ハードウエアーによるセキュリティーはメカニカルな手段に限定されません。
電子回路も動作シーケンスが固定されていればやはりハードウエアです。
そこで電子回路によってハードディスクにRead Only とRead/Writeの２つのポートを付加し、電子制御で自動的に切り替える方法が、株式会社 I−O データ機器によって開発されました。
　電子回路を使うと、見た目のインパクトは減りますが、生産性、障害、保守、価格の点で遙かに有利です。

　開発された R-SCW は RAID 及び SCSI-IDE 変換機能を内蔵しています。
RAID １、３、５ は市販のIDEディスクを使ってこのままで構成出来ます。

　この開発は、文部科学省平成１４年度独創的革新技術開発研究提案公募制度補助金交付の対象に選ばれています。

株式会社 ラックによる評価テスト（ISO 15408 に準拠、検証項目：56）

２Pport HDD（R-SCW）を接続した系に、インターネット側からの攻撃及びサーバーに侵入し得た場合のシステムの脆弱性について次のように評価されました。検証の結果：データの書込みは、全て防御されました。
１．データの書込み（追加・変更・削除）の実行。
２．大量アクセス時の書き込みに関する問題発生。
３．サーバー侵入後のデータの書込み。
４．直接SCSIインタフェースへコマンドレベルでのアタック。

　弊社の提供する２Head/Port サーバー Gendarmeにおいて、HDD は R-SCW を経由して On board の SCSI ポートに接続されています。
R-SCW の電子回路は Mother Board 側からの書き込み命令を無視しますので HDD を読み取る事しか出来なくなります。
一方読み取り/書き込み側からはContents の update を処理します。

仮にGendarme がハッカーに乗っ取られたとします。乗っ取られた Gendarme を使ってHDD にウイルスファイルを感染（書き込み）させようとしても、R-SCW によって遮断されます。
　加えて、Gendarme では OS、サーバープログラム、設定情報等がこのHDD に書かれており、すなわちR-SCW ディスクが起動ドライブになっています。Web コンテンツは勿論、OS、サーバープログラム、設定情報等一切のファイルは改ざん不能です。Gendarme に侵入しても、本体のメモリー以外に情報（ウイルス等）などを書き込む場所がありません。そして、メモリー上の不正データは、再起動する事によって消滅し ます。

注１） Windows は動作上、起動ドライブへの書き込みが不可欠です。その書き込みは、メモリー（ディスクキャッシュ）へ逃がしています。見かけ上は、起動ドライブへの書き 込みが可能です。メールソフトをインストールしておくと、 ウイルスメールなども開く事が出来ます。これはCD-Boot のディスクレス PC でも同じことが起きます。勿論、再起動と共に全てが消滅します。
注２） Gendarme は Contents update 側からの書き込み動作そのものは検知する事が出来ません。そこで Gendarme の保持しているディスクキャッシュとディスク上の実データとの間に食い違いが起きます。それを解消するために必要に応じて Cash flush 関数を呼びます。詳細はF.A.Q.13をご覧下さい。

　サーバーの印刷機能を使ってインターネットから一部のデータを受信する事が出来ます。
サーバーは受信したデータを印刷します。これをプリンターではなく、プリンターバッファで受け取ります。そしてコンテンツ更新用ＰＣで読み取るのです。

　プリンターバッファーが、文字以外のコードを物理的に通さない回路を持っていれば、このバッファを通ってくるのは文字だけになり、実行プログラムなどの（悪意の）バイナリーコードは中へ入ってきません。双方向通信機能は持たせてありません。
　更新用ＰＣの中の、テキストを解釈するプログラムが欺され得る場合、例えばクロスサイトスクリプティングなどの危険に対処する必要があります。
人間に例えれば、催眠術に掛かったり、詐欺師に欺されたりしてはならないのです。スクリプト関連の脆弱性が無いようにしてください。
　またPCの、プリンターバッファからの読み出し周期とディスク書き込み、及び Gendarme のディスク読み出し周期により、数秒の時間の遅れが起こり得ます。

　この方法で、アクセスログを取ったり、商用サイトに置いて、注文を請けたり、会員データの登録を行ったり出来ます。
また、サーバーで用意した選択肢を選んで更新用ＰＣに伝えたり出来ます。
　出来ないのは映像、動画、音楽などのバイナリー・ファイルの受信、リアルタイムな制御等です。

　当面は注文生産致します。ラックマウントタイプ、タワータイプ、管理PCとの一体型、オプション、その他ご相談下さい。特にソフトウエアについてはコンサルテーションをお請けします。ご説明、デモ等に参ります。

サーバー仕様 （ 製造： 株式会社 KOUZIRO (フロンティア神代） ）

部品種別	商品名・仕様
CPU	IntelR Pentium4R 2.66GHz
M/B	Supermicro P4SGR
HDD	40.0GB ATA133/5400rpm Maxtor 2F040L0-X1(流体軸受け型) - R-SCW に接続
RAM	DDR-SDRAM 256MB PC2700 ECC無し センチュリーマイクロ×１
CD-ROM	MSI MS-8152M(52 倍速 CD-ROM) ATAPI
データ更新ポート	Ultra 160 SCSI(LVD/MSE 自動切り替え)
ネットワーク	On board
FDD	Y/E データ FD-702D(2Mode FDD)
Case	FCR-03 ATX (電源無し) ベイ数：5 インチ外部 ×3 / 3.5 インチ外部 ×2 / 3.5 インチ内部 ×2
電源	300W ATX 電源 PCSA-300P-X2V 静音 Nipron 製
FAN	8cm 角 FAN (ADDA)
CABLE	前面 USB2.0 対応ロングポート(２ポート)
その他	注意）サスペンド機能の動作は保証しかねます。 ＊組み込みパーツによるドライバーのバージョンや仕様によっては、 一部サスペンド機能が正常動作しない場合がございます。
	パーツ保証有（１年間）

