2007年にその存在を知り,今もなお記者の心に残る重大ニュースが2つある。1つ目は,シンクライアント・ミドルウエア製品「Citrix XenDesktop」(関連記事)。2つ目は,セキュリティ世界に現れた運用/設定のアイデア「S25R」(関連リンク)。記者は,よほどのことがない限り,物事を誉めたり感動したりはしない人間だが,その記者が,この2つのニュースの前では「時代が動いた」と頭を垂れるくらい興奮してしまう。

 Citrix XenDesktopは,「社会というパズルを構成するパーツとして,今まで欠けていたピース。何で今まで無かったんだろう」と思わず言葉が出てしまう,その存在感が圧倒的に凄い,出るべくして登場した製品である(出荷予定時期は2008年上半期)。時間をかけて組み上げたジグソー・パズルの最後の一片をハメる時の,あの沸き立つ興奮と,秩序立った世界を感じる感動。そんなものが,失われていたピースの出現によって,一気にヒート・アップする。

 S25Rという創意工夫は,言うならば「言われてみれば当たり前のことだが,記者を含む普通の人が普通に生活している限りは,決して発想することのできない,天才的なひらめき」となる。これでもまだ「誉め足りない」というのが正直な感想だ。養老孟司さんの著書『バカの壁』でも語られているが,記者の頭には0か1かでとらえる職業病的な壁が存在しており,柔らかな頭で発想することができなくなってしまっていた。そのことに気付かせてくれたのが,柔らか頭で発想したS25Rなのだ。

クライアントOSの上で動作するMetaFrameの画面情報サーバー

 Citrix XenDesktopとは,一言で言えば,クライアントOS環境をデータ・センターに配置した仮想マシン上で動作させて画面情報端末経由で使うためのミドルウエアである。主要な機能を列挙すると,仮想PCソフトであるXenハイパーバイザ,仮想PCと画面情報端末とをマッチングさせるデスクトップ・ブローカ,仮想PCで用いるクライアントOSの上で動作する,画面情報プロトコルICA(Independent Client Architecture)のサーバー機能などである。

 重要なポイントは,「ICAサーバー・ソフトがクライアントOSに載る」という点である。つまり,こういうことだ。Windows XPやWindows Vistaなどの“クライアントOSのデスクトップ環境”は,Windows標準の画面情報端末プロトコルであるRDP(Remote Desktop Protocol)経由で遠隔操作できる。XenDesktopに含まれるICAサーバー・ソフトを使えば,RDPの代わりにICAを使ってWindows XPやWindows VistaのGUIを遠隔操作できるようになる,というわけだ。

 従来,ICAサーバーを使うためには,「Citrix Presentation Server」(旧称はMetaFrame)か「Citrix Desktop Server」(Citrix XenDesktopの前身となる製品で,日本では未出荷)のいずれかを動作させる必要があった。動作OSもWindows Server 2003など,サーバー系のOSに限られていた。

 それが,今後は,XP/Vistaが稼働する個々のクライアントPCに対して,ICAサーバー・ソフトをインストールできるようになる。しかも,ICAサーバー・ソフトは,XenDesktopのライセンスを持っている限り,Xenハイパーバイザとは無関係に,自由に利用できる。仮想マシン上で使う必要もないし,VMware上で使っても構わないのである。

ドメイン文字列のコンテンツ・フィルタリングでSMTPクライアントを判別

 「OP25Bは美しくない。どうやったら使わずに済むのか。送信ドメイン認証くらいしか思いつかないな」---。これが,つい最近までの記者の認識だった(関連記事)。この認識は,インターネットのメール・サーバーに対してメール中継プロトコルのSMTPで接続してくるSMTPクライアントが,メール・サーバーなのかパソコンのメーラー(スパム送信プログラム)なのか知る術が無い,という“思い込み”(決め付け)に拠っている。

 記者がS25Rについて知ったのは,2007年も後半になってからである(S25Rの発想者による最初の論文が公開されたのは,2004年6月のこと)。UNIXシステム管理をライフワークとしてきた記者にとって,今回の不祥事---すなわちS25Rについて認識していなかったという事実は,まったくの不覚である。恥ずかしい限りだ。ただし,S25R自体は“もの凄い発想の転換”であると思うので,その方法に記者が自ら気が付かなかったことに対しては,恥じてはいない。

 S25Rの“妖精”が語りかけてくる。「ドメイン名を見れば,ISPが動的に割り当てた名前なのか,普通にDNSゾーンを編集して付けた名前なのか,常識で分かるじゃないか。ISPから動的に割り当てられたドメイン名は,それっぽいから分かるんだよ。ISPから動的に割り当てられたドメイン名を持つSMTPクライアントからのSMTP中継を拒否すれば,それで事足りるじゃん」---。これがS25Rの“全容”である。

 言われてみればその通りで実に当たり前のことなのだが,SMTPクライアントの種類をそのドメイン名の文字列で判別しようという,その発想の転換が,まさに“コロンブスの卵”のごとき「世紀の大発見」なのである。従来,こうした“コンテンツ・フィルタリング”を適用する場面と言えば,WebアクセスにおけるURL文字列のフィルタリングや,送受信メールの内容(本文テキスト)のフィルタリングが主だった。MXホストがメール中継を受け付ける際にSMTPクライアントの判別に利用するなど,考えもしなかったのだ(この目的には,たいていIPアドレスでフィルタリングされるのが通常であった)。

 さて,そもそもなぜSMTPクライアントがメール・サーバーであるか否かを知ることがスパム対策にとって重要なのかという問題は,話せば長くなるので省略する(関連記事を参照のこと)。単純に言えば,スパムの多くはパソコンから送信されており,こうしたスパム送信プログラムは,あて先のメール・サーバーに対して直接SMTPのコネクションを張りに行く場合が多いということ。メール・サーバーからしてみれば,SMTPで通信してくるクライアントがメール・サーバーであれば通信を許可し,そうではなくパソコンのメール・ソフトであれば通信を拒絶してしまえば,それでよいのである。