export VPSSecurityGuide
/** 5層のセキュリティ対策を用いて、月額$6でOpenClaw VPSをロックダウンします。 */
🚨## 問題の提示:無防備なAIインスタンス
デフォルト設定のままVPS上でOpenClawを展開すると、玄関の鍵を開け放した状態になります。Dockerコンテナは直接インターネットに公開され、ダッシュボードへのアクセスにおいてパスワード認証は要求されず、APIキーはポートスキャンを受けるだけで流出の危機に瀕します。
実際、セキュリティ研究者は完全に無防備で稼働しているOpenClawインスタンスを既に900個以上発見しています。トークン流出、不正利用(AI API料金の多大な負担)、データ漏洩のみならず、さらなる攻撃への踏み台とされるリスクを抱えています。
## 🛡️ 5層のセキュリティ構造
本ガイドでは、多層防御の概念に基づいた堅牢な環境を構築します。個別のプロセスが多用な攻撃をカバーし合い、結果としてあなたのOpenClawはパブリックなインターネットから「不可視」となります。
## 🔐 第1層:Tailscaleプライベートネットワーク
Tailscaleは無料(100デバイスまで)かつ数分でセットアップできるセキュアなVPNインフラです。完了後、VPSはTailscale端末専用のものとなります。
ステップ 1:VPSへTailscaleを導入
ステップ 2:Tailscaleの認証
出力されるURLリンクをブラウザで開いて自プロセスを認証してください。
ステップ 3:指定ポートの確認
表示されるポート番号(通常なら 18789)を記録・確認します。
ステップ 4:Tailscale連携
これによってTailscaleの内部ネットワーク経由からのみ安全なHTTPSアクセスが可能になります。
## 🧱 第2層:UFWファイアウォール
UFWを用いた分かりやすい構成で外部からの18789ポートへのアクセスをシャットダウンします。
ステップ 6:各種ルールの作成
// ⚠️ 注意:ファイアウォール有効化前には必ず「allow OpenSSH」を実施してください(サーバーから締め出されます!)。
ステップ 7:遮断されたかの確認テスト
## 🔑 第3層:トークン認証
Webダッシュボードを開くためのOpenClaw初期トークンを設定します。Tailscale内からでも専用の権限が要求されます。
ステップ 8:Gateway Tokenの取得
ステップ 9:ダッシュボードへのアクセス確保
// 💡 ワンポイント:認証用クエリ「?token=xxx」が付与されたURLをブックマークしておきましょう。
## 🚫 第4層:Fail2ban自動防御
Fail2banを通じて認証に失敗するIPをバンすることで、1秒間に何千ものハッキングを試みる攻撃からVPSを守ります。
ステップ 10:Fail2banのインストール
## 🔄 第5層:自動セキュリティアップデート化
ゼロデイ攻撃など新たな脅威への対処として、Ubuntu自身を常に自動アップデートするように構成します。
ステップ 11:自動アップデーターの有効化
## 📱 ボーナス:Telegram経由のコントロール
より便利に使うため、Telegramボットを経由してVPS外からでも安全にAIを活用できます。
ステップ 12:Telegram ボットのセットアップ
## ✅ 検証・確認用チェックリスト
以下の全てのセキュリティ項目が適切に設定されているかを確認してください:
## 💰 費用の内訳
| サービス名 | 料金 | 備考 |
|---|---|---|
| VPS (DigitalOcean/Hetzner) | 月額$6 | 1GB RAM, 1 vCPU |
| Tailscale VPN | 無料 | 100端末まで |
| UFW Firewall | 無料 | OS同梱機能 |
| Fail2ban | 無料 | オープンソース |
| 合計金額 | 月額$6 | 全セキュリティ機能完備 |
🎉 わずか月額$6のランニングコストで、あなたのOpenClawインスタンスは完璧な5重の保護下におかれ、専用VPSで24時間安全にお使いいただけます!
## 🚀 次のステップ
OpenClawは保護されました。次の関連チュートリアルへ進んで更なるインテグレーションを行いましょう: