帰省してきました（2）

翌朝起きて朝食を食べていると、TVで「石割桜が満開」という話題をやっていたので娘を連れて行ってみることにしました。
珍しくチャイルドシートを嫌がってぐずりましたが、いかんともしがたいので強制連行です(笑)。

あいにく天気は曇り空でしたが、石割桜は満開でたくさんの見物人やTVクルーが集まっていました。
正面からの画は人が多くて撮りにくかったので、側面からの写真です。

石割桜見物の後は、桜山神社前の飲み屋街を散策。
聞くところによると再開発で揉めているようですが、個人的にはこういう昭和の香りが漂う街並みは嫌いじゃないです。
一方で、サンビルのはす向かいで再開発されたエリアも、なかなかオシャレでよさげな感じでした。
こういった新旧二つの街が隣り合っている、というのも面白くて良いと思うのですが。

散策を終えて駐車場に戻る途中で、食道園を見つけたので昼食に冷麺を食べることにしました。
娘と3人で外食をするのは初めてですが、幸い座敷に座ることができたので助かりました。

ぴょんぴょん舎のスープに比べると色が濃く、甘く煮た肉の味を感じるスープ。
酸っぱい（なます？）きゅうり。
固く煮こまれた肉の塊。
素朴というか昔懐かしい味で、盛岡冷麺の元祖といわれると「なるほどな～」と思うけれど、現代の洗練された味と比べると一ランク落ちてしまうというのが正直なところ。
もし旅行で盛岡冷麺を食べに来られた方は、「ぴょんぴょん舎」「盛楼閣」といったお店と食べ比べしてもらえるといいのになぁと感じました。

夕方から相方の実家にお邪魔して夕食をご馳走になったのですが、相方が「体調が悪い」と言い出したので8時過ぎくらいに休ませてもらうことに。
パソコンや家電のことなど、普段話せる相手がいないというお義父さんが僕と話すのを楽しみにしてくれていたそうなので、夕食が終ったあとにでも付き合ってあげればよかったな～と、後から反省しました。(^^;

帰省してきました（1）

4ヶ月半になった娘の姿を見せに、岩手に帰省してきました。
余震もあり復旧時期が微妙だったことと、荷物が多いことから今回も新幹線はパス。
長距離ドライブは体力的にはきついけど、子供を連れて新幹線に乗る大変さを考えたら、やっぱり車という選択肢になっちゃいますね。

今回のレンタカーは、長距離ドライブということでハイブリッド車を選んでみました。
やってきたのはHONDAのインサイト。
メーター類のイルミネーションがなかなかカッコ良いです。
（燃費計が13.5km/lになっているのはまだちょっとしか走っていないから。1200kmくらい走って、実際の燃費は22.6km/lでした）

会社帰りにレンタカーを受け取り、28日の23時に自宅を出発。
幸い渋滞に巻き込まれることなく東北道を北上することができ、2時間ほど仮眠をとりつつ、相方のじいじゃん・ばあちゃんが住んでいる一関まで10時間で到着しました。
4時間ほどお邪魔したのですが、ひ孫を目にしたじいちゃん・ばあちゃんは大層な喜びようで、おいとまするのが申し訳なかった……。
やっぱりこまめに帰省して子供の顔を見せてあげないとなぁ。

その夜は僕の実家に泊まり、娘を初めて大きなお風呂に入れてあげました。
泣いたりするかなと心配したけど、お湯につかるのが気持ちいいみたいでお澄まし顔でよかった。
疲れきっていたので夜早く布団に入り、すぐに爆睡でした。

