(2025-05-28) Sequoiaにアップデートすると待っている地獄
★macOS Sequoia最新版で DICOMクエリ/リトリーブは使えない。
★一回だけ通信許可を発行できる。しかしSequoia 自体のマイナーアップデートで、再度設定を変更する確認がとられ、ここで操作を間違えると次のマイナーアップデートまで変更できない。
★さらにSequoia 15.5からAFP(Appleファイル共有)の排除がアナウンスされました。(Windowsファイル共有の古いものはとっくに抹消されている)
数ヶ月に及ぶ macOS Sequoia との戦いですが今月に入って新しい局面に入っています。2025.5に、これまで許可されていた通信が不許可になり、再設定もできないという状況になりました。驚きなのはmacOSのトランスフォームがいままでにない速度で進んでいることです。マイナーアップデートでも大きく変わっています。
次期バージョンの足音も聞こえてくる頃ですので戦況をお伝えすることにしました。
戦争?何が?
実は、OsiriXの存在意義の根幹に関わる話です。
まず基本を整理しておきましょう。DICOM 画像を取り扱うソフトウェアは100以上あり、WindowsのようなポンコツOSでも動作するのが数十はある中でmacOSの能力を上手に引き出したOsiriXは圧倒的に強力です。
このOsiriXの主なアドバンテージは以下のようなものです。
- 圧倒的に高速な2Dビューワ
- 数百万円オーダーのソフトに匹敵あるいは凌駕する3D/4D解析
- ネットワークを介して画像をやりとりするPACS機能(DICOM通信)をサポート
- しかも、PACS部は100万枚を超えても実用動作する
- (かつて)オープンソースで、改造ができる
- ノートパソコンに入れて持ち歩けるポータビリティ
- データを人質にとらない
すでに掲載は終わっておりますが、一時期はAppleのWebサイトでも紹介されており「病院内の人間関係を変えることができる」との指摘が目をひきました。記事はヒトの病院でしたが、獣医学部の先生からも同じ意見を聞いたことがあります。この話はまた機会があれば、にします。
もちろん欠点もあります。
- 基本的にサポートは薄い
- 病院のワークフロー機能を持たない (MWMやHIS/RIS連携機能がない)
- 2014年あたりに開発が終わっているので最新のDICOM/CG技術に対応しない
- カルテ、レポート作成支援機能が全く無いに等しい
- 青森試食りんご強奪事件のような、無料じゃないのに無料という口コミが広がってしまった
OsiriXだと大規模な画像ファイリングを極めて低いコストで構築できます。よく言えば必要な機能はほぼ揃っていてグッドバランスな上に操作が直感的で使いやすい。悪く言えば、個々の機能はちょっと中途半端。でも最先端の解析をどれだけ町場の病院が必要とするか。
本来はこれらの欠点を補うアップデートの紹介をしたいのですが、ここ数年、Tim Appleが毎年のように重大な変更をしてくるのでなかなか先に進めませんでした。そして、この度ほぼ決定的なスタンスを取り始めたので、一連の記事に先行して、状況と対応を紹介したいと思います。
実はmacOSは、何年も前に終了している
明確にアナウンスされていないのが困るのですが、AppleはmacOS Big Sur(2020)を以て、macOSの開発を事実上断念しています。
同社は、iPhoneの歴史的な大成功を受けて、その技術を支えているiOSをMacにも展開し、おそらくはOS開発のコストを圧縮しようとしています。
OS開発レベルで言えばiOSはmacOSの、いわゆる建て増しを重ねたようなクラッジな構造は面倒で、後から再設計されたiOSで戦っていくと判断したのでしょう。半導体もインテルからiOSと同じARMに変更することを決めていたので、
- macOS HighSierra(Ver.10.13, 2017)でユーザーが最高位のシステム管理者になれないOSに変更しファイル管理にも新しいしくみを導入
- macOS Catalina(Ver.10.15, 2019)で32ビット互換アプリを排除。やめときゃいいのにOpenGLを排除してOsiriXの動作がどんと遅くなる
- macOS Big Sur(Ver.11, 2020)からGUIフレームワークの動作を少しずつiOSのものに入れ替え、
- macOS Monterey(Ve.12, 2021)では大量の初歩的なメモリ管理のバグを出し、エコー動画の表示が劇的に遅くなった
- macOS Sonoma(Ve.14, 2023)ではSafari以外のWebブラウザでヘッドレスモードができなくなった。アニレセの患者情報とるのが一気に面倒になりました。
Catalinaまではバージョン10.13, 10.14と一年ごとに0.1しか増えていなかったのを、Big Sur(Ver11)、Monterey(Ver12)、Ventura(Ver13)を1ずつ増やすようにしているあたりに明確なメッセージを見て取れます。
