VPNより安全高速?ポートを開放せずCloudflare Accessでプライベートサーバーにアクセス

Pocket

■ゼロトラストセキュリティとは?

テレワークブームでオフィスのPCやNASへのリモートアクセスニーズが高まっている今日この頃、皆さんいかがお過ごしでしょうか。リモートワークといえばVPNが主流だと思いますが、昨今「ゼロトラストセキュリティ」とか「ゼロトラストネットワーク」という言葉が流行りだしているのを耳にされたことはありますでしょうか?VPNはファイアウォールの境界で認証をして、一旦くぐり抜けてしまえばあとは社内ネットワークに直接つないでいるかのようにLAN内のリソースにアクセスできる、というものです。一方ゼロトラスト(信頼)は社内ネットワークの端末や利用者も基本的に信用しないぞ、って考え方に基づいたセキュリティポリシーです。実際、情報漏洩事件の多くは社内LANへのアクセスが可能な人の犯行が最も多いんだとか。同じ社内につながっていても、各ファイルやWebアプリケーション(例えば経費申請とか人事管理とか)へのアクセス権は人それぞれで、結局そこでまた認証があったりして二度手間ですしね。またVPNがあることで、利用者に要求される手間やリテラシーやトラブルも増えますし、そもそもクラウドサービスとか使った社内システムだと社内LANにあるわけでもないし、とか、VPNは色々と時代にそぐわなくなってきているといえるのかも知れません。 ゼロトラストセキュリティの厳密な定義はググっていただくとして、今回はその考え方に基づいた実装の1つであるCloudflare Accessの紹介をしてみたいと思います。ゼロトラストはあくまで考え方なので、他社製品だと実装方法からして異なる場合もあるかと思うのでご了承ください。 利用者目線での価値としては、

  • 社内リソースにアクセスするたびにVPN接続操作や使用後の切断操作がいらない
  • 全てのデータを暗号化する負荷がない分、軽い、速い
  • 会社ネットワークのファイアウォールに内向きのポート開放をしなくて良い
  • 個人的な追加ポイントとして、
    • 固定IPアドレスが1つでも複数のWebサービスを(80番ポートで)公開できる
    • v6プラスのような使えるポートが制限されているサービスでも(80番ポートで)サーバー公開できる

などかなと思います。特に2番目はルーターや自分の端末の性能がボトルネックになりがちで、せっかく速い回線を使っていても頭打ちになったりします。そもそも昨今の通信はHTTPS/TLSなどアプリケーションレベルで暗号化されていることがほとんどなので、それをさらにVPNの入口と出口で暗号化するのも無駄といえば無駄。雑な設定でZoomなどのクラウドサービスを利用するにもVPNを通って一旦社内LANを経由とかしてたらヒドいものです。

■Cloudflare Access

サービスを知ったきっかけはInternet Watchのこちらの記事です。

CloudflareといえばCDNの大手ですね。普通の人は直接意識することはないかもですが、世界中のコンテンツを世界中でキャッシュしていて、地理的に遠いサーバーの情報でも近所の複製サーバーからデータをもってきてあたかも近くのサーバーにアクセスしているかのように快適にしてくれるものです。動画配信サービスやゲームソフトのダウンロードなどが快適に利用できる下支えをしてくれるCDNの業者のひとつ。Akamaiほど老舗ではないけど、個人サーバーでも比較的手軽に利用できる無料サービスなどが充実している(ここポイント!)会社です。あと個人レベルだとオープンなDNSサービスとしてGoogleの8.8.8.8と並んで有名な1.1.1.1を無償提供しているのがCloudflareですね。

さて、このローエンド向けの無料サービスが得意な Cloudflare が提供しているゼロトラストセキュリティサービスが Cloudflare Accessを含むCloudflare Teamsとなります。50ユーザまで使える無料プランが提供されていて気軽に試して見ることができます。

以下、ある程度サーバ-構築をしたことある人向けですが設定手順に基づいて動作原理がイメージできるように解説していきたいと思います。前提として、いくつかのWebアプリケーションを社内または自宅内LANで運用しており、外からのアクセスにVPNまたはポート開放で賄っているとします。これをVPNを使わず、ポートに穴も開けず、より手軽に使えるようにできるというのが主旨です。ぶっちゃけゼロトラストセキュリティ云々は二の次です(笑)。

ポイントはDNSを委譲するところ

Cloudflareにアカウントを作り、最初にする作業は自ドメインのネームサーバー管理を Cloudflareに移すことです。 Cloudflareがドメインレコードを自由に書き換える権限を持つことで、様々なサービスを実現しているのです。

例えば、hogehoge.comという自ドメインがあったとして、こんなドメインレコードが登録してあるとします。

hogehoge.com123.123.123.1
mail.hogehoge.com123.123.123.2
private.hogehoge.com123.123.123.3

