SmallRigのマイクショックマウントのゴム交換

上記のSmallRig製のマイクスタンドを愛用していたのですがゴムが劣化して固くなり千切れてしまいました。このゴムはマイクを中に浮く様に保持し、スタンドから伝わる机上の衝撃をマイクに伝えないようにする重要な役割があります。ググると予備が付属していたようですが発掘できる自信なしw。

スタンド自体そう高いものでもないので買い直すもありだったんですが、なんとなく悔しいので輪ゴムとかで代替できないか模索。もとのゴムをみてみるとおおむね直系3cmくらいでした。百均のヘアゴムとかを物色するもちょうどいサイズがなくて、結局こちらを購入。

文字通りOリングなどに使うちょっとヌルっとした質感のヤツです。劣化する前の付属ゴムがどんなだったかわからないですが似ている感じがします。適度な摩擦があってマイクがズリ落ちることもなさそう。逆に劣化も同じ位でしそう…

たぶんこういのは緩くてもキツすぎても良くない気がしますが、純正が既に破損しているので元がどれくらいの締め付け具合だったかは比較不能です。とりあえず形だけは元通りにできました。

問題は価格ですね。私の購入時点で本体の半額です。でもまぁ10本入りなので4本1セットで全交換しても2回分あります。切れたのから順次替えていくだけならそれなりに使えるかな?

ちなみにスタンドの購入日は2020.12となっていました。1年半保たないのか…

今回は手早く復旧させたかったので通販で買ってしまいましたが、規格さえわかってしまえばコーナンPROみたいなDIYの強いホームセンターにでも行ってみれば安く買えるかも知れません。

気付けば骨伝導ヘッドセットAfterShokzが3モデル揃ってたので比較

■OPENCOMMを1年使っての感想

テレワーク最強ヘッドセットと名高いAdterShokzのOPENCOMMを購入して1年が経ちました。

私は仕事柄、リモート会議よりもリモートインタビューで、一日に90分を3,4件と集中して使うことが多いので、耳を塞がないで長時間使っても疲れない骨伝導ヘッドセットはとても重宝しています。カナル(耳栓)型のイヤホンもたくさん使っていますが、これらはノイズキャンセルなど音楽を聴くということには優秀ですが、長時間、しかも自分もしゃべる作業の時には違和感が大きく我慢なりません。その点、骨伝導は耳は完全にフリーなので違和感ないし、なんなら飲食してもモゴモゴしないとかサイコーです。オーバーヘッドヘッドフォンのように重さや締め付けが気になることもないし、完全独立ワイヤレスイヤホンのようにポロっと落ちないかドキドキする不安もありません。

そんな中でも特に評価が高いAdterShokz社のテレワーク(オンライン会議)特化モデルOPENCOMMはこの一年とても重宝しており買って良かったと思っています。強いて言えばさすがに丸一日つけていると耳の上辺りが痛くはなります。これは平気というレビューも多いので、自分がメガネを使っていることとも関係しているのかも知れません。ちなみに自室ユースなのでマスクは併用してないです。

OPENCOMMはテレワーク特化モデルなので、より口元近くで話し声を明瞭に拾うようアーム型のブームマイクが搭載しています。これも評判が高いようです。「ようです」って伝聞調なのは、自分では使っていないから(笑)。マイク自身や位置が上等でも所詮伝送経路がBluetoothな時点でビットレートが上げられないからなぁと、結局上記記事に書いたようにマイクは別にコンデンサマイクを使っているのです。オンライン会議専用であればどのみち圧縮かかるのでおそらく実効レベルで差はでないと思いますが、動画のアフレコ用などでセットアップしてあるマイクがあるので、結局そっちを使ってしまう、という感じ。本機のマイクが使い物にならないということはなく、むしろ一般的なヘッドセットよりも長いアームで口元に近いだけ優位だと思いますが、どうこう言うほど使ってないのでノーコメントで。ともあれ内蔵マイクは上に立てたままテスト程度にも使ってない。むしろ邪魔だなと思ってました…

■Amazon Black FridayセールでAEROPEXが一瞬安かったせいで…

先日終了したBFセールで、ブームマイクがないAEROPEXが結構安かったんですよね。おっと思ってカートに入れはしたものの、2,3時間後にみたら売り切れて定価に戻っていました。

でもその2,3時間の間にリサーチと検討をしたらかなり買う気になってしまったのです…

まずAEROPEXの骨伝導ユニットは第8世代で、OPENCOMMの第7世代よりも進化しているぽい。具体的には振動と音漏れが軽減されているそうな。Aftershokzは骨伝導と思えないくらいに音質が自然なんですが、音量をあげると物理振動がこめかみにビリビリくるという難点があります。オンライン会議で実用的な音量で聴く分にはほぼ気にならないんですが、たまに大声が来たりあるいは音楽や動画をみて音量があがると気になるといえば気になります。不愉快というほどでもないですがこそばゆい。また音漏れも結構あってOPENCOMM購入時に対面の同居人に聞いている曲をズバリ当てられて以来、ノマドなどで使うのは憚られるなと思い自室専用としていました。その辺りが改善してるのなら俄然興味がわきます。