Adobe Reader Xをインストールすると「保護モード」の影響でOffice文書にPDFオブジェクトが貼り付けられなくなる件

長いタイトルですが、同様の事象で困っている方の検索に引っかかりやすくするためなのでご容赦を。

2009年にGumblarが猛威を振るって以降、情報システム管理者の頭痛の種はMicrosoftからAdobeに移った感があります。
Windows UpdateからSUS、WSUSへと、Microsoft系セキュリティパッチの集中管理の仕組みが整備されてきたのとは対照的に、（インターネットに接続するほとんどのPCにインストールされているであろう）Adobe ReaderやFlashといったソフトウェアは、システム管理者によるコントロールの仕組みが未だに整っているとはいえない状況なのです。
特に困るのが、自動アップデートの通信をInternet Explorerのセッションを介さずに独自で行おうとすること。
企業などの組織で導入されている認証プロキシの環境下では、認証の処理ができずにアップデートが正常に動作しないことが良くあるのです。

そんなお行儀の悪いAdobeのソフトですが、セキュリティ情報のページを見ていただければわかる通り、本当にひどい有様です。
Adobe ReaderやFlash Playerの項目を見てみてください。
セキュリティアップデートのあまりの多さに呆れてしまいますよ。
こんな脆弱性だらけのソフトが、自動アップデートも正常に働かない状態で、社内のほとんどのPCにインストールされているなんて……考えるだけでもぞっとしますね。
（もちろん、実際の環境では、自動アップデートの通信をキャプチャしてプロキシを越えられるように設定してあげるほか、個々のPCだけでなくプロキシサーバ上でもウイルススキャンをするなどの対策を行っているわけですが）

さて、そんなAdobeの切り札として登場した（かどうかは定かではないですが）のが、Windows版Adobe Reader Xに搭載された「保護モード(protect mode)」です。
これは、Adobe Readerの処理を一種のサンドボックス内で動作させることにより、たとえ脆弱性を突かれてもシステムに直接悪影響を及ぼせないようにするというもの。
サンドボックスという考え方は古くからあり一見妥当な対策に思えますが、実は運用上かなり厄介な問題を抱えているのです。

そんなわけで、ようやくタイトルの問題について。

Adobe Reader Xをインストールした環境で、Office(Word・Excel・PowerPoint)の [挿入] - [オブジェクト] メニューからPDFファイルを挿入しようとすると、以下のようなエラーダイアログが表示されて処理に失敗します。
（環境によって表示されるメッセージは様々なようです）

Windows 7 + Office 2003 SP3

Windows 7 + Office 2007 SP2

他のPCでOfficeファイルに挿入済みのPDFオブジェクトも、同様の事象で開くことができません。
これって企業ユースでは結構クリティカルな問題だと思うのですが、国内ではあまり騒ぎになっていないようです。
Adobe Reader Xを導入している企業がまだ少ないのか、オブジェクトとしてPDFファイルを挿入するような使い方をあまりしていないので問題にならないのかはわかりませんが……。

「保護モード」のログ機能を使ってみると、オブジェクトを挿入するときに発生するレジストリへのアクセスやイベントが片っ端からブロックされているのが分かります。
（Officeのバージョンによって詳細は若干異なる模様）
つまり、Adobe Reader Xの「保護モード」は、Office上でオブジェクトを挿入したり、挿入されているオブジェクトを開いたりするときに背後で行われている処理を、「不正な操作」とみなしてしまっているわけです。
通常こういった機能を実装する場合は、ホワイトリスト等によって正常な処理までブロックしてしまわないように留意するものですが、Adobeはそんなことはお構いなしのようです。

この問題は当然「保護モード」を無効にすれば解決するのですが、システム管理者としては以下の2点が課題となります。

1. ユーザの操作なしで「保護モード」を無効にするためにはどうすればよいか（一時しのぎ）
2. 「保護モード」を有効にしつつ、OfficeでPDFオブジェクトを扱えるようにするにはどうすればよいか（恒久対策）

「保護モード」は [編集] - [環境設定] メニューから無効にできますが、これを社内のユーザ一人一人にやってもらうのは容易ではありません。
また、人手で対応してもらうと、恒久対策を打つ際に「保護モード」を有効に戻す操作が漏れてしまう恐れがあります。
そんなわけで、できるだけレジストリ操作等で自動管理したいのですが、これに関する日本語の情報がほとんど見つかりませんでした。
仕方ないので米国のAdobeのサイトをあさり、ようやく見つけた技術情報がこちら。

