ずいぶん放置していた質問に答えるコーナー。コーナーって。

前からここにちょくちょくと「自宅にサーバを立てて外から操作している」と書いていましたが、これに関して、「どのような環境で？」という質問を頂きました。セキュリティ的な面で、どうすれば安全に自宅サーバを運用できるか、という話です。

結論から言いますと、えーと、何もしてません（笑）。本当は非常によろしくない状態ではあるんですが、なんつーか、大したデータがあるわけでもないし。基本的にWindowsとリモートデスクトップ（RDP）のセキュリティに丸乗っかりです。

たとえばsoftetherのやってるpacketix VPNでも使えばもう少しだけマシになるかもしれませんが、まぁこれもせいぜい「マシ」止まり。どんな経路安全化手段を使おうがPINコードなりパスワードなりが漏れたらそれでおしまいです。下手に管理するパスワード・コードが増えることで自分の管理容量がパンクしてどこかに書き付けたりメモとしてWEB上に保存したりしてしまったりしてかえってセキュリティが低下する可能性さえあります。ドングルタイプのVPNなんて、紛失しちゃったりしたら目も当てられない。

だったら、自分で管理できる唯一つのパスワードの強度を上げるほうがよほど信頼できる対策になる、というのが私の自宅サーバ運用の考え方。私のサーバのパスワードは私の頭の中以外にはどこにも存在しません。またこれを必ず月一で変更しています。年月の数字からちょっとした演算で出す文字列と大小英文字＋数字からなるユニークな固定文字列をこれまた自分ルールで月ごとに変わるシーケンスで混合した12桁の文字列です。一応これで総当りでも3,226,266,762,397,899,821,056通りを試さなきゃ当てられないパスワードなので、一ヶ月延々とアタックし続けても解けないし、当分は大丈夫かな、と思っています。もちろん拷問されて自分ルールを吐かされたらおしまいですけど。

リモートデスクトップとWindows認証が絶対に破られないのか？ということについては、これはもう、マイクロソフト様を信じるしかありません。あ、そういう意味では、脆弱性てんこ盛りのIIS含め、HTTPサーバ、FTPサーバ、その他ファイルアクセスできるサーバ類は一切稼動させていません（宅内LAN用にDHCP/DNSを立ててるくらい）。ファイルサーバにはローカルからしかアクセス不能にしてあるので、何らかのファイルにアクセスしようと思ったら、リモートデスクトップで入る→リモートデスクトップ上でローカルファイルサーバにアクセスしてファイル取得、という二段階アクセスが必ず必要です。文字通り、我が家のセキュリティはすべてマイクロソフト様にかかっています（笑）。

で、なんだかだで侵入ログをチェックしてみても、サーバを立ててから2年半、ただの一度も、誰もアクセスしてくれません（苦笑）。まぁ個人の無価値なサーバを狙うやつなんてまずいませんし、そもそも固定アドレスでもないので標的にされないかも。さらに念には念を入れて物理的な電源断タイマーで一日二度必ずPPPoEクライアントを落としてIPが変わるようにしてありますので、同じIPで長い間ネット上に姿をさらすこともないですし。DDNSも三社を使い分けてて当たりは常に一つで日時によって変動しています（笑）。

なんつーか、こんな感じで、すっごくアナログな手段での防衛、むしろ非防衛（サイバーノーガード戦法）に徹していますが、ぶっちゃけ自宅サーバくらい侵入されてもいっか、とか思ったりしています。これ、会社のPCやネットワークの防御があまりにがんじがらめで利便性がめちゃくちゃ阻害されてて本当に日々鬱憤がたまってる、その反動なんじゃないか、と自己分析しております（笑）。

ということで、ぬるーい感じで自宅サーバを運用したい人の参考になればということでご紹介しました。いりませんね、これ（笑）。