98 cyber 講習会

Part 1: 環境への接続と準備

まず，本日利用するサーバーに接続します．最初はパスワードでログインし，その後，より安全で便利な「公開鍵認証」方式に切り替える作業を行います．

1.1: パスワードでの初回ログイン

SSH とは？ SSH (Secure Shell) は，遠隔地にあるコンピュータを安全に操作するための「通信のお作法（プロトコル）」です．自分の PC とサーバーの間に暗号化された安全なトンネルを作り，その中でコマンドのやり取りをします． SSH のクライアント・サーバーモデルでは，あなたの PC が「クライアント」，接続先のサーバーが「サーバー」として動作します．

Cyber から配布された情報を手元に準備し，以下のコマンドでサーバーに接続します．

ssh <あなたのユーザー名>@ssh.ktak.dev

初回接続時の確認

初めてこのサーバーに接続する場合，ターミナルに以下のようなメッセージが表示されることがあります．

The authenticity of host 'ssh.ktak.dev (...)' can't be established.
ED25519 key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.
Are you sure you want to continue connecting (yes/no/[fingerprint])?

これは「接続しようとしているサーバーは，本当にあなたが意図したサーバーですか？私はこのサーバーを初めて見たので，安全かどうか保証できません」という，なりすましを防ぐための重要な警告です．yes と入力して Enter キーを押すと，接続が続行されます．

パスワードを入力してログインに成功すると， [<あなたのユーザー名>@ktak-dev ~]$ のような「プロンプト」が表示され，サーバーを操作できる状態になります．

1.2: 基本的な Linux コマンドに慣れよう

サーバーを操作する上で，基本的なファイルシステムのコマンドは必須です．いくつか試してみましょう．

pwd (Print Working Directory): 「今どこにいるの？」と尋ねるコマンドです．現在自分がいるディレクトリのフルパス（ルートからの完全な住所）を表示します．
ls (List): 「この部屋には何がある？」と尋ねるコマンドです．現在のディレクトリにあるファイルやディレクトリの一覧を表示します． -l オプションで詳細情報， -a で隠しファイル（ . で始まるファイル）も表示できます． ls -la は非常によく使われる組み合わせです．
mkdir (Make Directory): 「新しい部屋を作る」コマンドです．新しいディレクトリを作成します．
cd (Change Directory): 「部屋を移動する」コマンドです．指定したディレクトリに移動します． cd .. で一つ上の階層のディレクトリに戻ります．
cp (Copy): ファイルやディレクトリをコピーします． cp <コピー元> <コピー先> のように使います．
mv (Move): ファイルやディレクトリを移動，または名前を変更します． mv <移動元> <移動先> のように使います．
rm (Remove): ファイルを削除します．ディレクトリを削除する場合は -r オプションが必要です．一度削除すると元に戻せないので，慎重に使いましょう．
man (Manual): コマンドのマニュアル（説明書）を表示します．使い方が分からないコマンドがあれば， man <コマンド名> で調べることができます．（ q キーで終了します）

1.3: SSH 公開鍵の登録によるログインの効率化

公開鍵認証とは？ パスワードの代わりに「鍵」を使ってログインする，より安全な認証方式です．「秘密鍵（自分の PC に保管）」と「公開鍵（サーバーに登録）」のペアを使い，パスワードそのものをネットワークに流すことなく本人確認を行います．この方式は，パスワードの総当たり攻撃（ブルートフォースアタック）に対して極めて高い耐性を持ちます．

手順 1: SSH キーペアの作成（あなたの PC 上で実行）

あなたのローカル PC のターミナルで， SSH の鍵ペアを作成します．

ssh-keygen -t ed25519

手順 2: 公開鍵の表示（あなたの PC 上で実行）

サーバーに登録する公開鍵の中身を表示してコピーします．

cat ~/.ssh/id_ed25519.pub

手順 3: 公開鍵の登録（サーバー上で実行）

パスワードでサーバーにログインした状態で，以下のコマンドを実行し，公開鍵を設置する場所を準備します．

mkdir ~/.ssh
touch ~/.ssh/authorized_keys
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

パーミッション（権限）について : chmod は権限を変更するコマンドです． Linuxでは，各ファイルやディレクトリに対して「所有者（Owner）」「グループ（Group）」「その他（Other）」の3つの対象に，「読み取り（Read, r）」「書き込み（Write, w）」「実行（Execute, x）」の3種類の権限を個別に設定できます．

