メインコンテンツへスキップ
50% off 全プラン対象、期間限定。月額 $2.48/mo
21 min left
セキュリティとネットワーク

最高の5層セルフホスト型プライバシースタック

J 著者 Jonas 21 分で読めます
The best five-layer self-hosted privacy stack: WireGuard, Vaultwarden, SearXNG, Nextcloud with Immich, and Mattermost or Rocket.Chat on a VPS you control.

2025年3月、 Krebs on Securityが報じた ところによれば、米連邦捜査当局は1億5,000万ドルの暗号通貨盗難を、2022年のLastPassの侵害に直接結びつけました。仕組みは単純でした。一部の顧客がLastPassのSecure Notesにシードフレーズを保存しており、攻撃者が暗号化されたボールトのバックアップを入手し、弱いまたは古いボールト保護のせいで一部のボールト内容がオフラインで解読されえたのです。

教訓は、LastPassが類を見ないほど不注意だった、ということではありません。教訓は、あなたが読むあらゆる侵害は、誰か他人のデータが収益化される一方で、謝罪メールがあなたの受信箱に届く、という出来事だということです。セルフホストは、誰があなたのデータにそれをできるかを変えます。それでも誰かが常にそれをできるという事実は変えません。

この投稿は、脅威モデルが商業的なデータの露出、つまり巨大テックによる収益化やベンダーの侵害である読者向けであって、国家レベルの監視、高リスクのジャーナリズム、活動家活動、法的なディスカバリーのためのものではありません。以下のアーキテクチャは、その特定の脅威モデルのための5層スタックです。

短いバージョン

このスタックには5つの層があります。各層は、よくある巨大テックへの依存を1つ取り除きますが、どの層もあなたを不可視にはしません。

  • ネットワーク: WireGuardは商用VPNを置き換え、ISPやローカルネットワークからの可視性を制限します。
  • アイデンティティ: Vaultwardenはホスト型のパスワードマネージャーを置き換え、ベンダー側の侵害への露出を減らします。
  • 検索: SearXNGは、あなたのVPSを通じて検索をプロキシし、ログイン済みの検索アカウントから検索を切り離すことで、検索プロファイリングを減らします。
  • ファイルと写真: Nextcloud AIOとImmichはGoogle DriveとGoogle Photosを置き換え、クラウドのコンテンツスキャンと製品横断のデータ結合を断ち切ります。
  • チームコミュニケーション: MattermostまたはRocket.Chatは、チームのチャット履歴をSlack、Discord、Teamsから移します。
  • 主な限界: あなたのVPSプロバイダーは依然としてインフラのメタデータを見られ、あなたのISPは依然としてあなたが自分のサーバーに接続することを見られ、そしてこのスタックは国家レベルの敵対者のために作られていません。
  • 管轄に関する注記: EUでのホスティングはデータ主権の論拠を強めますが、魔法の盾ではありません。

セルフホストは信頼を移すのであって、取り除くのではない

Trust-shift diagram: the top half shows data flowing from a user through their ISP to SaaS vendors like Google, Microsoft, and Meta with profile-aggregation arrows; the bottom half shows data flowing from the user through the ISP to a VPS provider and self-hosted services, with the SaaS vendors removed.

次の場所で長く続いている議論があり、 Hacker News、それは表面的には正しいです。「VPS上のセルフホストはプライバシーを解決しない。あなたは別のベンダーを信頼するだけだ。」プライバシーのアーキテクチャを設計する人は誰でも、これを回り道せずに正面から扱うべきです。正直な答えは、その信頼の移行は非対称だ、ということです。それは等価ではありません。

セルフホストが減らすものから始めましょう。あなたのSaaSプロバイダーのビジネスモデルは、もはやあなたのデータを採掘することではありません。なぜなら、そのプロバイダーがいなくなったからです。ベンダー側の侵害への露出は形を変えます。Vaultwardenのボールトはクライアント側で暗号化されますが、Nextcloud、Mattermost、Rocket.Chatのようなサーバーで読めるサービスは、依然として適切なハードニング、バックアップ、アクセス制御を必要とします。

LastPassの教訓は、ボールトの暗号化が存在しなかった、ということではありませんでした。盗まれた暗号化済みのボールトバックアップ、暗号化されていないメタデータ、古いKDF設定、弱いマスターパスワードが、オフラインの解読経路を作った、ということでした。サービスをまたぐ行動プロファイリングも縮みます。なぜなら、1社が組み立てられるサービス横断のデータが減るからです。サブスクリプションのロックインも下がります。

