トップ 追記
RSS feed

ただのにっき


2017-04-21(金) [長年日記]

企業は安易なMastodonインスタンスの運用を避けるべきでは?

たまにはセキュリティクラスタ的なことを書いてみる。最初は「安全なMastodonインスタンスの選び方」というタイトルだったんだけど「安全と安心は違うしなぁ」と思い、「安心な~選び方」にしていたんだが、ここ数日で「企業は自社インスタンスを立ち上げるべき!」みたいな煽りをよく目にすることになったのでこうした。

「おひとりさまインスタンス」を立てる記事がいくつも書かれ、さくらインターネットが提供するVPSで簡単にインスタンスを動かせるスクリプトを提供されたりして、この波にのって我が社も専用インスタンスを持とうって考えてる企業は多いと思う。すでにニッポン放送のインスタンス「Tuner」みたいな(非IT系)企業インスタンスができ始めている。

そりゃぁ他人・他社が運用するインスタンスにアカウント作って「公式でござい」なんてするより、専用インスタンスを作った方がブランディングにはいいし、いまなら広告効果も見込めるかも知れない。

でもそのインスタンス、ちゃんと運用できるのかなぁ?

運用って、24時間365日途切れずにサービスを動かし続けることだけじゃないからね? たとえばMastodonにセキュリティホールが見つかったとき、そのシステムはサービスを途切れさせることなく、すぐにパッチを適用できるだろうか?

MastodonはRuby on Railsとnode.jsの複合アプリケーションだ。最近の変化は少なめになってきたものの、Railsの進化はいまでもかなり速い。node.jsの変化にはそれを上回る勢いがある。加えてフロントエンドはこれまた進歩の速いReact.jsだ。そんなMastodon自体が、いますごい速度で進化しようとしている。Pixivやドワンゴが、日本での大規模運用経験をもとに次々とパッチを送りつけるだろうから。

本業でRailsアプリを運用しているWeb企業が、RubyとRailsを最新に保つために投入している労力がどれだけ大きいものか、業界の中にいないとなかなか知る機会はないだろう。それは、常に最新に追いつけるようにしておかないとリスクがとても高いからだ。オープンソースソフトウェアの多くが、セキュリティホールを含む問題への対処を最新版にしか適用しないからだ。自社と顧客の資産を守るためにはやらなければならないからだ。

流行りに乗ってMastodonインスタンスを立ち上げようとしている企業の多くに、これだけの覚悟はないんじゃないかと心配している。立ち上げたはいいものの、満足にメンテができずに放置され、セキュリティホールを突かれて悪用され放題になっている未来がありありと目に浮かぶ。ユーザどうしの内緒話が盗み出され、著名アカウントを通じてspam tootをばらまかれる。そう、WordPressやStrutsで起きたことが、Mastodonでも繰り返される。

そうなったら止めればいい? うん、そうだね。個人運用のインスタンスはそういう姿勢でどんどんやればいいと思う。Mastodonを使い込んで、インターネットの地平を広げて欲しい。そして運用の限界にきたらスパッとやめちゃえばいい(やめる勇気はいつだって持っていて欲しい)。でも企業インスタンスはそれでいいんだろうか。開始前の評判に戻るだけならいいけど、たぶん「あの会社にはSNSの運営能力がない」というマイナスのレッテルが貼られるよね。

やるなとは言わない。でも、企業なら、仕事なら、ちゃんと運用する覚悟と体制で臨んで欲しい。これ以上インターネットを危険で怖い場所にしないでくれ。

スクリーンショット Pawoo

さて、この話をひっくり返すと、ユーザにとって安心できるインスタンス選びの基準ができる。つまり、Rails & node.jsのアプリケーションを運用できる経験と体制があって、ユーザデータを大切にできる企業や団体だ。

おれはアスキーの遠藤さんの記事を読んだ直後にHeroku上にインスタンスを立てたけど、運用がたいへんなのがすぐにわかったので、自分のインスタンスを持つのは早々にあきらめた。現在の住処はPawooだ。Pawooの運営元であるPixivはRailsの運用経験が長いし、なによりユーザのデータを扱う企業だ。そこで働くエンジニアたちが信頼できることも知ってる。