数字による権限表記の仕組み

権限は 3 つの数字で表現されます：abc の形式で，a=所有者，b=グループ，c=その他の権限を示します．

4: 読み取り権限（r）
2: 書き込み権限（w）
1: 実行権限（x）

これらの数字を足し合わせることで，具体的な権限の組み合わせを表現します．

700: 所有者のみ全権限（4+2+1=7），他は一切アクセス不可（0+0+0=0）

SSH秘密鍵ディレクトリ（~/.ssh）で使用

600: 所有者のみ読み書き（4+2=6），他は一切アクセス不可

SSH鍵ファイルや設定ファイルで使用

755: 所有者は全権限（7），グループ・その他は読み取り・実行のみ（5）

一般的なディレクトリやスクリプトファイルで使用

644: 所有者は読み書き（6），グループ・その他は読み取りのみ（4）

一般的なファイルで使用

700 や 600 は「所有者は全ての権限を持つが，他人には一切権限を与えない」という非常に厳しい設定で， SSH の鍵のような重要なファイルを保護する際の定石です．これにより，悪意のあるユーザーや攻撃者が重要なファイルにアクセスすることを防げます．

手順 4: 公開鍵のペースト（サーバー上で実行）

nano エディタで登録ファイルを開き，コピーした公開鍵を貼り付けて保存します．

nano ~/.ssh/authorized_keys

手順 5: 鍵認証でのログイン確認（あなたの PC 上で実行）

サーバーからログアウト (exit) し，再度ログインを試みます．パスワードを聞かれずにログインできれば成功です．

Part 2: トランスポート層とインターネット層 - TCP/IP の実践

インターネットの階層モデル

この講習会で学ぶ技術が，インターネット全体の中でどのよう役割を担っているか，以下の図で確認しましょう．Webサービスは，これらの異なる役割を持つ技術が「層（レイヤー）」のように重なり合って成り立っています．

アプリケーション層

（具体的なサービスを提供）

HTTP DNS SSH

↕

トランスポート層

（データの正確なやり取りを保証）

TCP UDP

↕

インターネット層

（目的地までデータを届ける）

IP ICMP

このパートでは，ネットワークの核となる概念を，コマンドを使いながら体験的に学んでいきます．

2.1: ハンズオン - ping による接続性の確認

ping は， ICMP という「連絡用言語」を使い，相手との接続を確認するコマンドです．

ping ktak.dev

ping 出力の詳細な読み解き方 : ping を実行すると，以下のような行が繰り返し表示されます．

64 bytes from 172.67.136.249: icmp_seq=1 ttl=48 time=13.4 ms

64 bytes from ...: 相手から 64 バイトの大きさの応答パケットが返ってきたことを示します．
172.67.136.249: 応答を返してきたホストの IP アドレスです． ping は内部で DNS による名前解決も行っています．
icmp_seq=1: 送信した ICMP パケットのシーケンス番号（通し番号）です． 1 番目のパケットに対する応答であることを示します．パケットが途中で失われた（パケットロス）場合，この番号が飛ぶことで検知できます．
ttl=48: Time-to-Live の略で，パケットがインターネットの海で永遠に迷子にならないための「寿命」です．データはルーターという中継点を 1 つ経るごとに，この TTL の値が 1 ずつ減らされていきます． TTL が 0 になるとそのパケットは破棄されます．
time=13.4 ms: RTT (Round-Trip Time) と呼ばれ，データが相手に届いてから自分に戻ってくるまでの往復時間です．この値が小さいほど，通信の遅延が少ないことを意味します．

2.2: ハンズオン - traceroute によるネットワーク経路の可視化

traceroute は，データが目的地に着くまでに経由するルーターの経路を可視化する，非常に賢いコマンドです．では，どうやって経路を知ることができるのでしょうか？

これは，2.1 で学んだパケットの寿命 (TTL) を巧みに利用したトリックに基づいています．traceroute は以下のような手順で経路を暴いていきます．

まず，TTL を「1」に設定した特殊なパケットを送信します．このパケットは，最初の中継ルーター（1 ホップ目）に到着した時点で TTL が 0 になり，「時間切れ」エラーを返信してきます．tracerouteはこのエラーを受け取ることで「1番目の中継点はこのルーターだ」と知ることができます．
次に，TTL を「2」に設定したパケットを送信します．このパケットは 1 番目のルーターを通過し，2 番目のルーターで時間切れになります．2 番目のルーターからエラーが返ってくることで，その存在を知ります．
この操作を，TTL の値を 1 ずつ増やしながら，最終目的地にパケットが到着するまで繰り返します．

