TidBITS: Apple News for the Rest of Us  TidBITS#792/15-Aug-05

Apple から新しく出た Mighty Mouse は、本当にスーパーねずみ君なのだろうか? Glenn Fleishman は実際に握ってみて、ちょっとこいつは毛深い奴だと感じた。また今週号では、Kevin van Haaren が virtual private network (VPN) テクノロジーについて語る。多くの人がまごつく話題だが、どういう場合にこれを使うのがよいのか、詳しい説明がある。ニュースの部では、Security Update 2005-007 と Apple の PowerBook G4 Graphics Update 1.0、それに SaveScreenie ユーティリティのリリースについてお伝えし、また Joe Kissell の無料の電子ブック“Take Control of Now Up-to-Date & Contact”マニュアルも発表する。

記事:

Copyright 2005 TidBITS: Reuse governed by Creative Commons license
<http://www.tidbits.com/terms/> Contact: <editors@tidbits.com>


本号の TidBITS のスポンサーは:


MailBITS/15-Aug-05

Apple が Security Update 2005-007 をリリース -- 本日、Apple Computer は、Mac OS X 10.3.9 Panther と Mac OS X 10.4.2 Tiger のそれぞれの client と server バージョンに対する Security Update 2005-007 をリリースした。アップデートには Apple 製のソフトウェア(Mailや Safari、そして Quartz と CoreFoundation フレームワークといった縁の下の技術、さらに、 Mac OS X Server 10.4.2 でファイアウォールポリシーを作るときに使われる Server Admin tool )へのパッチが含まれている。Apple はさらに、OpenSSL、X11 windowing system、Apache2、CUPS、Kerberos、zlib といった Mac OS X の Unix の土台となるコンポーネント群にもパッチを当てた。Apple は全ての Mac ユーザーに、このアップデートをインストールするように推奨している。いくつかのセキュリティ上の問題点があり、理論的には、リモートのアタッカーがコンピュータ上のデータにアクセスしたり、ユーザーアカウントを作ったり、任意のプログラムを実行したり、クリックされたURL が Mac OS X に組み込まれたセキュリティ・チェックをバイパスしてしまうことができる可能性があるからだ。アップデートはソフトウェア・アップデート経由と下にある一つ目の URL から利用することが可能だ。ダウンロードのサイズは、あなたがアップデートしたい Mac OS X のバージョンによって、13.3 MB から 29.9 MB の幅がある。Apple は下にある二番目の URL で Security Update 2005-007 の変更点について詳述している。[GD](笠原)
[訳注:18 日に Mac OS X 10.4.2 の Server と Client 向けの Security Update 2005-007 v1.1 が公開されました。これは、Security Update 2005-007 のバグフィックス版で、Security Update 2005-007 でアップデートしたユーザを含む Mac OS X 10.4.2 を使っている全てのユーザに推奨されています。]参照:アップル - ソフトウェアアップデート

<http://docs.info.apple.com/article.html?artnum=61798>(日本語)アップル - サポート - TIL
<http://docs.info.apple.com/article.html?artnum=302163>(日本語)About Security Update 2005-007

PowerBook Graphics Update が特定状況下での問題を解消 -- 先週、Apple は PowerBook G4 Graphics Update 1.0 をリリースした。これは、2.1 MB のパッチで 1.67 GHz PowerPC プロセッサを搭載した 15 インチと 17 インチの PowerBook G4 モデルのグラフィックの安定性を向上させるものだ。インストーラーはアップデートが必要かどうかハードウェアのチェックを行うようになっている。アップデートは Mac OS X 10.4.2 が必要だ。 [JLC](笠原)

<http://www.apple.com/support/downloads/powerbookg4graphicsupdate10.html>(日本語)アップル - サポート - ダウンロード - PowerBook G4 Graphics Update 1.0

SaveScreenie でファイルフォーマットを変更 -- 数週間前、私は、特定のコマンドを Terminal で入力すれば Mac OS X 10.4 Tiger 上で Command-Shift-3 や Command-Shift-4でスクリーンキャプチャをとるときに使うファイルフォーマットを切り替えられることをお知らせした( TidBITS-785の "スクリーンキャプチャーのフォーマットの変え方"参照)。言うまでもなく、このようなコマンドをコピー・ペーストすることは難しいことではない。しかし、それではカンガルーがワルツを踊る程度のエレガントさでしかない。そこで、cf/x の Christian Franz が Apple の Xcode をよりよく理解する練習を兼ねて、この機能を小さなユーティリティに組み込むことを決めた。その結果がフリーの SaveScreenie 1.2 だ。これには、利用可能なフォーマット( PNG、PDF、JPG、TIFF、BMP、PSD、PICT)に対応したラジオボタンがあり、一つを選択し Set ボタンをクリックした後、ログアウトするか Mac を再起動すれば、スクリーンキャプチャのフォーマットを変更してくれる。Christian が初期バージョンを見せてくれた後で、私はいくつか提案を(編集者たるもの、どこまでも編集者だから)して、ユーザにフォーマットについてより詳しく説明できるようファイルフォーマットについての web ページへのリンクを加えることを勧めた。彼はたちどころに私の提案を加えた新バージョンを練り上げた。もし、あなたがスクリーンキャプチャのフォーマットについて迷っているなら、SaveScreenie が助けになってくれるだろう。[ACE](笠原)

<http://db.tidbits.com/getbits.acgi?tbart=08147>(日本語)スクリーンキャプチャーのフォーマットの変え方
<http://www.imovieplugins.com/other%20products/savescreenie.html>


