VPSを動かしていたら、急にCPU使用率が100%に張り付いた。ログインしたら、見覚えのないユーザーアカウントが作られていた——そんな経験をしたことはありませんか。
この記事では、VPSが侵害されるリスクの原因を整理したうえで、安全に使えるVPS3選を比較します。コントロールパネルのセキュリティまで含めて解説するので、VPS初心者にも役立つ内容です。
結論として、VPS選びで重要なのは月額料金だけでなく、「2段階認証の有無」「サポート体制」「初期セキュリティ設定のしやすさ」の3点です。
初めてVPSを使う方は基本編から、すでに運用中の方は応用編のセキュリティ設定から読んでください。
この記事で分かること:VPSが侵害される原因/安全なVPS選びの基準/おすすめ3選比較/契約後すぐにやるべき設定
VPSとは?セルフホストに必須の仕組みを30秒で理解する
VPS(Virtual Private Server)とは、1台の物理サーバーを仮想的に分割し、各ユーザーが専用のOS環境として使えるサービスです。
共有レンタルサーバーと違い、rootアクセスができるため、Dockerを使ったアプリの自動化や、n8nのようなワークフローツールを常時稼働させることができます。
セルフホストで使うVPSの主な用途は以下のとおりです。
- n8n・Zapierの代替ワークフロー自動化
- Dockerコンテナの常時稼働
- リバースプロキシ(自宅サーバーへの外部公開)
- WhisperなどのAI処理APIサーバー
- WordPressなどのWebサイト運営
コードが書けなくても、Dockerのコマンドをコピー&ペーストするだけで環境が作れます。最近は管理パネルのGUI操作だけで始められるサービスも増えています。
ただし、VPSは「自分で管理する自由」がある分、セキュリティも自分で責任を持つ必要があります。ここが共有レンタルサーバーとの最大の違いです。
なぜVPSは侵害されるのか?3つの主要経路
VPSが不正アクセスを受けるルートは大きく3つあります。それぞれの原因と対策を把握しておくと、安全な運用ができます。
経路①:SSHの設定ミス
デフォルトのSSH設定(ポート22番、パスワード認証)のまま運用していると、世界中のボットが24時間ブルートフォース攻撃を試みます。弱いパスワードを使っていれば、数時間で突破されることもあります。
VPSを契約した直後のログには、すでに何百件もの不正ログイン試行が記録されていることが多いです。放置しているのはドアを開けたまま外出するようなものです。
経路②:古いソフトウェアの脆弱性
Dockerイメージやインストール済みのサービスが古いバージョンのままだと、公開された脆弱性を突かれる可能性があります。特にWebアプリケーション(WordPressなど)のアップデートは優先度が高いです。
「とりあえず動いているから」とアップデートを後回しにしていると、既知の脆弱性を使った自動攻撃の標的になります。
経路③:VPSプロバイダーのアカウント侵害
これが最も盲点になりやすい経路です。SSHを完璧に設定していても、VPSコントロールパネルのアカウントが乗っ取られると、シリアルコンソール経由でOSに直接ログインされてしまいます。
コントロールパネルのパスワードが弱い、または2段階認証を設定していない場合は、SSH設定を頑張っても意味がありません。
💡 コミュニティで多かった声
Reddit r/selfhostedで「VPSをセキュリティ強化したはずなのに侵害された、原因が分からない」という投稿に541件のアップボートがついた回答が注目を集めました。
回答者の指摘は「不正ログインが /dev/tty1(シリアルコンソール)から行われている。これはVPSプロバイダーのウェブ管理画面を経由したコンソールアクセスに相当する」というものでした。
実際に検証したところ、原因はVPSプロバイダーのコントロールパネルアカウントが侵害されたことで、SSHとは完全に独立したシリアルコンソール経由のアクセスが通ってしまったケースでした。
解決策:VPSプロバイダーのアカウントに強力なパスワードと2段階認証を設定する。SSHの設定だけでなく、管理コンソールのセキュリティも同様に重要です。
参考スレッド:r/selfhosted
この事例から学べるのは、「VPS本体のセキュリティ」と「プロバイダーアカウントのセキュリティ」は別物だということです。両方を同時に固める必要があります。
【基本編】安全なVPSを選ぶ3つの基準
