バガボンドScanシリーズ掲載原稿：

F-Secure社のSSHサーバーとクライアント導入、構築から運用までのレポート（第五回）

今回はこれまでのまとめと総括をしてみたい。

Windowsで動くSSHのサーバーは他にもいくつか存在する。
☆SSH社のSSHサーバー（商用。有償）
http://www.ipsec.co.jp/
☆Cygwin（OpenSSHサーバーが実装されている）
http://cygwin.com/
☆OpenSSH on Windows
http://lexa.mckenna.edu/sshwindows/information/
☆SSHD for WinNT
http://caspian.dotconf.net/menu/Software/SSHD-NT/default.php

（今回は手が回らず、試すことが出来なかったが、関連では
☆JSch（100%pure JAVA）
http://www.jcraft.com/jsch/
というものある。）

SSH社のSSH以外はすべてフリーである。F-SecureSSHサーバーにとってはこのあたりが当面のライバルだろう。
このレポートではCygwinとOpenSSH on Windowsを比較対象として試してみつつ、F-SecureSSHサーバーとクライアントについて検証してきた。その結果をいくつかのポイントでまとめてみた。

（１）サーバーの導入・構築しやすさ、使いやすさという点
UNIXで各種のサーバーを構築する場合、今でこそGUIベースでサクサクできる例も増えてきてはいるものの、基本はテキストファイルをごりごり編集して起動というものだった。それに比べるとWindows上でのインストールは遥かに楽だ。
実際、F-SecureSSHサーバーについても、ほとんど何も考えずにインストールから起動まで行えた。
他の実装はと言えば、Cygwinは実はインストールにちょっと癖があるようで、多くの場合は問題無くインストールできるようだが、時々ダウンロード中やインストール途中でコケてしまうことがあった。また、インストール後起動させるまでには、sshd_configファイルの内容をエディタで編集し、コマンドラインから起動する必要があった。手間から言えばこのあたりは一手間二手間かかっている。
OpenSSH on Windowsだが、これはCygwinに比べると簡単だ。インストールはほとんど何も考える必要が無い。ただ、起動する前にSSHサーバー上のアカウントグループの登録（mkgroupコマンド）とユーザーアカウントの登録（mkpasswd）を行う必要がある。この分は一手間。また、SSHサーバー上のアカウントが必要となるので、AdministratorなどのOSのアカウントではないことでセキュリティ面のメリットと運用面でのデメリットがあると言えるだろう。Security Wireとしてはセキュリティ面を取り、一手間と差し引きイーブン。

F-SecureSSHサーバーのこの点での評価は、他と比べてもGOOD。というところだろうか。ただし、SSH社のWindowsプラットフォームのサーバーと比べてどうだろうか。そこは知りたいところだ。

（２）サーバーのデフォルト設定などの安全性
CygwinでのOpenSSHと、OpenSSH on Windowsはデフォルト設定は同じである。Windows上でのSSHサーバーの場合、最低限セキュリティ面から気にしたい設定はPermitEmptyPasswdくらいだろうか。
PermitEmptyPasswdはすべてのサーバーがデフォルトでnoとなっている。
F-SecureSSHサーバーの場合、ユーザーコントロールという面ではさらに細かい設定が可能だ。
認証時に設定が可能なのは、PasswordGuesses（ユーザー認証失敗の許容回数＝デフォルトは３回）、AuthInteractiveFailureTimeout（認証時の入力失敗時、次回入力までのインターバル＝デフォルトは２秒）、AuthKbdInt.Retries（許容試行回数＝デフォルトは３回）などであろう。特にAuthInteractiveFailureTimeoutは、辞書攻撃・総当り攻撃避けになるものだ。

上記のような設定が可能なのはやはりアドバンテージがあると言えるだろう。従ってここでもGOOD。

（３）他のSSHとの接続性
接続自体には何の問題も無かったが、日本語入出力だけは引っかかった。自社のサーバーに自社の端末エミュレータで繋いで日本語に問題があるというのはいただけない。ただそれでも自社製品の場合はFile Transferという代替手段があるので、あまり気にしないでも良いことだが。
こうなるといちゃもんというか、クレームに近いことかも知れないが、やはり他の端末エミュレーターからも含めて、しれっと日本語入出力できてい欲しいところだ。従ってこの点はNot GOOD。