そして2024.10にリリースされた macOS Sequoia(Ver.15) からついにアプリケーションをスマホアプリと同じ管制下におくことになりました。 世間一般の感覚で言えば、これだけの改革を5年以上かけて行っていることには何の不自然さもないのですが、パソコンは壊れない限り永久に使いたいって言う方が非常に多いこの業界では激震が走るわけです。
私が手を下す前に、Appleが手を下しちゃった
iPhoneの成功の一因に、アプリ供給についての厳しい制限による品質管理があります。
アプリは例外なくAppStoreで配布され、しかも配布前に基本的な動作確認や安全性の審査をクリアしなければなりません。
対して、Mac/Windows/Androidは少しずつセキュリティ面の改訂はあれど、誰もが自由に開発キットを手に入れて、作ったアプリを共有することが許されています。
そのためiOS以外の世界では、悪意のあるアプリによる被害がなかなか減っていません。
最も脅威となるのがランサムウェアと言う、ファイルをまとめて暗号化して身代金を要求してくるタイプのウィルス。この動作を止めるのは非常に困難です。なぜならば、一般のユーザが行う操作と見分けがつかないからです。 感染したパソコンはもう諦めるしかなく、あとできることは被害の拡大を防ぐことだけです。だいぶ前のセキュリティーシステムを買って安心してらっしゃる病院がたくさんあって頭を抱えているんですが、あんなものを簡単にかわして動作します。
現時点で予防するには、クラウドストレージへ移行するなどして、施設内でのファイル共有行為をやめることが主軸に置かれるでしょう。やろうと思えばいまある設備でも実施できます。Wi-Fi接続に統一してからルーターのプライバシーセパレータ(後述)を有効にすれば院内の相互通信をカットできるので、ランサムウェアを回避できますが、そんなことしたら大混乱になっちゃうじゃんて思いますよね。だからメールの添付ファイルは、絶対にダブルクリックしないでねって言うに止めといたんです。
けど、Appleがいきなりやりました。OSレベルでプライバシーセパレーターを入れてきたのです。おそらく、ですがmacOSはすでにiOSと同等のセキュリティシステムを持っていて単に小出しにしているだけのような気がします。
同じハブにぶら下がっていても通信させない
ようやく本題に入ります。「ローカルネットワークプライバシー」と呼ぶこの機能はこれらの背景を理解していればお分かりいただける新機能になります。
その全体像、こちらのウェブサイトがよくまとまっていると思うので、一部を和訳しますね。
https://mjtsai.com/blog/2024/10/02/local-network-privacy-on-sequoia/
(一部訳) サードパーティーのアプリケーションは、最初に施設内のネットワークにアクセスしようとするときに、必ずアクセス許可の質問に答えなければならない。
macOS Sequoia のバグだろう。 launchdから起動されるサードパーティのアプリケーション(註: みなさんがマウスでダブルクリックして起動するアクションを指している) からのローカルネットワークアクセスは、OSからの問いに答えて許可しても実際には許可されない。私が使っている開発ツールはCIビルド(=毎日のようにコードの実行テストをするような作業と思ってください)に失敗し続けることになった。
このOSからのダイアログがどのような効果を持つのかについて調べようとしたのだが、なんと最初の1回しか現れず、そこでどちらか答えるともう二度と表示されないのだ。
つまり、
院内の通信で動作しているDICOMクエリーリトリーブはもう使えない
プライバシーセパレーター(=ビジネスホテルなどに宿泊してWi-Fi接続した時、同じ電波を使っているのに他のパソコンと通信することがないようにしているアレです)と異なるのは、外からの着信に対しては一切防御しないと言うことです。
実際の機械でやってみましょう。まずSequoiaにアップデートされているMacに OsiriX 67G19 をインストールし実行します。最初の1回だけネットワークアクセスに関する確認が現れます。
ここで許可にすると今まで通りの動作をします。
(幸い、この記事をまだトラブルに直面しないで読んでいる方は、必ず許可してください。『よくわからんものは全部拒否だ!!』なんてやっちゃったらもう大変。二度とネットワークアクセスが許可されません。これ、環境設定で後から再度設定すればって思うんですけど、なんと上述のように、再設定はできません。)
この状態で今度は OsiriX VL67G22 にアップデートしてみます。同様にクエリを実行すると、
上の図のようにアクセスエラーになります。つまり一旦アプリケーションに許可を発行しても、内容を書き換えるといきなり拒絶する操作をするのです。セキュリティー的には理想的です。
App Storeを介して配布されているアプリケーションは、最初Appleの検閲を受けて、データの盗用や情報の漏洩がないことを確認されます。ですが、一旦承諾が出た後アップデートで悪意のあるコードを入れてきたのを見逃したことがあるのでしょう。もう一度検閲を受けるまでは通信が自動的にロックされるメカニズムになっているようです。
