現役エンジニアが副業サイトで使うセキュリティツール: VPN + パスマネ + 2FA の組み合わせ

副業でサイトを運営し始めると、本業とは別に守らなければいけない資産が増えます。 GitHub の Org、ASP の管理画面、Stripe、ドメインレジストラ、AWS/Cloudflare、Google Analytics…… どれか1つでも乗っ取られると全部芋づる式に持っていかれるのがこの世界です。

本記事では、現役エンジニアの目線で「副業サイト運営に最低限必要なセキュリティツールセット」を整理します。

最低限の3点セット

1. VPN: 公衆Wi-Fi・カフェ作業時の中間者攻撃を防ぐ
2. パスワードマネージャー: 各サービスで強固なユニークパスワードを保持
3. 2FA(認証アプリ): パスワード突破されても2段階目で防御

どれか1つでも欠けると、他の2つの効果も半減します。最低でもこの3点はセットで導入してください。

VPN: 推奨は NordVPN

エンジニアの VPN 用途は動画視聴ではなく以下3つです。

• カフェ・コワーキング Wi-Fi 接続時の暗号化(SSH鍵・本番認証情報の保護)
• 海外IPからの動作検証(Geo-IPブロックのテスト)
• ISP のパケット検査・帯域制限の回避

現状で最もバランスが良いのは NordVPN。理由:

• 独自プロトコル NordLynx で速度劣化が少ない
• 10台同時接続(エンジニアは PC・スマホ・タブレット・ホームルーター等を持つ)
• キルスイッチ機能(VPN切断時に通信を遮断 = 実IP漏洩を防ぐ)
• 第三者監査済みのノーログポリシー
• 30日間返金保証(試して合わなければ全額返金)

詳細な比較は VPN サービス比較ページ で。 プライバシー最優先なら ExpressVPN、最安重視なら Surfshark という選択もあります。

パスワードマネージャー: 1Password か Bitwarden

パスマネは「使うかどうか」ではなく「どれを使うか」の問題です。 全サービスで同じパスワードを使っている時点で、いつかの漏洩で全部持っていかれます。

1Password($2.99/月)

• UI・UX が最も洗練されている
• Watchtower 機能で漏洩パスワード・脆弱パスワードを自動警告
• SSH 鍵管理機能あり(GitHub への SSH 認証で使える)
• Travel Mode で出張時に金庫を一部だけ持ち出せる

Bitwarden(無料/Premium $10/年)

• 無料でも基本機能はほぼ揃う
• オープンソース・セルフホスト可能
• UI は 1Password より素朴

無料で済ませたいなら Bitwarden、機能性・UI 重視なら 1Password。 どちらでもいいので今すぐ導入するのが大事。

2FA: 認証アプリ必須、SMS は避ける

2段階認証(2FA)は「SMS で確認コードを受け取る方式」と「認証アプリで TOTP を生成する方式」があります。 SMS は SIM スワップ攻撃で突破されるリスクがあるので避け、必ず認証アプリを使ってください。

推奨: Authy または Google Authenticator

• Authy: マルチデバイス同期・バックアップあり(機種変更で楽)
• Google Authenticator: シンプル、Googleアカウントでバックアップ可能
• 1Password も2FAコード生成可能: パスマネと一体化させたい人向け

2FA を有効化すべきサービス(優先順位)

1. GitHub Organization のオーナーアカウント
2. Cloudflare アカウント
3. ASP の管理画面(A8.net、バリュコマ等)
4. ドメインレジストラ
5. Google アカウント(GA / Search Console)
6. 銀行・カード会社

運用上の注意点

パスマネのマスターパスワードを忘れない

マスターパスワードを忘れると、保存した全パスワードにアクセスできなくなります。 紙に書いて金庫に入れる・1Password Emergency Kit を印刷して保管・信頼できる家族に共有する等の対策必須。

2FA のバックアップコード保存

各サービスで 2FA を有効化すると「バックアップコード」(認証アプリを失った時用)が表示されます。 これを必ずパスマネに保存してください。スマホ紛失時の唯一のリカバリ手段です。

VPN は常時 ON する習慣

「使うときだけ ON」だと使い忘れます。VPN クライアントのキルスイッチを有効化し、 起動時自動接続にしておくと、Wi-Fi が変わっても勝手に暗号化されます。

事故が起きた時のリカバリ

• パスマネが破られた疑い → 全サービスのパスワードを順次変更、最優先は GitHub・Cloudflare・ASP
• 2FA アプリ入りスマホ紛失 → バックアップコードで各サービスにログイン、新スマホで2FA再設定
• VPN なしで作業した心当たり → 触ったサービスのアクセスログ確認、不審なIPがあればパスワード変更

まとめ

副業サイト運営は事業資産が「サーバー・ドメイン・ASP・銀行口座」と分散します。 VPN + パスマネ + 2FA はその全てを守る最低ライン。月額にして $5〜$10 程度の投資ですが、 乗っ取り事故が1回起きるとサイト全部失う可能性を考えれば、即元が取れます。