このように，わざとパケットを途中で時間切れにさせることで，各中継点から自己紹介させる，という方法で通信経路を明らかにしています．

traceroute ktak.dev

traceroute 出力の詳細な読み解き方 : 出力の各行は，目的地までの経路上にある一つの中継点（ホップ）を表しています．

1 192.168.1.1 (192.168.1.1) 1.234 ms 1.345 ms 1.456 ms

1: ホップ番号．自分の PC から数えて何番目の中継点かを示します．
192.168.1.1 (192.168.1.1): その中継点であるルーターのホスト名や IP アドレスです．
1.234 ms ...: そのルーターまでの往復時間 (RTT) ． traceroute は信頼性を高めるため，デフォルトで各中継点に 3 回パケットを送り，それぞれの RTT を計測します．
* * *: アスタリスクが表示された場合，その中継点のルーターから時間内に応答がなかったことを示します．セキュリティ上の理由で意図的に応答しない設定のルーターも多いため，必ずしも異常を示すわけではありません．

2.3: ハンズオン - ss による TCP 接続の確認

TCP とは？ TCP (Transmission Control Protocol) は，電話のように，まず相手と「接続（コネクション）」を確立し，データが正確に届いたかをお互いに確認しながら，安定した通信を行います． ss コマンドで，現在確立されている TCP 接続の一覧を確認できます．

ss -tn

State が ESTAB（確立済み）となっている行が，現在有効な接続です．

Part 3: アプリケーション層 - DNS 名前解決

DNS (Domain Name System) は，ドメイン名を IP アドレスに変換する「インターネットの巨大な分散型電話帳」です．私たちが普段何気なく「google.com」や「ktak.dev」と入力してアクセスしているとき，背後では非常に複雑で巧妙な仕組みが動いています．

DNS の基本概念

DNSは以下の重要な要素から構成されています：

ドメイン名: 人間が覚えやすい名前（例：google.com, ktak.dev）
IPアドレス: コンピュータが実際に通信に使う数字の住所（例：142.250.196.110）
DNSサーバー: ドメイン名とIPアドレスの対応表を管理するコンピュータ
名前解決: ドメイン名をIPアドレスに変換する処理

3.1: ハンズオン - dig による DNS への問い合わせ

dig は， DNS サーバーに直接問い合わせを行い，詳細な情報を取得する専門的なツールです．ブラウザが内部で行っている名前解決の過程を，私たちが手動で追体験することができます．

基本的な dig コマンドの使用

dig ktak.dev

dig 出力の詳細な読み解き方:

QUESTION SECTION: 実際にDNSサーバーに送信した質問内容が表示されます
ANSWER SECTION: DNSサーバーからの回答が表示されます．ここにIPアドレスが含まれています
Query time: 名前解決にかかった時間（ミリ秒）
SERVER: 問い合わせに使用したDNSサーバーのIPアドレス

より詳細な DNS レコードの調査

DNS には A レコード以外にも，様々な種類の情報が格納されています：

# A レコード（IPv4アドレス）を取得
dig ktak.dev A

# AAAA レコード（IPv6アドレス）を取得
dig ktak.dev AAAA

# MX レコード（メールサーバー情報）を取得
dig ktak.dev MX

# NS レコード（権威DNSサーバー情報）を取得
dig ktak.dev NS

# すべての種類のレコードを一度に取得
dig ktak.dev ANY

DNS の階層構造を追跡する

dig +trace は DNS の名前解決プロセス全体を段階的に表示する，非常に教育的なオプションです．

dig +trace ktak.dev

この出力を詳しく観察すると，以下のような階層的な問い合わせの流れが見えてきます：

ルートサーバー（.）: インターネット全体の DNS の頂点．「.dev」を管理するサーバーの場所を教えてくれます
TLD サーバー（.dev）: 「.dev」ドメイン全体を管理．「ktak.dev」の権威サーバーを教えてくれます
権威サーバー: 「ktak.dev」の実際の IP アドレスを知っている最終的な情報源

DNS キャッシュについて

実際のブラウザや OS は，一度問い合わせた結果を一定時間「キャッシュ」として保存します．これにより，同じサイトに再度アクセスする際の応答速度が大幅に向上しますが， DNS の設定変更が反映されるまでに時間がかかる原因にもなります． dig の結果に表示される「TTL」（Time To Live）値が，このキャッシュの有効期間を示しています．