ネームサーバーをCloudflareに移すことで、Cloudflareはこれを自由に書き換えたり、新しいホスト名を追加できるようになります。ただし、Cloudflareのサービスをバイパスしたいレコードについては個別にロック指定しておくことができますので、メールサーバーは触らないで欲しい、みたいなことは可能です。こちらがCloudflare TeamsのDNS管理画面です。

「プロキシステータス」の列で「DNSのみ」というのが勝手にプロキシ(後述)を割り込ませないでねという意味になります。

逆に「プロキシ済み」となってるサーバーでアクセス制限の設定をすると、IPアドレスが別のものに差し換えられます。つまり利用者がホスト名でアクセスをしようとすると、一旦Cloudflareが用意するプロキシサーバーにつながります。そこに然るべき認証画面を割り込ませることでアクセス制限を実現するわけです。認証はホスト単位ではなく、パス毎に設定できます。例えば、「private.hogehoge.com/calendar/」を指定してやると、/calendar以下へのアクセスだけが対象になりますが、private/hogehoge.com/index.htmlなどは素通しのままです。1つのサーバーの異なったディレクトリに異なったWebサービスを動かしている場合、それぞれに別個の認証ポリシーを割り当てることができます。

実際にアクセス制限をしたページを開こうとすると、こんな認証画面が立ち塞がります。

ロゴや配色はカスタマイズ済み

認証方法も色々選べます。標準で一番簡単なのはワンタイムパスコードをメールに送る方式(Get a login code emailed to youのとこ)。メールアドレスを入れて「Send me a code」すると1回使い切りの数字列がメールで届きます。そのメールアドレスを受信できる人ならそれを読み取って次の画面に貼り付けて送信すれば認証完了です。これだけだと自分のメアドをもっている人なら誰でも入れてしまうので、設定画面で制限するメールアドレスやドメインを指定しておきます。例えばhogehoge.comドメインで制限すれば、なんちゃら@hogehoge.comのメアドをもつ人にしかコードが届かないということになります。ただこれだと毎回メールを開く必要があったり、下手するとVPNより面倒くさいですね。

なので私はMicrosoft 365の法人アカウントを作っているので、Azure ADが利用可能でしたので、それを設定しました。これで(企業や学校向け)Microsoftアカウントでログインすることができます。そちらで二要素認証などをしていれば当然ここでも要求されます。認証方法は他にもGoogle、Facebook、GitHub、G-Suiteなど名だたるSSO(シングルサインオン)システムが並んでいます。GoogleやFacebookが個人アカウントで使うかは不明。G-Suiteが別にあるからできるのかな?

ここまで元からあるサーバーにはなにも手を加えてないのに、サクっとMicrosoftの強固な認証システムを実装できてしまうというのがスゴいところです。ログインの有効時間も設定できるので、一度ログインしておけば一定時間はこの認証をバイパスして、あたかもVPNに入った状態かのようにサービスを利用することができます。またアクセス元のIPアドレスや国で制限することも可能です。Apacheのディレクティブでしていたような制限もGUIで簡単にできちゃうわけですね。

内向きポートを開放せずに実現する

さて、既存ホスト名でアクセスしようとした場合に、Cloudflareが書き換えたプロキシサーバーに転送され、そこで認証手続きを代行してくれる、ということがわかりました。社内のあらゆるシステムに共通の認証基盤を簡単に実装できるという点でも素晴らしいです。

しかし鋭い方ならお気づきでしょう。元のIPアドレスを直接叩かれた場合のアクセスについてはなにも防御されていない、と!Cloudflare側で認証してくれるから二度手間になると、元のサーバーの認証を切ってしまったりしたらエラいことになります。元サーバーへは常にCloudflareのプロキシーサーバーのIPアドレスからのアクセスだけを受け付けるようにアクセス制限をかけるのも手かも知れませんが、IPアドレスだけを条件にするのは危険でしょう。そもそもCloudflareのプロキシサーバーのIPアドレスブロックについても記述は見当たりませんでした。サーバー証明書などの類も同様です。しっかり探せばあるかも知れませんが。

で、これには別の対処方法があります。Impressの記事でも紹介されているcloudflaredというトンネリングプログラムを使う方法です。Linux、Windows、Macなどなんらかのローカルネット内部で可動するPCで起動させておく必要がありますが、社内サーバーの出力情報をCloudflareのプロキシーサーバーに中継してくれます。Cloudfrareのプロキシーがこちらにデータを取りに来る場合、待ち受け(IN方向)ポートを開放してやる必要がありますが、cloudflaredならそれが不要になります。社内に連絡員を常駐させるようなものですが、門は閉じておくことができるというわけです。

この方式を使う場合、Cloudflare上のDNSレコードに仮想ホストのレコードが割り当てられます。例えば、社内にプライベートIPでアクセスできるカレンダーシステム(192.168.0.200/calendar)をvirtual.hogehoge.com/calendarみたいなURLで公開できます。virtualというホスト名のホストマシンは実在せず、常にcloudflaredが中継するデータを(認証を通した上で)見せる専用のホスト名となり、CloudflareがDNS編集権を握っていることで、cloudflared側からの設定ひとつで簡単に追加することができるのです。

■待ち受けポートがいらないことの副次効果がスゴい!