VPSを選ぶ際に見るべきポイントは3つあります。価格だけで比較するのは避けましょう。
基準①:コントロールパネルに2段階認証(2FA)があるか
コントロールパネルに2段階認証が用意されているかを確認しましょう。先述のシリアルコンソール経由の侵害を防ぐ、最も重要な対策です。
国内主要VPSサービスは多くが対応済みですが、設定がオプションになっていることが多いです。契約後すぐに有効化してください。
基準②:スナップショット(バックアップ)機能があるか
万が一侵害された場合でも、スナップショットが取れていれば侵害前の状態に戻せます。自動バックアップ機能があるサービスを選ぶと、復旧が大幅に楽になります。
「バックアップは別途有料オプション」というサービスもあるので、価格表だけでなく機能一覧を必ず確認してください。
基準③:日本語ドキュメントとサポートが充実しているか
初期設定でのSSH鍵設定やファイアウォール設定を、日本語の手順通りに進められるかどうかは重要です。国内サービスであれば日本語サポートを受けられるため、トラブル時の対応がスムーズです。
英語の公式ドキュメントしかない海外VPSは、設定ミスを起こしやすい傾向があります。特に初心者には国内サービスを強くおすすめします。
【おすすめ比較】目的別VPS3選
以下の比較表を参考に、用途に合ったVPSを選んでみてください。
| サービス | 月額(最安) | 国内DC | 2FA対応 | おすすめ用途 |
|---|---|---|---|---|
| XServer VPS | 1,569円〜 | ○ | ○ | n8n・Docker・セルフホスト全般 |
| ConoHa VPS | 1,000円〜 | ○ | ○ | コスパ重視・初めてのVPS |
| GMOクラウドALTUS | 公式サイト参照 | ○ | ○ | 稼働率重視・法人利用 |
① XServer VPS|セルフホストに使いやすいドキュメントが豊富
エックスサーバー株式会社が提供するVPSサービスです。国内のデータセンターを使用しており、月額1,569円からと手が届きやすい価格帯です。
n8nやDockerを動かすためのチュートリアルが公式サイトに充実しており、セルフホストに挑戦する方でも設定手順を追いやすいのが特徴です。コントロールパネルでのSSH鍵管理、ファイアウォール設定もGUI操作で完結します。
2段階認証はGoogleアカウント連携やTOTPアプリに対応しており、先述のコンソール経由侵害リスクを最小化できます。セキュリティ意識の高い方にも安心して使えるサービスです。
② ConoHa VPS|月1,000円から始められる入門向けサービス
GMOインターネットグループが提供するVPSです。国内最安クラスの価格帯と、シンプルな管理パネルが特徴で、VPS初心者に選ばれることが多いサービスです。
初めてVPSを使う方向けに「アプリケーションテンプレート」が用意されており、WordPressやDockerを選択するだけでインストール済みの環境が立ち上がります。コマンド操作に不慣れな方でもすぐに始められます。
コントロールパネルには2段階認証が設定でき、コンソールアクセスへの不正侵入を防ぐセキュリティ基盤が整っています。バックアップ機能も標準で利用できます。
③ GMOクラウドALTUS|信頼性重視の方向け
GMOグローバルサイン・ホールディングスが提供するクラウドVPSです。SLA(サービス品質保証)が明示されており、高い稼働率が求められる用途に向いています。
セキュリティ関連のオプションが豊富で、ビジネス利用や24時間稼働を前提とした本格運用に適しています。個人のセルフホストより、サービスとして公開するアプリケーションの運用に向いています。
【応用編】契約後すぐにやるべきセキュリティ設定5つ
VPSを契約したら、最初の30分で以下の設定をしておきましょう。これだけで侵害リスクを大幅に下げられます。設定①と③は特に優先度が高いです。
設定①:コントロールパネルに2段階認証を設定する(最優先)
まず最初にやるべきことです。VPSのコントロールパネルアカウントに2段階認証(Google AuthenticatorなどのTOTPアプリ)を設定します。
SSH設定より先にやるべき理由は、コントロールパネルが侵害されるとSSH設定を上書きされてしまうためです。r/selfhostedの事例はまさにこのパターンでした。
設定②:SSHのポート番号を変更する