3.2: ハンズオン - nslookup による別のアプローチ

nslookup は dig と同様の名前解決ツールですが，より対話的な操作が可能です．

# 基本的な名前解決
nslookup ktak.dev

# 逆引き（IPアドレスからドメイン名を調べる）
nslookup 8.8.8.8

# 特定のDNSサーバーを指定して問い合わせ
nslookup ktak.dev 8.8.8.8

3.3: ハンズオン - DNS の動作確認実験

DNS の仕組みをより深く理解するために，いくつかの実験を行ってみましょう．

実験 1: 異なる DNS サーバーでの結果比較

# Google の公開DNSサーバーを使用
dig @8.8.8.8 ktak.dev

# Cloudflare の公開DNSサーバーを使用
dig @1.1.1.1 ktak.dev

# デフォルトのDNSサーバーを使用
dig ktak.dev

実験 2: 存在しないドメインの問い合わせ

# 存在しないドメインを問い合わせて NXDOMAIN レスポンスを確認
dig kerokerokeroppi-datou-meichan.com

この結果から，DNS サーバーがどのように「そのドメインは存在しません」という情報を返すかを観察できます．

DNS セキュリティの重要性

DNS は重要なインフラですが，セキュリティ上の脆弱性も存在します：

DNS キャッシュポイズニング: 偽の DNS 情報をキャッシュに注入する攻撃
DNS ハイジャック: DNS サーバー自体を乗っ取り，悪意のあるサイトに誘導
DNS over HTTPS (DoH): DNS 通信を暗号化する新しい仕組み
DNSSEC: DNS レスポンスに電子署名を付けて改ざんを防ぐ技術

これらの脅威に対抗するため，DNS の暗号化や署名技術が発展しています．

このように DNS の動作を詳しく観察することで，インターネットの基盤技術への理解が深まります．次のパートでは，この DNS と密接に関連する HTTP 通信について学んでいきます．

Part 4: アプリケーション層 - HTTP と TCP 通信の実践

Web の世界を支えるプロトコル， HTTP と，その土台となる TCP 通信を探求します．

4.1: ハンズオン - HTTP 通信の解剖学 : netcat でリクエストを手書きする

HTTP とは？ HTTP (HyperText Transfer Protocol) は， Web ブラウザと Web サーバーが互いに「会話」するための言語です．「リクエスト（要求）」と「レスポンス（応答）」のモデルで動作します．このハンズオンでは，あなたがブラウザの代わりに「注文（リクエスト）」を手書きで作成し， Web サーバーからの「料理（レスポンス）」を直接受け取ります．

HTTP 通信の基本構造

HTTP 通信は以下のような流れで行われます：

接続確立: クライアントがサーバーと TCP 接続を確立
リクエスト送信: クライアントが HTTP リクエストを送信
処理: サーバーがリクエストを処理
レスポンス送信: サーバーが HTTP レスポンスを返信
接続終了: 通信が完了すると TCP 接続を終了

netcat (nc) とは？ ネットワークの「万能ナイフ」とも呼ばれるツールで， TCP/UDP で生のデータを直接やり取りできます．HTTP の仕組みを理解するために，ブラウザが裏で行っている処理を手動で体験してみましょう．

手順 1: Web サーバーへの接続

nc example.com 80 は，「example.com というサーバーの 80 番ポート（HTTP 通信の標準的な玄関）に TCP で接続せよ」という意味です．

nc example.com 80

ポート番号について

ポート番号は，一つのサーバー上で複数のサービスを区別するための「部屋番号」のようなものです． HTTP は通常 80 番，HTTPS は 443 番，SSH は 22 番など，サービスごとに標準的なポート番号が決められています．

手順 2: HTTP リクエストの手動作成

接続後，以下の HTTP リクエストをキーボードで入力します．最後の空行が極めて重要です．

GET / HTTP/1.1
Host: example.com
Connection: close
                

HTTP リクエストの構造解説 :

リクエストライン (1 行目): GET( メソッド ) でリソースの取得を要求し， /( パス ) でトップページを指定し， HTTP/1.1( バージョン ) で通信ルールを伝えます．
リクエストヘッダー (2 行目以降): Host: で対象のウェブサイトを， Connection: で通信後の接続の扱いを伝えます．
空行 : ヘッダー情報の終わりをサーバーに伝えるための「区切り線」です．

主要なHTTPメソッド

GET: リソースの取得（データの読み込み）
POST: データの送信（フォーム投稿など）
PUT: リソースの作成・更新
DELETE: リソースの削除
HEAD: ヘッダー情報のみ取得（ボディは不要）

手順 3: HTTP レスポンスの観察

リクエストが正しく送信されると，サーバーから生の HTTP レスポンスが返ってきます．

HTTP/1.1 200 OK
Date: Thu, 04 Jul 2025 10:30:00 GMT
Server: Apache/2.4.41
Content-Type: text/html; charset=UTF-8
Content-Length: 1256
Connection: close
... 