さて、長々とCloudflare Accessの概要を書いてきましたが、ここからは個人的な副次効果についてです。先に書いてしまうと、

  • グローバルアドレスが1つかないような環境でも複数のWebサービスをポート番号指定なしで公開できる
  • v6プラスのような使用ポートに制限がある環境でも任意のポートで公開できる

というところです。

ウェルノウンポートを使う難しさ

ウェルノウン(well known)ポートとは、主要サービスがデフォルトとするポートです。例えばhttpなら80番、httpsなら443番などと決まっています。本来、URLでは「http://hogehoge.com:80」とか「https://hogehoge.com:443」などとコロンで区切ってポート番号を指定することでウェルノウンポート以外を使うことは可能です。省略した場合にウェルノウンポートが使われるのです。しかし世の中ポート番号の指定などという事例は認知度が低く使ってもらいづらかったり、実際問題としてスマホのキーボードだと記号や数字の切り替えが面倒だったりします。

例えば、社内にプライベートIPでアクセスできるカレンダーシステム(192.168.0.200/calendar)と経費精算システム(192.168.0.201/keihi)があったとします(別々のホストで運用)。外向けのIPアドレスが1つしかない場合、80番ポートも1つしかないので、片方をhogehoge.com:8080/keihiなどとすることになります(若い番号は他のサービスでウェルノウンポートに指定されてることが多いので、ケタが多くなりがち)。これを回避してすべてを80番ポートでアクセスさせたいと思えば、リバースプロキシサーバーを建てて、内部で振り分けるなどの工夫が必要になります。Cloudflare Accessはまさにこれを外注できるという見方もできるでしょう。別々のホスト名を割り当てることも簡単です。オープンソースのApacheなどで動いてVirtualHostなどを簡単にいじれるものなら1台で済ますこともできますが、例えば市販のネットワークカメラを複数公開したいなんて時はそれもできません。外部のプロキシならこれも簡単です。

次にフレッツ系の光回線とかで最近主流になっているIPv6 over IPoEをについて考えてみてみます。IPoEでIPv6通信をできるようにし、なおかつMAP-EやDS-LiteなどでIPv4 over IPv6が利用可能になると、従来のPPPoEを使ったIPv4よりも幾分高速になります(IPoEも利用者が増えてきて以前ほどPPPoEと比べて劇的に速いということもなくなってきてはいるようですね)。我が家のプロバイダはMAP-E方式のv6プラスです。この方式は自宅側のIPv4に変わってプロバイダ側でIPv4通信を受け取るIPアドレスが共有されている為、65536個あるポートの全てを自由に使うことができず、4096~65536番のうちの割り当てられた240個しか利用できません。ウェルノウンポートを含む4098番以下は公平に誰も利用できません。なので、どうしてもウェルノウポートを使いたい場合、通常、

  • 設備側でも専有の固定IPv4アドレスが付与されるプランを使用する(高い)
  • 別にPPPoEで固定IPv4アドレスが付与されるプランを使用する(遅い)

のどちらかを選ぶことになります。ウチが使っているプロバイダでは前者は+3,000円ほど。後者は1,000前後で契約可能なので、我が家は速度を妥協して後者にしています。ちなみに後者の場合、通常の内から外へのインターネット利用にはIPoEを使い、外向けサーバーの通信はPPPoE経由というより振り分けができるYAMAHAなど業務用の機能を備えたルーターを使ったりする必要もでてきます。

Cloudflare Accessを使えば、80/443番ポートのサービスがいくつでも

私はこのブログも含め一般向けのWebサイトはConoHaのレンタルサーバーに置いています。自宅のIPアドレスではあくまで自分や身の回り向けの非公開サービスを運用するのみです。それでもできれば80/443番ポートにしてURLをシンプルにしたいし、せっかくあるIPoE側に速いスピードで使えるようにしたい。またごく簡単な自作サービスにBASIC認証だけでない強固なセキュリティも装備したい。そんな事情にこのCloudflare Accessがカチっとハマった気がします。あらためてまとめると、

  • 自宅のファイアウォールはIN方向のポート開放が必要ない
  • 異なるホストでもすべて80/443番ポートで公開できる
  • IPoE経由でPPPoEより高速な経路を使って公開できる
  • SSO、IP制限など高度な認証システムを付与できる
  • LAN内アクセスとWAN経由でブックマークを共通化できる
  • 無料