またブームマイクがないせいか10gほど軽いので、もしかして終日つけていた時の耳の痛みも軽減されるかな?とか、そもそも邪魔に思っていたのでスッキリするな、とか。

一度BFセールで安い値段をみてしまうと定価で買うのが悔しくなってしばらく悩んでたんですが、結局次にはじまった楽天のセールで1,000円差くらいまで下がったので突撃しました。

購入後にまだ終日インタビューをする案件がなく、1時間程度の会議を何回かしただけですが、確かに振動は軽くなってる気がします。完全になくなりはしないですが、骨伝導ヘッドセットつけている感覚が希薄というか。重量差も聞いているのかも知れません。

その他の差は大きくはなく、強いて言えばマグネット充電コネクタの向きと形状が異なっており、AEROPEXは真下、OPENCOMMは真後ろからつける感じ。OPENCOMMの方が卓上において浮き上がらない作りですが、AEROPEXも垂直に生えるわけではないので実用上は大差ないかなと。コネクタ(充電ケーブル)自体は相互運用可能っぽいです(充電ランプは点きますが自己責任で)。

それぞれのマグネット充電ケーブルをつないだ状態のアップ写真をどうぞ↓。

AEROPEX
OPENCOMM

どちらかというと影響が大きいのは音量兼電源ボタンでしょうか。装着時、耳の後ろで手探り操作するワケですが、明らかにOPENCOMMの方が特定が容易です。「こことここにボタンが2つある!」っていうのがはっきり触感でわかります。AEROPEXはまだ慣れていないのもあるかも知れないですが、「ここら辺かな?」と不安げに押す感じ。

■気付いたらエントリーモデルのOPENMOVEも買っていたぜ…

細かい使い勝手や音質に差を感じつつも、Aftershokz全体としては確かな満足感があります。今後の想定としては、仕事部屋用のメインはブームマイクがなく聞く方の音質が良いAEROPEXにし、ブームマイクで音をしっかり拾ってくれそうなOPENCOMMを車載用にする予定。後者はそれほど頻度が高いわけではないのでやや勿体ないですが、最近家庭内Dicodeサーバーを建てて、1人で長距離運転中に音声で雑談したり待ち合わせの相談をしたりすることもあるので、そちらをよりクリアにしたいという動機付けがあります。耳を全く塞がないので通常の片耳イヤホン型ヘッドセットよりも安全なんじゃないかと。

そんなこんなで骨伝導にどっぷりハマっていると、他の場面でもそれ以外の方式は使いたくなくなってきます。階下のリビング、風呂、トイレなど(自分はお風呂はもちろん、お腹こわしやすいのでトイレに長時間こもる際にタブレットを持ち込みます)。2万円するAEROPEXやOPENCOMMはさすがにもったいないですが、エントリーモデルのOPENMOVEなら実質7,000円ほどで買えるのでアリかなと。

特長としては、骨伝導ユニットはOPENCOMMと同じ第7世代。防水も同じIP55(AEROPEXだけIP65)。お風呂でもシャワーを直接かけたりポチャンしなければ問題なさげ。値段が安いので最悪壊れても諦めがつきます。また他の上位モデルと大きく違うのは充電コネクタがUSB Type-Cであること。専用ケーブルが不要なのが良いです。我が家はトイレ内にタブレットやKindleの充電コーナーがあり、当然そこにType-Cケーブルも生えてるので、新たに専用マグネットケーブルを増やさなくても充電運用できます。端子にはキャップがあるのでそれを開いてUSBプラグを差す、という二手間にはなりますが、利用環境によっては専用ケーブル不要ということのメリットが上回ることもあるでしょう。

・メガネerにはOPENMOVEは辛いかも…

さて、なんやかんやで代表的3モデルが揃ってしまったわけですが並べるとこんな感じ。ちなみにカラーは常に黒系をチョイス。オンライン会議やインタビューで髪に紛れて目立たないからです(黒髪でない人はその限りではありませんが)。その観点でもAEROPEXは一番小さく、変に目立つ色をしたボタンもなく、そしてブームマイクがないので一番さりげないかなと思います。

OPENMOVEは耳の部分がチタン化されていない

上位のAEROPEXとOPENCOMMはフレームが「フルチタン」とされています。細い部分にチタン製の芯が入っていてグネグネとしなやかに曲がるので装着感が良いのです。比べてOPENMOVEはコスト削減なのか耳欠け部分がプラ製になっており固定形状となります。ここが地味に装着感に関わってくるようです。特に私のような眼鏡ユーザには影響が大きそう。例えば首を上下に動かした時にうなじ側で押されて耳周りにも圧がかかるのですが、その時に融通が利かないOPENMOVEはズレたり眼鏡と擦れてグググっと異音が鳴ったりします。気にならない人は全然平気かもしれないですが、個人的には眼鏡している方や装着感を気にする方には上位モデルをオススメしたい感じ。少なくとも店頭で装着感を比較してみると吉でしょう(最近ならヨドバシとかにはほぼ展示があります)。

■まとめ

ガチ音楽用ではWM-1000XM4などには及ばないですが、オンライン会議や一般的な動画視聴やポッドキャストくらいなら違和感ないくらいには自然な音質になってきている骨伝導。AfterShokzだけとびぬけてスゴいのか、他社類似品でも進歩してきているのかはわかりません。さまざまな賞ををとっているだけあってAfterShokzが鉄板な気もします。他にも水泳対応完全防水モデル、子供サイズモデル、TV用トランスミッターセットモデルなど、利用場面にあわせたラインナップが豊富なのも特長だと思います。

イヤホンやヘッドフォンの長時間使用でQoLが下がっている方、テレワークで常時待ち受けしながら家事とか他の作業をしたい方などには是非一度使ってみてほしいなと思います。

VPNより安全高速?ポートを開放せずCloudflare Accessでプライベートサーバーにアクセス

■ゼロトラストセキュリティとは?

