Gateway を 0.0.0.0 で待ち受けない方がよいのはなぜですか？

0.0.0.0 は管理面をすべてのインターフェースに晒し、デフォルトや弱いトークンと組み合わさるとスキャンや未認証呼び出しが容易になります。本番では 127.0.0.1 に束縛し、TLS 終端とアクセス制御はリバースプロキシやトンネルに任せます。リモート Mac 実行層も必要なら、Mac mini レンタル料金ページとヘルプセンターでノードと外向き通信を設計し、許可リストと突き合わせてください。

openclaw.json を編集したあと、最初に走らせるべきコマンドはどれですか？

まず設定検証（例：openclaw config:validate）を実行し、続けて doctor でスキーマと実行時の不整合を確認します。既知の無効キーを自動整理する場合は変更ウィンドウ内で doctor --fix を使い、前後の設定スナップショットを残してください。

OpenClaw とクラウド Mac 実行層のドキュメントはどこから読めばよいですか？

ブログ索引の OpenClaw カテゴリ一覧とヘルプセンターで接続とポリシーの文脈を押さえ、本チェックリストに戻って待ち受け、トークン、dmPolicy、networkPolicy がすべて有効か確認してください。

2026 OpenClaw Gateway のセキュリティ強化と最小露出：ループバック束縛、トークンローテ、dmPolicy／networkPolicy と実行承認の本番チェックリスト

一分でわかる脅威モデル：デフォルト Gateway で最初に直すべき三つの論点

OpenClaw の価値はモデルとセッションを常駐 Gatewayに集約することにあり、リスクもそこに集中します。資格情報・ツール呼び出し・外向き通信を同時に握るからです。オンボーディングが「コンソールが開けば OK」で止まり、待ち受けアドレスやトークン、ポリシーブロックが初期値のままなら、丁寧な社内アシスタントではなく推論付きの遠隔実行入口を公開しているに等しい。本稿は Linux systemd＋トンネル、Docker Compose 本番、クロスプラットフォーム導入、本番観測の各記事と補完関係です。向こう側がプロセス起動とログ読み方なら、こちらは露出と権限を監査可能な状態まで縮める話です。

Gateway をコントロールプレーンの一部とみなしてください。認証に通った主体は自動化を操り、設定を読み、ツール経由で内部 API に届くことが多いからです。そのため「自分のノートでは動いた」構成が監査で通らないのは、トークン流出・悪意あるスキル・モデルへの誘導が起きたときの爆発半径を説明できないからです。以下のチェックリストは、パッケージ論争の前にプラットフォームとセキュリティが同じ成果物を採点できるように書いています。

次の六つはレビューで最も頻出の穴です。OpenClaw を否定するものではなく、「開発モードから本番モードへ切り替えるべきサイン」です。二週間以内にスキャン騒音、誤接続、越権セッション、想定外の外向き通信などが二つ以上重なったら、機能開発を止めて先に強化してください。

01
待ち受け面が広すぎる：0.0.0.0 や「全インターフェース開放」に相当する設定では、管理 API とデバッグ用ポートがスキャナの視界に入ります。
02
トークンが長期固定：ゲートウェイトークンとチャット入口トークンが混在し、平文リポジトリや同期フォルダに置かれていると、漏えいから侵害までの距離が極端に短くなります。
03
身元面が無制限：dmPolicy の allowlist が無いと、新規セッションが既定ポリシーで受け入れられ、ログだけでは「誰がいつどのエージェントに入ったか」を答えられません。
04
外向きがデフォルトで広い：networkPolicy や egress ホワイトリストが無いと、プロンプト注入や悪意あるスキルが内部メタデータや秘密の経路を持ち出す余地が残ります。
05
実行面に承認がない：高リスクなシェルやファイル操作に人の承認や二段階確認が無いと、誤ったプロンプト一回で不可逆な破壊が起き得ます。
06
変更が追えない：JSON を手編集し検証や doctor を飛ばすと、ロールバック時に「どのキーが起動拒否を招いたか」を diff できません。