Mighty Mouse では強力な相手とは言えない

文: Glenn Fleishman <glenn@tidbits.com>

この Mighty Mouse ってのは、まったく小うるさい奴だ。先週、Apple が私にレビュー用のユニットを送ってくれたのだが、私たちのテストの結果では、このマウスはいくつかの面で合格点に達していないことがわかった。一番明らかな問題点は、以前からと同様に、マウスの全体の形が人間工学的に満足できるものではないと私には思えることだ。実は、私は手と手首に問題を抱えていて、通常のマウスでは快適に使うことができないのだ。(Mighty Mouse の全般的な説明については、TidBITS-791 の記事“Apple がマルチボタンマウスを発売”を参照のこと。)

<http://www.apple.com/mightymouse/>(日本語)アップル - Mighty Mouse
<http://db.tidbits.com/getbits.acgi?tbart=08201> (日本語)Apple がマルチボタンマウスを発売

まず第一に、スクロールボールだ。(New York Times のコラムニスト、David Pogue はこれを「トラックお豆」(trackpea) と呼んだが、私は彼の用語が気に入った。)これは、どう見てもすべてのスクロールホイールを過去の遺物と化す革命的な新技術とは言えない。本当にちっぽけで、使いにくいボールだ。使っていると(内蔵のスピーカーから)かすかに聞き取れる程度のかちかちという音をたてる。私の感想では、これは使うのにコツが要るし、スクロールホイールに比べて何の改善にもなっていないと思う。

<http://www.nytimes.com/2005/08/04/technology/circuits/04POGUE-EMAIL.html>

左右のタッチセンサーを使ったクリックの使い分けはうまく働くが、別に大声をあげて騒ぎ回るほどのものではないと思う。私なら、2つの物理的な、メカニカルなボタンを左右別々に付けてもよかったのに、と思う。結局 Apple のデザインの意図は、シンプルさを追求する人のための1ボタンと、フレキシブルさを追求する人のための2ボタンとの間の橋渡しをしたい、という興味にのみ引っ張られたものだったのではないだろうか。しかしながら、TidBITS 主任編集者の Jeff Carlson はこのタッチセンサーが必ずしもうまく動かないと言っていた。彼は、普段人さし指と中指を2ボタンの Kensington マウスの上に伸ばした状態で使っている。それで Mighty Mouse を使おうとすると、中指を右ボタンの位置から離して空中に伸ばす(これではすぐに指が疲れてしまう)か、あるいは横に動かして退けるかしなければならない。

マウスをスクイーズして両側の感圧サイドボタンをクリックするという操作は、これまた奇妙な動作だと思う。なぜ単独のボタンを押すようにしなかったのだろうか。第一、このようにして余分のボタンを加えてもらっても、私には何の問題の解決にもならない。

私はまた、Might Mouse ソフトウェア(付属の CD からインストールする)にも混乱させられた。どんなプラットフォームでも(Windows でも、どのリリースの Mac OS X でも)何もソフトウェアをインストールせずに Mighty Mouse を繋ぐと、メインの左・右ボタンはデフォルトで正しく働く。Mac OS X 10.3.9 から 10.4.1 用のソフトウェアをインストールして繋いでも、左・右ボタンは動く。それなのに、Mac OS X 10.4.2 以降用のソフトウェアをインストールしてから、マウスを繋ぐと、あら不思議、マウスの上部にはでっかい一個のボタンがあるだけだ。ソフトウェアを動かして手で機能をオンにしないと、マルチボタンは働き出さないのだ。

もう一つ、Jeff が指摘してくれた問題点がある。右ボタンのアクションを再プログラムすることができないのだ。彼は、右クリックをダブルクリックとして使っている。(私に言わせれば何でそんな不思議なことをするのかということになるが、まあ人には人それぞれの好みがあるものだ。)でも Mighty Mouse ソフトウェアではそういう設定は不可能だ。よく使われている Kensington MouseWorks(Kensington 製のポインティング・デバイス用のドライバ)や Alessandro Levi Montalcini の USB Overdrive ユーティリティ ($20)(ほとんどすべての USB コントローラに使える汎用のドライバ)では普通に出来るのに。どちらも、特定のボタンに特定のアクションのみを決めつけるということはしていない。USB Overdrive 10.3.9 は、Apple のドライバをインストールしない限り、どうやら既に Mighty Mouse でもうまく動いているようだ。Alessandro は、今後のリリースで Mighty Mouse をフルにサポートするようにしたいと言っている。

[訳注: USB Overdrive 10.4 がリリースされました。(下記リンク)この新バージョンで、Mighty Mouse がフルにサポートされたそうです。]

<http://www.kensington.com/html/1385.html>(日本語)七陽商事株式会社
<http://www.usboverdrive.com/>(日本語)E-WA’S BLOG

全体的に見て、Mighty Mouse はデザインの面でも機能の面でも、他の多くの成熟したマウスたちに比べてそれらと同等のレベルに達しているとは言えない。その機能はとてもユニークだが、夢中になって飛びつくほどのものではないと思う。


ユア・アイズ・オンリー: 仮想プライベートネットワーク

文: Kevin van Haaren <kevin@vanhaaren.net>
訳: 羽鳥公士郎 <hatori@ousaan.com>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>
訳: 亀岡孝仁 <takkameoka@bellsouth.net>