R-SCW ハードウエア仕様 （製造：株式会社 アイ・オー・データ機器）

項目	ハードウエア仕様
接続ハードディスク数	１〜４台
RAID レベル	RAID 0/1/3/5
ホスト インターフェイス	Ultra 160 SCSI(LVD/MSE 自動切り替え) Read Write Port/Read only Port
ハードディスク インターフェイス	ATA Ultra DMA/66 又は 33
電源電圧	５V±５％
消費電流	５V：１.４A(Typ．)/１.９Ａ(Max．)

ソフトウエア仕様

項目	仕様
OS	WindowsXP Professional
WEF	R-SCW対応型
CashFlush	ディスクキャッシュ再読込

　ディスクへの書き込み、及び内部PC（と内部ネットワーク）への侵入が100％防御出来る場合と、不完全にしか防御出来ない場合の比較をすると、以下の図の様になります。
　改ざん等の一時的・恒久的の違いは再起動によって消滅するか否かの違いです。

　ウイルス感染、ホームページの恒久的改ざん、DDos攻撃の恒久的踏み台にされるのは、
ディスクへの書き込みが出来なければ防げます。
秘密情報の盗みだし（個人情報の漏洩、企業機密の盗難）、アドレス帳を利用したウイルス感染の他所への拡大は
内部PCへの侵入が無ければ防げます。

ディスクへの書き込みや内部PCへの侵入を要しない攻撃には、DDos 攻撃の一時的な踏み台、ホームページの一時的改ざんが有ります。
これは他所のサーバー、PCへの攻撃プログラムをメモリーに書き込んで動作させたり、偽のホームページをメモリー上に作って公開したりします。
これらの内、既にソフトで対策が出来ているもの（図ピンク色の部分）は、防ぐ事が出来るので併用すると本サーバーの一層のセキュリティー強化になります。
メモリーのみを利用する攻撃のうち、未対策のものを防ぐ方法はありません。
セキュリテーは簡単で、明瞭で、強固であるべきです。物理的な手段が利用出来ればそれが最高のソリューションです。
本サーバーシステムは図にあるように、ウイルス感染、ウイルスの感染拡大（アドレス帳の盗用）、継続的なDDos攻撃の踏み台、継続的なホームページ （HP）の改ざん、内部PC（ネットワーク）への侵入＝個人情報の漏洩、企業機密の盗難＝を許さない事については将来共に完全です。
そして、その明快な信頼性がインターネット利用者に今までに無かった安心をもたらします。最高のアカウンタビリティーを実現しています。
　　DDos の一時的踏み台、　ホームページの一時的損傷などをもたらす攻撃については、ソフトウエアで防御出来る場合があり、本サーバーと併用するとセキュリティーがさらに強化されます。

セキュリティーの維持費用
市販のセキュリティ製品（アンチウイルスソフト、ファイアウォール）は多くの場合、 組み込みや維持にコスト（費用、時間、高度な技術）が要求されます。
イタチごっこに対処するため、ウイルスソフトの場合は、常にウイルス DB を頻繁に更新せねばなりません。
更新に掛かるコストは、購入以外にインストールやバグ修正など莫大な額になります。
OS、IE 等も頻繁にセキュリティーパッチがリリースされています。 ウイルスの流行時だとダウンロードサイトが混んで大変です。
幾つかの大企業では毎昼休みにイントラネット経由で強制的に全ての計算機のDBを更新しています。
ファイアウォール等の場合は、さらに企業の体制変更や、業務の変更に伴う設定の変更が加わります。
そして、更新漏れや設定ミスを突かれても被害が出る事に変わりはありません。
（文字以外のデータを受信したり、大量・高速のコミュニケーションが必要な場合があります。
この時はソフトウエアによってセキュリティーを守らなければなりません。 そうでなければ）このサーバーを用いてメインテナンスコストの削減が図れます。

年間保守費の例(2003年作成)
●ＰＣサーバ（それなりの規模のもの）：24時間体制から週4日とかいろいろある。
　　年間保守料金 \500,000
●侵入検知システム：RealSecure Lite版 \490,000 （RealSecureは、運用が難しく、一般的には監視サービスを利用する。）
　　年間監視サービス料金　 \480,000〜\600,000
●Firewall：Watch Guard 120,000円or ハード＋設定費1台10万（保守は定価の5〜10％くらい。）
　　年間監視サービス料金　 \120,000〜\360,000 （場合によっては、年間３万円程度）
●アンチウイルスソフト：
　　年間保守料金 15,000/PC

○大企業の場合：
　RealSecureを導入し、監視を委託。　Firewallは自前で運用保守。
○中企業の場合：
　Firewallの運用をサービス会社に委託。
○小企業の場合：
　Ｍ社製等のコンシューマ向け商品を購入し、運用なしで利用。
　また、場合によっては、ホスティングサービス（店舗の場合）を利用。