という感じ。とはいえ3つ目についてはまだ評価段階なのでなんとも。PPPoEを経由しなくていい代わりにCloudflareのプロクシサーバー(地理的位置は不明)を経由するので差し引きで本当に速くなるかは微妙。それでも時間帯で数Mbpsに落ちることもあるPPPoEよりはマシのはず、という現時点での想定です。またCloudflare側は当然IPv6に対応しているので、自宅からのトンネルがIPv4 over IPv6ではなく直接IPv6同士で通信したらさらに効率的なんだろうと思うんですが実際にどうなっているかは不明。cloudflaredのステータスだと相手先サーバーとしてはIPv4アドレスが見えているのでIPv6かどうかはなんとも。OSの優先設定やルーターのIPv6の外向きフィルターでブロックしていないかとか、cloudflaredにIPv6経路を強制するオプションがないかなど追々検証/調査していく予定です。とりあえず現状で使っている限りでは、「海外サーバー経由してんな」ってレベルの遅延は全く感じられません。様子見てよさげなら順次Cloudflare経由にして、PPPoEサービスは解約できたら1,000円/月浮かせられるなという感じ。

ブックマークの共通化についても補足します。例えばネットワークカメラにLAN内からアクセスするのに192.168.0.200だったとします(ポートは80から変更不可)。これを外からも見られるようポート開放するとすると、ルーターのIPマスカレード機能でグローバルIPアドレス:8080を192.168.0.200:80に変換します。ポート番号が違うので、仮に内向きDNSでprivate.hogehoge.comをいうホストを192.168.0.200に振り向けたとしても、LAN内では80番ポート、外からは8080番ポートを指定することになり、ノートPCやスマホなど内でも外でも使う端末ではそれぞれをブックマークして使い分けることになります。しかしすべてCloudflareのプロキシを使ってポート番号を共通化することで、この問題も解決します。内向きDNSでローカルIPを指すレコードを作っておけば、内部アクセスなのに一旦Cloudflareを回ってくる、といった経路になることもありません。

80/443番ポート以外は?

とりあえずWebサービスは使えそうだということがわかりました。では他のSSH(22番)とかRDP、VNC、SMBといったプロトコロルはどうなんでしょう?Internet Watchの記事によるとRDPはできるっぽいけど、接続元の側にもcloudflaredを入れて接続先LAN上のローカルIPアドレスも指定してやる必要がありそう。接続元も固定のネットワーク(例えば実家とか)ならRaspberry Piとかにゲートウェイ運用とかさせればヨサゲですが、ノートPCをモバイルルーターや公衆Wi-Fiで使うなんてことを考えるとやはりPC上にcloudflaredを稼働させて、localhostに向けてRDPする、みたいな形になりそう。それだとVPNの方が簡単じゃね?って感じになるような気もします。コロナ禍ではあまりノマドや帰省をしないので、RDPやVNCでリモートデスクトップ接続をする機会自体がほぼないのでこちらは保留。どちらかというとSMB(ファイル共有)くらいはしたいかもですが、これはローカルのファイル共有とポートがかぶるのでちょっとややこしいようです。たぶん次に試すとしたらSSHかなと。今は1つだけ外から入れるホストにSSHで入って、そこを踏み台に別PCにSSHするという感じ。まぁそれであんまり困ってないですが、個別ホスト名で直接入れるとやはり内外同じ感覚で使えるので便利かなと。ただまぁSSHは侵入を許すと危険なので、もともとウェルノウンポートで運用しないのが鉄則みたいなところもありますし、どうでしょうね。

そもそもWebアクセス時にWeb認証画面が出るのは手間として違和感ないですが、RDPやSSHする時都度認証するとしたらどうなんだろ。Web認証の必要な公衆Wi-Fiみたいな煩わしさはないんでしょうかね?

■まとめ

背景説明もしたのでかなり長くなってしまいましたが、とりあえずクローズドなWebアプリケーションをより使いやすく安全にすることが、アプリケーションに手を加えることなく実現できるので非常に有用なサービスだなと感じています。まだまだ機能がたくさんあり、もっと便利な使い方もきっとあるんだろうなと思いますが、何分公式も解説記事も日本語によるものがあまりなくて、少しずつ試していこうかなというところです。また続報などあればお知らせしていきたいと思います。オススメの使い方などあれば是非教えていただければ幸いです。

Kyashの共同口座が同居生活費の不便を色々解決してくれた

Pocket



[プロモーションは含みません] (笑)

私と同居人は共同の口座に毎月一定額を振り込む形で共同家計を管理しています。便宜上私の名義で専用口座と専用クレジットカードを作ってあり、共同で購入するものや公共料金の引き落としはそちらから支払う形にしています。外食した時なども私名義のクレジットカードだったり、そこから引き落とされる各種電子マネーを活用。つまりお店での会計は基本的に私が担当する形になります。まぁそれはそれで面倒ですが許容範囲。困るのは同居人が単独で出かけて家計での買い物をする場合。籍をいれていないため家族カードは作れないので、一旦自分名義のカードか現金で立替払いをして後で精算という流れになります。まぁ即時精算や手数料、手段などにあまりこだわりがないので、Amazonギフト券だったりPayPayなどの個人送金を使ったりしてきました。まぁクレジットカード会社の中には家族カードの審査が緩くて証明書類なしで作れたりもするかもなのですが、建前でもアウトとされているものを詐称してまで使いたい気にはなれず、不便を感じつつも我慢していました。