HTTP レスポンスの構造解説 :

ステータスライン (1 行目): 200 OK のように，リクエストの結果を 3 桁のステータスコードで示します．
レスポンスヘッダー (2 行目以降): Content-Type: でデータの種類を， Content-Length: でデータのサイズを伝えます．
レスポンスボディ : HTML コンテンツそのものです．

主要なHTTPステータスコード

2xx 成功

200 OK: 正常に処理完了
201 Created: リソースの作成完了
204 No Content: 処理完了、レスポンスボディなし

3xx リダイレクト

301 Moved Permanently: 永続的な移転
302 Found: 一時的な移転
304 Not Modified: 変更なし

4xx クライアントエラー

400 Bad Request: 不正なリクエスト
401 Unauthorized: 認証が必要
403 Forbidden: アクセス禁止
404 Not Found: リソースが見つからない

5xx サーバーエラー

500 Internal Server Error: サーバー内部エラー
502 Bad Gateway: ゲートウェイエラー
503 Service Unavailable: サービス利用不可

さらなる HTTP リクエストの実験

他の HTTP メソッドやヘッダーも試してみましょう：

# HEAD メソッド（ヘッダーのみ取得）
nc example.com 80
HEAD / HTTP/1.1
Host: example.com
Connection: close

# User-Agent ヘッダーを追加
nc example.com 80
GET / HTTP/1.1
Host: example.com
User-Agent: My-Custom-Browser/1.0
Connection: close 

4.2: ハンズオン - curl による HTTP 通信の詳細観察

curl は，HTTP 通信をより簡単に行えるツールです．-v オプションを使うことで，netcatで手動で行った処理と同じ内容を詳細に観察できます．

# 基本的なGETリクエスト curl -v http://example.com/ # レスポンスヘッダーのみ表示 curl -I http://example.com/ # POSTリクエストの送信 curl -X POST -d "[email protected]" http://httpbin.org/post # JSONデータの送信 curl -X POST -H "Content-Type: application/json" -d '{"name":"test"}' http://httpbin.org/post

4.3: ハンズオン - netcat で簡易チャット体験

TCP 接続さえ確立できれば， nc を使ってリアルタイムにテキストを送り合うことができます．これにより，TCPの双方向通信の仕組みを体感できます．

一人で試す場合（同一サーバー内での通信）:

2 つのターミナルを開いて，両方でサーバーに SSH 接続します．

ターミナル 1 （サーバー役） : nc -l <ポート番号> を実行して接続を待ち受けます．
ターミナル 2 （クライアント役） : nc localhost <ポート番号> を実行して自分自身に接続します．

# ターミナル1（サーバー役）
nc -l 12345

# ターミナル2（クライアント役）
nc localhost 12345

複数人で試す場合（ 2 人 1 組） :

サーバー役 : nc -l <ポート番号> で接続を待ち受けます．
クライアント役 : nc <サーバーの IP アドレス> <ポート番号> でサーバー役に接続します．

TCP接続の状態確認

チャット中に別のターミナルで ss -tn を実行すると，実際に確立されているTCP接続を確認できます． ESTAB 状態の接続が表示されるはずです．

ファイル転送の実験

netcat は，単純なテキストのやり取りだけでなく，ファイルの転送にも使えます：

# ファイルを送信する側（サーバー役）
nc -l 12345 < /etc/hostname

# ファイルを受信する側（クライアント役）
nc localhost 12345 > received_file.txt

Part 5: 動的な Web アプリケーションの実践 : pnpm, TypeScript, Node.js

これまでは「静的」な Web サイトを扱ってきました．ここでは，リクエストに応じてその場でコンテンツを生成する「動的」な Web アプリケーションを，よりモダンな開発環境である pnpm と TypeScript を使って構築します．

5.1: pnpm と TypeScript の導入

pnpm とは？ npm と同様の Node.js パッケージ管理ツールですが，より高速で，ディスクスペースを効率的に使用するという利点があります．

TypeScript とは？ JavaScript に「型」の概念を追加した上位互換言語です．コードを書いている段階で多くのエラーを発見でき，大規模なアプリケーション開発をより安全で効率的にします．