（４）機能その他
やはり売り物だけあって、OpenSSHなどでは手間や別モジュール、別ソフトウエアで実現しなければならない部分をオールインワンで実現できているところはさすがだと思う。tcpwrapperで補完したりする部分をこれだけでできるというのは、やはり楽であると同時にミスするリスクは少ないだろう。
また、PAMなどのWindows上では面倒になってしまう実装に頼らなくても、認証関連はサクッと設定できてしまうところも良い。Administratorでの直接ログインをさせない、というのもチェックボックス一つで簡単に設定できるのだ。一方OpenSSHの場合は、Administrator直接ログイン不許可設定にどうやってすれば良いのかわからない。PermitRootLoginはあるのだが、効き目が無いようだった。やはり、安全度が高い設定としてはAdministrator直接ログイン不許可で、一旦一般ユーザーでログインして、それからrunas（このコマンドはWindows2000以降にしか無いが）でAdministratorとなる、というのが良いのではないだろうか。
さらに安全面では、トンネリング（ポートフォワーディング）のアクセスコントロールにユーザー設定などが可能であるのが良いところだ。
また、このF-SecureSSHサーバーはSFTPの詳細なログ設定が可能である。ここもアドバンスだろう。
認証を含む機能面ではさすがに売り物だけのことはあるようだ。
しかし、あえて言うならばもう一歩煮詰めて欲しいところもあった。例えば認証時のセッション確立までが一番遅かったりするところだ。だが、サーバーに関してはほとんど欠点が見当たらない印象だった。そして前回書いたように、マニュアルも良く出来ていたと思う。

というわけでこの項目もGOOD。

サーバー総評：
F-SecureSSHサーバーの最大の弱点は、やはりお金がかかることだろうか（笑）。最低で10万円してしまうというのは、今の世の中かなりツラい。それならば知識と人手をかけてフリーで作り上げる方が、と思うユーザーも多いのではないか。
ただ実際は、知識と人手をよくよく合計すると10万円くらいは平気で到達していたりするかも知れない。その意味ではこのF-SecureSSHサーバーは導入が簡単であり、デフォルト設定も安全であり、認証やアクセスコントロールもコレ一つでできるため、10万円払えばあとはごく簡単な導入作業があるのみである。
どちらが本当にお得なのかと言えば、担当する人にも拠るがけっこういい勝負だと思う。
なまじ何も知らないところからいろいろ勉強してしこしこ構築するよりも、すぱっと10万円で購入した方が良いのではないだろうか。
ということでこれは（特にSSHについてこれから自前で勉強しなければならないサイトなどには）お勧めである。（ただ、SSHについては、勉強が必要なことはそんなに多くない、とも思っている。従ってF-SecureSSHサーバーが入り込むことができる部分（市場）は、それほど大きくない？）

Windowsで動くSSHクライアントは、サーバーのところに出てきたもの以外では、
☆PUTTY
http://hp.vector.co.jp/authors/VA024651/
☆Tera Term Pro Web
http://www.ayera.com/teraterm/download.htm
がある。SSH社のもの以外すべてフリー。（Tera Term Pro2.3+TTSSHはSSH１のみであるので割愛した）

クライアント総評：
申し訳ないがクライアントは総評というかたちでダイジェストさせていただきたい。
クライアントはライバルが多い。特に端末エミュレータはPUTTYがやはり使いやすい（もちろん慣れもあるが）。日本語という点でもPUTTYの方が良い。
ただ、同じ端末でもポートフォワーディングは少し話が違う。ポートフォワーディングというのがあるのは知ってるんだけど、何をどうしたらどういう効果があるの？というのが理解できていない人にとってはかなりとっつきづらい。
その点F-SecureSSHのクライアントは（出来が良いマニュアルのおかげもあって）わかりやすい。フォワーディング関連で設定する画面も「送信用」「受信用」などと分かれていて認識しやすい。
あとF-Secure側で大きいのは、やはりFile Transferクライアントだろうか。Windowsユーザーにはこのクライアントはお馴染みのインタフェースだろう。ファイル編集後保存されるディレクトリなど、細かな点を除けば、このクライアントはやはり非常に使いやすいと思う。
しかし、やはりクライアントもお金が問題だろうか（笑）。ミニマムで1-4ライセンスが15000円、年保守3000円となっているが、15000円と上記便利さというのは、これまた非常に良い勝負なのではないだろうか。そして今は、どちらかと言えばお金をかけないソリューションが勝ってしまうのでは、と感じている。F-Secureさんのためには、そうならないと良いのだが。
というわけで、ポートフォワーディングのユーザーインタフェースと、File Transferクライアントの使いやすさと、よく出来ているマニュアルは捨てがたいものの、クライアントに関してはそこそこのお勧め度にとどめたい。