防御手段そのものはどうやって守るのか？

●セキュリティーソフト ：ＯＳのセキュリティーに頼る。 → ＯＳが頼りになるなら、セキュリティソフトは要らない。
　　ＯＳが頼りにならないなら、セキュリティーソフトは壊される。 現状はイタチごっこになっている。
●Gendarme ：ソフト(ハッキング等)に因る攻撃では何の影響も与えられない。 → 防御手段は永遠に１００％。

このサーバーで対応できないこと
　Ａ．メモリーを書き換えるのみの、詐称や他者への踏み台攻撃(CodeRedなど)
　　内部犯行、DOS攻撃、サーバーのメモリーへの攻撃（システムダウン、踏み台攻撃・・・）を防ぐにはソフト的手段が必要です。
　　これらに対する防御は今まで通りソフトウエアーで対応してください。
　　パッチを怠らないこと、専門家による対応が必要です。
　 　　注）　ソフト的防御が破られても ウイルス感染、データの漏洩、所有するファイルへの攻撃は起こりません。
　　再起動で正常に帰します。 　　ファイアウォールはサーバーが受ける攻撃の負荷を減らす効果が有ります。
　Ｂ．インターネット上の経路に対する攻撃(Man in the midle、DNS に対する攻撃)には
　公開鍵暗号を利用する以外には対処出来ないでしょう。

ま　と　め
　Gendarme が最適ソリューションであるのは
　パフォーマンスよりも
　　セキュリティーの完全性が重視される
　　セキュリティーメインテナンスの負担の軽さが重視される
　　顧客の安心感が重視される
　場合です。

　セキュリティー・ホール（＝脆弱性）とはソフトウエアのバグ（＝欠陥）です。ハッカー等と呼ばれる人達は、インターネットを経由して私達の計算機に到達 し、この欠陥を利用して、自分たちの目的を達成します。ですから、そのソフトウエアーの欠陥を直すのが本来の対処方法です。しかし様々の事情でそう簡単に は直せないのです。
　そこで、欠陥の修正とは別の方法で対処しようとする、それがいわゆるセキュリティー・ソフトです。

　セキュリィティーソフトは言わば対症療法になります。それは攻撃の方法の特徴を掴んで防御します。ウイルス検出／駆除ソフト、ファイアウォール、不正侵 入検知ソフト・・・・等で、最近の傾向は、ファイルの改ざんを監視し、それが起きたら強制的に復旧するという手法です。　セキュリティー・ソフトはメイン テナンスを必要とします。新しく攻撃手段が出現すると、それに対応するために、例えばウイルスＤＢへのパターン登録等、何らかの作業が発生します。そし て、このメインテナンスは「容易なので誰にでも出来ます」とは言えない場合が少なくありません。
　そして困った事にこの作業のために取れる時間がどんどん短くなってきて、前述のようにゼロ・デー攻撃まで話題になっています。

　ネットワーク経由の「リモート・メインテナンス」は皮肉な味方をすればハッキングそのものであり、用心が要らないとは思えません。

　ところで、セキュリティ・ソフトの動作を妨害する攻撃が現れています。アンチウイルス・ソフトが働き始めると、それを察して停止するウイルスがあるようです。セキュリティ・ソフトを正しく動作させるのはＯＳの仕事です。ここで堂々巡りになってしまいます。

例えばファイアウォール・ソフトの動作を保証するのはＯＳのセキュリティー。
ＯＳに欠陥があるなら、ファイアウォール・ソフトは壊される。
ＯＳに欠陥がなければ、ファイアウォール・ソフトは要らない。
そして
ハードウエアーによるセキュリティーは、隠し事を必要としません。秘匿されたアドレスや暗号アルゴリズムは有りません。開発者・担当者が敵に回っても安全 です。システムが完全であっても、貴方が欺されて、あるいはうっかりミスで、添付のウイルス・ファイルを開いたりする危険は無いのでしょうか？　あるいは 単に間違えてファイルを消したりしないでしょうか？

２Head/Port ディスクは、メインテナンス無しで、将来とも貴方のシステムを守ります。

補　足
・ファイアウォール等ソフトウエアで守られた サーバー を使うのはバイナリーデータの受信、リアルタイム情報の受信が欠かせない業務に限るのが良いと考えられます。

・DNS詐称などに対抗して完全を期するには公開鍵暗号を用いて対抗出来ます。
１．ファイルが偽物でない事を示するには、自分の秘密鍵で施錠します。
２．ファイルを見せる相手を限定するには、相手の公開鍵で施錠します。
３．ファイルが偽物でない事を保証し、見せる相手を限定するためには自分の秘密鍵で施錠し、相手の公開鍵で施錠します。
本サーバーを用いれば、施錠する PC は、Off line と同等で完全に隔離されています。暗号システムに伴うセキュリティーホールを攻撃される恐れはあり得ません。

公開鍵暗号と、２Head/Port サーバーによって実現されるセキュリティーは、技術の高度さで保証されているのではなくて、数学の法則、物理の法則によって保証されているから完全です。

　インターネットからの問い合わせを受け付ける端末において、認証が正しかったとして、データベースに回答を取りに行く経路は内部ネットワークになりま す。だから、この端末に不正侵入されてはなりません。ファイアーウォール(＝アドレス・フィルタリング)　が有れば侵入を受けないと言えるのでしょうか

　この問題は、リバース・プロキシ(逆代理)と呼ばれる技術が関係しています。これは、外部ネットワークから「下さい」と求められた情報を内部ネットワークの中から探してきて外部に渡し、不正な侵入を許さないソフトを載せた計算機で実現しています。

