sg sg-technology network crypto_auth unauthorized_access
まず結論
ポートフォワーディングとは、あるポートに届いた通信を、別のホストや別のポートへ転送する仕組みです。
SSHトンネルとは、SSHで暗号化された通信路を作り、その中に別の通信を通す使い方です。
SG試験では、ポートフォワーディングを単なる「ポート番号の転送」として覚えるより、平文で流れる可能性がある通信を、安全な経路に通す手段として理解することが大切です。
直感的な説明
ポートフォワーディングは、通信の「転送窓口」のようなものです。
たとえば、手元のパソコンのあるポートに通信を送ると、その通信を別のサーバの特定ポートへ届けてくれます。
イメージとしては、次のような流れです。
手元のPCのポート
↓
SSHで暗号化された通信路
↓
接続先サーバのポート
この SSHで暗号化された通信路 が、よく「SSHトンネル」と呼ばれます。
トンネルという名前のとおり、外から通信内容を見られにくい通り道を作り、その中に別の通信を通すイメージです。
定義・仕組み
ポートフォワーディングは、特定のポートに届いた通信を、あらかじめ決めた別の宛先へ転送する仕組みです。
SSHでは、この転送を暗号化されたSSH接続の中で行うことができます。
IETFのRFC 4254では、SSH Connection Protocolが、リモートログイン、コマンド実行、転送されたTCP/IP接続などを提供すると説明されています。
参考:RFC 4254 - The Secure Shell (SSH) Connection Protocol
ポートフォワーディングを使うと、次のように考えられます。
- 手元の端末で特定のポートを開く
- そのポートに通信を送る
- SSHの暗号化された通信路に入れる
- 接続先側で目的のホスト・ポートへ転送する
大切なのは、SSHが元のプロトコルそのものを別物に変えるわけではないことです。
SSHは、別の通信を暗号化された経路に通す役割を担います。
SSHトンネルとの関係
SSHトンネルは、ポートフォワーディングによって作られる暗号化された通り道と考えると分かりやすいです。
| 用語 | 意味 |
|---|---|
| ポートフォワーディング | 通信を別のポートや宛先へ転送する仕組み |
| SSHトンネル | SSHで暗号化された通信路に別の通信を通す使い方 |
つまり、SSHトンネルは、SSHのポートフォワーディングを利用した安全な通信経路です。
どんな場面で使う?
ポートフォワーディングやSSHトンネルは、次のような場面で使われます。
- 平文で流れる可能性がある通信を安全な経路に通したいとき
- 外部から直接アクセスできない内部サーバへ安全に接続したいとき
- 管理用の通信をSSH経由にまとめたいとき
- 一時的に安全な接続経路を作りたいとき
たとえば、古い設定のPOP3やFTPでは、利用方法によってはパスワードや通信内容が平文で流れることがあります。
そのような通信をそのままインターネット上に流すと、盗聴されるリスクがあります。
SSHトンネルを使うと、通信をSSHの暗号化された経路に通せるため、盗聴リスクを下げられる場合があります。
ただし、現在ではPOP3S、FTPS、SFTP、HTTPSなど、プロトコル側で暗号化に対応する方法もあります。
SG試験では、細かい設定方法よりも、次の判断ができれば十分です。
- ポートフォワーディングは通信の転送
- SSHトンネルは暗号化された通り道
- 平文通信をそのまま流すより安全にできる場合がある
- ただし、設定ミスや権限管理の不備があるとリスクになる
よくある誤解・混同
❌ ポートフォワーディング=暗号化そのもの
→ ⭕ ポートフォワーディング自体は、通信を転送する仕組みです。
暗号化するのは、SSHやTLSなどの別の仕組みです。
そのため、単にポートを転送するだけでは安全とは限りません。
SSHでポートフォワーディングするから、暗号化された経路に通せると整理します。
❌ SSHトンネルを使えば、すべて安全
→ ⭕ トンネルの入口と出口の管理が必要です。
SSHトンネル内の通信は暗号化されますが、出口から先の通信や接続先の権限設定が不適切だと危険です。
たとえば、必要以上に広い範囲へ接続できる設定にすると、内部ネットワークへの不正な経路として悪用される可能性があります。
SG試験では、暗号化された経路を作れることと、アクセス制御が不要になることを混同しないようにします。
❌ NATやNAPTと同じもの
→ ⭕ どれも通信の宛先に関係しますが、目的が違います。
| 用語 | 主な目的 |
|---|---|
| ポートフォワーディング | 特定ポート宛ての通信を別の宛先へ転送する |
| SSHトンネル | SSHの暗号化経路に通信を通す |
| NAT | IPアドレスを変換する |
| NAPT | IPアドレスとポート番号を組み合わせて変換する |
SG試験では、NAT/NAPTはアドレス変換、SSHトンネルは安全な通信経路という観点で切り分けます。
❌ SFTPと同じもの
→ ⭕ SFTPはSSHを使ったファイル転送のプロトコルです。
SSHトンネルは、SSHの暗号化された通信路に別の通信を通す使い方です。
| 用語 | 判断基準 |
|---|---|
| SFTP | SSHを使ってファイルを安全に転送する |
| SSHトンネル | SSHの暗号化経路に別の通信を通す |
| ポートフォワーディング | ポート宛ての通信を別の宛先へ転送する |
「ファイル転送」が主語ならSFTP、「通信経路を作って別通信を通す」が主語ならSSHトンネルを考えます。
まとめ(試験直前用)
- ポートフォワーディングは、特定ポート宛ての通信を別の宛先へ転送する仕組み
- SSHトンネルは、SSHの暗号化された通信路に別の通信を通す使い方
- 平文通信をそのまま流すより、安全な経路にできる場合がある
- ただし、ポートフォワーディング自体が暗号化するわけではない
- NAT/NAPTはアドレス変換、SSHトンネルは安全な通信経路として切り分ける
- SSHトンネルを使っても、アクセス制御や鍵管理が不要になるわけではない
🔗 関連記事
- AESとは?共通鍵暗号方式として押さえる基本【SG試験】
- 攻撃の事前調査とは?偵察・スキャン・脆弱性探索の流れ【SG試験】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【SG試験】
- ブラックリストとホワイトリストの違いとは?判断基準を整理【SG試験】
- ブロック暗号とストリーム暗号の違いとは?暗号方式を整理【SG試験】