さて、セルフホストが排除しないものです。あなたのVPSプロバイダーのハイパーバイザーは、原理的にはあなたのVMのメモリを読めます。あなたのVPSプロバイダーは、あなたのインフラレベルのメタデータ、つまりどのIPにいつ接続し、どれだけのデータが動くかを見ています。

あなたのISPは、依然としてあなたが自分のサーバーに接続していることを見ています。管轄に基づく法的な請求は依然としてVPSプロバイダーのレベルで適用され、裁判所命令は依然として裁判所命令です。侵害されたVPS、アプリ、データベース、管理者アカウントは、依然としてデータを露出させうります。

重要なのは信頼の計算です。VPSプロバイダーは、GoogleやMetaより、あなたのデータを採掘する商業的な動機が小さいです。なぜなら、月額料金がビジネスモデルであって、あなたのデータはそうではないからです。VPSプロバイダーは、あなたについての集約されたデータが少ないです。つまり、あなたの1台のサーバーであって、検索履歴、位置履歴、受信箱を組み合わせたものではありません。

EUでは、プロバイダーはGDPRと特定の契約条件のもとで運営します。これのどれも、あらゆる面でVPSをGoogleより安全にするわけではありません。それは異なる露出プロフィールを持つ異なる脅威モデルであり、この投稿が扱う脅威モデルにとっては、有意な改善です。

もう1つ、正確を期す価値のある区別があります。プライバシーは「彼らは私が何をしているか知らない」です。匿名性は「彼らはそれをしているのが私だと知らない」です。商用VPS上のセルフホストは、SaaSベンダーやサードパーティのプラットフォームに対するプライバシーを改善します。

それは、あなたのVPSプロバイダーからの匿名性を与えるものではありません。匿名性が必要なら、あなたが使うのはVPSではなくTorであり、この投稿の残りは間違ったツールです。

このセクションの要点: VPSは、あなたのデータの収益化がビジネスモデルであるSaaSベンダーから、サーバーを売るのがビジネスモデルであるインフラプロバイダーへと、あなたの信頼を移します。ほとんどの読者の脅威モデルにとって、それは有意な改善ですが、不可視性ではありません。

5層スタックを手短に

The five-layer self-hosted privacy stack at a glance: network, identity, search, files and photos, and communications, each with its recommended app and what it replaces.

5つの層を、この順序でデプロイします。ネットワーク、アイデンティティ、検索、ファイル、コミュニケーション。各層は別個の脅威に対処します。段階的にデプロイでき、自分に当てはまらない層は飛ばせます。このモデルがアプリ一覧より有用なのは、サーバー上で動くサービスの数ではなく、あなたの懸念に合わせてスケールするからです。

推奨アプリ置き換えるもの守るもの守らないものRAMの下限
ネットワークWireGuard商用VPNISPとローカルネットワークの観察者、公衆Wi-Fiの攻撃者あなたのエグレスを見るVPSプロバイダー、設定しない限りのDNSリーク100 MB未満
アイデンティティVaultwardenLastPass、1Password(ホスト型)ベンダー側のパスワード侵害、資格情報の使い回し弱いマスターパスワード、2FAなし、フィッシング、デバイスの侵害200 MB未満
検索SearXNGGoogle検索、Bing検索クエリのプロファイリング、クエリに基づく広告ターゲティング実際に訪れるサイトでのトラッキング、ブラウザのフィンガープリンティング約250 MB
ファイルと写真Nextcloud AIO + ImmichGoogle Drive、Google Photosクラウドベンダーのコンテンツスキャン、製品横断のデータ結合VPSのストレージボリューム(保存時の暗号化はあなた次第)、デバイス側の侵害4 GB floor for Nextcloud AIO alone; 8 GB / 4 vCPU safer once Immich ML is enabled
コミュニケーションMattermostまたはRocket.ChatSlack、Discord(チーム利用)ベンダー側のメッセージアーカイブとコンテンツスキャンエンドツーエンド暗号化(これらはデフォルトではE2EEではありません)Mattermost:2 GBの下限、Rocket.Chat:4 GB以上

このセクションの要点: 最も軽いプライバシースタックが欲しいなら、WireGuard、Vaultwarden、SearXNGから始めましょう。より高いRAM利用、ストレージ計画、バックアップ、より多くの管理作業の準備ができてから、Nextcloud、Immich、チームチャットを加えてください。

第1層:ネットワーク層(WireGuard)

Network layer: WireGuard running on a VPS routes a user's traffic so it egresses from the server instead of the home connection, hiding browsing from the ISP and local network.