最近の TidBITS の記事や TidBITS Talk の議論で、仮想プライベートネットワーク(VPN)技術についての言及があった。VPN は、安全でないネットワーク上で安全に通信するための道具だと言われることが多い。Glenn Fleishmanは、South by Southwest Interactive 会議で公衆無線ホットスポットに接続したとき、自らのネットワークトラフィックすべてを隠すのに VPN を使ったし、私は、TidBITS Talk で、Apple の Remote Desktop を使ってファイアウォール越しにコンピュータを操作するための方法として VPN 技術に言及した。でも、VPN とは、正確に言って何なのだろうか。この記事では、VPN を支える概念や専門用語について説明したい。

<http://db.tidbits.com/getbits.acgi?tbart=08028>(日本語)旅行く勇士のスクランブル発進
<http://db.tidbits.com/getbits.acgi?tlkthrd=2324>
<http://db.tidbits.com/getbits.acgi?tlkthrd=2329>

VPN とは、インターネットのような安全でないネットワーク上で、コンピュータ同士を安全に接続する方法だ。このように言えば分かりやすく聞こえるかもしれないが、安全なネットワークを構築するためには、単純な暗号化だけでなく、さまざまな工夫が要求される。セキュリティには認証が必要だ。すなわち、通信するものは、自らの身元を相手に対して証明しなければならない。暗号化の部分も簡単ではない。ネットワークが安全でないなら、どうやって暗号化キーを交換すればよいのだろうか。

なぜ VPN なのか -- なぜ人は仮想プライベートネットワークを使うのだろうか。ほとんどの人は、旅行先から、または在宅勤務時に、会社のネットワークに接続するために VPN を使うが、それ以外にも使い道がある。私が VPN をインストールした第1の理由は、ラップトップを持って旅行に出かけ、自宅にある iTunes ライブラリや電子メールサーバといったリソースに接続できるようにするためだった。そのようなリソースは通常、インターネット上のほかのコンピュータからは、ファイアウォールで保護されている。また、当初は、簡単に破ることのできる WEP で「保護されて」いる無線接続を守るために、自宅で使っていた。私が AirPort Express と Mac mini の組み合わせにアップグレードして、WEP よりもはるかに安全な WPA セキュリティを使うようになっても、誰かが WPA を破る方法を見つけるかもしれないという偏執病的可能性に対する備えとして VPN を使い続けることにした。さらに、VPN を使うと、Apple の Remote Desktop 2 のような、それ自体では脆弱なセキュリティ機能しか持たないプログラムで、安全に接続できるようになる。

あなたは、離れて暮らす家族のために技術サポートをしたり、仕事でホームユーザのために技術サポートをしたりすることがあるだろうか。そのとき、相手がファイアウォールの向こう側にいるために、遠隔操作でヘルプしようとして問題に突き当たったことはないだろうか。このような状況は、ファイアウォールを VPN に対応したものにアップグレードすれば解決する。ファイアウォールのルールすべてを迂回することができるので、リモートで接続して問題を解決することができるのだ。

セキュリティのためのファイアウォール -- ブロードバンドユーザに対して、ファイアウォール内蔵の DSL ルータかケーブルルータを使用して、自宅のネットワークを保護すべきだという賢明なアドバイスが、しばしばなされている。また、ほとんどのユーザが、ネットワークアドレス変換(Network Address Translation・NAT)を使って、インターネット接続業者から割り当てられた単一の公開 IP アドレスを複数のコンピュータで共有している。こういう場合に使われる低コストのルータでは、通常、ファイアウォールはデフォルトで使用する設定になっている。また、コンピュータを1台しか持っていない場合、「共有」環境設定パネルでボタンをクリックすれば、Mac OS X に組み込まれたファイアウォールを起動することができる。

ファイアウォールは、インターネットからローカルネットワークへのアクセスを制限する。私の父がファイアウォールで自宅のネットワークを保護していて、私が父のために技術サポートをしようとするとき、Apple Remote Desktopなどの VNC(仮想ネットワークコンピューティング)プログラムを起動しただけでは、父のコンピュータに接続することはできない。ここには問題が2つある。第1に、どの IP アドレスに接続すればよいのだろうか。公開 IP アドレスはルータのアドレスに過ぎず、父のコンピュータのアドレスではない。「ネットワーク」環境設定パネルに表示された IP アドレスを教えてもらえたとしても、その IP アドレスは NAT ファイアウォールが割り当てたプライベートアドレスだから、インターネットから直接接続することはできない。

2つ目の理由として、ほとんどのファイアウォールが「話しかけられないかぎり話さない」という哲学を持っている。この考えが実行されている例としては、ウェブと iTunes Music Store がある。私がウェブサーバにあるページを見ることができるのは、私のブラウザがはじめにサーバに接続をするからだ。同様に、iTunes のなかで iTunes Music Store を表示することができるのは、私のコンピュータが iTunes Music Store に情報を送るよう依頼するからだ。このアナロジーから言えば、リモートコントロール接続のリクエストは、はじめにリモートコンピュータからファイアウォールを通して届かなければならない。リモートコンピュータの前には人間がいるとはかぎらないから、この最初のリクエストを生成するというのは困難だ。(ファイアウォールのより詳しい情報については、TidBITS-468 の Chris Pepper の記事 "What's a Firewall, and Why Should You Care?" を参照。)

