対象試験と出題頻度
SSH(Secure Shell)は、基本情報技術者・応用情報技術者で出題されるテーマです。
「SSHの説明を選べ」という定義問題に加え、午後問題でもSSHセッションの仕組みが題材として取り上げられており、デジタル署名や暗号化の知識と組み合わせた出題が目立ちます。
詳細をクリックして確認
基本情報技術者
応用情報技術者
★★★★☆
ランクA(重要)必ず覚えておくべき
用語の定義
情報処理試験を勉強していると、「SSHって結局何?TELNETと何が違うの?」と迷う場面があります。
SSH(Secure Shell)とは、一言で言うと
「公開鍵暗号や認証の技術を用いて、遠隔地のコンピュータと安全にリモート通信するためのプロトコル」
のことです。
イメージとしては、「盗聴される心配のない専用の防音トンネルを通って、遠くのパソコンを操作しに行く」状態です。
TELNETが「丸見えの通路」を通って遠隔操作していたのに対し、SSHは通路そのものを暗号で覆い、誰にも中身を見られない状態でやり取りする仕組みです。
📊 SSHの基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | Secure Shell(セキュアシェル) |
| ポート番号 | TCP 22番 |
| 技術規格 | RFC 4251〜4254(SSHプロトコルアーキテクチャ等) |
| 最大の特徴 | 通信データ・認証情報をすべて暗号化して送受信する |
解説
TELNETやrloginといった旧来のリモートログインプロトコルは、ユーザー名・パスワードを含むすべての通信を平文のままネットワーク上に流していました。
インターネットが普及するにつれ、この仕様は深刻な盗聴リスクとなり、暗号化されたリモート通信手段が必要になりました。SSHは1995年にこの課題を解決するために設計されたプロトコルです。
SSHセッションの3ステップ
SSHの通信は、大きく3つの段階を踏んで確立されます。
▶ SSHセッションの流れ(クリックで展開)
ステップ1:安全な通信経路の確立
クライアントとサーバが使用する暗号アルゴリズムを合意し、鍵交換によってセッション鍵(共通鍵)を共有します。
クライアントはサーバの公開鍵を使ってサーバ認証を行い、接続先が正当なサーバであることを確認します。以降の通信はすべてこのセッション鍵で暗号化されます。
ステップ2:利用者認証
暗号化された通信経路上で、ログインするユーザーの本人確認を行います。
認証方式には「公開鍵認証」と「パスワード認証」があり、公開鍵認証のほうが安全性が高いとされています。
公開鍵認証では、クライアントの秘密鍵で作成したデジタル署名をサーバが検証する仕組みです。
ステップ3:ログインセッション
認証が完了すると、リモートコンピュータ上でコマンド実行やファイル操作が可能になります。
通信データはすべて暗号化されたまま送受信されるため、途中で盗聴されても内容は解読できません。
ポートフォワーディング機能
SSHにはリモートログインだけでなく、「ポートフォワーディング」(SSHトンネル)という機能があります。
これは、SSHの暗号化された通信経路の中に、FTPやPOP3など暗号化機能を持たない他のプロトコルの通信を通す技術です。
本来は平文で流れてしまうデータも、SSHトンネル経由であれば暗号化された状態で送受信できます。
▶ SSHと混同しやすいプロトコルの整理(クリックで展開)
| プロトコル | 役割 | SSHとの違い |
|---|---|---|
| TELNET | リモートログイン(仮想端末) | 暗号化なし。SSHの登場前に使われていた前身 |
| SSL/TLS | トランスポート層での暗号化通信 | 主にWebブラウザとサーバ間の通信(HTTPS)で使用。SSHはリモートログインに特化 |
| IPsec | ネットワーク層での暗号化通信 | VPN構築に使用。SSHはアプリケーション層で動作 |
| S/MIME | 電子メールの暗号化・デジタル署名 | メール専用。SSHはリモート操作・ファイル転送用 |
ここだけは確実に押さえてください。SSHは「リモートログインとリモートファイルコピーのセキュリティを強化したプロトコル」です。
SSL/TLSやIPsecとは動作する層も用途も異なります。
では、この用語が試験でどのように出題されるか見ていきましょう。
💡 SSHの核心を3行で
・公開鍵暗号と認証技術を使い、リモート通信をすべて暗号化するプロトコル(TCP 22番)
・TELNETが「平文の通路」なら、SSHは「暗号化されたトンネル」
・ポートフォワーディングにより、FTPやPOP3など他プロトコルの通信も安全に中継できる
試験ではこう出る!