　Ａ．外部からの要求・通信そのものはこの計算機で留め、内部へ通さない。
　Ｂ．外部から要求された情報は、この計算機自身が内部から探してきて外に渡す。

という機能を持つサーバー計算機です。
２Port/Head Diskを用いたサーバーはこのリバース・プロキシサーバー固有の使命（侵入防御）に関して100％完璧である事が最大の特長です。ソフトではセキュリ ティー・ホールをゼロには出来ません。100％という事は如何なる攻撃からも守れるという事ですから未知の攻撃からも守れる＝将来の攻撃からも守れる＝セ キュリティーメインテナンスが不要という事になります。

　頻繁に更新される情報を広く知らせるという業務は多数あります。
その中で、外界からのバイナリー・データを受信したり、それに対応した内部処理が要らない場合も多数あります。通常の Web サーバー を用いれば、セキュリティーホールを通って社内システムへの侵入が起きるおそれが有ります。（Hostingについては後述）　本サーバーなら内部への侵 入を完全に防げますので、不正侵入等による業務への支障はありません。

　公開データが発生する部署に本サーバーを置き、Internet直結で公開できます。セキュリティーに気を遣い続け、その更新にコストを掛ける必要はなくなります。
（信頼性が確保され、情報の更新コストが、紙ベースの方法よりもずっと低くなります）
一般への情報公開
　省庁、自治体の公告等、登記簿の公示、住民票の公示

募集要項、合格者の発表

ダウンロードサイト
セキュリティーパッチ、ソフトウエアーのアップデートデータ、差分など

企業の関係者向け情報
新製品の整備マニュアル、メーカの商品、コード表、整備マニュアルなど
新商品の情報、部品リスト、新薬の処方

　社内の機密システムで公開用の要約データを作制しているが、公開そのものはホスティングで行っている、 という例を考えて見ましょう。
　Hosting サーバーへどうやって要約データを送っているのでしょうか？ 送信に FTP あるいはメールを使っているのなら、結局機密システムはインターネットに接続されている訳です。
　絶対に守らなくてはいけないシステムからは、On Line で送信してはならないはずです。CD-Rを持参するか郵送しましょう。

　本システムを利用するなら、要約データの頁を社内の２Port/Head HDD に置き、機密システムが Read/Write ポートから随時更新します。
そしてホスティングサーバーから Read only ポートを通してその要約の公開頁へ Hyper link を張るのです。要約データをホスティングサーバーへ送る経路が無くなるので、機密システムはインターネットから切り離されて、Offline になります。利便性はそのままでセキュリティーは絶対化されます。データは 2Port/Head HDD に載せて、参照させましょう。

　 医療用の検査機器などは専用の計算機で制御・データ処理されます。それらの計算機は、接続される医療機器に最適な機種が用いられています。これらの医療機 器の為に特殊で高度で高価なソフトウエアーを組み込み、確実な動作が必須なので、信頼度を優先し、実績優先の機種が継承されます。
　この選択は当然なのですが、使う機種やソフトは、最新のセキュリティーとの連携はぎこちないものになる場合が推察出来ます。

　たとえば医療用の画像データ交換・ファイル仕様はDICOM、他にRIS、HIS等の規格がありますが、セキュリティーとは全く独立です。医療の立場か らの性能を重視した選定と「セキュアーなOS／ソフトを選ぶ」という事は必ずしも両立せず、また最新のOSの様にセキュリティーパッチをリリース毎に何時 も当てる事が出来るとは限らないでしょう。
　ところが、これらの計算機が不正侵入を受けたり、ウイルスに感染したり、個人情報が漏洩した場合の問題は極めて厳しいものになります。即ち、

　　セキュアーにしにくいのに、被害は深刻になる

のであり、これら医療機器のネットワーク化、特に外部に繋がっているネットワークへの接続は不安があり、オンライン化されない事も少なくありません。その一方で、これらの

　　医療機器から発生するデータは、最も重要であり共有化する意義が高い

のは言うまでもありません。　２Port/Head HDDを用いたリバース・プロキシ・サーバーは、これらの問題を容易且つ根本的に解決するソリューションです。セキュリティーに関する諸問題はソフトから 切り離してハードウエアーで担うので、医療機器専用のデータ処理ソフトは制約を受けなくて済みます。
　医療機器側への制約は緩やかで、古いソフトや機種に容易に対応出来ます。外部参照を許可したデータを、医療機器(が接続されたネットワーク)からFAT32 SCSIハードディスクに書き込む事が出来さえすれば良いのです。
　業務系等外側のネットワークから本サーバーを介してそれらのファイルを参照出来ますが、改ざん、消去は不可能であり、医療機器側ネットワークへの侵入もあり得ず、いかなるソフト的手段による攻撃も永久に防御します。



診療システムの電子化：分散データベースで考える

検査装置、調剤、投薬、診療などを、いわゆる分散データベースを用いて
データは発生した場所のサーバーに分散したまま蓄積する。

を基本にするシステムを考えるなら、２Head/Port サーバーがぴったりです。データを収集する機器等とデータは侵入、破壊、改ざんから完全に守られます。病院の内部に限定されているネットワークで運用する 場合であっても、ケアレスミス、勘違いなどから起こるデータ消去、改ざんが起こり得ないので、安心して運用出来ます。
　そして、検査現場が自分の担当した検査データを管理すれば良いのです。もともと“あるデータ”へのアクセスを許可されている人は“その装置・サーバー”の関係者と考えられます。
　この方式を採るなら、ネットワーク越しに、権限をふまえてややこしい操作をする必要はありません。
　内部ネットワークが外部に接続されている場合などは、権限のない者からの閲覧を防いで、情報の漏洩に対抗する必要があります。
ID・ パスワードでアクセス制限しても良いのですが、公開鍵暗号を利用する方が遙かに強力でシンプルです。データは、閲覧を許可されている者の公開鍵で施錠し て、サーバー上に掲載するだけです。暗号を掛けるプロセスはネットワークからは切り離された場所で動作しますので、破壊される恐れが有りません。

