Scribble at 2025-09-06 11:37:43 Last modified: 2025-09-08 12:13:39

添付画像

tailscale - Your legacy VPN belongs in the past

弊社のコーポレート・サイトは数年前から AWS を利用している。いまでこそ「さくらインターネット」が政府御用達のクラウド・サービスとなって、受託案件でも「さくらのクラウド」や「さくらのレンタル・サーバ」を使う事例があるけれど、それまでは多くのトップ・クライアントが AWS を使いたがっていて、なぜか「さくらのクラウド」は嫌われる傾向にあった(ちなみに、地の文と区別しにくいので、ひらがなの名詞は括弧で囲む習慣を採用している。何か別の理由で強調したり、あるいは allegedly のようなニュアンスを伝えたいわけではない)。幾つか理由はあろうが、一つの理由は「さくらインターネット」が レンタル・サーバの OS としてFreeBSD を採用していて(レンタル・サーバのコンパネでサーバの仕様を確認すれば分かる)、ウェブ制作会社や大企業の情シスといった未熟な連中の手に負えないからだろう。Ubuntu、しかもデスクトップ版しか使ったことがないインチキ Linux エンジニアのみなさんが、日経から出ている雑誌ていどの知識しかなくて、いきなり CUI ベースの UNIX を使えと言われても困るに違いない。

ともあれ、そういう動向があるものの、弊社というか僕はコーポレート・サイトを「さくらのクラウド」から AWS に移設したわけである。これも理由は幾つかあるし、僕はもともと FreeBSD でのウェブ・サーバを運用してきたエンジニアでもあるから、もちろん FreeBSD が苦手だからという理由ではない。簡単に言えば、僕自身のスキル・アップという個人的な理由と、受託の案件で AWS を利用することが多かったという当時の事情に加えて、なるべくウェブサイトの運用コストを下げるという狙いもあった。実際には、名目の月額料金として「さくらのクラウド」よりも AWS が劇的に安くなるわけではないのだが、それまでの経験から実質的にはコストを安くできると知っていたのである。それは、アマゾンから定期的にやってくるカスタマー向けのアンケートを利用できるからだ。このアンケートに回答すると、1万円分のクレジットがもらえるので、1ヶ月あたりの運用コストが2,000円にも満たないスペックのインスタンスで EC2 に構築しているウェブ・サーバなら、半年分の料金が節約できるわけである。バックオフィスの部門を預かる部長としては、こういうことをコツコツとやっていかないといけない。

かなり余談が長くなったが、そういうわけで AWS を利用しているのだが、AWS つまりは EC2 への接続を TeraTerm Pro の ssh だけで続けているというのは、どうなんだろうかという気がしていて、昨年から tailscale を Hacker News で知ってからフォローはしている。もちろん、tailscale を導入するからこそ安全になることと、そうでないことの比較が必要であり、無条件に tailscale で通信すればよいというわけではない。たとえば、tailscale は MagicDNS というローカル環境の DNS を使って tailscale が構築する P2P のネットワークに接続するための名前を解決する。つまり、コンピュータごとの接続設定、Windows で言えば hosts ファイルの設定を元に動作する。ということは、hosts ファイルが書き換えられる脆弱性に弱いということなので、tailscale の通信仕様や MagicDNS のソフトウェアがどれほど強力なデータ保護を実現できていようと、hosts ファイルという、Windows ではウイルスやワームなどに最も狙われやすいデータが書き換えられると元も子もなくなるわけである。

ということなので、それなりに普及しているからといって即座に導入するつもりにはなれないのが現状である。そもそも、ターミナルでは ssh を使い、ファイル転送では WinSCP による scp over ssh を使っているのだから、そう通信が危険だというわけでもない。しかも、ssh での認証はパスワードではなく公開鍵を使っているし、パスワードで認証しているウェブ・サーバでも64桁のパスワードを使っているから、そう不安を感じることもない。ssh で使うポートは別のポート番号にしてあるし、ウェブ・サーバの側では fail2ban や OSSEC で認証を失敗したアクセス元の IP アドレスをブラックリストに登録して遮断するといった対策もしてある。tailscale は通信環境そのものをゼロ・トラストのアイデアで保護するものだが、そのためにはリモート側にも機器の登録が必要となり、AWS では有料サービスである。まぁ、いまのところは見送りで、AWS を利用する予算が増やせそうなら、導入を検討してもよいとは思う。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る