典型的な単一ユーザーの構成でのWireGuardの設定ファイルは12行です。ハンドシェイクは1往復で完了し、Noiseプロトコルのフレームワークを使います。カーネルモジュールは5.6以降、メインラインのLinuxに入っているので、あなたが2026年にデプロイするプロトコルは、何年も監査され安定してきたのと同じものです。これが正しいデフォルトです。

この層が対処するもの:本来ならあなたが接続するすべてのドメインを見てしまうISPやローカルネットワークの観察者、公衆Wi-Fiの攻撃者、そしてあなたの自宅IPが訪れるすべてのサービスに露出すること。あなたのトラフィックは、あなたのアパートからではなく、あなたのVPSから外へ出ます。

この層が対処しないもの:あなたのトラフィックのエグレスについてのVPSプロバイダーの視界。彼らは、あなたのVPNエンドポイントが何に、いつ、どれだけ接続するかを見ます。WireGuardはトラフィックをあなたのISPから隠します。エグレスを運用するサーバーからは隠しません。

DNSリークもまた別の問題で、自動的には処理されません。あなたはVPNクライアントを、自分が信頼するリゾルバーに向けなければなりません。同じVPS上でUnboundを動かすか、信頼できる上流をDoTやDoH経由で使ってください。Pi-holeによる完全なDNS層の広告ブロックは別の話題であり、ほとんどのユーザーにとってVPNのエグレスと組み合わせるべきものではありません(詳しくは後述)。

WireGuard 対 代替案を手短に。OpenVPNはいまも機能します。ハンドシェイクはより大きく、メタデータの足跡はより大きく、スループットはより低いです。WireGuardが提供しない機能が特に必要でない限り、新規のデプロイでそれを選ぶ理由はありません。

Tailscaleは別物のツールです。WireGuardの上に構築されたゼロ設定のメッシュで、複数のマシンにまたがる自分自身のセルフホストサービスを縫い合わせるのに優れています。インターネットへのプライバシーのエグレスとして欲しいものではありません。なぜなら、調整プレーンがTailscaleによってホストされているからです。

注:デフォルトの51820/UDPポートを変えると低労力のスキャンを減らせますが、それでWireGuardが普通のHTTPSトラフィックのように見えたり、本格的なフィルタリングを回避できたりするわけではありません。ステルスではなく、スキャン削減と捉えてください。

デプロイには、このアーキテクチャと組み合わせられる、ステップバイステップの Ubuntu向けWireGuardセットアップガイド を用意しています。

このセクションの要点: VPS上のWireGuardは、あなたのISPが検査できないプライベートなネットワークのエグレスを与えますが、エグレスを運用するVPSプロバイダーからは、あなたのトラフィックを隠しません。

第2層:アイデンティティ層(Vaultwarden)

Identity layer: Vaultwarden, a Rust reimplementation of the Bitwarden API, runs on the VPS and serves official Bitwarden clients so the password vault leaves breach-prone vendor infrastructure.

Vaultwardenは200 MB未満のRAMで動きます。これはBitwarden APIのRustによる再実装で、すべての公式Bitwardenクライアント(ブラウザ拡張、デスクトップアプリ、モバイルアプリ)と互換であり、重量級のBitwardenサーバーの参照イメージを必要としません。単一ユーザーや家庭には、これが適切なサイズです。

この層が対処するもの:ベンダー側のパスワード侵害、たとえばLastPass型の失敗で、ボールトの内容が漏れ、最終的にオフラインで復号されたようなケースです。実際に使うパスワードマネージャーを手にすれば、サービスをまたぐ資格情報の使い回しは仕組み上難しくなります。サービス横断のアイデンティティプロファイルの集約も下がります。なぜなら、その一覧をどのサードパーティも見ないからです。

この層が対処しないもの:あなた自身のOpSec。弱いマスターパスワード、ボールトに2FAなし、あるいはあなたに対する成功したフィッシング攻撃は、この層を完全に打ち負かします。ログイン済みのブラウザ拡張を持つ侵害されたデバイスは、さらに完全にそれを打ち負かします。Vaultwardenはボールトであって、基本の代わりにはなりません。

このスタックの中で、他のどれよりも重要な運用上の警告が1つあります。パスワードマネージャーをセルフホストするということは、バックアップの責任があなたにあるということです。悪いタイミングで故障するVPS、あるいはうっかり消してしまったサーバーは、この層が守るすべてのアカウントからあなたを締め出します。