<http://db.tidbits.com/getbits.acgi?tbart=05291>

ポートを開く -- ファイアウォールを乗り越えるために一番よく言われている解決策が、アプリケーションが通信に使うためのポートを(一つあるいはそれ以上)開くことだ。ネットワークアプリケーションは、ポートを使って互いに話を交わす。Chris のファイアウォールの記事に出てきたアナロジーをそのまま使わせてもらうと、ポートというのは普通の郵便の宛先にあるアパートの部屋番号のようなものだ。アパートに住んでいる友人に宛てて手紙を出す時、アパートの建物の番地を書いただけでは充分ではない。アパートの部屋番号も書かなければ、手紙はきちんと届かないだろう。それと同様に、コンピュータの IP アドレスを指定しただけではネットワークデータを正しいアプリケーションに届けることができない。正しいアプリケーション、例えばウェブやメールのサーバなどにそのデータを導くためにポート番号が使われるのだ。よく使われるインターネットサービスの多くが、デフォルトで「よく知られた」ポート番号を持っている。

<http://www.iana.org/assignments/port-numbers>

NAT ベースのファイアウォールは、入力トラフィックをそのポート番号によって内部ネットワークにある特定のコンピュータに向けることができる。同じアプリケーションを使って内部ネットワークにある複数のコンピュータに接続したい場合には、二つのオプションが考えられる。一つは、ファイアウォールを設定し直して標準以外の追加のポートでも通信できるようにしておき、それらのポートを目的のコンピュータの標準ポートに振り向ける方法だ。(ただしすべてのファイアウォールがこれをサポートしている訳ではない。)もう一つは、まず内部ネットワークのコンピュータの一つに接続してから、そのコンピュータを使ってそのネットワーク内の他のコンピュータにアクセスするという方法だ。

シンプルなファイアウォールでは、ポートを開くとそれはインターネット上のすべての人に対して開いてしまう。より複雑なファイアウォールになると、ポートへのアクセスをいろいろな基準、例えば出所の IP アドレスとか時刻とかいうものによって制限できるようになる。

Mac OS X にはフル機能のファイアウォールが内蔵されているが、Apple の環境設定パネルであなたが設定できるオプションは最もシンプルなものだけに限られている。実際、ポートを開くとそれはインターネット上のすべての人に対して開いてしまう。そこでサードパーティのツール、例えば Brian Hill の BrickHouse のようなものを使えば、もっと広範な機能に GUI でアクセスできるようになる。また、もっとフル機能を備えたツール、例えば Open Door Networks の DoorStop X や、Sustainable Softworks の IPNetSentry などもある。

<http://personalpages.tds.net/~brian_hill/brickhouse.html>
<http://www.opendoor.com/doorstop/>
<http://www.sustworks.com/site/prod_ipns_overview.html>

BrickHouse や、あなたのケーブルまたは DSL のルータが提供する類いの少しだけ高度な設定オプションを利用する場合でさえも、そこでの例外規定を作るのは時間が掛かるし間違いを起こす可能性も多い。(IPNetSentry ではこの理由のために異なったアプローチが採用されており、疑わしい活動を監視して、そういうものが見つかった時に侵入者を締め出すようにしている。)インターネットの使用に関する単純な事実でさえも、このようなルールの管理を非常に困難なものにすることがある。例えば、いつも変わり続けるダイナミック IP アドレスを持った人のアクセスを調整するのはなかなか大変な作業だし、ファイアウォールのルールに既に設定されているのではないダイナミックアドレスについての変更をしようとする場合などは、完全に不可能となることさえある。

もう一つ問題がある。ファイアウォールでポートを開いた場合、暗号化されていないデータストリームの問題は何も解決されないのだ。出発地と目的地の間にあるネットワーク上の道筋にいる人なら誰でも、簡単なツールを使ってトラフィックの内容を抽出することができる。あなたが VNC ソフトウェアを使って遠隔コントロールをすれば、インターネット上の他の人たちにもあなたが見ているもの、タイプするものがすべてそのまま見えてしまう。VNC は遠隔コンピュータに最初にアクセスした際の認証は暗号化するのだが、もしもあなたがそのコンピュータでパスワードを変更したりリモートのスクリーンセーバのロックを外したりすれば、そのパスワードが暗号化されずにそのまま送られる。また、FTP と telnet もやはりパスワードをプレーンテキストとして送っている。

理想的な解決策は、あなたの目の前にあるコンピュータがリモート・ファイアウォールを通してインターネット上で接続し、その際すべてのルールをかいくぐって、ファイアウォールの向こう側にある好きなだけの数のコンピュータや各種の機器に接続できるようになることだ。さらに、これらの通信においては他人の目から覗かれないように秘密が保たれ、しかも接続先のコンピュータが本当に称する通りのものであることも保証されるようになって欲しい。

仮想プライベートネットワーク (virtual private network・VPN) は、この解決策を提供できるようにとデザインされたものだ。あなたがインターネット上のどこにいても、あなたとあなたのネットワークとの間にセキュアなトンネルを構築して、すべてのトラフィックをそこを通して運ぶことによって実現しようとするのだ。現在、いくつかのタイプの VPN がある。いずれもオープンなプロトコルで、それぞれ IPsec、Point-to-Point Tunneling Protocol (PPTP)、Layer 2 Tunneling Protocol (L2TP) (これは IPsec と共に用いられることが多い)、SSH トンネル、それに SSL VPN だ。

<http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html>
<http://www.microsoft.com/ntserver/ProductInfo/faqs/PPTPfaq.asp>
<http://www.microsoft.com/technet/community/columns/cableguy/cg0801.mspx>
<http://www.infoworld.com/article/03/10/24/42TCsslvpn_1.html>

IPsec -- もともと、IPsec は企業のオフィスのネットワークのようなところで、各地のオフィスどうしの間により高価な専用電話線を設置する代わりにより安価なインターネット接続によって接続しようという方法として使われてきた。個々のオフィスには大規模な専用 VPN ファイアウォールが置かれ、それらの間に接続がなされた。幸いにも、こうしたシステムの設置にかかる費用は近年大幅に安価になりつつある。また、家庭用のルータで VPN 機能を持ったものも、ほんの少しのコストの増加のみでいろいろな種類が手に入るようになってきている。