三行に圧縮した優先順位は、まず待ち受けを絞る → 次に秘密をローテして保管 → 最後に身元・外向き・実行ポリシーを重ねるです。順序を逆にすると、ポリシーは綺麗でも管理面が公網から直撃できるまま、という典型パターンになります。

「トンネルが暗号化するから Gateway はループバックでなくてよい」と混同しないでください。トンネルは経路の秘匿と入口統合を担い、プロセスの待ち受け最小化を自動では完了しません。理想形は Gateway がループバック側のリバプロまたはトンネルクライアントだけを信頼し、外側で mTLS・WAF・レート制限を掛けることです。トンネル設定が漂えば、内側のサービスだけが不意に露出するケースがあります。

運用上の注意として、デュアルホームや host ネットワークのコンテナでは、設定ファイルが localhost と書いていても実際のソケットが再露出することがあります。OS パッチ、コンテナランタイム、CNI の更新のたびに、プラットフォーム標準の手段で待ち受けを再確認し、アーキ図と突き合わせてください。「127.0.0.1 に束縛」は文字列ではなくテストで担保する性質です。

最後に、強化は一回きりのプロジェクトではありません。OpenClaw のメジャーアップグレード、モデルベンダ変更、新しいスキルのたびに検証と doctor を再実行し、観測記事で述べるイメージ digest や設定バックアップと同じ変更票に差分を残してください。設定ドリフトと可用性インシデントは同じシステムの裏表です。

対照表：開発モードの Gateway と本番モードの Gateway

「デモの疎通」と「誤操作とスキャンに耐えるか」は別採点にしてください。前者は ping とハッピーパス、後者は待ち受け・身元・外向き・実行・追跡可能性の五要素です。表はプラットフォームとセキュリティが「どこに載せるか」「誰が再起動するか」と切り離して語るための共通語彙になります。

観点	開発モード（ローカル quick start）	本番モード（監査可能な常駐）
待ち受け束縛	デバッグのためにNIC範囲を広げがち	既定は 127.0.0.1、外向きはリバプロ／トンネルが握る
資格情報	トークンが平文や短命スクラッチのまま	ローテ、シークレット管理、配布面の最小化
セッション身元	LAN や単一ユーザ前提の信頼	dmPolicy allowlist、未知の発信元は拒否
外向き	公網モデルとツールをデフォルト許可	networkPolicy と egress ホワイトリストで SSRF／持ち出しを抑止
高リスク操作	速度優先でシェルを直実行	実行承認や等価の人間ゲート、コマンド監査を永続化

本番 Gateway の良し悪しは「機能の多さ」ではなく、悪いプロンプトと悪意あるスキルが同居してもデフォルトで安全に失敗するかどうかで測ります。

エージェントがリモート Mac 上のビルドやリリーススクリプトまで動かすと、Gateway 境界は CI 資格情報、社内レジストリ、ベンダ API と交差します。外向きホワイトリストと実行承認を runbook に書き込む方が、単純な FW 追加だけより連鎖事故を減らしやすいです。NodeMini のリモート Mac 算力は署名付き実行バックエンドとして向きますが、ゲートウェイ側を先に締めることが前提で、クラウド Mac が公網スクリプトの踏み台にならないようにしてください。

四半期レビューやベンダアンケートでは行ごとにオーナー・証跡（設定抜粋、チケット、自動チェック）・更新日を割り当て、「OpenClaw を強化した」という抽象を SOC や顧客監査がサンプリングできる形に落とし込みます。

複数環境がある場合は階層ごとに表を複製し、開発向けショートカットが許される場所を明示してください。ステージングは資格情報こそ違え、ポリシーの形は本番に寄せないと、インシデントリハーサルが空想になります。ステージングと本番の差分は、ロールバックの驚きの温床です。

六段階ロールアウト：ループバック束縛から dmPolicy／networkPolicy の重ね掛けまで

前提は Gateway の基本導入とローカルヘルスチェックが済んでいることです。キー名はインストール中の OpenClaw バージョンのスキーマに従ってください。編集前に openclaw.json をバックアップします。順序はネットワーク待ち受けとトークン → 身元と外向き → 最後に実行承認と検証です。