そんな折り、度重なるサービス改悪で利用頻度が地に落ちていた(笑)Kyashが新サービスを開始。

家族や友人と仮想口座を作りクレジットカード決済できるというもの。ありそうでなかった。サークルなどのコミュニティでの会計管理にも使える、つまり家族かどうか関係なしで利用可能ということです。口座作成者が本人確認済みであればその場でサクっと作れます。ここに入れた残高はメンバーの各自のKyashカードで支払口座に指定するだけで使用可能になります。Kyashはバーチャルカードでもネット通販などで使えますし、900円かかりますが物理カードKyash Cardを発行すれば店頭でVisaクレカ決済(厳密にはVisaプリペイドカード払い)にも使えます。Apple PayやGoogle Pay(QUICPay+扱い)に登録してスマホ非接触決済にも使える。900円カードはVisaタッチにも対応。家計から一定額をKyash共同口座に入れておけば、二人とも好きな時にそこから買い物できるようになります。しかも双方のアプリに通知が届くので互いに緩い監視ができる(笑)。

ちなみに300円で発行できる旧カードKyash Card Lite(水色)もありますが、こちらはVisaタッチ非対応、ICチップ非対応、ポイント還元率や限度額も少ないので、今から新規に作るにはあまりオススメはしません。磁気ストライプはすぐにダメになるので、都度再発行していたら結局900円カードの方が割安になったりしがち。2020年3月に施工された法律で今は全ての決済端末がIC化されている(はず)ので、磁気ストライプが死んでいてもICチップが搭載されたクレカであれば問題なく使えるのです。

二人とも個人や仕事用のメインカードは別にあるのでKyashアプリで支払口座を共同口座にセットしておけばKyash Card=家計用に固定できます(もちろんアプリで都度個人口座を切り替えて使うこのも可能)。

■難点

惜しい点として、現状ではKyash共同口座への入金はKyash個人口座からのみとなります。つまり、一旦銀口座からKyash個人口座に入金し、そこから再度共同口座に残高移動が必要になります。アプリ上で即座にできることなのですが、地味に手間です。入金元は共同用の銀行口座なので、いっそオートチャージしてほしいくらいです。

また履歴に対してメモが残せない点も不満。両者いちいち事前に承諾はとらないものの、だからこそ「○○で支払った」ということがさっと記録しておけるといいなと思います。実は履歴をみると「メモ」欄があるのにどう足掻いても書き込み方がわからず。個人口座では「編集」ボタンが出現するので、おそらく現状共同口座の履歴にはメモが記入できないということなんでしょう。同期とかが必要になるので実装が追いついていないんでしょうか。一応問い合わせてみたので返信があったら追記します。

謎のメモ欄

 

■Kyash自体の弱点

これがあれば共同家計用のクレカが不要になるかというとそうもいきません。限度額は1回30万、月間100万なのでウチではそうそう問題になりませんが、プリペイドカードなので使えないお店や決済があります。例えばガソリンスタンドやホテルなどの最初に与信して後から決定した金額を引き落とすタイプの取引だったり、月間購読系はNG。ポイント的にも1%なのでこだわるなら他にもっと有利なカードはいくらでもあるでしょう。

また先のメモの件も含めて履歴周りが弱いのもメインにできない理由です。Kyashアプリ上にどこでいくら使ったか履歴は残りますが、使途を追記したりできないし、履歴データ自体をエクスポートしたりも出来ません。一方引き落としに使ったクレカの明細には「Kyash」としか書かれず経費など管理が必要な決済手段としては致命的に不足です。ここがもう少しなんとかなると、1枚の物理カードで私用、共同家計用、業務用のカードを切り替えるプロクシのような使い方ができて、ポイント還元率が低かろうと使う価値が出てくるんですけどね。

ともあれこの新しい共同口座機能はオンリーワンだと思うので、当面はこの用途に絞って活用していきたいと思います。

GoProをより使いやすくするアクセサリ

Pocket



実際に購入して使っているアクセサリ商品を紹介します。

■ショート自撮り棒 Ulanzi MT-09

純正のShortyにかわるショートタイプの自撮り棒です。

Youtubeの比較動画でShortyよりも精度感がありカチャカチャ音がしないということだったのでチョイス。三脚部分のあわせの精度が高い感じ。グリップ部分にゴムシートみたいなのも貼ってあり滑り止め効果が期待できます。

手で握って手元の何かを映すにはコンパクトで不満なしだけど、足元を走る猫やフェレットを撮るのに使うにはちょっと短いくらいの感覚。コスパ高し。

■充電ホール付きバッテリーカバー Ulanzi G9-2

Go Pro Hero9の充電ポート(USB-C)はサイドカバーの内側にあります。キャップレス防水ではないんですね。水辺で使うには良いですが、普段使いとしては充電の度にカバーを開け閉めするのがやや面倒。そこで最初からUSBポート部分に穴があいている本製品があります。上記自撮り棒と同じUlanzi製。ここはGoProアクセサリを大量に発売していて、今のところハズレ無し。