テレワークブームでオフィスのPCやNASへのリモートアクセスニーズが高まっている今日この頃、皆さんいかがお過ごしでしょうか。リモートワークといえばVPNが主流だと思いますが、昨今「ゼロトラストセキュリティ」とか「ゼロトラストネットワーク」という言葉が流行りだしているのを耳にされたことはありますでしょうか?VPNはファイアウォールの境界で認証をして、一旦くぐり抜けてしまえばあとは社内ネットワークに直接つないでいるかのようにLAN内のリソースにアクセスできる、というものです。一方ゼロトラスト(信頼)は社内ネットワークの端末や利用者も基本的に信用しないぞ、って考え方に基づいたセキュリティポリシーです。実際、情報漏洩事件の多くは社内LANへのアクセスが可能な人の犯行が最も多いんだとか。同じ社内につながっていても、各ファイルやWebアプリケーション(例えば経費申請とか人事管理とか)へのアクセス権は人それぞれで、結局そこでまた認証があったりして二度手間ですしね。またVPNがあることで、利用者に要求される手間やリテラシーやトラブルも増えますし、そもそもクラウドサービスとか使った社内システムだと社内LANにあるわけでもないし、とか、VPNは色々と時代にそぐわなくなってきているといえるのかも知れません。 ゼロトラストセキュリティの厳密な定義はググっていただくとして、今回はその考え方に基づいた実装の1つであるCloudflare Accessの紹介をしてみたいと思います。ゼロトラストはあくまで考え方なので、他社製品だと実装方法からして異なる場合もあるかと思うのでご了承ください。 利用者目線での価値としては、

  • 社内リソースにアクセスするたびにVPN接続操作や使用後の切断操作がいらない
  • 全てのデータを暗号化する負荷がない分、軽い、速い
  • 会社ネットワークのファイアウォールに内向きのポート開放をしなくて良い
  • 個人的な追加ポイントとして、
    • 固定IPアドレスが1つでも複数のWebサービスを(80番ポートで)公開できる
    • v6プラスのような使えるポートが制限されているサービスでも(80番ポートで)サーバー公開できる

などかなと思います。特に2番目はルーターや自分の端末の性能がボトルネックになりがちで、せっかく速い回線を使っていても頭打ちになったりします。そもそも昨今の通信はHTTPS/TLSなどアプリケーションレベルで暗号化されていることがほとんどなので、それをさらにVPNの入口と出口で暗号化するのも無駄といえば無駄。雑な設定でZoomなどのクラウドサービスを利用するにもVPNを通って一旦社内LANを経由とかしてたらヒドいものです。

■Cloudflare Access

サービスを知ったきっかけはInternet Watchのこちらの記事です。

CloudflareといえばCDNの大手ですね。普通の人は直接意識することはないかもですが、世界中のコンテンツを世界中でキャッシュしていて、地理的に遠いサーバーの情報でも近所の複製サーバーからデータをもってきてあたかも近くのサーバーにアクセスしているかのように快適にしてくれるものです。動画配信サービスやゲームソフトのダウンロードなどが快適に利用できる下支えをしてくれるCDNの業者のひとつ。Akamaiほど老舗ではないけど、個人サーバーでも比較的手軽に利用できる無料サービスなどが充実している(ここポイント!)会社です。あと個人レベルだとオープンなDNSサービスとしてGoogleの8.8.8.8と並んで有名な1.1.1.1を無償提供しているのがCloudflareですね。

さて、このローエンド向けの無料サービスが得意な Cloudflare が提供しているゼロトラストセキュリティサービスが Cloudflare Accessを含むCloudflare Teamsとなります。50ユーザまで使える無料プランが提供されていて気軽に試して見ることができます。

以下、ある程度サーバ-構築をしたことある人向けですが設定手順に基づいて動作原理がイメージできるように解説していきたいと思います。前提として、いくつかのWebアプリケーションを社内または自宅内LANで運用しており、外からのアクセスにVPNまたはポート開放で賄っているとします。これをVPNを使わず、ポートに穴も開けず、より手軽に使えるようにできるというのが主旨です。ぶっちゃけゼロトラストセキュリティ云々は二の次です(笑)。

ポイントはDNSを委譲するところ

Cloudflareにアカウントを作り、最初にする作業は自ドメインのネームサーバー管理を Cloudflareに移すことです。 Cloudflareがドメインレコードを自由に書き換える権限を持つことで、様々なサービスを実現しているのです。