XDA Developersもまた、 このリスクを直接取り上げ、アクセス、バックアップ、復旧計画が失敗すると、セルフホストのパスワードマネージャーが重要なアカウントからあなたを締め出しうると警告しています。

警告:Vaultwardenのデータディレクトリの自動暗号化バックアップを実行してください。暗号化されたオフラインのエクスポートを保ち、リカバリーコードを別に保管し、予備のデバイスや一時的なコンテナで復元をテストしてください。単一のVPSバックアップに頼らないこと。これは任意ではありません。これがボールトをベンダーのインフラの外に出すことの代償です。

後でシングルサインオンを複数のセルフホストサービスにまたがって集約するなら、Authentikが、ほとんどの人が行き着くオープンソースのアイデンティティプロバイダーです。それは高度な層であり、コアスタックの範囲外です。

デプロイには、当社の Vaultwardenセルフホストガイド がデプロイの相棒です。パスワードマネージャーの全体像をより深く見るには、当社のガイドをご覧ください。 最適なセルフホスト型パスワードマネージャー.

このセクションの要点: Vaultwardenはあなたのパスワードボールトを、侵害されやすいベンダーのインフラの外へ移しますが、バックアップと復旧の負担をあなたに課し、その負担は本物です。

第3層:検索とブラウジングの層(SearXNG)

Search layer: SearXNG on the VPS receives a query, fans it out to upstream engines like Google, Bing, and DuckDuckGo, strips identifying parameters, and returns a unified result page.

SearXNGのインスタンスは、あなたのクエリを受け取り、上流のエンジン(Google、Bing、DuckDuckGo、あなたが有効にした他のもの)へ振り分け、一部の識別パラメータを取り除き、統一された結果ページを返します。

あなたのクエリはGoogleに届きますが、ログイン済みの検索アカウントからではなく、あなたのVPSからのクエリとしてGoogleに届きます。単一ユーザーのインスタンスは大きな匿名性のプールを作らないので、上流のエンジンは依然としてクエリのパターンをそのVPSのIPに結びつけうります。

この層が対処するもの:検索クエリのプロファイリング、ログイン済みの検索履歴に紐づく行動的な広告ターゲティング、そして検索アカウントの長い記憶。「なぜ昨日検索したものの広告が見えるのか」という問題が、検索アカウントのレベルで軽減されます。

この層が対処しないもの:あなたが実際にクリックして移動するサイトによるトラッキング。サードパーティのページ上のクッキー、フィンガープリンティング、トラッカーは、検索側ではなくブラウザ側の問題です。それに対処するには、ハードニングされたブラウザ設定を使ってください。

SearXNGはまた、あなたのVPSがクエリだけを送る場合、上流の検索エンジンからあなたを匿名化しません。忙しいインスタンスからの集約トラフィックは単一ユーザーをノイズの中に隠しますが、単一ユーザーのインスタンスは依然として1人のユーザーの検索パターンのように見えうります。

Whoogle Searchはより軽い代替です。Googleのフロントエンドで、よりシンプルで、1つのことをこなします。SearXNGは複数のエンジンを集約するので、Googleを離れる理由が特にGoogleではなかった場合により有用です。実際に欲しいソースがいくつあるかを基準に選んでください。

単一ユーザーのインスタンスについての運用上の注記が1つ。SearXNGはクエリを上流のエンジンへ転送し、Googleは疑わしいトラフィックのパターンをレート制限しうります。単一ユーザーがこれに当たることはめったにありません。小さな公開インスタンスは当たるかもしれません。クエリが失敗し始めたら、上流のエンジン数を減らすか、SearXNGのリミッター設定を調整するか、より敵対的でない上流のエンジンにより多く頼ってください。

このセクションの要点: SearXNGはあなたの検索をVPS経由でプロキシし、ログイン済みの検索アカウントから切り離します。直接的な検索プロファイリングを減らしますが、プライベートな単一ユーザーのインスタンスは大きな匿名性のプールを作りません。

第4層:ファイルと写真の層(Nextcloud AIO + Immich)

Files and photos layer: Nextcloud AIO provides file sync, calendar, and contacts while Immich handles photos with timeline view and on-server facial recognition, replacing Google Drive and Google Photos.

