インフラ・運用 2026.02.15

SSHポート変更で攻撃を90%削減!デフォルト22番からの移行手順

約13分で読めます

SSHポートをデフォルトの22番から変更することで、サーバーへの不正アクセス試行を大幅に削減できます。設定手順から注意点まで実例をもとに解説します。

サーバーログに大量の不正アクセス試行が…そんな悩みありませんか?

「毎日何千件もの不正ログイン試行がサーバーログに記録されている」 「SSH接続に対するブルートフォース攻撃が頻発している」 「サーバーのセキュリティを強化したいが、どこから手をつけていいかわからない」

このような課題を抱えている中小企業のWeb担当者の方は多いのではないでしょうか。神奈川でWeb制作を20年以上手がけてきた弊社でも、多くのクライアントから同様の相談を受けてきました。

実際、あるクライアントのWebサーバーでは、1日あたり平均3,000件もの不正SSH接続試行が記録されていました。この状況を改善するために実施した最初の対策が「SSHポート変更」です。結果として、不正アクセス試行を90%以上削減することに成功しました。

なぜデフォルトポート22番が狙われるのか

攻撃者の標的になりやすい理由

SSHのデフォルトポートである22番が攻撃の標的になりやすいのには、明確な理由があります。

自動化されたボット攻撃の多くは、まず22番ポートをスキャンしてSSHサービスが稼働しているサーバーを探します。インターネット上の膨大な数のサーバーに対して、効率的に攻撃対象を見つけるためです。

弊社で管理しているサーバーの実際のログデータを分析したところ、以下のような傾向が見られました:

セキュリティホールとしてのリスク

22番ポートを使い続けることで生じる具体的なリスクは以下の通りです:

  • ブルートフォース攻撃の標的:弱いパスワードの場合、突破される可能性が高い
  • システムリソースの消費:大量の接続試行により、サーバーのパフォーマンスが低下
  • ログの肥大化:攻撃ログが大量に蓄積され、重要なログが埋もれる
  • セキュリティ監視の負担増:正常な通信と攻撃の区別が困難

実際に、あるクライアントでは22番ポートへの攻撃ログだけで月間50GBものディスク容量を消費していました。

サーバー・インフラでお困りですか?

障害対応・移行・パフォーマンスチューニングなど、ご相談ください

無料で相談する

SSHポート変更の具体的な手順

事前準備とバックアップ

ポート変更作業を始める前に、必ず以下の準備を行ってください:

# 現在の設定ファイルをバックアップ
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.backup

# 現在のポート設定を確認
sudo grep "^Port" /etc/ssh/sshd_config

# 現在の接続状況を確認
sudo netstat -tlnp | grep :22

ファイアウォールの設定

新しいポートを開放する前に、ファイアウォールの設定を行います。ここでは例として2222番ポートを使用します:

# 新しいポートを開放
sudo ufw allow 2222/tcp

# ルールを確認
sudo ufw status

# 設定を有効化(未設定の場合)
sudo ufw enable

SSH設定ファイルの編集

SSHデーモンの設定ファイルを編集してポートを変更します:

# 設定ファイルを編集
sudo vim /etc/ssh/sshd_config

以下の行を変更します:

# 変更前
#Port 22

# 変更後
Port 2222

重要な注意点: 最初は既存の22番ポートと新しいポートの両方を有効にしておくことを強く推奨します:

Port 22
Port 2222

こうすることで、新しいポートでの接続テストを行いながら、万が一の際は22番ポートで復旧できます。

SSH設定の適用とテスト

設定変更を適用してテストを実行します:

# 設定ファイルの構文チェック
sudo sshd -t

# SSH サービスを再起動
sudo systemctl reload sshd

# または
sudo service ssh reload

# 新しいポートでリッスンしているか確認
sudo netstat -tlnp | grep :2222

接続テストの実行

必ず現在のセッションを維持したまま、別のターミナルで新しいポートでの接続テストを実行してください:

# 新しいポートでの接続テスト
ssh -p 2222 username@your-server-ip

接続が成功したら、しばらくは両方のポートを併用し、問題がないことを確認してから22番ポートを閉じます。

最終設定と旧ポートの無効化

新しいポートでの接続が安定していることを確認できたら、22番ポートを無効化します:

# /etc/ssh/sshd_config を再編集
sudo vim /etc/ssh/sshd_config

# 22番ポートの行をコメントアウトまたは削除
# Port 22
Port 2222

# 設定を反映
sudo systemctl reload sshd

# ファイアウォールから22番ポートを削除
sudo ufw delete allow 22/tcp

よくある失敗パターンと対処法

失敗パターン1:ファイアウォール設定の忘れ

症状: 新しいポートに変更したが接続できない

原因: 新しいポートをファイアウォールで開放していない

対処法:

# クラウドサービスの場合はコンソールからも確認
# AWS Security Group、GCP Firewall Rules など

# サーバー側のファイアウォール確認
sudo ufw status
sudo firewall-cmd --list-ports

あるクライアントでは、サーバー側のファイアウォールは設定したものの、AWS のSecurity Groupの設定を忘れて接続できなくなったケースがありました。

失敗パターン2:SELinuxによる接続拒否

症状: CentOS/RHELで設定変更後に接続が拒否される

原因: SELinuxがデフォルト以外のSSHポートを許可していない

対処法:

# SELinux の状態確認
sudo getenforce

# SSH ポートの許可設定
sudo semanage port -a -t ssh_port_t -p tcp 2222

# 設定確認
sudo semanage port -l | grep ssh

失敗パターン3:設定ファイルの構文エラー

症状: SSH サービスが起動しない

原因: sshd_config に構文エラーがある

対処法:

# 構文チェック実行
sudo sshd -t

# エラーがある場合はバックアップから復元
sudo cp /etc/ssh/sshd_config.backup /etc/ssh/sshd_config

# サービス再起動
sudo systemctl restart sshd

失敗パターン4:クライアント設定の更新忘れ

多くの管理者が見落としがちなのが、クライアント側の設定更新です。

対処法: ~/.ssh/config ファイルを更新:

Host your-server
    HostName your-server-ip
    User username
    Port 2222
    IdentityFile ~/.ssh/id_rsa

ポート変更の効果と追加のセキュリティ対策

実際の効果測定

弊社で管理するサーバーでポート変更を実施した結果:

組み合わせるべきセキュリティ対策

ポート変更は「Security by Obscurity(秘匿によるセキュリティ)」の一種であり、これだけに頼るのは危険です。以下の対策と組み合わせることが重要です:

  1. 公開鍵認証の導入

    # パスワード認証を無効化
    PasswordAuthentication no
    PubkeyAuthentication yes
    
  2. fail2banの導入

    sudo apt install fail2ban
    sudo systemctl enable fail2ban
    
  3. 接続元IPアドレスの制限

    # 特定IPからのみ接続を許可
    sudo ufw allow from 192.168.1.100 to any port 2222
    

サーバー・インフラでお困りですか?

障害対応・移行・パフォーマンスチューニングなど、ご相談ください

無料で相談する

サーバー管理、丸ごとお任せください

サーバー保守・運用

監視・障害対応・パフォーマンス改善まで、安定稼働をサポートします

200件以上の制作実績 顧客満足度97% 初回相談無料

※ 通常1営業日以内にご返信します

まとめと次のステップ

SSHポートの変更は、簡単に実施できる割に高い効果が期待できるセキュリティ対策です。実際に90%以上の不正アクセス試行を削減できることが確認されています。

ただし、これは多層防御の一部として位置づけるべきであり、公開鍵認証やfail2banなどの他のセキュリティ対策と組み合わせることが重要です。

特に中小企業では、限られたリソースで最大のセキュリティ効果を得る必要があります。ポート変更は、コストをかけずに大きな改善が期待できる施策の筆頭です。

実施前のチェックリスト

作業を開始する前に、以下のチェックリストを確認してください:

まず最初にやるべきこと

  1. 現在のサーバー状況を把握する

    • 攻撃ログの量と種類を確認
    • 現在のセキュリティ設定を調査
  2. テスト環境での動作確認

    • 本番環境と同じ構成でポート変更をテスト
    • 各種アプリケーションへの影響を確認
  3. 段階的な実装計画の策定

    • リスクの低いサーバーから順次実施
    • 監視体制の強化

サーバーセキュリティは一度設定すれば終わりではなく、継続的な改善が必要な分野です。ポート変更を皮切りに、より堅牢なセキュリティ体制の構築を進めていきましょう。

技術的な実装でご不明な点がございましたら、神奈川を拠点とする弊社までお気軽にご相談ください。20年以上のWeb制作実績をもとに、最適なセキュリティ対策をご提案いたします。

この記事をシェア

サーバー・インフラの課題を解決します

構築・移行・監視・障害対応まで、安定した運用環境をご提供します。 初回相談は無料です。

※ 1営業日以内にご返信いたします

この技術でお困りなら

無料でプロに相談できます

相談する
AIに無料相談