敢えて言うなら、このネットワークは、インターネットに直結出来ます。

公開鍵暗号と、２Head/Port サーバーによって実現されるセキュリティーは、技術の高度さによって保証されているのではなくて、数学の法則、物理の法則によって保証されているから安全です。

　検温、投薬、点滴などの治療行為もバーコードリーダー／ハンディーターミナルを用いてオンライン化出来るので、クレードルをDBサーバーで管理します。 受付窓口で患者IDを発行し、個人情報を受付ＤＢサーバーに登録します。さらにカルテDBサーバー置き、ドクター端末から文字書き込みを行う、という方式 で診療システムを分散ＤＢに載せる事が出来れば、

電子カルテ＝患者IDをキーにした Join 演算

になり、静的ではなくて動的に変わる“状態”、として扱う事になります。
本サーバーで分散DBを構築・拡張すれば、他病院とセキュリティーを保ったまま、インターネット越しのデータ共有も実現して行けるでしょう。

１．環境監視、交通管制などのシステムからデータを抽出して情報公開する。
２．インターネットからの問い合わせ端末への不正侵入は、住基ネットでも鍵になる部分でしょう。
３．構内ネットワークが例えば、基幹系、業務系、情報系ネットワーク等という風に分かれている場合を考えます。
４．教育機関などで、成績情報の漏洩などを起こしてはならない講師用のサーバーを繋ぐ。
５．電子投票では、投票・集計に使った計算機を車で中央まで運ぶのに危険はないのでしょうか。
６．電子入札などの際に、入札公示データのファイルは完全に守られます。
７．組織全体を統括する情報公開システムの中に正しく設定すると言う作業はセキュリティー的には不要です。

１．環境監視、交通管制などのシステムからデータを抽出して情報公開する、或いは他の業務に利用する場合は、専用の計測あるいは制御機器に繋がれる計算機を内部ネットワークに繋いでセキュリティーは大丈夫か、という問題が起こります。

　　特に、この計算機は専用の機器と対になっていて機種限定されている場合が少なくありません。そしてこの計算機は内部ネットワーク上のノートパソコンか らも絶対に侵入されてはならないのです。２Head/Portサーバー を用いて、100% 安全に、許された情報のみを参照させる事が出来ます。

２．インターネットからの問い合わせを受け付ける端末において、認証が正しかったとして、データベースに回答を取りに行く経路は内部ネットワークになります。だから、この端末に不正侵入されてはなりません。おそらく住基ネットでも鍵になる部分でしょう。
ファイアーウォール（＝アドレス・フィルタリング）だけで100% 安全と言い切るのは如何なものでしょうか。ここでもGendarme は100% 安全に、許された情報のみを参照させる事が出来ます。

３．構内ネットワークが例えば、基幹系、業務系、情報系ネットワーク等という風に分かれている場合を考えます。これらの間はセキュリティーの水準が異なる ために繋がずにOfflineにしておく必要は、もうありません。基幹系を参照するだけであれば、100% 安全に実現出来ます。分けられたネットワークを本サーバーで橋渡しするならば、その水準の差を維持出来ます。

４．教育機関などでインターネット教育に使用する生徒のPCを繋いである等、アドレス・フィルタリングを掛けられないネットワークに、成績情報の漏洩やウ イルス感染などを起こしてはならない講師用のサーバーを繋ぐ事も可能になります。２Head/Portサーバーを介すれば教材の参照だけを許す事が簡単に 実現出来ます。

５．電子投票で各投票所において、集計結果をインターネット経由で収集するのは危険でしょう。では、投票・集計に使った計算機を車で中央まで運ぶのに危険はないのでしょうか。
集計結果を公開鍵で暗号化し、このサーバー上のファイルとし、インターネット経由で中央から参照させます。集計システム、暗号化ソフトなどは、インターネットから物理的に遮断されていますからこのサーバー上に置かれたファイルは完全である事が保証されます。
　中央側から見て、参照したファイルが秘密鍵で解錠出来れば、完全である事が保証されます。

６．電子入札などの際に、入札情報などをこのサーバーで公開すれば、入札公示データのファイルは完全に守られます。

７．ある部門が自部門の情報を公開したい時、２Head/Portサーバーに情報を載せてインターネットに直結しても、セキュリティーには問題を発生しません。組織全体を統括する情報公開システムの中に正しく設定すると言う作業はセキュリティー的には不要です。
情報公開だけなら機動的に運用出来て、セキュリティーは完全です。

　Webを建てるのに、Hosting, Housingそしてサーバーをofficeに設置すると言う３つのパターンが有ります。それぞれに特長がありますが、本サーバーをofficeに置く事を考えてみましょう。優れている点は
１．顧客データなどが破壊から完全に守られ、また漏洩しない。
２．セキュリティーコストが掛からない。
３．FTP等を介さずに手元で直接メンテナンス出来る。

