トップ «前日 最新 翌日» 編集
RSS feed

ただのにっき


2017-04-21(金) [長年日記]

企業は安易なMastodonインスタンスの運用を避けるべきでは?

たまにはセキュリティクラスタ的なことを書いてみる。最初は「安全なMastodonインスタンスの選び方」というタイトルだったんだけど「安全と安心は違うしなぁ」と思い、「安心な~選び方」にしていたんだが、ここ数日で「企業は自社インスタンスを立ち上げるべき!」みたいな煽りをよく目にすることになったのでこうした。

「おひとりさまインスタンス」を立てる記事がいくつも書かれ、さくらインターネットが提供するVPSで簡単にインスタンスを動かせるスクリプトを提供されたりして、この波にのって我が社も専用インスタンスを持とうって考えてる企業は多いと思う。すでにニッポン放送のインスタンス「Tuner」みたいな(非IT系)企業インスタンスができ始めている。

そりゃぁ他人・他社が運用するインスタンスにアカウント作って「公式でござい」なんてするより、専用インスタンスを作った方がブランディングにはいいし、いまなら広告効果も見込めるかも知れない。

でもそのインスタンス、ちゃんと運用できるのかなぁ?

運用って、24時間365日途切れずにサービスを動かし続けることだけじゃないからね? たとえばMastodonにセキュリティホールが見つかったとき、そのシステムはサービスを途切れさせることなく、すぐにパッチを適用できるだろうか?

MastodonはRuby on Railsとnode.jsの複合アプリケーションだ。最近の変化は少なめになってきたものの、Railsの進化はいまでもかなり速い。node.jsの変化にはそれを上回る勢いがある。加えてフロントエンドはこれまた進歩の速いReact.jsだ。そんなMastodon自体が、いますごい速度で進化しようとしている。Pixivやドワンゴが、日本での大規模運用経験をもとに次々とパッチを送りつけるだろうから。

本業でRailsアプリを運用しているWeb企業が、RubyとRailsを最新に保つために投入している労力がどれだけ大きいものか、業界の中にいないとなかなか知る機会はないだろう。それは、常に最新に追いつけるようにしておかないとリスクがとても高いからだ。オープンソースソフトウェアの多くが、セキュリティホールを含む問題への対処を最新版にしか適用しないからだ。自社と顧客の資産を守るためにはやらなければならないからだ。

流行りに乗ってMastodonインスタンスを立ち上げようとしている企業の多くに、これだけの覚悟はないんじゃないかと心配している。立ち上げたはいいものの、満足にメンテができずに放置され、セキュリティホールを突かれて悪用され放題になっている未来がありありと目に浮かぶ。ユーザどうしの内緒話が盗み出され、著名アカウントを通じてspam tootをばらまかれる。そう、WordPressやStrutsで起きたことが、Mastodonでも繰り返される。

そうなったら止めればいい? うん、そうだね。個人運用のインスタンスはそういう姿勢でどんどんやればいいと思う。Mastodonを使い込んで、インターネットの地平を広げて欲しい。そして運用の限界にきたらスパッとやめちゃえばいい(やめる勇気はいつだって持っていて欲しい)。でも企業インスタンスはそれでいいんだろうか。開始前の評判に戻るだけならいいけど、たぶん「あの会社にはSNSの運営能力がない」というマイナスのレッテルが貼られるよね。

やるなとは言わない。でも、企業なら、仕事なら、ちゃんと運用する覚悟と体制で臨んで欲しい。これ以上インターネットを危険で怖い場所にしないでくれ。

スクリーンショット Pawoo

さて、この話をひっくり返すと、ユーザにとって安心できるインスタンス選びの基準ができる。つまり、Rails & node.jsのアプリケーションを運用できる経験と体制があって、ユーザデータを大切にできる企業や団体だ。

おれはアスキーの遠藤さんの記事を読んだ直後にHeroku上にインスタンスを立てたけど、運用がたいへんなのがすぐにわかったので、自分のインスタンスを持つのは早々にあきらめた。現在の住処はPawooだ。Pawooの運営元であるPixivはRailsの運用経験が長いし、なによりユーザのデータを扱う企業だ。そこで働くエンジニアたちが信頼できることも知ってる。

Pawooはいまや、Mastodonの限界に近いユーザ数らしいから、今もここが安心とは言い切れないけど、小規模でも同じようなグループによるインスタンスはいくらでも見つかるだろう。よけいなお世話かも知れないけど、話題になったからという理由で満足な運営体制もなしに乗っかってきただけの企業は避けたほうがいいと思うんだよね。


トップ «前日 最新 翌日» 編集
RSS feed