SSH / VNC ガイド
2026年4月7日
2026 クラウド Mac SSH ポートフォワードセキュリティ方針:LocalForward、RemoteForward、SOCKS
MacLogin セキュリティチーム
2026年4月7日
約 8 分で読めます
SSH ポートフォワードは、レンタルした Apple Silicon クラウド Mac 上のデータベースダッシュボード、社内 API、OpenClaw ゲートウェイワークフローを支える見えにくい配管です。同時に共有ホストに意図せぬ穴を開ける最速の手段にもなり得ます。本 2026 年方針テンプレートは、セキュリティおよびプラットフォーム責任者向けに意思決定マトリクス、具体的な sshd_config のレバー、チケット追跡しやすい承認経路を提供し、エンジニアの速度を保ちつつガバナンスを迂回しないようにします。
ホップ設計は 踏み台と直結 SSH、アプリ固有の LocalForward は SSH 越しの OpenClaw リモートゲートウェイ、フォワードを名前付きアイデンティティに紐づけるには SSH 鍵ローテーション と併せて読んでください。
誰が文書化されたフォワード方針を必要とするか
- セキュリティエンジニア:ビルド用 Mac に
5432などのポートが突然現れた理由を監査人に説明する必要がある場合。 - プラットフォームリード:HK、JP、KR、SG、US などで MacLogin ノードを運用し、請負と正社員のアクセスが混在する場合。
- 自動化オーナー:
0.0.0.0に生のリスナーを晒さずに CI Webhook やエージェントゲートウェイを橋渡しする場合。
フォワードモードの比較(2026)
| モード | 典型的な用途 | リスク | デフォルト方針 |
|---|---|---|---|
| -L LocalForward | ノート PC からクラウド側ループバックサービスへ到達 | 中——誤バインドで LAN に露出し得る | チケット付きでループバック宛てを許可 |
| -R RemoteForward | ノート PC のサービスをクラウド側に公開 | 高——想定外のインバウンド | 署名付き例外がない限り拒否 |
| -D 動的 SOCKS | Mac 経由の汎用エグレスプロキシ | 高——DLP の死角 | 期限付きブレークグラスのみ |
設計ルール: クラウド Mac 上では
127.0.0.1 で終端するフォワードを優先し、SSH 以外のクライアントが必要ならエッジ TLS や VPN を追加します。HTTPS 経路は Webhook TLS リバースプロキシ のパターンと揃えてください。実務で効く sshd のつまみ
Runbook でレンタルホストの設定変更が許される場合、上記マトリクスに沿って次の OpenSSH ディレクティブを揃えます。
AllowTcpForwarding: ブレークグラス用アカウントはno。-L 系のみならlocal。PermitOpen: 宛先をホワイトリスト化(例127.0.0.1:18765)。共有シェルからインターネット全域を開けないようにする。GatewayPorts: 明示的にフォワードを公開しない限りno。レンタル Mac でのパブリックバインドは稀にしか正当化されません。
警告: 管理シェルを閉じる前に、別セッションから変更を検証してください。キープアライブのトラブルシュート と併用し、方針調整がネットワーク不安定と誤認されないようにします。
5 ステップ承認 Runbook
- チケット項目: エンジニア ID、送信元 IP レンジ、宛先 host:port、モード(-L/-R/-D)、時間枠、ビジネスオーナー。
- リスク区分: データ分類(PII、シークレット、公開)と、既存 ZTNA を迂回するかどうか。
- ピアレビュー: RemoteForward または SOCKS は 2 人目のプラットフォームエンジニアの ACK が必要。
- 実装: 承認済みフォワードはチャットの即席 CLI ではなく
~/.ssh/configブロックに記述する。 - 自動失効: 期限後に
Match User節や ACL を削除するカレンダー通知を設定する。
FAQ
MacLogin が sshd 方針を代行してくれますか? アイデンティティとトンネル統制はお客様の責任です。接続のベースラインは ヘルプ を参照し、sshd_config は自社の変更管理に従ってください。
新規ノードはどこに置くべき? 特定リージョンを前提としたフォワードを広げる前に、料金 ページで RTT を比較してください。