じゃ、どうするか
回避方法はいくつかあります。アップルから提示されている方法は2つ、私の方で用意しているものも3つあります。 ただアップルから提示されている解決方法はほとんど実用的ではないと思います。
※以前からOsiriXを使ってる方はご存知かもしれませんがDICOM通信をせず、AFP(Appleファイル共有)を使ってデータベースと画像を見に行く機能がありました。 業者によってはこちらを好んで使っているところも多いと思います。ところがここにきて15.5からAFPをフェードアウトすると言うので、今更この手を使っても数ヶ月の命と言うことになります。
1. 新しいアカウントを作成すれば再認証できる(Appleの提案)
レベル的に考えて、ほとんどの業者さんがこれをやるしかないと思います。
今使っているアカウントとは別のアカウントを作成してログインし、そちらでOsiriXを起動する際に再度ダイアログが現れるので、そこで許可をすれば通信が可能になります。
問題はこの際、アカウントからアカウントへデータファイルやブックマーク、メールなどを全て移行しなければならないことです。 何度かやってきましたが、 クラウドのログインパスワード等の移行は全て入れ直しになる点が問題です。
2. 仮想化ソフトウェアを使えば、その中には影響は及ばない(Appleの提案)
アプリケーションの開発を行っている人には良い話だと思います。
一部のユーザに、Macの上でWindowsを実行してレセコンを使っている方がいらっしゃると思いますが、同様にSequoiaの上で別のmacOSを実行すれば、その世界には今回の制限はかからないと言う言い分です。
開発をするのであれば、仮想環境を使うのは妥当だろうと言う意見もありますが、高速グラフィックスが使えないのが仮想環境の弱点です。現場において、OsiriXを運用する場合は、相当の困難が予想されます。
3. DICOMプロキシーサーバーを設置する
実は電子カルテを担っているJoplinが、やはりセキュリティー上の理由でクラウドはいけるけどローカルからのアクセスは認めないと言う設計になっており、これを回避するのにプロキシサーバーを使っている例があるのを思い出しました。これをそのまま転用します。上流から下流まで一通り作っておくとこういう時に役立ちます。
上記の英文の中に「launchdを経由せずに、root権限で実行されるデーモンには適用されない」と書いてあります。何のことかというとサーバープログラムのことです。ただし、OsiriXのリスナーはlaunchdを経由しますので、別途同じMacに代理通信を行うプロキシーサーバーを立てれば良いわけです。
ただDICOMノードの管理が大幅に複雑化するのと、仮にピボット(=メインのPACS)がSequoiaにアップデートしてしまうとこの手は通用しません。
4. 分院、あるいはクラウドPACSにいったん送信し、そちらにクエリをかけるようにする
インターネット接続の存在が前提となります。一旦外部に画像データを送ってしまい、改めて別のOsiriXが外部にクエリーをかけるというもの。
分院があってVPN接続しているのであれば、案外オススメです。地理的に離れた場所にバックアップが作られますから、データ保安上も非常によろしいかと思います。問題はすぐに隣の部屋で見れないと言う事ですね。CT、エコーは辛いかも。
5. DICOM通信を検査機器とMacだけの運用とし、OsiriX同士はWebベースの通信に移行する(昨年末から実施中)
とりあえずその場でなんとかしなければならなかった折、Mac同士で自動的にDICOM画像をやり取りする機能(JUZZと呼んでいます)は使えたため、片っ端からDICOM画像を全自動同期にしています。この半年はこの手で逃げてきました。つまり、検査を個々に選択するわけではなく、親機から定期的に全画像データをダウンロードするプログラムを提供し、クエリリトリーブ機能を使うことなく、全部の画像を用意してしまうと言う対策でした。数年前のデータを手に入れたいときどうするか?この時は親機から送信機能を使ってもらってました。
ただこの方法だと個別のダウンロードができません。オペ室のMacなど全画像が飛んできたら困るものもあります。OsiriX同士のDICOM画像交換部を、ごそっと入れ替える方法を考えます。
ワイドクエリー機能
ワイドクエリーでここ数年の多くの課題の解決を試みます。すでに順番に運用に入っています。まずはクエリーリトリーブの代替と、Web経由でのダウンロードを急遽リリースしました。
まとめ
ケースバイケースで紛らわしい条件判断を入れるのは、システム設計において絶対にやってはいけないことの1つです。Tim Appleほどの大企業が、このような間抜けなことをすると言うのは驚きで、早急に改善を望みたいところ・・・なんて昨年の年末に言っていたら、話は逆の方向に行ってしまって制限がなお強化されてしまいました。
|