セキュリティ 2026-04-27

>> 2026 クラウド Mac を OpenClaw 用に借りる: セキュリティとネットワーク—localhost バインド、SSH トンネル、キー ローテ、本番/ラボ ユーザ分離

// 著: SlimVps 編集部 // 日付: 2026-04-27 // 所要: 約16分

要約: OpenClaw がレンタル Mac mini M4 上でシェルとツールを動かせる段階では、小さな本番ホスト扱いにし、「IP を知らない人がいない」前提に頼らない。既定姿勢は管理・デバッグ端口を 127.0.0.1 にバインドし、SSH ローカル ポート転送で到達、人手のシークレットは概ね 30 日、マシントークンは 90 日監査、ログはブート ボリューム外へ退避、本番とラボの macOS ユーザを UserName 明示付きで分ける。導入・オンボードとワークロード表は併設の 軽量デプロイ手順 側にあり、本ページは 露出と運用リズム だけを締める。

SKU とリージョンの予算付けは引き続き ライト M4 ノード表。同一マシンでブラウザ QA も行うなら Safari/WebKit クラウド QA も。スクリーン共有の角は VNC ガイド、汎用接続は ヘルプ

  • ゲートウェイはメッセージに答えるが、どの TCP ポートが外から届くかは一覧化されない。
  • エンジニアは トンネル表 なしにランダムなノートPCから管理 UI を開いている。
  • API キーは履歴・スクショ・チャットに残り、ローテはカレンダーに乗らない。

脅威モデル: レンタル Mac 上の OpenClaw

単一テナントの macOS セッションでも、常識的スキャンがよく使う端口に当たる、誤った 0.0.0.0 バインド一つでデバッグ UI が公衆入口に化ける、漏れたメッセージ トークンは実質リモート シェル、と仮定する。「インターネットに出る」と「ゲートウェイを管守する」を分ける: 前者は外向き方針と DNS ログ、後者は SSH とループバックのみ待受に。

本番シェルは共有しない: 複数人が同じ macOS アカウントで OpenClaw を直すと監査は「誰かが何か走らせた」に潰れる。少なくとも openclaw-prodopenclaw-lab ユーザを作り、各 LaunchDaemon plist の UserName を明示する。

待受バインドとトンネル判断表

表で「公衆に出してよいか?」を点検—既定の答えは no。

サービス 推奨バインド 到達方法 公衆 HTTP をどうしても出すなら
ゲートウェイ管理/デバッグ UI 127.0.0.1 ssh -L 18789:127.0.0.1:18789 user@host(端口は例) TLS・認証付き専用リバプロの前段に置く—0.0.0.0 に生 Node を直出ししない
OAuth ループバック コールバック ループバック + 固定リダイレクト SSH トンネルか、Mac 上の一時ブラウザ 都合のため定常的な公衆 DNS 名にコールバック端口を載せない
メッセージの長期接続 外向き主導 NTP を健全に保ち、トークンは env 注入(コミット不可) 世界読み取り共有フォルダにチャンネル デバッグ ログを垂れ流さない

8 ステップ強化プレイブック

  1. 待受の棚卸し。 lsof -nP -iTCP -sTCP:LISTEN を回しベースライン存檔、*:PORT の異常を追う。
  2. 管理系は 127.0.0.1 に固定、対応する ssh -L を社内wikiに書く。
  3. LaunchDaemon ごとにユーザを分け、私物ログインに本番デーモンを載せない。
  4. git へのシークレント禁止、短寿命トークンと、~/.openclaw 退避 tar の暗号化オブジェクト保管を推奨。
  5. 週 1 ファイアウォール ログ抜粋 で SYN 氾濫や 1IP 当たりを探す。
  6. ~/.openclaw ログ日次ローテ14 日超は gzip してコールド格納。
  7. チャンネルと LLM ベンダキーをオンコールローテと同じカレンダー に乗せる。
  8. 四半期失効訓練: 意図的に 1 本失効し、沈黙ではなく意図した劣化に落ちるか見る。

これは 導入・デーモン・症状表 の上乗せで、オンボードの代替ではない。

シークレット ローテと監査カレンダー

ローテは罪悪感ではなくカレンダー: 人手コピー系長期キーは概ね 30 日、マシン専用原則は可能なら 90 日、「仮の」デバッグ資格は 24 時間以内失効。順序: ラボ ユーザで検証 → launchd 環境更新 → ロール再起動 → 最後に旧シークレット失効。

資格情報種別 周期 注記
メッセージ ボット トークン 30 日かベンダ最小 ワンクリ ローテ可のベンダ優先; 漏洩は全面侵害とみなす
ホスト型 LLM API キー(本番) 30 日 + 利用アラート 本番キーをラボ口に使わない
プリサイン オブジェクト URL ジョブ毎 ≤24 時間 放置マルチパートは cron で掃除

外向き、DNS、ログ退避

「喫茶店のルタの DNS 次第」に依存するエージェントはクラウドでランダムに壊れる。社内承認の 信頼リゾルバ へ、解決失敗は上限付き再試行で記録。ログは機微の可能性: まずローカル ローテ、SIEM かオブジェクト保管へ出してブート ボリュームは常に 40GB 以上空き。 25GB 割れなら大物 DL を止め、スワップ遅延が TLS エラーを装うのを先に切る。

モニタに貼る数値: 16GB SKU で持続的 RAM 圧が 14GB 超なら、さらに「安全」プロキシを重ねる前に並列を下げる—さもなくば TLS 握がネット不具に見える。

本番とラボの macOS ユーザ分離

最低限: 本番ユーザはリポジトリを読み取り専用でマウント+本番トークン、ラボは /tmp 書き可と隔離 ~/.openclaw。本番シェルから「ちょい危険 curl」は禁物—その一文をオンボード文書のトップに。2 台分より安い。

macOS が GUI 同意を要するなら VNCラボ セッションで使い、本番キーチェーンを汚さない。

FAQ: クラウド上の OpenClaw セキュリティ

Tailscale や WireGuard は SSH -L の代替になるか? メンバ一覧と ACL を回す覚悟があるなら可、でなければ小さいチームでは SSH 転送が最も摩擦が小さい。 本ページはデプロイ手順の代替か? いいえ、先にデプロイ、次に本ページ。 Safari 回帰と混在? ピークをズラし、ユーザ分離を。

分離ゲートウェイ サンドボックスに Mac mini が合う理由

GUI 触りエージェントに macOS 権限の意味論 が要るなら、挙動の予測性と Apple Silicon 両立で Mac mini M4 がデフォ。ユニファイド メモリでゲート+小道具の同居が安定し、Neural Engine は埋め込み採用時、小型筐体は「1 役 1 台、既定 SSH」文化へ誘導—OpenClaw のセキュリティ文化と相性が良い。

SlimVps を 2 台、本番ゲート/ラボゲートと割るのは、共有アカウント侵害からの復旧より安い。 料金ページで購入を基準に、短借でトンネル検証し、月次運用に焼き込む。

// システム.CTA

> チャンネル増やす前に待受を締める

SlimVps のリージョンとプランを選び、ゲートウェイをループバックにバインドし、SSH とユーザ分離で攻撃面を監査可能に保つ。