iCloud Private Relayに向けたネットワークWebサーバの準備

iCloud Private Relayは、iCloud+サブスクリプションの一部として提供される、新しいインターネットプライバシーサービスです。iOS 15、iPadOS 15、macOS Montereyのユーザーは、よりプライベートかつ安全にWebサイトにアクセスし、ブラウジングできるようになります。Private Relayは、SafariでのWebブラウジングとDNS解決クエリを保護し、Appの安全でないhttpトラフィックからユーザーを守ります。Private Relayを経由するよう設定されたインターネット接続では、ユーザーがいる地域にマッピングされる匿名化されたIPアドレスが使用されるため、ユーザーの正確な位置や身元が明らかになることはありません。ネットワークにおいてPrivate Relayを利用するユーザーにベストな体験を提供する方法を確認しましょう。

概要

iCloud Private Relayサービスは、革新的なマルチホップアーキテクチャを採用しています。異なる事業者が運用する2つの独立したインターネットリレーを介してユーザーのリクエストが送信されるため、Appleを含むいかなる者も、ユーザーのブラウジングアクティビティの詳細を閲覧したり収集したりすることはできません。Private Relayでは、接続しているクライアントがiPhone、iPad、Macであることが検証されるため、接続元のデバイスがAppleデバイスであることが保証されます。Private Relayにより、ユーザーの元のIPアドレスは、当該サービスが利用するIPアドレスの範囲から割り当てられたものに置き換えられます。割り当てられたリレーIPアドレスは、同じエリアの複数のPrivate Relayユーザー間で共有される場合があります。デフォルトでは、ネットワークとWebサーバに提供されるリレーIPアドレスにより、クライアントのおおよその位置情報が都市レベルで正確に表されるので、IPアドレスに基づいて地域ベースの制限を課す際に、関連する位置情報をネットワークが受け取ることができます。

ネットワークオペレーター

Private Relay接続のための最適化

iCloud Private Relayは、UDPをベースにした新しい標準転送プロトコルであるQUICを使用しています。Private RelayでのQUIC接続はポート443とTLS 1.3を使って確立されるため、使用するネットワークとサーバがこれらの接続に対応している必要があります。

ネットワーク上でQUIC接続を管理する方法について詳しく(英語)

ネットワークのトラフィック監査への対応

一部の企業や学校のネットワークでは、その方針によりすべてのネットワークトラフィックの監査を行うことが求められる場合があります。このような場合、Private Relayへのアクセスをブロックするようにネットワークを設定することができます。この場合、ユーザーはそのネットワークでPrivate Relayを無効にするか、別のネットワークを選択するように求められます。

ユーザーに注意を促す最も簡単かつ確実な方法は、ネットワークのDNSリゾルバから否定応答を返し、Private Relayトラフィックで使用される以下のホスト名のDNS解決を回避することです。DNS解決のタイムアウトを発生させたり、Private Relayサーバに送信されたIPパケットを通知なくドロップしたりすることは避けてください。クライアントのデバイスでの遅延につながる可能性があります。

mask.icloud.com
mask-h2.icloud.com

Webサーバ

IPジオロケーションフィードへのアクセス

Webサーバを運用している場合、クライアントの地域に基づいてコンテンツをローカライズしたり、アクセスを制限したりすることができます。最新のマッピングを使用してフィードを更新するには、ジオIPデータベースのプロバイダにお問い合わせください。また、多くのジオIPデータベースのプロバイダは、これらのアドレスを「iCloud Private Relay」として注釈付けするため、サーバ上で簡単に識別することができます。

Private Relayでは、ユーザーがいる地域の情報は保持されるため、サーバはIPアドレスに割り当てられた地域を信頼することができます。デフォルトでは、接続がクライアントに最も近い都市に関連付けられるため、コンテンツの関連性を維持するうえでも役立ちます。また、Appleによる最新のIPアドレスと位置情報の一覧を確認することもできます。

IPジオロケーションフィードへのアクセス(英語)

Private Relay接続の信頼性

Private Relayを使用するすべての接続では、クライアントがiPhone、iPad、Macであること、およびユーザーが有効なiCloud+サブスクリプションを持っていることが検証されます。Private Relayでは、1回限りの認証トークンやレート制限など、不正防止の技術が採用されています。これは、Private Relayの使用の許可を有効なAppleデバイスと健全な状態のアカウントのみに限定するためです。さらに、デバイスからのブラウジングセッション中は一環したリレーIPアドレスが使用され、ユーザーがWebサイトにアクセスしている間、常に同じアドレスが表示されます。

IPアドレスにのみ依存する従来の不正行為検出は、正当なユーザーに影響が及ばないよう、アップデートが必要な場合があります。多数のPrivate Relayユーザーが1つのリレーIPアドレスに割り当てられる可能性があるため、こうしたアドレスを大規模なキャリアグレードNATまたはエンタープライズIPアドレスとして扱うことにより、この種類のトラフィックをより適切に処理することができます。

関連情報