Ulanzi GoPro 9 用 バッデリー蓋 Type-c充電口を用意され アルミ製

Ulanzi GoPro 9 用 バッデリー蓋 Type-c充電口を用意され アルミ製

1,788円(10/24 11:56時点)
Amazonの情報を掲載しています

もともとこのサイドカバーはメディアモジュラーを取り付ける時には外す部分なので、無理した改造ではなく、簡単にパチっと付け替えができます。なので、水辺に行ったり天候に不安がある時だけ純正カバーに簡単に戻せるので安心。

アルミ製とプラ製があり、私はへんにチープになってもイヤだなと思いアルミをチョイス。ただそこだけヒンヤリしてたり質感や色味が違って違和感っちゃ違和感。プラ製と比べてみないと優劣はわからないですが。

あとコネクタ部分が太いケーブルだと刺さらないことも。

■microSDXCカード SAMSUNG Evo Plus MB-MC128GA/APC

並行輸入品ですが128GBで2,000円ちょいと高コスパ。クラス10だし、GoProの公式サイトにも動作確認カードとして掲載されているので、お店さえ信用できるショップで本物が買えさえするなら無問題。私はjnhショップで買いました。過去にも何度か利用してますがノートラブルです。

■マウントベースセット(平面用&曲面用 各3個入り)

GoProマウントでとりつけられるベースマウント。クルマのダッシュボードに付けるように平面用がほしくて購入。たくさん入っているのでデスク周りにつけてWebカメラモードにしたりも良し。当面、曲面用は使い道ないけど、3つずつ入って999円なのでまぁいっかと。品質も特に問題なし。

■ネックマウントGLIDER Air GLD4737MJ53B

手ぶら撮影で目の前のものを撮りたくて購入。チェストマウントとかだと着脱が面倒くさそうで、使ってない聴診器のように首にはさんでぶら下げるタイプのネックマウントをチョイス。

他社競合品のレビューでマウント付近がポッキリ折れるというレビューが目立ったので、その辺りが太くて強度がありそうな本製品にしました。GLIDERというブランドはヨドバシなどの家電量販店でも取り扱いがあるようなので、一定の品質はもってそうなイメージ。

軽く運転や店内動画を撮ってみましたが、GoProの水平維持をオンにしてあればとても安定した録画ができます。ただ目線との落差はそれなりにあるので、目でみていたものが画角に収まっていないケースもそれなりに。近距離のものだと厳しいですね。広角設定にすればいいんですが、水平維持をオンにするには比較的画角が狭いリニアモードを選ぶ必要があって悩ましいです。最低でもGoProマウント部分の角度はしっかり確認した方がよさそう。当然胸の前に配置してしまうと液晶は見えないので、スマホのプレビューを使うしかないです。

■液晶保護フィルム PDA工房 GoPro HERO9 Black Crystal Shield 光沢

購入と同時に貼ってしまったので、これのせいかどうかはわからないですが、タッチパネルの感度に不満が出ています。製品情報にも、

※GoProシリーズはタッチパネルの感度が弱めなため、保護フィルムを貼ると操作性が悪くなる場合がございます。その場合、画面をタッチする反対の手で機器本体に触れた状態で操作をすると改善する場合がありますのでお試しください。(機器の個体差や操作する方の感じ方により異なる場合がございます)

と書いてるくらいなのでなんらか影響は出ているんでしょうが、試しに剥がして比べてみて結局同じだったらもったいないのでとりあえずそのまま画面して使っています。まぁ、こうやって不利な注意書きをきちんと書いてくれるPDA工房は流石の老舗という感じ。サイズ感や視認性などはバッチリです。

 

以上、初期段階で購入したアクセサリでした。

他に気になってるものとしては、以下。そのうち買ったら順次上にあげてレビューをしようと思います。

■三脚穴を追加するアダプタ

底部のGoProマウント部に三脚穴も入るようにする交換式のユニット。前後方向の首振りはできなくなりますが、よりコンパクトな手持ち体制を作ったり、既存の三脚や雲台に装着するのに便利そう。交換してもデメリットはなさそうなので、そのうち買うと思います。

似たような製品が複数出品されていて、製造元が同じかどうかは不明ですが、レビューに結構差があって、ここが比較的評価高そう。

■52mmフィルターネジがつくケース

夏場、日差しが強くなってきてNDフィルターが欲しいなと感じたら、これをつけるか、下のGoPro専用NDフィルターをつけるかという選択になるのかなという気がしています。

3.5mmマイクアダプタを装着できたり、コールドシューがついたりと多才ですがやや大きくなるのと、メディアモジュラーと排他なのでどうかなという感じ。

■ND/CPLフィルターセット

こちらの方がよりコンパクトに取り付けられますね。ただMaxレンズ用は見当たらないので、今度どっちのレンズを多用することになっていきそうか見極めてから買おうと思います。

■SOULDERPODグリップ(スマホアダプタセット)

drikinさんが使ってたヤツ。小さくてお洒落で握りやすそう。機能面でいえば最初に紹介したUlanziの方が三脚にもなったりしていいんですけどね。なんか物欲そそります。三脚穴でとりつけるタイプなので、前述のアダプタが必要ですが、GoProマウント経由よりも低背の超コンパクト体制が組めそう。