　また不利な点は本サーバにはインターネットから文字以外の情報を取り込めない、と言う事でしょう。
　ただし、外部のサイトを見るだけでよい（ファイル保存出来なくても良い）のであれば、本サーバーでホームページ閲覧、メールチェックが出来ます。しかも 如何なるウィルスや攻撃ツールが含まれていても一切問題が起きないというオマケが付きます。本サーバーで安全を確かめたメールやコンテンツのみ、プロバイ ダー経由で取り込むのも一案です。

出来る事は

　情報発信　　：ホームページ
　E−コマース：通信販売、ネットオークション(自社商品)

　ビジネス用のデータは本サーバーに隔離するのです。いわゆるネットサーフィンをするために、プロバイダーを通したADSL回線等を別に持つと何かと便利でしょう。
今後、ウェブログとの関係でホームページの在り方に変化が起き、自前サーバーが注目されてくるのではないでしょうか。

Ｑ１：このサーバーシステムに特有の利点は何ですか？
Ｑ２：セキュリティーに完全はないとされていますが？
Ｑ３：この装置の利点は他にもありますか？
Ｑ４：この装置の不利な点は主に何ですか？
Ｑ５：ソフトウエアによるセキュリティーの方が優れている点はありますか？
Ｑ６：同じ装置が電子回路で出来ませんか？
Ｑ７：コンテンツを CD-R に焼いたり磁気テープに複写してから、
　　スタンドアローンのサーバーに運び、公開しているところがあるようですが、その方法との違いは？
Ｑ８：わざわざ２ヘッドディスクを用いなくても、ディスクを Read Only でマウントすれば済むのではないでしょうか？
Ｑ９：Trusted OS に比較してメリットはありますか？
Ｑ１０：サーバーにはどの様なソフトを使うのですか？
Ｑ１１：PC ではどの様なソフトを使うのですか？
Ｑ１２：ネット経由で本サーバーシステムのサーバーにコンテンツを送れないのでは？
Ｑ１３：PC がファイルを更新してもサーバーが持っているディスクキャッシュが更新されないのではないでしょうか？
Ｑ１４：サーバーが読込み中のファイルを PC が更新したらどうなりますか？
Ｑ１５：パフォーマンスは下がりますか？
Ｑ１６：暗号システムとの関係はどうなりますか？
Ｑ１７：DNS 詐称に対応できますか？
Ｑ１８：新種のウイルスにはどの様に対応しますか？

---

Ｑ１：このサーバーシステムに特有の利点は何ですか？
Ａ１：１．将来も含めた絶対的な安全性です。ハッカーに ルート権限を奪取されたり、メモリーを全て書き換えられたとしても、ハードディスクに書かれたデータ、プログラムを書き換える機能が無いのです。さらに サーバー自身のソフトウエアーまで、このディスクに搭載されているので改ざん不可能です。また内部ネットワークへの配線がありません。
　　　　　・更新自在で改ざん不可能
・内部ＰＣ（ネットワーク）への侵入が不可能。
　　　　実際、このサーバーに Outlook Express をインストールしておき、ウイルスメールの添付ファイルを Open してもディスクには何も書き込まれませんし、キャッシュメモリーに書かれた物も再起動で全て消滅します。全く何の問題も起きません。ただし、お試しになる 時は、インターネットへのケーブルを外して下さい。他所に迷惑を掛けると困ります。
２．更に、メンテナンス作業とコストがほとんど発生しません。
Ｑ２：セキュリティーに完全はないとされていますが？
Ａ２：本サーバーシステムは
　　　１．コンテンツ、システムプログラムなどサーバー上のファイルを改ざん、消去から守る事、
　　　２．ウイルスに犯されないこと、
　　　３．内部PC（ネットワーク）への侵入を許さない事については将来共に完全です。
しかし不正侵入の90％が内部犯行と言われています。
ａ．内部（身内）からの攻撃やミスには侵入検知などのソフト的手段が必要です。また
　　　ｂ．いわゆる可用性を守る機能は持っていません。
　　　ｃ．サーバーをシステムダウンさせる攻撃やDOS攻撃から守るためには別のソフト的手段が必要です。
　　　ｄ．サーバーのメモリーを奪取して行われる踏み台攻撃を防ぐにも、ソフト的手段が必要です。
　　このうちｃとｄについてはサーバーの再起動だけで復旧します。OS、プログラムなどの再インストール、バックアップデータからの復旧は必要ありません。
Ｑ３：この装置の利点は他にもありますか？
Ａ３：安全性は極めてわかりやすく、簡明です。
　　　１．顧客に対する説明責任が容易に果たせます。
　　　２．安全を越えて安心です。
　　　３．また、情報公開が目的であれば、今までの資産が事実上そのまま利用できます。
Ｑ４：この装置の不利な点は主に何ですか？
Ａ４：２項目挙げておきます。
　　　１．文字以外の情報（バイナリーデータ）を受信出来ない事。
　　　２．コンピューターが２台必要な事。
Ｑ５：ソフトウエアによるセキュリティーの方が優れている点はありますか？
Ａ５：先ず、ソフトウエアによるセキュリティーと本サーバーシステムは、両方同時に利用する事が出来る事を知って下さい。Q2：４〜６の、本サーバーシステムだけでは防げない攻撃を、ソフトウエアを併用すれば防げる可能性があります。
　　なお、ファイアウォールはサーバーが受ける攻撃の負荷を減らす効果が有ります。
Ｑ６：同じ装置が電子回路で出来ませんか？
Ａ６：I-O データ機器社製の R-SCW シリーズがそれです。