IPsec は VPN を実現するために二段階のシステムを用いている。第一段階では、個々の参加者が認証される。そして、第二段階が実際に暗号化されたデータを受け渡しする部分に当たる。どちらの段階も、認証や暗号化キーの交換のために使われるさまざまな方法を互いに交渉し合う。トンネルのセキュリティを向上させるため、これらの二つの段階はどちらも、一定の時間間隔で次々と再交渉、再認証、新たな暗号化キーの再交換、といった作業を繰り返すことになる。

PPTP と L2TP -- PPTP の方が古くてセキュリティの低い VPN テクノロジーで、これは Microsoft によって開発されたものだ。PPTP は今でもかなり(特にヨーロッパで)人気がある。Windows に内蔵されているのがその理由だろう。L2TP の方は、Microsoft の PPTP と Cisco の L2F (Layer Two Forwarding) テクノロジーを組み合わせたものだ。IPsec 上の L2TP は、L2TP トラフィックを IPsec パケットの中に格納して運ぶ。IPsec を使うことで VPN における認証の段階が暗号化されることになり、PPTP がこれをサポートしていない点を補うことができる。Mac OS X は IPsec 上で PPTP と L2TP の両方をサポートしており、どちらも Apple の Internet Connect アプリケーションを使って設定ができる。

SSH -- SSH トンネルは、コンピュータどうしの間で暗号化され認証の付いた通信を行なうために人気のある方法だ。SSH トンネルはポート転送モデルを用いて、特定のポートに送られてきたすべてのデータパケットをクライアント側の ssh が集め、それを暗号化されたトンネルを通じて送り出す。相手側のサーバ(sshd を走らせている)はそのパケットの暗号を解いてから適切な相手にそれを送り出す。

残念なことに、SSH トンネルは computer-to-computer のシステムだ。つまり、もしも NAT ファイアウォールの向こう側にある複数のコンピュータに対して SSH を使いたいと思えば、一つ一つのシステムごとに別々のポートをファイアウォール上に開くか、または一つのマシンにトンネルを作って、それからそのマシンから他のマシンへの接続を作るかしなければならない。どちらの方法も、設定するのはかなり複雑な作業になり得る。それからもう一つ、SSH トンネルにおける制限事項がある。それは、TCP 接続のみしかサポートされておらず、UDP は使えないということだ。その結果として、ssh トンネルは Apple Remote Desktop のようなアプリケーションで使うには充分でない。

SSL VPN -- SSL VPN こそ、現在最もホットなネットワークの話題だ。SSL VPN は標準のウェブプロトコルを使って認証と暗号化を行なう。このアプローチによって、他の VPN プロトコルのポートは拒否してしまうような制限の強いファイアウォールでも VPN が使えるようになる。SSL VPN テクノロジーは幅広い能力が提供できる点が特長だ。最もシンプルな状態としては、この VPN は逆方向のウェブプロキシと見ることもでき、認証を受けたインターネットユーザーたちがリモートファイアウォールの向こうにあるイントラネットのウェブサーバにアクセスできるようになる。

SSL VPN はウェブベースのファイルブラウザも提供することができ、これでユーザーがリモートネットワークの Windows や NFS のファイル共有にアクセスできるようになる。そのために特別のクライアントは必要ない。VPN ハードウェアが、ネットワーク共有からウェブページへの翻訳を処理してくれるからだ。

より高度な SSL VPN ユニットでは、SSH トンネルに似た機能を提供できるものもある。ユーザーはウェブアプリケーションにログインしてから、Java または ActiveX のクライアントを起動させて、これにすべてのポート転送オプションを設定させる。この設定では、そのアプリケーションに必要なポートのみがトンネルされるので、ウイルスやトロイの木馬に感染する可能性はぐっと低くなる。このような制限されたアクセスが使われるため、多くの企業では SSL VPN によって信用できないコンピュータへのネットワークアクセスを提供するようになってきており、個々の会社員の自宅のコンピュータとか、内部アプリケーションをサポートするためのベンダーシステムとかに用いられている。それに加えて、ワイヤレスのネットワーキングと Java サポートを備えたハンドヘルド機の多くが SSL VPN 経由でトンネルを使うことができる点も大きい。

ハイエンドの SSL VPN 製品では SSL リンクを通るパケットが暗号化できる完備した TCP/IP スタックを提供している。これは制限付きのファイアウォールで働くという利点がありながら IPsec VPN のセキュリティをフルに提供できる、ということで“IPsec replacement”モードと呼ばれているアプローチだ。

<http://www.nwfusion.com/reviews/2004/0112revmain.html>
<http://openvpn.net/>
<http://www.f5.com/>
<http://www.caymas.com/>

SSL VPN は企業のネットワークでよく使われているが、現在のところはその入り口にかかるコストが大きすぎるために、たいていの家庭や小規模のビジネスでは手の届かない存在といえる。以後この記事では、柔軟性と低コストを兼ね備えたもの、ということで IPsec VPN に焦点を絞ることにしよう。

VPN から何へ? どの VPN プロトコルを使うのか決めたならば、次はどの接続タイプを使うのかを決めなければならない:computer-to-computer, computer-to-network, 或いは network-to-network のどれかである。Computer-to-computer の接続では個々のリモートコンピュータに対してのみアクセス出来る。Computer-to-network では、リモートネットワーク上にある全ての機器にアクセス出来る。Network-to-network 接続では全てのオフィスのコンピュータが個々のマシンの設定をいじることなく会話出来るようになる。大抵の人はラップトップか自宅のホームオフィスのマシンをリモートネットワークに接続するのに興味があるようなので (computer-to-network)、ここではこのシナリオを中心にして話を進める。