Pawooはいまや、Mastodonの限界に近いユーザ数らしいから、今もここが安心とは言い切れないけど、小規模でも同じようなグループによるインスタンスはいくらでも見つかるだろう。よけいなお世話かも知れないけど、話題になったからという理由で満足な運営体制もなしに乗っかってきただけの企業は避けたほうがいいと思うんだよね。


2017-04-20(木) [長年日記]

tDiary、16歳

……といってもいま出張先なのでとくに何をするわけでもなく(笑)。いちおうFacebookTwitterの公式アカウントで、その旨をつぶやいたていど*1

Tags: tDiary

*1 Fbに投稿するとTwにも流れる仕組みにしておいた記憶があるんだけど、いまみたらそうなってないなぁ。どうすればいいんだっけ? いや、別に無理に連携させなくてもいいか。


2017-04-15(土) [長年日記]

Pawooが一部インスタンスから拒絶されて、Mastodonががぜん面白くなった

数日前から急に話題になったMastodon(あえてソースリポジトリの方へリンク)、Herokuボタンがついていたのですぐに自前のインスタンスを稼働してみたものの、ちゃんと運用するにはけっこうハードルが高いことがわかって*1、とりあえずmstdn.jpにアカウントを取った。

そのmstdn.jpが個人サーバではとうてい運用できないほどのユーザを集めてしまい(ええ、日本のWebサービスでよくあるアレですね)、さくらのクラウドへ移転するにあたってこれまでのデータはリセットするということで、どうするかなーと思案していたら、今朝になってPixivがPawoo.netというインスタンスを立ち上げたというのを知って、そっちへ移動した。アカウント名はいつもの「tdtds」。

日本最大のイラストSNSを運用するPixivなら、ユーザデータの重要性を十分に認識しているだろうから「サーバ移転するので全部消してやりなおします」なんてことは言わないだろうし*2、なにより国内法だけに縛られるのでTwitterやFacebook利用で辛酸をなめてきた「海外ベンダーの横暴さ」に従わなくて済むのが良い。

そう、Mastodonの良さはそこにある。インスタンスごとにさまざまなポリシーが決められて、自分に合ったところを選べる。それでいて他のインスタンスの人たちとも交流できる。もちろん誰とも馴れ合う気のない人は自分だけのインスタンスを立てればいい。

さて、そんなわけでPawooにはPixivのユーザもたくさん流入したわけで、いうまでもなく(いつものように)二次元の少女たちのイラスト(布面積少なめ)が大量に投下される。それに気づいた一部の海外インスタンスの運営者たちがPawoo.netを連合タイムラインから除外したのだ*3

そうそう、これだよこれ! ポリシーの合わない連合は単に解消するだけで、ひきつづきそれぞれが独立独歩。インターネットの理想じゃないか。最高にクールな展開だ。ひさびさにいいもの見たわー、と感動している。

いやー、このまま「たんなるTwitterの貧相な代替品」として消費されて、1、2ヶ月後には忘れ去られる運命かと思っていたけど、こういう展開があるなら、ひょっとしたら生き残る可能性もあるんじゃないの? 楽しくなってきたぜ。自分もいつでもインスタンスを運用できるように、勉強しといた方がいいかもな。

Tags: mastodon

*1 Herokuボタンの設定では画像の保存先としてS3が推奨されているが、それを無視するとサーバローカルに保存されるので、HerokuがAppをリスタートするたびに消える(笑)。

*2 mstdn.jpがそうでなかったから非難しているわけではない。個人運用なんだから好きにすればよいのだ。単におれのポリシーと合わなかったというだけの話。

*3 二次元と三次元の区別がされていない気の毒な国の人々にとって、これらのイラストは違法である。防衛のために排除するのはしかたがない。なお、連合TLに流れないだけで、相互フォローはできるし、その場合はホームにも流れてくるもよう。


トップ 追記
RSS feed