Ｑ７：コンテンツを CD-R に焼いたり磁気テープに複写してから、スタンドアローンのサーバーに運び、公開しているところがあるようですが、その方法との違いは？
Ａ７：安全性は同じでしょう。しかし、コンテンツの更新速度と利便性は比較にならないほど本システムが優れています。
例えば質問の方法では監視録画カメラのライブ中継は全く実現できません。しかし弊社のサイトでは監視録画カメラの画像を１０秒間隔で更新しています。
Ｑ８：わざわざ２ヘッドディスクを用いなくても、ディスクを Read Only でマウントすれば済むのではないでしょうか？
Ａ８：OS はそれで守れているのでしょうか？ 仮に OS を守れているとしても Driver や BIOS を書き換える攻撃がありました。
　　また OS も BIOS もバイパスして直接 HDD の I/O レジスターの物理アドレスを攻撃するような究極のハッキング方法（考えたくありませんが・・）が出てくるかも知れません。
　　　これに対しては２ヘッドディスク、或いは一切のセキュリティーホールを持たない完全なソフトウェアーだけが解決方法でしょう。
Ｑ９：Trusted OS に比較してメリットはありますか？
Ａ９：Trusted OS が一般的になっておらず、良く分かりませんが、HDD の更新や保守は本サーバーシステムの方が比較にならないほど容易だと思います。価格も遙かに安いと考えています。
Ｑ１０：サーバーにはどの様なソフトを使うのですか？
Ａ１０：特別なソフトは不要でしょう。システムをリードオンリードライブに納めて使用する形態がとれることが必要です。また、ディスクのファイル形式がPCと一致していることが必要です。
　　　　ディスクレスな環境で動作するなら、Windows embedded や Linux の CD-ROM システム、FA 用の ROM ベースで動作するシステムが考えられます。弊社デモサイトでは WindowsXP Pro．を使用しました。
Ｑ１１：PC ではどの様なソフトを使うのですか？
Ａ１１：サーバーと共通のファイル形式を持っていることが必要です。
　　　他に制限はありません。Linux、Unix、Windows、Tron、MacOS などの異なった組み合わせも考えられます。
Ｑ１２：ネット経由で本サーバーシステムのサーバーにコンテンツを送れないのでは？
Ａ１２：現状では送れません。しかし多くの場合、コンテンツをメインのサーバーに送信せずに、
　　　作る部署それぞれに本サーバーシステムを置いて公開し、ホームページからはハイパーリンクする方法もあると考えています。
　　　　またネット経由で Webを更新するのは客観的・技術的に見ればホームページの改ざん事件と同じです。
Ｑ１３：PC がファイルを更新してもサーバーが持っているディスクキャッシュが更新されないのではないでしょうか？
Ａ１３：更新されません。以前の弊社テストサイトではサービスの都度 ASP で Windows API を発行しました(Device_IO_Control)。あるいは PC が書き込みを行った直後に再マウントをトリガーする仕組みも有ります。
現在はこれに対して、サーバーがファイルを読む前にディスクキャッシュをリフレッシュしています。但しC: ドライブに対する CashFlush は有効ではありません。更新する可能性があるコンテンツは全て D: 以下のドライブに置いて下さい。CashFrush 関数自身の置き場所はどのパーティションでも構いません。
IISのキャッシュについて：
　　　IIS は通常、起動と同時に立ち上がり、＊．ASP ファイルのキャッシュを作って保持します。
OS が持つディスクキャッシュがリフレッシュされても、IIS が持つキャッシュはリフレッシュされないのです。加えて通常 IIS は Halt される事はあっても終了しませんのでIIS が握った ＊．ASP ファイルのキャッシュは運転中 Web に反映されません。＊．ASP の更新を反映させるには OS の再起動、或いは IIS_Admin を利用して、IIS を終了-起動する必要があります。
Ｑ１４：サーバーが読込み中のファイルを PC が更新したらどうなりますか？
Ａ１４：最悪は壊れたファイルを読むのと同じ事になります。万全を期するなら、サーバーはファイルを２度読みし、同一性を確認できてから使用するのがよい でしょう。ただし、ファイル更新は、いきなり古いファイルに上書きしないで空き領域に書いてから、古いファイルの領域を空きとして登録すると考えられま す。この場合は古い方のファイルを読み込む事が可能になります。今までの方法でも、更新中のコンテンツはサービスされていないと思います。
Ｑ１５：パフォーマンスは下がりますか？
Ａ１５：サーバー側のディスクキャッシュ更新の問題がありますので、今の段階では低くなると考えています。ただ、今までのサーバーでもファイルを更新する とき、ファイル更新とキャッシュ更新をしています。本サーバーシステムでは、サーバーファイル更新しません（PCがします）ので、キャッシュ更新のみとな ります。
Ｑ１６：暗号システムとの関係はどうなりますか？
Ａ１６：公開鍵暗号方式の前提として
　　　　１．秘密鍵や元の平文が漏れないこと。
　　　　２．解錠・施錠システムが破壊されないこと。
　　　が要求されます。言い換えればセキュリティーホールの無いコンピューターを使うことです。
　　　これは本サーバーシステムを使うことで、初めて確実に実現できます。
　　　　平文や施錠・解錠プログラムと秘密鍵は PC のローカル HDD に置き、暗号文や公開鍵を２ヘッドディスクに書けばよいのです。
Ｑ１７：DNS 詐称に対応できますか？
Ａ１７：ファイルを秘密鍵で暗号化し、公開鍵と共に公開すれば、偽物であることがすぐわかるようになります。
Ｑ１８：新種のウイルスにはどの様に対応しますか？
Ａ１８：本サーバーシステムは、将来発生する如何なるウイルスにも感染しません。
　　　何故なら、どんなウィルスも書き込むことによって始めて動作するので、
　　　書き込みデバイスのない本装置ではもウィルスも意味がありません。