例えば、hogehoge.comという自ドメインがあったとして、こんなドメインレコードが登録してあるとします。

hogehoge.com123.123.123.1
mail.hogehoge.com123.123.123.2
private.hogehoge.com123.123.123.3

ネームサーバーをCloudflareに移すことで、Cloudflareはこれを自由に書き換えたり、新しいホスト名を追加できるようになります。ただし、Cloudflareのサービスをバイパスしたいレコードについては個別にロック指定しておくことができますので、メールサーバーは触らないで欲しい、みたいなことは可能です。こちらがCloudflare TeamsのDNS管理画面です。

「プロキシステータス」の列で「DNSのみ」というのが勝手にプロキシ(後述)を割り込ませないでねという意味になります。

逆に「プロキシ済み」となってるサーバーでアクセス制限の設定をすると、IPアドレスが別のものに差し換えられます。つまり利用者がホスト名でアクセスをしようとすると、一旦Cloudflareが用意するプロキシサーバーにつながります。そこに然るべき認証画面を割り込ませることでアクセス制限を実現するわけです。認証はホスト単位ではなく、パス毎に設定できます。例えば、「private.hogehoge.com/calendar/」を指定してやると、/calendar以下へのアクセスだけが対象になりますが、private/hogehoge.com/index.htmlなどは素通しのままです。1つのサーバーの異なったディレクトリに異なったWebサービスを動かしている場合、それぞれに別個の認証ポリシーを割り当てることができます。

実際にアクセス制限をしたページを開こうとすると、こんな認証画面が立ち塞がります。

ロゴや配色はカスタマイズ済み

認証方法も色々選べます。標準で一番簡単なのはワンタイムパスコードをメールに送る方式(Get a login code emailed to youのとこ)。メールアドレスを入れて「Send me a code」すると1回使い切りの数字列がメールで届きます。そのメールアドレスを受信できる人ならそれを読み取って次の画面に貼り付けて送信すれば認証完了です。これだけだと自分のメアドをもっている人なら誰でも入れてしまうので、設定画面で制限するメールアドレスやドメインを指定しておきます。例えばhogehoge.comドメインで制限すれば、なんちゃら@hogehoge.comのメアドをもつ人にしかコードが届かないということになります。ただこれだと毎回メールを開く必要があったり、下手するとVPNより面倒くさいですね。

なので私はMicrosoft 365の法人アカウントを作っているので、Azure ADが利用可能でしたので、それを設定しました。これで(企業や学校向け)Microsoftアカウントでログインすることができます。そちらで二要素認証などをしていれば当然ここでも要求されます。認証方法は他にもGoogle、Facebook、GitHub、G-Suiteなど名だたるSSO(シングルサインオン)システムが並んでいます。GoogleやFacebookが個人アカウントで使うかは不明。G-Suiteが別にあるからできるのかな?

ここまで元からあるサーバーにはなにも手を加えてないのに、サクっとMicrosoftの強固な認証システムを実装できてしまうというのがスゴいところです。ログインの有効時間も設定できるので、一度ログインしておけば一定時間はこの認証をバイパスして、あたかもVPNに入った状態かのようにサービスを利用することができます。またアクセス元のIPアドレスや国で制限することも可能です。Apacheのディレクティブでしていたような制限もGUIで簡単にできちゃうわけですね。

内向きポートを開放せずに実現する

さて、既存ホスト名でアクセスしようとした場合に、Cloudflareが書き換えたプロキシサーバーに転送され、そこで認証手続きを代行してくれる、ということがわかりました。社内のあらゆるシステムに共通の認証基盤を簡単に実装できるという点でも素晴らしいです。

しかし鋭い方ならお気づきでしょう。元のIPアドレスを直接叩かれた場合のアクセスについてはなにも防御されていない、と!Cloudflare側で認証してくれるから二度手間になると、元のサーバーの認証を切ってしまったりしたらエラいことになります。元サーバーへは常にCloudflareのプロキシーサーバーのIPアドレスからのアクセスだけを受け付けるようにアクセス制限をかけるのも手かも知れませんが、IPアドレスだけを条件にするのは危険でしょう。そもそもCloudflareのプロキシサーバーのIPアドレスブロックについても記述は見当たりませんでした。サーバー証明書などの類も同様です。しっかり探せばあるかも知れませんが。

2022.11.24追記: IPアドレスブロックはたぶんこれですね。

で、これには別の対処方法があります。Impressの記事でも紹介されているcloudflaredというトンネリングプログラムを使う方法です。Linux、Windows、Macなどなんらかのローカルネット内部で可動するPCで起動させておく必要がありますが、社内サーバーの出力情報をCloudflareのプロキシーサーバーに中継してくれます。Cloudfrareのプロキシーがこちらにデータを取りに来る場合、待ち受け(IN方向)ポートを開放してやる必要がありますが、cloudflaredならそれが不要になります。社内に連絡員を常駐させるようなものですが、門は閉じておくことができるというわけです。

この方式を使う場合、Cloudflare上のDNSレコードに仮想ホストのレコードが割り当てられます。例えば、社内にプライベートIPでアクセスできるカレンダーシステム(192.168.0.200/calendar)をvirtual.hogehoge.com/calendarみたいなURLで公開できます。virtualというホスト名のホストマシンは実在せず、常にcloudflaredが中継するデータを(認証を通した上で)見せる専用のホスト名となり、CloudflareがDNS編集権を握っていることで、cloudflared側からの設定ひとつで簡単に追加することができるのです。

■待ち受けポートがいらないことの副次効果がスゴい!