最初にやることは VPN クライアントを選択することである。Mac OS X には KAME Project からの Racoon に基づいた IPsec が実装されている。多くの Unix アプリケーションの様にこのソフトウェアをコントロールするのはテキストベースの config ファイルを使う。"Simple" 構成の例がオンラインで入手できる。

<http://www.kame.net/racoon/>
<http://www.kame.net/newsletter/20001119/>

説明書を読んでみたが、もっと賢いやり方があるに違いないと感じた。幸いなことに、この様に感じたのは私一人ではなかったようで、簡単なインターネット検索でいくつかのグラフィカル構成ツールが見つかった。Equinux からのVPN Tracker (個人ライセンスで $90、業務用ライセンスで $200 である) と Lobotomo からの IPSecuritas (無償) が最も人気のある二つである。

<http://www.equinux.com/us/products/vpntracker/>
<http://www.lobotomo.com/products/IPSecuritas/>

更に、多くの VPN ファイアウォールメーカーが Mac OS X 版のクライアントソフトを出している。Check Point と Cisco のどちらもがそれぞれの VPN 製品に対する Mac OS X クライアントを提供している。サポートされている構成とソフトウェアのバージョンを確かめるように。Cisco がデュアルプロセッサ Mac と Mac OS X 10.4 Tiger をサポートするようになったのはつい最近のことであり、それでも 10.4.2 ですらきちんとは動かないことが報告されている。MacInTouch には Cisco VPN クライアントに関する長いリストからなる読者リポートが掲載されている。

<http://www.checkpoint.com/press/2004/mac120704.html>
<http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_user_guide_book09186a00802e1fa2.html>
<http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_data_sheet0900aecd801a9de9.html>
<http://www.macintouch.com/tigerreview/incompatibility.html>

次に、あなたの Mac が VPN 経由で一つのネットワーク全体に接続するためには、あなたのネットワークに VPN ルーターが必要である。Mac OS X 10.4 Tiger Server には多くの優れた VPN 構成オプションが搭載されている。Mac OS X Server の教育バージョンは通常 $250 からある;一般用は $500 か $1,000 である。もしまだアップグレードしていない場合は、Jaguar から Tiger Server へは Server 版でない Tiger よりも更に $370 余分にかかる (非教育版)。

理屈の上では Mac OS X のクライアント版が走っている Mac であれば VPN ルーターとして働くはずであるが、私の調べた限りでは殆どの解説書は Mac OS X Server 用であった。FreeBSD ボックスを VPN ルーターに仕立てるやり方は出ているので、それを Mac OS X 用として転用するのは可能なのであろう。

<http://www.lugbe.ch/lostfound/contrib/freebsd_router/>

私の回りには Mac OS X が走らせられるだけの Mac が余分に転がっているわけではないので、小型の VPN 専用ルーターを探すこととした。大抵のブロードバンドルーターのメーカーは VPN バージョンを非VPN バージョンよりも $10 から $20 高い設定で出している (下記に代表的な機器へのリンクを載せた)。VPN ルーターを探す際に注意すべきは "IPsec Pass-Thru" と表示されたものである - これらはあなたの欲しているものではないからである。IPsec Pass-Thru はその機器を経由して VPN 接続を可能にするが、そのルーターが必ずしも VPN の終点として動作することを意味しない。真の VPN ルーターの仕様には、その機器がサポートできる VPN トンネルの数を表示されているはずである。

<http://www.dlink.com/products/?sec=0&pid=274>
<http://www.dlink.com/products/?sec=0&pid=59>
<http://www.netgear.com/products/details/FVM318.php>
<http://www.netgear.com/products/details/FVS328.php>
<http://www.linksys.com/servlet/Satellite?childpagename=US%2FLayout&packedargs=c%3DL_Product_C2%26cid%3D1115416832406&pagename=Linksys%2FCommon%2FVisitorWrapper>
<http://www.linksys.com/servlet/Satellite?childpagename=US%2FLayout&packedargs=c%3DL_Product_C2%26cid%3D1118334818868&pagename=Linksys%2FCommon%2FVisitorWrapper>

ルーターの中には、VPN サーバーサポートを追加するファームウェアアップグレードがサードパーティから出されているものがある。Linksys WRT54G は最も一般的にアップグレードされるルーターで、Sveasoft のファームウェアアップグレードを適用することで Linksys オリジナルに加えて種々の高度な機能を追加できる。

<http://www.sveasoft.com/>

Tiger アップデート -- Tiger が出荷された時 VPN のバグがあり、ある種の VPN の速度を低下させる事となった。私が Tiger にアップグレードした後、VPN 接続を経由した私のサーバーへのピングが 1000ミリ秒もかかった。私の VPN ありでの通常のピングは大体 4ミリ秒である。

この問題は現在は解決されているが、少なくとも Mac OS X 10.4.1 へのアップグレードとそれにあなたの IPsec のフロントエンドのアップグレードも必要である。IPSecuritas バージョン 2.1 と VPN Tracker 4.0.1 は両者とも Mac OS X 10.4.1 かそれ以降とは正常に働く。この原稿を書いている時点では、Check Point は未だその IPsec クライアントを Mac OS X 10.4 のどのバージョンとも働くようアップデートしていない。Cisco の最新のリリースは私にはきちんと動いているように思える。いずれにしても、インストールする前に自分のやろうとしている構成がサポートされていることをソフトウェアのマニュアル上で確かめることが肝要である。