5.2: ハンズオン - TypeScript アプリケーションの作成

手順 1: プロジェクトの初期化

pnpm を使ってプロジェクトを初期化します．

cd ~
mkdir ts_app && cd ts_app
pnpm init

手順 2: 必要なパッケージのインストール

アプリケーションの実行に必要な express と，開発に必要な typescript, ts-node, @types/node, @types/express をインストールします． -D は開発時のみに必要なパッケージ（ devDependencies ）であることを示します．

pnpm add express
pnpm add -D typescript ts-node @types/node @types/express

手順 3: TypeScript 設定ファイルの作成

TypeScript のコンパイラに対する指示書である tsconfig.json を作成します．

nano tsconfig.json

以下の設定を貼り付けてください．これは，一般的な Node.js+Express プロジェクト向けの基本的な設定です．

{
  "compilerOptions": {
    "target": "es6",
    "module": "commonjs",
    "outDir": "./dist",
    "rootDir": "./src",
    "strict": true,
    "esModuleInterop": true,
    "skipLibCheck": true,
    "forceConsistentCasingInFileNames": true
  },
  "include": ["src/**/*"]
}

手順 4: アプリケーションコードの作成

ソースコードを置くための src ディレクトリを作成し，その中に index.ts ファイルを作成します．

mkdir src
nano src/index.ts

以下のコードを貼り付けてください． 500XX には，他の人と被らない番号を入れてください．

import express, { Request, Response } from 'express';

const app = express();
const PORT: number = 500XX;

// ルート URL ("/") にアクセスがあった場合の処理
app.get('/', (req: Request, res: Response) => {
  res.send('<h1>Hello from my TypeScript App!</h1>');
});

// "/json" にアクセスがあった場合の処理
app.get('/json', (req: Request, res: Response) => {
  res.json({
    message: 'This is a JSON response from TypeScript.',
    timestamp: new Date()
  });
});

// "/headers" にアクセスがあった場合の処理
app.get('/headers', (req: Request, res: Response) => {
  res.type('text/plain');
  let headersText = 'Your Request Headers:\n\n';
  for (const [key, value] of Object.entries(req.headers)) {
    headersText += `${key}: ${value}\n`;
  }
  res.send(headersText);
});

// 指定したポートでサーバーを起動
app.listen(PORT, () => {
  console.log(`Server is running on http://localhost:${PORT}`);
});

5.3: ハンズオン - アプリケーションの実行とテスト

手順 1: アプリケーションの起動

ts-node は， TypeScript をコンパイルせずに直接実行できる便利なツールです．

pnpm ts-node src/index.ts

Server is running... というメッセージが表示されれば成功です．このターミナルは起動したままにしておきます．

手順 2: `curl` によるローカルテスト

別のターミナルを開いて サーバーに再度 SSH 接続し，curl で動作確認します．

curl http://localhost:500XX/

5.4: ハンズオン - Nginx によるリバースプロキシ設定

このステップでは，Nginx の最も強力な機能の一つである「リバースプロキシ」を設定し，先ほど作成した Node.js アプリケーションをインターネットに公開します．

リバースプロキシとは？
リバースプロキシは，外部からのリクエストを一旦すべて受け取り，その内容に応じて背後にある適切なサーバーにリクエストを転送する「交通整理役」や「受付係」のような存在です．

今回の設定を大きなオフィスビルに例えてみましょう．

Nginx: ビルの総合受付（ポート 8000 番台など）です．すべての訪問者（HTTP リクエスト）は，まずこの受付にやってきます．
静的サイト (public_html): 1 階の資料展示室です．受付係（Nginx）は，単に「資料を見たい」という訪問者（/ へのアクセス）をここに案内します．
Node.js アプリ (localhost:9001): 9 階の専門部署（ポート 9001）です．受付係は「専門的な相談がしたい」という訪問者（/app/ へのアクセス）を，内線電話で 9 階の担当部署に繋ぎます．訪問者は受付と話しているつもりですが，実際には 9 階の専門家と話しているわけです．

このように，リバースプロキシは「どのリクエストを，どのアプリケーションに渡すか」を一元管理します．これにより，外部からは直接 Node.js アプリが見えず，セキュリティが向上したり，将来的に複数のアプリを同じサーバーで動かしたりすることが容易になるなど，多くのメリットがあります．

手順 1: Nginx 設定ファイルの更新

~/nginx_userXX.conf を作成し，以下の内容を追加します．

server {
  listen 50000;
  server_name ktak.dev;

  location / {
    root /home/<ユーザー名>/public_html;
    index index.html;
    try_files $uri $uri/ =404;
  }  

  location /appXX/ {
    proxy_pass http://localhost:500XX/;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
  }
}