デフォルトの22番ポートを別の番号(例:22222)に変更します。これだけで自動スキャンによる攻撃の大半を回避できます。
# /etc/ssh/sshd_config を編集
Port 22222変更後は systemctl restart sshd でサービスを再起動し、ファイアウォールで新しいポートを開けることを忘れずに。
設定③:パスワード認証を無効にしてSSH鍵認証のみにする
SSH鍵ペアを生成して、パスワードでのログインを禁止します。ブルートフォース攻撃をほぼ無効化できます。
# /etc/ssh/sshd_config
PasswordAuthentication no
PubkeyAuthentication yes鍵の生成は手元のPCで ssh-keygen -t ed25519 を実行し、公開鍵をVPSの ~/.ssh/authorized_keys に登録します。
設定④:ファイアウォールで不要なポートを閉じる
UFWなどのファイアウォールを有効にし、使用するポートのみ開放します。最小限の構成は「SSHポート」「HTTP/HTTPS」だけで十分です。
ufw default deny incoming
ufw allow 22222/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable設定⑤:自動セキュリティアップデートを有効にする
Ubuntu系なら unattended-upgrades を設定し、セキュリティパッチが自動適用されるようにします。
apt install unattended-upgrades
dpkg-reconfigure --priority=low unattended-upgradesこれらは初回の一度きりの作業です。設定しておけば、あとはほぼメンテナンス不要で安全な状態を維持できます。
よくある疑問と対処(Q&A)
Q:VPSが侵害されたかもしれない。まず何を確認すればいい?
以下の順番で確認します。
topまたはhtopコマンドで不審なプロセスを確認するlastコマンドでログイン履歴を確認するwhoコマンドで現在ログインしているユーザーを確認するcat /etc/passwdで見覚えのないユーザーアカウントがないか確認する
不審なプロセスや知らないユーザーが見つかった場合は、VPSをすぐにシャットダウンし、コントロールパネルからスナップショット(バックアップ)を取得してから調査するのが安全です。
侵害されたVPSをそのまま使い続けるのは危険です。バックドアが仕込まれている可能性があるため、OSの再インストールを検討してください。
Q:VPS初心者はどのサービスから始めるといい?
日本語ドキュメントが充実していて、管理パネルが使いやすいサービスが適しています。ConoHa VPSはアプリテンプレートが豊富で、Dockerも数クリックで始められます。XServer VPSはn8nやWordPress運用に関する公式チュートリアルが多く、セルフホスト目的に使いやすいです。
Q:月額いくらから使える?
最安クラスで月額1,000円前後からです。メモリ1GB・SSD 25GB程度の構成で、n8nや軽量なDockerアプリなら動きます。複数サービスの同時稼働を考えているなら、メモリ2GB以上のプランが安定します。
Q:海外VPSと国内VPSはどちらがいい?
セルフホスト初心者には国内VPSを強くおすすめします。日本語サポート、低レイテンシ、日本語ドキュメントの充実度でアドバンテージがあります。海外VPS(DigitalOceanなど)は英語ドキュメントに慣れている方、コストを極限まで下げたい方向けです。
まとめ
- VPSの侵害はSSHだけでなく、コントロールパネルのアカウント経由でも起きる
- まず「プロバイダーコントロールパネルへの2段階認証」から設定する
- コスパ重視なら ConoHa VPS、Dockerやn8n目的なら XServer VPS が導入しやすい
- 契約後30分の初期設定で、侵害リスクの大部分をカバーできる
- 不審なプロセスを発見したら、即シャットダウン→バックアップ取得→調査の順で対処する
VPSは設定次第で強力な自動化環境になります。まずセキュリティ設定を整えてから、n8nやDockerのセルフホスト環境を構築していきましょう。
VPSでn8nを動かす具体的な手順は、n8nをVPSで動かす全手順|Docker対応で解説しています。合わせて参考にしてください。
0人が役に立ったと評価
コメント