01
ループバック束縛：Gateway の待ち受けを 127.0.0.1（または公式が推すローカルソケット等）に限定し、公網から届く余計なデバッグポートが無いことを確認します。
02
トークンローテ：公式 CLI で十分な長さのゲートウェイトークンを生成し、シークレット管理に格納。クラウドドライブ同期やチャットへのスクリーンショット貼り付けは禁止します。
03
dmPolicy 設定：チャット／セッション発信元の allowlist（ユーザー ID やセッション ID 粒度）を張り、未知主体は既定拒否。変更チケットに責任者を記録します。
04
networkPolicy 収束：デフォルト全許可を止めるか、モデル API・必須ツールドメイン・社内レジストリを明示した egress_allowlist に切り替えます。リモート Mac 連携では Apple／Xcode 関連ドメインを別レビューします。
05
実行承認を有効化：シェルや破壊的文件操作など高影響ツールに人の承認または等価な二段階確認を要求し、監査ログを観測記事で定義した収集パスへ流します。
06
検証とドリル：config:validate のあと doctor を実行し、続けて「未承認セッションからの接続試行」と「ホワイトリスト外ドメインへの意図的アクセス」という小さなレッドチーム演習を行い、失敗が安全側の失敗であることを確認します。

ステップ二と三のあいだに、旧トークンの所在洗い出しを挟んでください。CI 変数、バックアップ、開発者のドットファイルまで列挙し、ローテしたのに古いコピーが残るのは半分しか回していないに等しいです。可能ならエッジは短命トークン、長寿命シークレットはシークレット管理境界の内側だけに閉じ込めます。

ステップ四では依存クラスを文書化します：推論、成果物取得、テレメトリ、サービスメッシュ出口など。ベンダ URL は社内レジストリより変わりやすいのでレビュー周期も分けます。下位環境で観測した DNS ルックアップと許可リストの月次 diff を自動化し、本番昇格前に差分を確認してください。

json5 意図例（キーは版に合わせて調整）

// 断片：意図の説明用。本番前は必ずスキーマと公式ドキュメントに従う
{
  "gateway": {
    "bind": "127.0.0.1",
    "auth": { "token": "${ENV_OPENCLAW_GATEWAY_TOKEN}" }
  },
  "dmPolicy": {
    "mode": "allowlist",
    "allowIds": ["U-INTERNAL-1", "U-INTERNAL-2"]
  },
  "networkPolicy": {
    "allow_egress": false,
    "egress_allowlist": ["api.openai.com", "api.anthropic.com"]
  }
}

info

ヒント：systemd や Docker で載せる場合は、環境変数注入とボリュームマウントをユニットや Compose コメントに残し、「コンテナ内トークンがバインドマウントの平文」のままホスト権限と食い違う、という事故を避けてください。

JSON スケッチをステージングに載せたら、本番と同じ Gateway バージョンで許可／拒否の両経路を統合テストします。doctor と実行時の版ズレは安心感の偽陽性を生みやすいので、チケットに版をピン留めし、設定スナップショットと合わせてハッシュやパッケージ識別子を残してください。

doctor・ロールバック・誤設定の兆候：安全に後退するには

openclaw doctor は「Gateway が起動しない」を暗記から、エラーコードと欠落キーの一覧へ落とします。変更ウィンドウでは doctor 出力をチャット要約ではなくチケット添付にしてください。歴史的無効キーの整理にはレビュー後に doctor --fix も使えますが、修復前後で設定スナップショットを必ず保存し、秒単位でロールバックできるようにします。

典型例：dmPolicy が厳しすぎて認証は通るがセッションが拒否される、networkPolicy が広すぎてセキュリティレビューに落ちる、狭すぎてモデル／ツールのドメインが間欠的にタイムアウトする。対処の型はまずスナップショットで可用性を回復し、変更粒度を小さくしてカナリアです。本番で当てずっぽうをしない。Gateway がリモート Mac 実行層と連動しているなら、Mac 側の出口と秘密が新しい許可リストと一致しているかも同時に見ます。

監査観点ではトークンローテ記録、dmPolicy／networkPolicy の diff、実行承認ログの抜粋、メジャーアップグレードごとの doctor レポートを保持します。観測記事と組み合わせ、プロセスログの拒否イベントとリバプロのアクセスログを突き合わせれば、ポリシー劣化と上流飽和を切り分けられます。