ただグリップ単体はもうどこにも売ってなくて、こちらのスマホアダプタとセットになってるヤツしか見付からない。まぁiPhone12 Pro Maxの動画も綺麗なのであればあったら使う機会はあるかもですが。こちらも残り少ないので買うなら今かなと思いつつ、やっぱUlanziでいっかー、という気も。たぶんメディアモジュラーつけると使えないんじゃないかと。

 

すぐ壊れる電動カビキラーの修理と予防

Pocket



我が家はカビキラーの電動スプレーを以前から愛用しています。私というより、たまに書いてますが同居人が握力が弱く、スプレーのレバーを手動でシュコシュコするのが苦手でスイッチ押し続けるだけで自動的に散布できるのが大助かりな商品です。少し重くてデカいですが、ウチの同居人のような人には欠かせないアイテムです。

が、これがまーよく壊れる!

ここ数年で何度買い直したことか。ググってもサジェスチョンで「すぐ壊れる」とか出るレベル。感覚的に1年もつかどうかくらい。スプレー本体の部分のみで850円するのでちょっとなんだかなぁです。

以前も分解して修理にチャレンジしたことがありますが、毎回症状が異なりあまり完治率は高くありませんでした。ググってヒットする修理例もモーターへの配線が切れていたパターン、ポンプがダメにあったなど様々。全体的に信頼性がイマイチな設計なんでしょうか。今回も3台あるうちの2台が動かない状態でしたが久しぶりにチャレンジ。

ネジが7箇所

ロック機構がありますが分解している間は効かない物理式なので、タンクを外して内部のカビキラー液をしっかり吐き出しておきましょう。分解自体は簡単。写真の7箇所のネジをプラスドライバーで外します。左上がやや奥まっていて長いドライバーが欲しいところ。地味に疲れるので電動ドライバー推奨。

うっかり全体図を取り損ねましたが、構成としては、

  • 電池ボックス(単3 x 2本)
  • 130サイズモーター+ギアボックス
  • ポンプユニット

という3ユニット構成です。ポンプユニットはオール樹脂で、目に見えて割れたり外れたりしてない限りあまりトラブルにはならなそうな気がします。電池ボックスは防水カバーの中にマイクロスイッチがついており、白いレバーを握るとスイッチが入り通電する仕掛けです。そこから赤と白の細い線がモーターへとつながり、何枚かのギアを通して回転運動がポンプのシュコシュコ前後運動に変換されています。

今回の壊れた2台はそれぞれ

  • A. 電池ボックスのマイクロスイッチを押しても通電しない
  • B. モーターが錆びてボロボロになってた

という状態でした。Aの個体はあちこちテスターを当てても通電は問題なさそうなのになぜか電流が流れない。こりゃマイクロスイッチの故障か?と思いきや、なぜか電池ボックスのフタをB固体とスワップしたら動きました。フタはパッキン付きでネジ締めという厳重なタイプなのですが、これを締めた時にきちんと端子が接触してなかったぽいです。ちなみにマイクロスイッチが固定されている基板はネジ止めではなく破壊しないとフレームから取り外せなそうです。スイッチの接点も基板の裏側になるので直接テスターを当てて動作確認はできませんでした。

B個体のモーターは金属カバーから端子部分にかけてサビサビ。後端のプラカバーも引っ張ったらボロっと外れてしまいました。モーター自体交換するしかなさげですが、見たところ型番とか規格のような記載は見付からず。サイズ的には模型用で一般的な130サイズという上下がフラットになっているタイプ。試しにこれを買ってみてスワップしてみました。電池2本なので3Vタイプです。

DC用モーター(130-3V)

DC用モーター(130-3V)

132円(10/24 14:28時点)
Amazonの情報を掲載しています

元のモーターの先に小さなギアがついていて、それを抜くのがやや難しい。ペンチで掴むと歯がグニャっとカンタンに潰れてしまうので、マイナスドライバーなどでこじるようにして抜いていきます。

なおなぜかA個体に取り付けると動かない電池ブタもB個体との組み合わせなら問題ない。電池も同じIKEAのものなんですが、、

てことでモーターをつけかえて通電もしましたが、残念ながら力が弱くポンプとしては機能しませんでした。モーターは同じ電圧に対してより高速に回るかトルク(力)を出すかで仕様が異なります。元々本製品の使われているモーターがどういう仕様かわからないので、より高回転型にするべきか高トルク(低速)にするべきかわかりません。

とりあえず次に買ってみたのがコレ。少し高い。

先のELPAが9,600rpm(回転/分)に対し、こちらは7,100rpm。遅い分パワーはありそう。

しかしダメでした。というかポンプ部分が壊れてましたorz。分解したところ中のピストンシリンダーが削れてスカスカになって空気を圧縮できない状態でした。さすがにこれは修理は断念。