さて、長々とCloudflare Accessの概要を書いてきましたが、ここからは個人的な副次効果についてです。先に書いてしまうと、

  • グローバルアドレスが1つかないような環境でも複数のWebサービスをポート番号指定なしで公開できる
  • v6プラスのような使用ポートに制限がある環境でも任意のポートで公開できる

というところです。

ウェルノウンポートを使う難しさ

ウェルノウン(well known)ポートとは、主要サービスがデフォルトとするポートです。例えばhttpなら80番、httpsなら443番などと決まっています。本来、URLでは「http://hogehoge.com:80」とか「https://hogehoge.com:443」などとコロンで区切ってポート番号を指定することでウェルノウンポート以外を使うことは可能です。省略した場合にウェルノウンポートが使われるのです。しかし世の中ポート番号の指定などという事例は認知度が低く使ってもらいづらかったり、実際問題としてスマホのキーボードだと記号や数字の切り替えが面倒だったりします。

例えば、社内にプライベートIPでアクセスできるカレンダーシステム(192.168.0.200/calendar)と経費精算システム(192.168.0.201/keihi)があったとします(別々のホストで運用)。外向けのIPアドレスが1つしかない場合、80番ポートも1つしかないので、片方をhogehoge.com:8080/keihiなどとすることになります(若い番号は他のサービスでウェルノウンポートに指定されてることが多いので、ケタが多くなりがち)。これを回避してすべてを80番ポートでアクセスさせたいと思えば、リバースプロキシサーバーを建てて、内部で振り分けるなどの工夫が必要になります。Cloudflare Accessはまさにこれを外注できるという見方もできるでしょう。別々のホスト名を割り当てることも簡単です。オープンソースのApacheなどで動いてVirtualHostなどを簡単にいじれるものなら1台で済ますこともできますが、例えば市販のネットワークカメラを複数公開したいなんて時はそれもできません。外部のプロキシならこれも簡単です。

次にフレッツ系の光回線とかで最近主流になっているIPv6 over IPoEをについて考えてみてみます。IPoEでIPv6通信をできるようにし、なおかつMAP-EやDS-LiteなどでIPv4 over IPv6が利用可能になると、従来のPPPoEを使ったIPv4よりも幾分高速になります(IPoEも利用者が増えてきて以前ほどPPPoEと比べて劇的に速いということもなくなってきてはいるようですね)。我が家のプロバイダはMAP-E方式のv6プラスです。この方式は自宅側のIPv4に変わってプロバイダ側でIPv4通信を受け取るIPアドレスが共有されている為、65536個あるポートの全てを自由に使うことができず、4096~65536番のうちの割り当てられた240個しか利用できません。ウェルノウンポートを含む4098番以下は公平に誰も利用できません。なので、どうしてもウェルノウポートを使いたい場合、通常、

  • 設備側でも専有の固定IPv4アドレスが付与されるプランを使用する(高い)
  • 別にPPPoEで固定IPv4アドレスが付与されるプランを使用する(遅い)

のどちらかを選ぶことになります。ウチが使っているプロバイダでは前者は+3,000円ほど。後者は1,000前後で契約可能なので、我が家は速度を妥協して後者にしています。ちなみに後者の場合、通常の内から外へのインターネット利用にはIPoEを使い、外向けサーバーの通信はPPPoE経由というより振り分けができるYAMAHAなど業務用の機能を備えたルーターを使ったりする必要もでてきます。

Cloudflare Accessを使えば、80/443番ポートのサービスがいくつでも

私はこのブログも含め一般向けのWebサイトはConoHaのレンタルサーバーに置いています。自宅のIPアドレスではあくまで自分や身の回り向けの非公開サービスを運用するのみです。それでもできれば80/443番ポートにしてURLをシンプルにしたいし、せっかくあるIPoE側に速いスピードで使えるようにしたい。またごく簡単な自作サービスにBASIC認証だけでない強固なセキュリティも装備したい。そんな事情にこのCloudflare Accessがカチっとハマった気がします。あらためてまとめると、

  • 自宅のファイアウォールはIN方向のポート開放が必要ない
  • 異なるホストでもすべて80/443番ポートで公開できる
  • IPoE経由でPPPoEより高速な経路を使って公開できる
  • SSO、IP制限など高度な認証システムを付与できる
  • LAN内アクセスとWAN経由でブックマークを共通化できる
  • 無料