四半期ごとに「資格情報が一部侵害された」前提のゲームデーを回し、負荷下でトークンをローテし、dmPolicy からテスト主体を外し、アラートが実務的な文面で鳴るか検証します。目的は責任追及ではなく、本番前に手が動くかの確認です。偽陽性はサービス SLO と同じ厳しさで閾値調整に記録してください。

warning

注意：トラブルシュートのために実行承認を長期オフにしたり、allow_egress を全面許可に戻しっぱなしにしないでください。やむを得ず広げるなら時限チケットと自動ロールバックをセットにし、「一時デバッグ」が恒久的なバックドアにならないようにします。

ロールバックしたら、症状を待ち受け面・トークン寿命・ポリシー diff・自動化欠落のどれに結び付けたかを記録するポストモーテムをブレームレスで開き、次のスプリントに還流させてください。検証を飛ばした緊急編集の繰り返しを防ぎます。

参照プラクティスと実行バックエンド連携時の確認事項

以下は公開ドキュメントとコミュニティ実践の要約で、レビューで期待値を揃えるためのものです。CLI サブコマンドやスキーマ項目は、インストール済みの OpenClaw 版に従ってください。

ローカル束縛を優先：多くの本番形は Gateway をループバックに置き、TLS とアクセス制御はリバプロ／トンネルで終端します。カスタムポート（例：18789）に誰が届くかはプロキシ層の方が監査しやすいです。
egress ホワイトリストの粒度：モデルベンダ・必須ツールドメイン・社内 artifact／レジストリの三類に分けるのが一般的です。リモート Mac では Apple／Xcode 更新ドメインや社内プロキシの扱いを別枠で決めます。
ヒト介入ゲート：ファイル削除、パッケージマネージャのグローバル導入、クラウド資格情報操作などはレビューを残し、爆発半径を「プロンプト一回」から「チケット一回」へ寄せます。

トークンも egress 制約も無いまま Gateway を公網に晒すと、派手なデモと同時に SSRF・資格情報窃取・サプライチェーンリスクが増幅します。さらに macOS ビルドを非サポート仮想化に無理やり押し込むと、署名と Metal まわりに技術負債が残ります。安定したリモート Mac をエージェント実行バックエンドにし、ネットワークと秘密の方針を契約と runbook に書きたいチームは、まず Gateway の最小露出を完了させ、計算をリージョンとディスク階層を選べるクラウド Mac ノードに載せるのが現実的です。責務分離はこうです。Gateway は「誰がモデルとツールを呼べるか」、リモート Mac は「Apple エコシステム内で再現可能なビルドとリリース動作」を担い、橋はホワイトリストと承認チェーンです。

方針が揃ったうえでのNodeMini Mac mini クラウドレンタルは、CI と自動化向けに予測可能な macOS 環境を得る選択肢です。ディスク・リージョン・メンテ窓を SLA として折衝し、第一から四節の技術コントロールと揃えて調達文言に落とし込んでください。

完了宣言の前に、オーナー・証跡リンク・最終 doctor 実行日を一枚にまとめたアテステーションを用意すると、顧客のセキュリティレビューや社内監査でリポジトリ探索より速く通ります。

FAQ

よくある質問

0.0.0.0 は管理面をすべての NIC に晒し、スキャンと未認証呼び出しが容易です。まず 127.0.0.1 に束縛し、TLS とアクセス制御はリバプロ／トンネルに任せてください。リモート Mac 実行層も必要なら、Mac mini レンタル料金でノードと外向きを設計し、許可リストと突き合わせ、ヘルプセンターで接続ポリシーも確認してください。

まず設定検証（例：openclaw config:validate）を実行し、続けて openclaw doctor でスキーマと実行時を照合します。既知の無効キーを自動整理する場合は変更ウィンドウ内で doctor --fix を使い、前後のスナップショットを残してください。

まず OpenClaw カテゴリ一覧とヘルプセンターを読み、本チェックリストに戻って待ち受け・トークン・dmPolicy・networkPolicy がすべて有効か確認してください。