手順 2: 設定ファイルの適用

Cyber にサーバーへの適用を依頼します．

5.5: ハンズオン - ブラウザ開発者ツールでの通信確認

curl http://ktak.dev:50000/appXX/ などを叩き，Content-Type ヘッダーやレスポンス内容を観察します．

Part 6: 基礎的サイバーセキュリティと応用課題

このパートでは，サーバーを外部の脅威から守るための基本的な考え方と技術を，より深く学びます．

6.1: 概念 : ファイアウォールとセキュリティリスト

ファイアウォールとは？ ネットワークの「関所」や「警備員」です．事前に定められたルールに基づき，許可されていない通信がサーバーに入ってくるのを防ぎます．基本的なセキュリティの考え方は「デフォルト拒否 (Default Deny)」です．これは，「明示的に許可された通信以外は，すべて拒否する」という原則で，非常に安全な状態を保つことができます．

6.2: ハンズオン - nmap によるネットワーク偵察

ポートとは？ サーバーという一つの建物の中に，特定のサービスが利用する専用の「ドア」のようなものです． nmap は，どのドアが開いているかを外部から調査するツールです．

nmap -sT ktak.dev

結果から，ファイアウォールで許可されたポートだけが open と表示されることを確認しましょう．

6.3: ハンズオン - Web脆弱性体験（OSコマンドインジェクション）

攻撃者の視点を体験する: これまではサーバーを守る側の視点でしたが，ここでは攻撃者がどのように脆弱性を悪用するかを体験します．これにより，なぜユーザーからの入力を安易に信用してはいけないのか，その理由を体感的に理解します．

警告: ここで作成するコードは，意図的に深刻なセキュリティホールを含んでいます．絶対に実際のアプリケーションで使用しないでください．このハンズオンは，あくまで学習目的です．

手順 1: 脆弱なコードの追加（サーバー上で実行）

Part 5 で作成した Node.js アプリ ~/ts_app/src/index.ts を nano で開き，以下のコードを app.listen の直前に追加してください．

import { exec } from 'child_process'; // ファイルの先頭に追加

// ... 既存のコード ...

// 【脆弱なコード】URLのクエリパラメータで受け取ったコマンドをそのまま実行してしまう
app.get('/exec', (req: Request, res: Response) => {
  const cmd = req.query.cmd as string;
  if (!cmd) {
    res.status(400).send('Error: cmd query parameter is required.');
    return;
  }
  exec(cmd, (error, stdout, stderr) => {
    if (error) {
      res.status(500).send(`EXECUTION ERROR: ${error.message}`);
      return;
    }
    res.type('text/plain').send(stdout || stderr);
  });
});

// 指定したポートでサーバーを起動
app.listen(PORT, () => { // この行よりも前に追加
// ...

ファイルを保存したら，ts-node でアプリを（再）起動しておきましょう．

手順 2: 脆弱性を利用した攻撃（別のターミナルで実行）

別のターミナルから curl を使い，この新しいエンドポイントにアクセスします．URL に含めたコマンドがサーバー上で実行されてしまうことを確認します．

# 現在のディレクトリのファイル一覧を表示させる
curl "http://localhost:500XX/exec?cmd=ls%20-la"

# 複数のコマンドを連結して実行する
curl "http://localhost:500XX;/exec?cmd=echo%20'Hacked!'%3B%20whoami"

URL エンコードとは？
コマンド例に %20 や %3B といった見慣れない文字列があります．これはURL エンコードと呼ばれる処理です．URL では，スペース（空白）や ;, /, ?, & といった文字は，特別な意味を持つ予約文字として扱われます．そのため，これらの文字を「コマンドの一部」としてサーバーに正しく伝えるためには，「これはただの文字ですよ」という印を付けて別の表現に変換する必要があります．例えば，ls -la のスペースは %20 に，コマンドを区切る ; は %3B に変換されます．curl は多くの場合自動でこれを行いますが，仕組みとして知っておくことは非常に重要です．

このように，ユーザーが入力した文字列を検証せずにプログラムに渡すと，意図しない OS コマンドを実行させられる危険性があります．これを OS コマンドインジェクションと呼びます．実際の開発では，入力を厳しくチェック（バリデーション）し，直接シェルに渡さないようにする（エスケープ処理や専用の関数を使う）といった対策が必須です．

6.4: ハンズオン - HTTPS 通信の検証と有効化

HTTPS と SSL/TLS 証明書の仕組み : HTTPS は，暗号化された安全な通信です．これは，①クライアント（ブラウザ），②サーバー，③認証局 (CA) の「信頼の三角形」によって成り立っています．