という感じ。とはいえ3つ目についてはまだ評価段階なのでなんとも。PPPoEを経由しなくていい代わりにCloudflareのプロクシサーバー(地理的位置は不明)を経由するので差し引きで本当に速くなるかは微妙。それでも時間帯で数Mbpsに落ちることもあるPPPoEよりはマシのはず、という現時点での想定です。またCloudflare側は当然IPv6に対応しているので、自宅からのトンネルがIPv4 over IPv6ではなく直接IPv6同士で通信したらさらに効率的なんだろうと思うんですが実際にどうなっているかは不明。cloudflaredのステータスだと相手先サーバーとしてはIPv4アドレスが見えているのでIPv6かどうかはなんとも。OSの優先設定やルーターのIPv6の外向きフィルターでブロックしていないかとか、cloudflaredにIPv6経路を強制するオプションがないかなど追々検証/調査していく予定です。とりあえず現状で使っている限りでは、「海外サーバー経由してんな」ってレベルの遅延は全く感じられません。様子見てよさげなら順次Cloudflare経由にして、PPPoEサービスは解約できたら1,000円/月浮かせられるなという感じ。

ブックマークの共通化についても補足します。例えばネットワークカメラにLAN内からアクセスするのに192.168.0.200だったとします(ポートは80から変更不可)。これを外からも見られるようポート開放するとすると、ルーターのIPマスカレード機能でグローバルIPアドレス:8080を192.168.0.200:80に変換します。ポート番号が違うので、仮に内向きDNSでprivate.hogehoge.comをいうホストを192.168.0.200に振り向けたとしても、LAN内では80番ポート、外からは8080番ポートを指定することになり、ノートPCやスマホなど内でも外でも使う端末ではそれぞれをブックマークして使い分けることになります。しかしすべてCloudflareのプロキシを使ってポート番号を共通化することで、この問題も解決します。内向きDNSでローカルIPを指すレコードを作っておけば、内部アクセスなのに一旦Cloudflareを回ってくる、といった経路になることもありません。

80/443番ポート以外は?

とりあえずWebサービスは使えそうだということがわかりました。では他のSSH(22番)とかRDP、VNC、SMBといったプロトコロルはどうなんでしょう?Internet Watchの記事によるとRDPはできるっぽいけど、接続元の側にもcloudflaredを入れて接続先LAN上のローカルIPアドレスも指定してやる必要がありそう。接続元も固定のネットワーク(例えば実家とか)ならRaspberry Piとかにゲートウェイ運用とかさせればヨサゲですが、ノートPCをモバイルルーターや公衆Wi-Fiで使うなんてことを考えるとやはりPC上にcloudflaredを稼働させて、localhostに向けてRDPする、みたいな形になりそう。それだとVPNの方が簡単じゃね?って感じになるような気もします。コロナ禍ではあまりノマドや帰省をしないので、RDPやVNCでリモートデスクトップ接続をする機会自体がほぼないのでこちらは保留。どちらかというとSMB(ファイル共有)くらいはしたいかもですが、これはローカルのファイル共有とポートがかぶるのでちょっとややこしいようです。たぶん次に試すとしたらSSHかなと。今は1つだけ外から入れるホストにSSHで入って、そこを踏み台に別PCにSSHするという感じ。まぁそれであんまり困ってないですが、個別ホスト名で直接入れるとやはり内外同じ感覚で使えるので便利かなと。ただまぁSSHは侵入を許すと危険なので、もともとウェルノウンポートで運用しないのが鉄則みたいなところもありますし、どうでしょうね。

そもそもWebアクセス時にWeb認証画面が出るのは手間として違和感ないですが、RDPやSSHする時都度認証するとしたらどうなんだろ。Web認証の必要な公衆Wi-Fiみたいな煩わしさはないんでしょうかね?

■まとめ

背景説明もしたのでかなり長くなってしまいましたが、とりあえずクローズドなWebアプリケーションをより使いやすく安全にすることが、アプリケーションに手を加えることなく実現できるので非常に有用なサービスだなと感じています。まだまだ機能がたくさんあり、もっと便利な使い方もきっとあるんだろうなと思いますが、何分公式も解説記事も日本語によるものがあまりなくて、少しずつ試していこうかなというところです。また続報などあればお知らせしていきたいと思います。オススメの使い方などあれば是非教えていただければ幸いです。

Kyashの共同口座が同居生活費の不便を色々解決してくれた

[プロモーションは含みません] (笑)

私と同居人は共同の口座に毎月一定額を振り込む形で共同家計を管理しています。便宜上私の名義で専用口座と専用クレジットカードを作ってあり、共同で購入するものや公共料金の引き落としはそちらから支払う形にしています。外食した時なども私名義のクレジットカードだったり、そこから引き落とされる各種電子マネーを活用。つまりお店での会計は基本的に私が担当する形になります。まぁそれはそれで面倒ですが許容範囲。困るのは同居人が単独で出かけて家計での買い物をする場合。籍をいれていないため家族カードは作れないので、一旦自分名義のカードか現金で立替払いをして後で精算という流れになります。まぁ即時精算や手数料、手段などにあまりこだわりがないので、Amazonギフト券だったりPayPayなどの個人送金を使ったりしてきました。まぁクレジットカード会社の中には家族カードの審査が緩くて証明書類なしで作れたりもするかもなのですが、建前でもアウトとされているものを詐称してまで使いたい気にはなれず、不便を感じつつも我慢していました。

