ 運用開始後に、DMZ 体験談を含め、第2回目の説明会を開催する予定であ る。 −双方向クラスから DMZ への移行期間としては、DMZ 運用開始後約1年間を予 定している。 −DMZ に置く典型的なシステム、例えば「Windows 上の WEB サーバ」といった システムの標準モデルを示してもらうと効果的である。 −Microsoft の NetMeeing については、ファイアウォールの H.323 enable モードを使って、動作検証が済んでいる。 【審議事項】 1.計算機システムの運用について  本議題について、センター長から概略次のような説明があった。 機構の各プロジェクトが進展しており、ここ数年後には、大強度陽子加速器計画、 スーパー KEKB、LHC 実験など大きな研究プロジェクトが実験開始になる。また計算 科学センターでは現在5つの独立したレンタルの計算機システムを管理運用している が、それらの導入、運用の総負担は非常に大きくなっており、また計算機資源の全体 としての有効利用という観点で問題である。計算科学センターとしてこれらの状況を 踏まえた次期計算機システムの導入計画を検討したい。この場では、その検討の仕方 について審議して欲しい。これからの日程としては、今年度内に、計算機システム審 議委員会で、次期計算機システムの導入計画について議論できるようでありたい。 (資料10)  これを受けて「検討の仕方」の大枠について審議が行なわれ、以下のような意見が出 された。 −レンタル期間の制約など契約上の問題の扱いをどうするか。 −次期スーパー KEKB では、現在の20〜30倍の計算機資源が必要であるが、セン ターとしてこれに取り組んで欲しい。 −機器性能の進歩が速く、5年レンタルではそれに対応できない。また、LINUX などの サポートは困難である。 −いっそのことレンタルを無くして買い取りだけで整備したらどうか。 −買い取りでの整備には、継続した予算措置、SE サポートに問題がある。 −データ・ストレージは短期の更新には向かないのでレンタルで導入し、PC 等による 計算サーバは買い取りというやり方もある。 −レンタルの5システムは並列でなく、いくつかは統合することが必要である。 −買い取りとレンタルとでの得失について、よく検討すべきである。 −2年後には独立行政法人に移行するので、契約形態は大きく変わる可能性がある。 −このような検討が従来、高エネルギー分野に偏っていたように思う。例えば中性子分 野における大強度陽子加速器計画などでは、データ量が現在の1000倍にもなる。 またこの計画は、中性子の研究分野での世界の3拠点の一つとなるものであり、地域 センタ−的な位置付けも有している。従ってこのような中性子分野の需要、および中 間子分野の需要も十分検討に入れる必要がある。  今後の検討の仕方について、本委員会の下にワーキング・グループを新たに発足させ る方式と、センターが中心となって各研究グループの将来計画について調査、整理し、 その結果をある程度まとめたものを本運用委員会で検討する方式との2案が出された。 審議の結果、後者をとることになり、センターがまとめたものを次回委員会で検討する ことになった。  調査・整理の対象となる事項については、以下のようにする。 (1)契約形態について、買い取り、レンタルそれぞれのオプションを検討の軸にす る。 (2)現在の5システムのいくつかは統合することが想定されるが、関係する研究分 野の将来計画を調査し、検討する。 (3)電子メールなどの文房具的なシステムの扱いも検討の一つの要点である。  2003年2〜3月には次期計算機システムについてのイメージを得る必要があり、 次回の本運用委員会を9月頃に開くことにした(注3)。次回では、緊急事項を除き、 報告は行なわないことにする。 (注1)大強度陽子加速器計画用の VLAN は、実際には2002年10月1日に運用を開 始した。 (注2)DMZ の運用は、実際には2002年8月7日に開始された。 (注3)その後、次回の本運用委員会は2002年12月6日に開かれることになった。 以  上 資料 1.第4回計算機・ネットワーク運用委員会議事録(案) 2.共通データ解析システムの運用報告 3.研究情報 Web システムの運用報告 4.原子核物理計算機システム運用報告 5.Bファクトリ計算機システム運用報告 6.電子メール・システム(PostKEK)2001年度運用報告 7.ワークステーション管理者支援とソフトウェア支援 8.ネットワーク現況報告 9.セキュリティ現況報告 10.計算機システムの将来計画について