• Application Security Library - Adobe Acrobat/Readerのセキュリティ技術文書のページ
• AcrobatApplicationSecurity.pdf - 「保護モード」などの管理方法に関する技術文書

上記のPDFの資料によると、「保護モード」のオンオフは、以下のレジストリ値でコントロールできます。（「2.2.3 Enabling Protected Mode via the registry」を参照）

HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\10.0\Privileged\bProtectedMode

DWORD値として0を設定すると「保護モード」が無効に、1を設定すると有効になります。
なお、上記のドキュメントにもありますが、デフォルトではこのレジストリ値は存在しないので、Adobe Reader Xのインストールの有無をチェックして自動でレジストリ値を設定するような処理を行う場合は注意が必要です。

次に恒久対策ですが、「2.2.6 Policy configuration」の説明と「保護モード」のログを組み合わせて設定ファイルを作成すれば対処可能のようです。
しかし、OSによる違い（XP・Vista・7および32bit・64bit）や、Officeのバージョンによる違い（2003・2007・2010）、を考慮して設定ファイルを作成するヒマがないので、現状手つかず。
設定ファイルをAcroRd32.exeと同じフォルダに置かなければならないという仕様も、集中管理しにくい感じですし。
当面は、Adobeが「保護モード」のデフォルト設定の改善を図るか、どなたかえらい人が設定ファイルを作成してくれるのを待ちたいと思います(笑)。

とはいえ、最近のAdobeは生意気にも「Windows版Adobe Reader Xは『保護モード』のおかげで脆弱性の影響を受けないから、6月14日のクォータリーアップデートまでWindows版のパッチはリリースしない」などと言っているので、「保護モード」を無効にする運用は早くやめたいんですよね。
どうせAdobeは動かないだろうから、代わりにMicrosoftのOfficeサポートに怒鳴り込めば回避用設定ファイルをくれたりしないだろうか……。

2011年4月のコミックス

• 8日 - 進撃の巨人(4)
• 聖様
• 19日 - あいカギ(2)
• 25日 - テルマエ・ロマエ Ⅲ
• HIRON様
• 26日 - 未来日記(12)
• ミゾ様
• 27日 - GUNSLINGER GIRL(13)

2011年3月のコミックス

• 4日 - エクセル・サーガ(26)
• ミゾ様
• 17日 - capeta(24)
• 17日 - red Eyes(15)
• 17日 - 続 星守る犬
• 17日 - うみべの女の子(1)
• 18日 - バーテンダー(19)
• helion様
• 23日 - おおきく振りかぶって(16)
• 23日 - 変ゼミ(5)
• 23日 - 宇宙兄弟(13)
• 25日 - もやしもん(10)
• 聖様

あれから1ヶ月

2011年3月11日に発生した東日本大震災、およびそれに伴う福島原子力発電所事故によって被災された方々に心よりお見舞い申し上げます。

あまりにも甚大な被害を目の当たりにして、僕はこの1ヶ月の間「震災うつ」とでもいうような状態でした。
平日は、帰宅後にニュースウォッチ9で被災地と原発の状態を確認するだけで精一杯。
週末はぼんやりと子供の相手をしているうちに一日が終わっていました。
震災後の3週間は、ＰＣを起動する気にもなれませんでした。

震災による直接的な被害を受けていない僕でさえ、この1ヶ月は時間が凍りついたような日々だったのです。
被災地で大切な人を、愛する家族を、思い出の詰まった家や街を、失った方々の心痛はいくばくのものでしょうか……。

しかし、それでも春はやってきました。

今日、統一地方選の投票のため近所の小学校に出向いたとき、いつの間にか桜が満開になっているのに気付きました。
今はまだ無理だけれど、一年後この桜が再び咲くとき、被災された皆さんの心に少しでも光が戻っていますように。
そんなイメージに向かって、僕は自分にできることを精一杯やっていこう。
そんなふうに思った、震災から1ヶ月後の今日でした。