HTTPSの基本概念

HTTPSは以下の3つの要素で通信を保護します：

暗号化（Encryption）: 通信内容を第三者が読み取れないように暗号化
完全性（Integrity）: データが改ざんされていないことを保証
認証（Authentication）: 接続先サーバーが本物であることを証明

HTTP の通信に SSL/TLS という暗号化技術を組み合わせたものが HTTPS です．

openssl コマンドを使って，この講習会サイト ktak.dev がどのように HTTPS で保護されているか，その証明書の中身を覗いてみましょう．

openssl s_client -connect ktak.dev:443 -servername ktak.dev

出力から証明書の Subject（発行対象），Issuer（発行者），Validity（有効期間）などの重要情報を読み取ります．

6.5: ハンズオン - ログ分析

grep と awk とは？ grep は特定のキーワードを含む行を探すコマンド， awk はテキストを行ごと・単語ごとに分解して処理できる高機能なコマンドです．

手順 : アクセスログの分析

# 404 エラー (Not Found) が発生したログだけを抽出
tail -f /var/log/nginx/access.log | grep "404"

# 最もアクセス回数の多い IP アドレス TOP5 を調べるよ．けろけろ．
cat /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 5

コマンドパイプラインの詳細解説 :

cat /var/log/nginx/access.log: ログファイルの内容をすべて読み込み，次のコマンドに渡します．
awk '{print $1}': 各行の 1 番目の単語（IP アドレス）だけを抜き出します．
sort: IP アドレスを並べ替え，次の uniq コマンドの準備をします．
uniq -c: 連続する同じ IP アドレスを数え上げ，一行にまとめます．
sort -nr: 今度は出現回数（数字）の多い順に並べ替えます．
head -n 5: 最終的なランキングの上位 5 行だけを表示します．

6.6: ハンズオン - cron による ping 監視

cron とは？ Linux に標準で備わっている「タスクスケジューラ」です．指定した時間にコマンドやスクリプトを自動実行させることができます．ここでは， sub.ktak.dev への疎通を定期的に確認するタスクを自動化します．

手順 1: 監視スクリプトの作成

nano ~/ping_monitor.sh でサイトをチェックするスクリプトを作成し， chmod +x ~/ping_monitor.sh で実行権限を与えます．

#!/bin/bash
# --- 設定項目 ---
TARGET="sub.ktak.dev"
LOGFILE="/home/<ユーザー名>/ping_monitor.log"
# --- 設定項目ここまでやんな ---

DATE=$(date '+%Y-%m-%d %H:%M:%S')
PING_RESULT=$(ping -c 4 $TARGET 2>&1)
if [ $? -eq 0 ]; then
STATS=$(echo "$PING_RESULT" | grep -E "packet loss|rtt")
PACKET_LOSS=$(echo "$STATS" | grep "packet loss" | awk '{print $6}')
AVG_RTT=$(echo "$STATS" | grep "rtt" | awk -F'/' '{print $5}')
echo "$DATE - SUCCESS - Target: $TARGET, Packet Loss: $PACKET_LOSS, Avg RTT:
$AVG_RTT ms" >> $LOGFILE
else
echo "$DATE - FAILURE - Target: $TARGET" >> $LOGFILE
echo "--- Ping Output ---" >> $LOGFILE
echo "$PING_RESULT" >> $LOGFILE
echo "-------------------" >> $LOGFILE
fi

スクリプトの解説 : このスクリプトは ping -c 4 で 4 回だけ ping を送信し，その成否を判定します．成功した場合は，結果からパケットロス率と平均 RTT を抽出し，失敗した場合はエラー内容をそのままログに記録します．

手順 2: `cron` ジョブの登録

crontab -e で cron の設定ファイルを開き，以下の行を追加して毎分実行するように設定します．

* * * * * /home/<ユーザー名>/ping_monitor.sh

手順 3: 動作確認

数分後， cat ~/ping_monitor.log でログが記録されていることを確認します．

おわりに

ネットワークのパケット追跡から始まり，DNS，HTTP，静的・動的な Web サーバー構築，そしてセキュリティと運用の基本を駆け足で体験しました．一つ一つの知識は断片的に見えるかもしれませんが，それらが全て繋がって一つの Web サービスを形作っていることを実感できたのではないでしょうか．ここで得た知識と経験は，今後の開発や学習において，より深いレベルで物事を理解するための強力な土台となるはずです．