VPN は両刃の剣 -- VPN を使うことでファイアウォールのルールを避けて通るという方法を売り込んだ後で申し訳ないが、これが VPN を使う一番の危険であること言っておかねばならない。ファイアウォールのルールというのはセキュリティを増すために存在する;そのセキュリティをどんな形にしろ避けて通るということは現実のリスクを作り出すことでもある。多くの企業がファイアウォールを立てているにも拘らず、トロイの木馬とかウィルスに感染してしまうことにびっくりしている。調べてみると、多くのラップトップユーザーが家に帰って自分の家の保護されていないインターネット接続を使って感染した後、VPN 経由で接続し (全てのファイアウォールルールをバイパスして) 内部のネットワークにその感染を撒き散らすというのである。勿論、この様な問題が起こる頻度は Mac ユーザーには少ないが、だからと言って得意になっている場合ではない。

VPN クライアントの中には、Mac OS X に内蔵されているファイアウォールと似たようなクライアントファイアウォールを含んでいるものがあり、これらの脆弱性に対して保護してくれる。他のクライアントには、VPN 接続が認められる前に一連のルールに対してチェックをかけるものもある。これらのルールの例を挙げると、最新版のアンチウィルス製品が走っていることを確認する、ある特定のセキュリティパッチがあてられている、そしてコンピュータのファイアウォールは走っている、と言ったものである。

これらの保護がかかっていても、そのメンテナンスとセキュリティが明確に信用できなければいかなるコンピュータもあなたのネットワークへの接続を許すべきではない。この逆もまた真なりである;自分が明確に信用できないネットワークには自分のコンピュータを接続すべきではない;そのネットワークに潜んでいるアタッカーに自分自身をさらすことになるかもしれない。

[Kevin van Haaren は大企業に勤務し、主として Windows コンピュータをサポートしているが、時折 Mac の手助けを頼まれることもあり、そんな時はその一週間がより楽しいものとなる。この経験を役立てて、二匹の猫を面倒見るという仕事をこなしている。]

PayBITS:もし Kevin の記事が役に立ったとお思いであれば、暗号化を誰もが合法的に使えるよう活動している EFF への寄付をお願いしたいというのが彼の願いです。 <http://eff.org/support/>
PayBITS について更に知りたい場合


Take Control ニュース/15-Aug-05

文: Adam C. Engst <ace@tidbits.com>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

Take Control of Now Up-to-Date & Contact リリース -- 昨年の終わり頃、Take Control 電子ブックの形で私たちが最初に出したマニュアル本“Take Control of iKey 2”を私が書き終えつつあった時期に、Now Software 社の Randy Murray が私に連絡してきて、次期バージョンの Now Up-to-Date & Contact のマニュアルを書く気はないかと尋ねてきた。私はこのソフトウェアをもうかれこれ 10 年以上も使ってきたし、Now Software の John と Sheila の Wallace 夫妻とは長年の付き合いだ。(彼ら二人と Randy こそ、彼らの会社が Power On Software という名前であった時代に私のアクション・フィギュアを作ってくれた張本人だった。)でも、私にはとてもそういうものを書いている時間がないことは私自身はっきりと自覚していた。そこで私は Joe Kissell に頼んでみたら、と思い付いた。彼は既に五冊もの Take Control 電子ブックを書いて素晴らしい手腕を見せてくれているからだ。幸い Joe は興味を持ってくれたので、私たちは事務的な詳細をきちんと整え、Now Software がベータ版を提供し始めてくれるやいなや、Joe は早速仕事に取りかかった。Randy は従来版のマニュアルも提供してくれた。これがまたやたらに長々しい文章の分厚い本で、500 ページ近くもあった。Joe と私はこれに目を通し始めたが、じきに私たちは自分で一から書き始めた方が簡単かつ効率的だということで意見が一致した。

<http://db.tidbits.com/getbits.acgi?tbart=07899>(日本語)発展する Take Control に iKey 2 Manual が加わる
<http://www.nowsoftware.com/>
<http://homepage.mac.com/adamengst/iMovieTheater15.html>

さて、その後の細かい話は端折るとして、Joe は今回も素晴らしい腕前を見せて、Now Up-to-Date & Contact の表も裏も、見事な文章にまとめあげてくれた。私たちの他の電子ブックとは違って、今回のようなマニュアルというのはすべてを包括した内容であることが必要(少なくともそうであるべき)なので、Joe がすべてを書き終えた時にはこの“Take Control of Now Up-to-Date & Contact”が 249 ページにもなっていた。つまり、私たちのこれまでの電子ブックで一番長かったものよりもさらにあと 100 ページ近くも長いけれど、従来版のマニュアルよりははるかに簡潔で焦点を絞ったものになったということだ。こんなにページ数が多くても、多数の内部リンクやブックマークがあるので、マニュアル内での移動は簡単にできる。でも、私のこの言葉をただ鵜呑みにはしないで頂きたい。この“Take Control of Now Up-to-Date & Contact”を、私たちのウェブサイトから、どうぞ無料でダウンロードして頂きたい。