そんな折り、度重なるサービス改悪で利用頻度が地に落ちていた(笑)Kyashが新サービスを開始。

家族や友人と仮想口座を作りクレジットカード決済できるというもの。ありそうでなかった。サークルなどのコミュニティでの会計管理にも使える、つまり家族かどうか関係なしで利用可能ということです。口座作成者が本人確認済みであればその場でサクっと作れます。ここに入れた残高はメンバーの各自のKyashカードで支払口座に指定するだけで使用可能になります。Kyashはバーチャルカードでもネット通販などで使えますし、900円かかりますが物理カードKyash Cardを発行すれば店頭でVisaクレカ決済(厳密にはVisaプリペイドカード払い)にも使えます。Apple PayやGoogle Pay(QUICPay+扱い)に登録してスマホ非接触決済にも使える。900円カードはVisaタッチにも対応。家計から一定額をKyash共同口座に入れておけば、二人とも好きな時にそこから買い物できるようになります。しかも双方のアプリに通知が届くので互いに緩い監視ができる(笑)。

ちなみに300円で発行できる旧カードKyash Card Lite(水色)もありますが、こちらはVisaタッチ非対応、ICチップ非対応、ポイント還元率や限度額も少ないので、今から新規に作るにはあまりオススメはしません。磁気ストライプはすぐにダメになるので、都度再発行していたら結局900円カードの方が割安になったりしがち。2020年3月に施工された法律で今は全ての決済端末がIC化されている(はず)ので、磁気ストライプが死んでいてもICチップが搭載されたクレカであれば問題なく使えるのです。

二人とも個人や仕事用のメインカードは別にあるのでKyashアプリで支払口座を共同口座にセットしておけばKyash Card=家計用に固定できます(もちろんアプリで都度個人口座を切り替えて使うこのも可能)。

■難点

惜しい点として、現状ではKyash共同口座への入金はKyash個人口座からのみとなります。つまり、一旦銀口座からKyash個人口座に入金し、そこから再度共同口座に残高移動が必要になります。アプリ上で即座にできることなのですが、地味に手間です。入金元は共同用の銀行口座なので、いっそオートチャージしてほしいくらいです。

また履歴に対してメモが残せない点も不満。両者いちいち事前に承諾はとらないものの、だからこそ「○○で支払った」ということがさっと記録しておけるといいなと思います。実は履歴をみると「メモ」欄があるのにどう足掻いても書き込み方がわからず。個人口座では「編集」ボタンが出現するので、おそらく現状共同口座の履歴にはメモが記入できないということなんでしょう。同期とかが必要になるので実装が追いついていないんでしょうか。一応問い合わせてみたので返信があったら追記します。

謎のメモ欄

 

■Kyash自体の弱点

これがあれば共同家計用のクレカが不要になるかというとそうもいきません。限度額は1回30万、月間100万なのでウチではそうそう問題になりませんが、プリペイドカードなので使えないお店や決済があります。例えばガソリンスタンドやホテルなどの最初に与信して後から決定した金額を引き落とすタイプの取引だったり、月間購読系はNG。ポイント的にも1%なのでこだわるなら他にもっと有利なカードはいくらでもあるでしょう。

また先のメモの件も含めて履歴周りが弱いのもメインにできない理由です。Kyashアプリ上にどこでいくら使ったか履歴は残りますが、使途を追記したりできないし、履歴データ自体をエクスポートしたりも出来ません。一方引き落としに使ったクレカの明細には「Kyash」としか書かれず経費など管理が必要な決済手段としては致命的に不足です。ここがもう少しなんとかなると、1枚の物理カードで私用、共同家計用、業務用のカードを切り替えるプロクシのような使い方ができて、ポイント還元率が低かろうと使う価値が出てくるんですけどね。

ともあれこの新しい共同口座機能はオンリーワンだと思うので、当面はこの用途に絞って活用していきたいと思います。

GoProをより使いやすくするアクセサリ

実際に購入して使っているアクセサリ商品を紹介します。

■ショート自撮り棒 Ulanzi MT-09

純正のShortyにかわるショートタイプの自撮り棒です。

Youtubeの比較動画でShortyよりも精度感がありカチャカチャ音がしないということだったのでチョイス。三脚部分のあわせの精度が高い感じ。グリップ部分にゴムシートみたいなのも貼ってあり滑り止め効果が期待できます。

手で握って手元の何かを映すにはコンパクトで不満なしだけど、足元を走る猫やフェレットを撮るのに使うにはちょっと短いくらいの感覚。コスパ高し。

■充電ホール付きバッテリーカバー Ulanzi G9-2

Go Pro Hero9の充電ポート(USB-C)はサイドカバーの内側にあります。キャップレス防水ではないんですね。水辺で使うには良いですが、普段使いとしては充電の度にカバーを開け閉めするのがやや面倒。そこで最初からUSBポート部分に穴があいている本製品があります。上記自撮り棒と同じUlanzi製。ここはGoProアクセサリを大量に発売していて、今のところハズレ無し。

もともとこのサイドカバーはメディアモジュラーを取り付ける時には外す部分なので、無理した改造ではなく、簡単にパチっと付け替えができます。なので、水辺に行ったり天候に不安がある時だけ純正カバーに簡単に戻せるので安心。