SSHは、午前・午後の両方で出題される重要テーマです。午前は定義問題、午後は通信手順の詳細が問われます。
📊 過去問での出題実績(クリックして表示)
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| AP H26春 午前 問44 |
SSHの説明として適切なものを選ぶ問題。S/MIME、SET、PGPの説明がひっかけ選択肢。 | ・「リモートログインやリモートファイルコピーのセキュリティ強化」が正解 ・S/MIMEやPGPとの区別 |
| AP H28春 午前 問43 |
遠隔コンピュータに安全にログインするプロトコルを選ぶ問題。IPsec、L2TP、RADIUSが並ぶ。 | ・「暗号化+認証+リモートログイン」でSSHを特定 ・IPsecはネットワーク層、L2TPはトンネリング |
| SG H30秋 午前 問29 |
AP H26春 問44と同一構成の流用問題。 | ・FE/AP/SG間で同じ問題が流用される典型例 |
| FE H29秋 午後 問1 |
SSHセッション(経路確立→利用者認証→ログイン)の手順を読み解き、公開鍵・秘密鍵の使い分けや中間者攻撃の防止について答える問題。 | ・サーバ認証=サーバの公開鍵で署名検証 ・公開鍵認証=クライアントの公開鍵で署名検証 ・共通鍵暗号方式を使う理由=処理速度が高速 |
📝 IPA試験での出題パターン
パターン1:「SSHの説明を選べ」(午前定番)
S/MIME(メール暗号化)、SET(クレジット決済)、PGP(メール暗号化ソフト)の説明と並べて識別させる形式。「リモートログイン」「セキュリティ強化」がキーワード。
パターン2:「安全にリモートログインするプロトコルを選べ」(午前定番)
IPsec、L2TP、RADIUS、TLSなどネットワークセキュリティ関連のプロトコルと並べて出題。「遠隔のコンピュータに安全にログイン」がSSHの決め手。
パターン3:SSHセッションの手順を読み解く(午後)
FE H29秋午後問1のように、サーバ認証・利用者認証の流れが長文で示され、公開鍵と秘密鍵の使い分け、共通鍵暗号方式を選ぶ理由などが設問になる。デジタル署名の仕組みを理解していないと解けない。
午前は「リモートログインの暗号化=SSH」で即答できます。午後まで対策するなら、公開鍵暗号方式とデジタル署名の仕組みをセットで押さえておくのが鉄則です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. SSHの説明として、最も適切なものはどれでしょうか?
- A. MIMEを拡張した電子メールの暗号化とデジタル署名に関する標準である。
- B. ノード認証や暗号化通信、改ざん検知などのセキュリティ機能をトランスポート層レベルで提供するプロトコルである。
- C. リモートログインやリモートファイルコピーのセキュリティを強化したツール及びプロトコルである。
正解と解説を見る
正解:C
解説:
SSH(Secure Shell)は、公開鍵暗号や認証技術を用いてリモートログインやリモートファイルコピーを安全に行うためのプロトコルです。IPA過去問でも繰り返しこの表現で正解選択肢が作られています。
選択肢AはS/MIME(Secure MIME)の説明です。電子メールの暗号化とデジタル署名を実現する規格であり、リモートログインとは関係ありません。選択肢BはTLS(Transport Layer Security)の説明です。HTTPS等で利用されるトランスポート層の暗号化プロトコルであり、SSHとは動作する層も主な用途も異なります。
よくある質問(FAQ)
Q. SSHの「公開鍵認証」と「パスワード認証」はどちらを選ぶべきですか?
公開鍵認証を推奨します。パスワード認証の場合、サーバが攻撃者に乗っ取られていると認証情報を奪われるリスクがあります。公開鍵認証であれば、仮にサーバ側のデータが漏えいしても、クライアント端末にある秘密鍵が流出しない限り不正ログインはできません。FE H29秋午後問1でもこの安全性の差が出題されています。
Q. SFTPとFTPSは何が違うのですか?
SFTP(SSH File Transfer Protocol)はSSHの暗号化通信経路上でファイル転送を行うプロトコルです。一方、FTPS(FTP over SSL/TLS)はHTTPがHTTPSになるのと同じ考え方で、FTPの通信をSSL/TLSで暗号化したものです。SSHベースかSSL/TLSベースかという暗号化の方式が異なりますが、どちらも安全なファイル転送を実現する点は共通しています。試験範囲ではこの違いまで深掘りされないので、参考程度で構いません。
Q. SSHのポート番号22は変更しても問題ありませんか?
実務ではポート番号を変更するのが一般的なセキュリティ対策です。デフォルトの22番ポートはボットによる無差別攻撃(ブルートフォース攻撃)の標的になりやすいため、別のポート番号に変更してリスクを低減します。ただし試験で問われるのは「SSHのウェルノウンポート=22番」であるため、この番号はそのまま覚えてください。