セキュリテーは簡単で、明瞭で、強固であるべきです。物理的な手段が利用出来ればそれが最高のソリューションです。
本サーバーシステムは、ウイルス感染、　継続的なホームページ（HP）の改ざん、内部PC（ネットワーク）への侵入＝個人情報の漏洩、企業機密の盗難、ウ イルスの感染拡大（アドレス帳の盗用）、　継続的なDDos攻撃の踏み台、を許さない事については将来共に完全です。
そして、その明快な信頼性がインターネット利用者に今までに無かった安心をもたらします。最高のアカウンタビリティーを実現しています。

　２００２年に２Head Hard Disk を試作した時、インターネット等で反響がありました。 今でもその時の記事が幾つか残っており、検索も出来ます。 また、お世話になった方のリンク等があります。

フォーラムサイトAce's Hardware に掲載
http://www.aceshardware.com/forum?read=80023889#TEXT

PC World の記事
http://www.pcworld.com/news/article/0,aid,102881,00.asp

Computer-Reserch の三宅記者の記事（第一報）
http://www.crime-research.org/news/2002/07/Mess2401.htm

ComputerWorld の記事
http://www.computerworld.com/securitytopics/security/story/0,10801,72943,00.html

ZDnet の記事
http://zdnet.com.com/2100-1103-946021.html

フォーラムサイト 本家 Slashdot のスレッド
http://slashdot.org/article.pl?sid=02/07/22/1612208&mode=thread&tid=172

日本版 Slashdot のスレッド
http://slashdot.jp/article.pl?sid=02/06/11/0223228&mode=thread

I-O データ機器社 R-SCW の頁
http://www.iopro.net/2port.html

Google検索（Scarabs×read only×security)
http://www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=scarabs+%22read+only%22+security&lr=

Google検索（Scarabs×takano)
http://www.google.co.jp/search?q=scarabs+takano&ie=UTF-8&oe=UTF-8&hl=ja&lr=

沢田国際特許事務所
http://sawada-pat.com/

慶応大学武藤研究室
http://www.neuro.sfc.keio.ac.jp/

Revers Proxi Server Secured by Off-line Communication is Now on sale in Japan.

Last several years, so many network servers have been intruded illegally via internet and serious troubles have been occurred.
Today most of computers are based on stored program computing designed by Von Neuman.
All data, programs even coming from internet, are aligned in internal memories together with system software, application software and data.
For illegal intrusion procedure like buffer over flow, this situation is very convenient.
And moreover, if the hard disk is attacked successively after intrusion, damage will be serious as follows.
1. Stealing of secret informations such as secret keys, passwords and account numbers.
2. Falsification of files to execute malicious code.
3. Distribution of virus files by referring to mail address files.
4. Defacing of web site.
To improve security, many recovering systems for disk files from cracking have been developed.
The question is who can guarantee such recovering system from illegal intrusion ?

Two Head/Port disk server is produced.

The system consists of a networked server, a private computer, and a special disk equipped two independent I/O channels(sets of head, controller and interface).

The computer and the server are connected to each I/O channel of the disk.
I/O channel connected to the server is restricted to "read-only" by hardware, i.e. removing the writing coil on the head.
I-O Data Device Inc. implemented two head disk to controller circuit which has two SCSI I/O channel and a IDE interface.
Even if the root commission of the server is seized, all disk files can't be affected in principle. Whereas using the computer, all files in the disk can be updated as usual.
Besides, if the disk is sole device of the server, virus infection is also impossible.

Intrusion

　Since the server communicate with the computer off-line via the disk, intrusions can't pierce into the computer. Information in the local disk of the computer, such as passwords, mail addresses and encrypting systems can't be accessed from network.

Characteristics

The mechanism of this system is obvious.
1. No secret key, hidden algorithm or password is required to maintain it's security.
2. If a betrayer operates the computer, this system can protect nothing by the native competence.
3. This system can't prevent the server being hacked or paralyzed by distributed denial of service attack.

Demonstration site(http://211.121.188.27/Ephoto.asp) of live camera with this 2Head/Port server is running now.
F.A.Q. is coming soon.

Scarabs Corporation Co., Ltd.
Chiba-Tech BLDG. 6F, 36-15, Shinden-chou 36-15, Chuoh-Ward, Chiba-City, CHIBA, 260-0027 Japan
e-mail: takano@ScarabS.com

Faculty of Environmental Information, Keio University, 5322 Endo Fujisawa, 252-0816Japan,
e-mail:takefuji@sfc.keio.ac.jp

　１．高性能な交通管制システムを使う。
　２．立体交差にする。

セキュリティーを
１．ソフトウエアーで確保するのと、
２．ハードウエアーで確保する
との違いは、踏切と立体交差の違いに例えられるでしょう。

Gendarme が最適なのはパフォーマンスよりも
　・セキュリティーの完全性を重視する
　・セキュリティーメインテナンスの負担の軽さを重視する
　・顧客の安心感を重視する場合です。