アルミ製とプラ製があり、私はへんにチープになってもイヤだなと思いアルミをチョイス。ただそこだけヒンヤリしてたり質感や色味が違って違和感っちゃ違和感。プラ製と比べてみないと優劣はわからないですが。

あとコネクタ部分が太いケーブルだと刺さらないことも。

■microSDXCカード SAMSUNG Evo Plus MB-MC128GA/APC

並行輸入品ですが128GBで2,000円ちょいと高コスパ。クラス10だし、GoProの公式サイトにも動作確認カードとして掲載されているので、お店さえ信用できるショップで本物が買えさえするなら無問題。私はjnhショップで買いました。過去にも何度か利用してますがノートラブルです。

■マウントベースセット(平面用&曲面用 各3個入り)

GoProマウントでとりつけられるベースマウント。クルマのダッシュボードに付けるように平面用がほしくて購入。たくさん入っているのでデスク周りにつけてWebカメラモードにしたりも良し。当面、曲面用は使い道ないけど、3つずつ入って999円なのでまぁいっかと。品質も特に問題なし。

■ネックマウントGLIDER Air GLD4737MJ53B

手ぶら撮影で目の前のものを撮りたくて購入。チェストマウントとかだと着脱が面倒くさそうで、使ってない聴診器のように首にはさんでぶら下げるタイプのネックマウントをチョイス。

他社競合品のレビューでマウント付近がポッキリ折れるというレビューが目立ったので、その辺りが太くて強度がありそうな本製品にしました。GLIDERというブランドはヨドバシなどの家電量販店でも取り扱いがあるようなので、一定の品質はもってそうなイメージ。

軽く運転や店内動画を撮ってみましたが、GoProの水平維持をオンにしてあればとても安定した録画ができます。ただ目線との落差はそれなりにあるので、目でみていたものが画角に収まっていないケースもそれなりに。近距離のものだと厳しいですね。広角設定にすればいいんですが、水平維持をオンにするには比較的画角が狭いリニアモードを選ぶ必要があって悩ましいです。最低でもGoProマウント部分の角度はしっかり確認した方がよさそう。当然胸の前に配置してしまうと液晶は見えないので、スマホのプレビューを使うしかないです。

■液晶保護フィルム PDA工房 GoPro HERO9 Black Crystal Shield 光沢

購入と同時に貼ってしまったので、これのせいかどうかはわからないですが、タッチパネルの感度に不満が出ています。製品情報にも、

※GoProシリーズはタッチパネルの感度が弱めなため、保護フィルムを貼ると操作性が悪くなる場合がございます。その場合、画面をタッチする反対の手で機器本体に触れた状態で操作をすると改善する場合がありますのでお試しください。(機器の個体差や操作する方の感じ方により異なる場合がございます)

と書いてるくらいなのでなんらか影響は出ているんでしょうが、試しに剥がして比べてみて結局同じだったらもったいないのでとりあえずそのまま画面して使っています。まぁ、こうやって不利な注意書きをきちんと書いてくれるPDA工房は流石の老舗という感じ。サイズ感や視認性などはバッチリです。

 

以上、初期段階で購入したアクセサリでした。

他に気になってるものとしては、以下。そのうち買ったら順次上にあげてレビューをしようと思います。

■三脚穴を追加するアダプタ

底部のGoProマウント部に三脚穴も入るようにする交換式のユニット。前後方向の首振りはできなくなりますが、よりコンパクトな手持ち体制を作ったり、既存の三脚や雲台に装着するのに便利そう。交換してもデメリットはなさそうなので、そのうち買うと思います。

似たような製品が複数出品されていて、製造元が同じかどうかは不明ですが、レビューに結構差があって、ここが比較的評価高そう。

■52mmフィルターネジがつくケース

夏場、日差しが強くなってきてNDフィルターが欲しいなと感じたら、これをつけるか、下のGoPro専用NDフィルターをつけるかという選択になるのかなという気がしています。

3.5mmマイクアダプタを装着できたり、コールドシューがついたりと多才ですがやや大きくなるのと、メディアモジュラーと排他なのでどうかなという感じ。

■ND/CPLフィルターセット

こちらの方がよりコンパクトに取り付けられますね。ただMaxレンズ用は見当たらないので、今度どっちのレンズを多用することになっていきそうか見極めてから買おうと思います。

■SOULDERPODグリップ(スマホアダプタセット)

drikinさんが使ってたヤツ。小さくてお洒落で握りやすそう。機能面でいえば最初に紹介したUlanziの方が三脚にもなったりしていいんですけどね。なんか物欲そそります。三脚穴でとりつけるタイプなので、前述のアダプタが必要ですが、GoProマウント経由よりも低背の超コンパクト体制が組めそう。

ただグリップ単体はもうどこにも売ってなくて、こちらのスマホアダプタとセットになってるヤツしか見付からない。まぁiPhone12 Pro Maxの動画も綺麗なのであればあったら使う機会はあるかもですが。こちらも残り少ないので買うなら今かなと思いつつ、やっぱUlanziでいっかー、という気も。たぶんメディアモジュラーつけると使えないんじゃないかと。