モーターに関しては純正のものに比べるとやはり速度が遅い感じで、ポンプが正常な抵抗をもっていないのでなんともいえないですが、雰囲気的には低回転型よりは高回転型を選んだ方が純正状態に近い気がします。今度またモーターが壊れたら高回転のものを探して交換してみたいと思います。

■予防措置

今回個体Bがモーターがサビサビになっていた点も含め、このモーター接点周りが非常に脆弱に感じました。他の方の記事でここの配線が千切れていたケースもありましたし。そこで、この部分をグルーガンで固定&防水処理しておきました。

見るからに貧弱そうな半田付け部分。色もだいぶサビ気味。念のため追い半田しました。

グルーガンで保護。あまり盛りすぎるとカバーが閉まらなくなるかも。

こうすることで、万一水分が染みこんでもガードでき、同時に細いケーブルにテンションがかかっても千切れにくくなるのではないかという期待です。現時点で動いているC個体、新たに購入したD個体も含め予防的に。さてこれで2021年2月からいつまで稼働してくれるか見物です。

最後にロックスイッチの位置に気をつけながらカバーを組み付けネジ締めして完成です(間違えるとロック解除できなくなります)。

ハイバックチェアをバーチャル背景対応にする

Pocket



私のワークチェアはIKEAのMARKUS (マルクス)です。ストレートネックで首に負担がかかりがちなのでハイバックタイプであることが欠かせません。

IKEA(イケア) MARKUS 50137208 回転チェア, ブラック

IKEA(イケア) MARKUS 50137208 回転チェア, ブラック

42,000円(10/24 13:51時点)
Amazonの情報を掲載しています

しかし昨今のテレワークブームでハイバックであることに難点が。

バーチャル背景でヘッドレスト部分が誤認識されがちなのです。カラーがブラックでかつ私自身が黒髪というコンビネーション故の現象なのでしょうけど、写真のようにヘッドレストが映ったり、逆に頭部が欠損(笑)したりします。

ヘッドレストが映り込む

頭が欠ける

 

背景を隠す、というバーチャル背景本来の機能を損なってはないんですが、やはり気になります。どうせなら綺麗に抜いて欲しい!

要するに髪や服の色と違っていればいいので、無地のバスタオルでもかけておけばいいんでしょうけど(パイルの感触好きだし)、たまたまユザワヤを通りかかったので、材料を買って簡易カバーを作成してみました。追々ATEM Mini Proのクロマキー合成(グリーンバック抜き)でも使うかも知れないのでそれっぽい黄緑色の布をゲット。110cm幅 x 1m辺り580円-30%OFFで余裕をもって2m購入しようとしたら在庫のロールが微妙に足りなくて1.8mくらいになりました。

MARKUSのヘッドレストは幅が実測で42.5cm、クッション部分を含めて実測6.5cmほどの厚みがあるので適度にマチをつけてみます。背もたれは下にいくにつれ広がっていく形状ですが、厚みはヘッドレスト部分より薄くなるので差し引きでピッタリだろうということで型紙的にはシンプルに長方形でいきます。

こちらのサイトを参考にマチのとりかたを検討。

横幅 + マチ + 縫い代ということなので、42.5 + 6.5 + 1 = 50cmと切りの良いところで決定。縦はカメラの画角より下までいけばいいので適当に。

これだけの縫い物のためにミシンを発掘してくるのが面倒だったので、アイロン固定の両面テープを購入。

 

50cm幅、高さ1.8mくらいの布を2つ折りにして長辺2辺をアイロンテープで貼り合わせます。残り一辺もほつれ防止と見た目のためにそれぞれテープ幅くらい折り返して固定しておきます。マチは両角のところを三角に折り返して接着。正確にはマチ幅にしたい6.5cmを底辺とする二等辺三角形にするのが良いでしょうが、適当に(笑)。あと距離も短いし、可能ならここは糸で縫った方が綺麗かも知れません。

超テキトーですが図解するとこんな感じです。

最後に全ての縫い目というか接着面が内側にくるように裏表をひっくり返せば完成です。

完成!

生地はできるだけ伸縮性があるものがいいですね。売ってるかわからないですがジャージみたいな?今回買ったのは普通の綿布だと思いますが、まぁサイズもほぼ狙い通りでいいかな。せっかくの背もたれのメッシュが無効化されちゃいましたが、まぁ夏に実害が出たら考えます。

ZOOMのバーチャル背景でテストしたところ、ヘッドレストが映り込んでしまう現象はほぼ解消できたと思います。ただ髪が欠ける部分については頻度は減った気はするものの完全に撲滅はできてない感じです。まぁ出ても一瞬なので良しとします。

あとは、これを買えばATEM Mini Proで本格的なクロマキー合成をする際にもイスが見えることはなくなるかな?

この種のチェア用グリーンバックはAmazonでも色々なブランドが売られていますが、この製品はハイバックチェア用の延長ベルトが同梱されていてヨサゲかなと思っています。もし買ったらまたレビューします。今回買った布と色味が近いといいのですが…