<http://www.takecontrolbooks.com/nudc.html>

このマニュアルは分量が多くなることが予想されたこともあって、私たちは従来とは違うやり方をいくつか採用した。一番大きかった違いは、Joe が Microsoft Word 2004 のフィールドを使って図への自動番号付けや内部参照リンクの自動処理を提供する方法を採ったことだ。Word のフィールドというのは壊れやすくて気難しい。私は、図を参照する多数のフィールドを一つ一つ手でアップデートしなければならなかったし、その上いくつかの個所では、フィールドが全く動作せずに結局 hyperlink に舞い戻る羽目になったところもあった。これは初めから分かっていたことだが、フィールドやブックマークを作るための Word のインターフェイスは酷いもので、Matt Neuburg が私たちのために書いてくれた数種類のマクロの助けなしには到底これらのプロセスを成し遂げることはできなかっただろう。それでも、結局はこれが最善の判断であった。その大きな理由として挙げられるのは、私たちが最後の最後になって大きなセクション二つの順番を入れ替える決断をしたことで、順番を入れ替えた後にもほとんどのフィールドが適切にアップデートされた。こういうことをしていると、FrameMaker のアップデート版が出たらなあ、という考えが自然と浮かんでくる。もちろん FrameMaker にも、他の点で大きな問題がない訳ではないのだが。

ついでに言い添えると、私自身はこの“Take Control of Now Up-to-Date & Contact”の最終編集と制作段階の作業を完結させるためには Word X に戻る必要があった。249 ページと 103 個のスクリーンショット、それに数え切れないほどのインライン画像もあって、このファイルは 7.3 MB にも膨らみ、Word 2004 では、私のデュアル 1 GHz の Power Mac G4 の上ですらも Page Layout モードが超スローモーションに陥ってしまった。ほぼ常時、ページ再割り付けの計算を必要としたからだろう。この点 Word X がどういう風に違っているのかを私は知らないが、とにかく Word X を使うと比較にならないほど軽快に作業が進んだ。その上、Word 2004 には表の中に目次を作ることに関連した既知のクラッシュのバグがあって、私はこのバグに一度つまずいたあげく、結局今回は Word 2004 を使うのをあきらめることにした。

また、読者の皆さんがこのマニュアルにコメントを書いたり、他の人たちがどんなコメントを寄せているのかを読んだり、そういうこともなるべく簡単にできるようにと、QuickTopic Document Review というサービスを利用してみることにした。基本的には、私が“Take Control of Now Up-to-Date & Contact”の HTML 版(Word で書き出してから、それに私が開発した BBEdit Text Factory を使って大幅に手を入れたもの)をアップロードし、QuickTopic Document Review はその個々の段落の末尾ごとに“コメント・ドット”を添付する。読者がコメント・ドットをクリックすると、その対応する段落についての文章を書き残すことができる。すると、誰もがそのあなたのコメントを、三種類の表示のどれかで見ることができる。書類の中にインラインで表示、フォーラム風の表示、コメント全文の前に元の段落のテキストの抜粋だけが表示されるコメント概観モード、の三つだ。QuickTopic Document Review は本当に素晴らしいもので、私たちはグループによる技術的文章の編集ではこれに大きく頼っているところがある。私たちは QuickTopic Document Review Pro とも契約しているので NDA 付きの製品に関する原稿をパスワード保護したりすることもできる(通常ならばランダム生成した URL による分かりにくさに頼ったセキュリティのみだ)が、今回の document review は誰にでも開かれたものなので、どうぞ下記の2番目のリンクでご自由に使ってみて頂きたい。

<http://www.quicktopic.com/cgi-bin/docreviewintro.cgi>
<http://www.quicktopic.com/32/D/zTvDUkXyy9p6?inline=1>

もちろん、Now Software から Now Up-to-Date & Contact の新バージョンのリリースが出るのに合わせてこのマニュアルのアップデートもやって行くつもりだし、Windows 版(スクリーンショット以外はほとんど同一)もきちんと作るつもりだ。だから、あなたが常に最新版をお持ちになれるように、どうぞ Check for Updates ボタンをクリックして、新バージョン通知リストにサインアップしておいて頂きたい。


TidBITS Talk/15-Aug-05 のホットな話題

文: TidBITS Staff <editors@tidbits.com>
訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

各話題の下の2つ目のリンクは私たちの Web Crossing サーバでの討論に繋がる。こちらの方が高速のはずだ。

日本版 iTunes Music Store -- 日本で iTMS が開店し、当面の成功をおさめたことで、他の国々の人たちの中には日本だけで入手できる音楽の電子版が購入できるようになったのかという期待に色めき立った人もいた。残念ながら、ライセンス関係の問題のため、ここでそういう音楽を購入するためには日本のクレジットカードを持っていなければならない。(メッセージ数 7)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2670>
<http://emperor.tidbits.com/TidBITS/Talk/522/>

Dell の液晶ディスプレイで視野拡大 -- Dell の 2005FPW 20 インチディスプレイを体験した Jeff Carlson の記事をきっかけに、多くの読者たちも実際に Dell の安売りを利用していることが判明し、その他の興味深いこぼれ話も伝わってきた。例えば、この機種のスクリーンは Apple の 20 インチ Cinema Display で用いられているのとまったく同じものだという。(メッセージ数 13)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2671>
<http://emperor.tidbits.com/TidBITS/Talk/523/>


tb_badge_trans-jp2

非営利、非商用の出版物およびウェブサイトは、フルクレジットを明記すれば記事を転載またはウェブページにリンクすることが できます。それ以外の場合はお問い合わせ下さい。記事が正確であることの保証はありませ ん。書名、製品名および会社名は、それぞれ該当する権利者の登録商標または権利です。TidBITS ISSN 1090-7017

Valid XHTML 1.0! , Let iCab smile , Another HTML-lint gateway 日本語版最終更新:2005年 12月 26日 月曜日, S. HOSOKAWA