Nextcloud AIOはNextcloudのオールインワンのDockerデプロイで、機能するファイル同期、カレンダー、連絡先、ドキュメント共同編集のサーバーへの最も抵抗の少ない道です。

Immichは写真側の対応物です。タイムライン表示、iOSとAndroidからのモバイル自動アップロード、自分自身のサーバーや選んだMLホスト上で処理されるGoogle Photos風の顔認識、そして現在出荷されている中で最も使えるGoogle Photosの置き換えだという正直なコミュニティのコンセンサスがあります。

これらは軽量なアプリケーションではありません。Nextcloud AIOは4 GB / 2 vCPUのベースラインとして扱うべきで、Immichの機械学習、サムネイル生成、最初のライブラリスキャンは、与えたものを使い切ります。

この層が対処するもの:クラウドストレージのベンダーによるスキャン、写真のコンテンツ認識、そして機微な個人ライブラリをベンダーアカウントの中に留めるクラウド側の処理。さらに、ファイル、写真、検索、位置履歴、アイデンティティのシグナルを1社のアカウントの下に留めるアカウントレベルのデータの集中化。

これを自分が制御するサーバーで置き換えると、その集中化が壊れます。

この層が対処しないもの:バイトは依然として、あなたのVPSプロバイダーが運用するストレージボリューム上に存在します。保存時の暗号化は、デフォルトでは彼らの責任ではなく、あなたの責任です。デバイス側の侵害は別の問題です。あなたのスマホがroot化されていたら、その上のNextcloudクライアントは、サーバーがどこにあろうと露出します。

あなたの唯一の必要が「これらのフォルダーを自分のデバイス間で同期し続ける」だけなら、Syncthingがよりシンプルなツールです。ピアツーピアで、間にサーバーがなく、その1つの仕事をうまくこなします。それはNextcloudが提供するカレンダー、連絡先、共同編集機能の置き換えではありません。ファイル同期の部分の置き換えです。

Immichについて具体的に言うと、実用的なサイジングの1つのルールが重要です。Nextcloud AIOは4 GB / 2 vCPUのベースラインとして扱うべきです。Immichは、機械学習、サムネイル、最初のライブラリスキャンが絡むと、軽い写真のサイドカーではありません。Immich中心の構成、特に移行中は、RAMを6〜8 GB前後で計画してください。

デプロイには、まだ2つの間で選んでいるユーザーのために Nextcloud vs ownCloudの比較 を、そしてこの領域を見渡しているなら、より広い Web UIを備えたセルフホスト型クラウドプラットフォーム の概観を用意しています。

このセクションの要点: NextcloudとImmichは、ファイルと写真をGoogle型のクラウドアカウントの外へ移せますが、このスタックの中で、本格的なRAM、ストレージ、バックアップ計画、そして移行の忍耐を必要とする最初の層です。

第5層:コミュニケーション層(MattermostまたはRocket.Chat)

Communications layer: a self-hosted Mattermost or Rocket.Chat server keeps a team's chat history off Slack, Discord, and Microsoft Teams, with the server admin in control instead of a SaaS vendor.

SlackのワークスペースはSlackによって検索可能です。DiscordはToS違反のためにコンテンツをスキャンします。Microsoft Teamsは、あなたのテナントのポリシー、つまりあなたのIT部門が見られるポリシーのもとで、チャット記録を保持します。

それらのどの場所にもあるべきでないチームや家族のチャットには、セルフホストのMattermostやRocket.Chatが標準的な答えです。この層は、チームのアーカイブをSaaSの外に保つことであって、プライベートなエンドツーエンドのチャットについてではありません。

この層が対処するもの:ベンダー側のメッセージアーカイブ、ベンダー側のコンテンツスキャン、そしてベンダーがあなたのアカウントを問題だと判断したときに起きるアクセスの喪失。あなたのチームのメッセージ履歴は、あなたのサーバー上に置かれます。

この層が対処しないもの、そしてこれが重要です:エンドツーエンド暗号化。MattermostとRocket.ChatはデフォルトではE2EEではありません。サーバー管理者はメッセージを読めます。サーバー管理者はいまやあなたであり、それはSaaSベンダーの従業員であるよりは良いですが、あなたのチームの脅威モデルにとってその原則は依然として重要です。

1対1の安全なメッセージングには、Signalが正しい答えであって、セルフホストのサーバーではありません。コミュニケーション層がデフォルトでE2EEでなければならないなら、Matrix/Elementを検討するか、個人的なチャットには代わりにSignalを使ってください。セルフホストはベンダーなしでチームメッセージングを解決しますが、個人的な脅威モデルにおいてSignalの代わりにはなりません。

Mattermost 対 Rocket.Chat。どちらも有効です。Mattermostはより引き締まっていて、よりエンタープライズ寄りの形で、デフォルトで有効になっている任意機能が少ないです。Rocket.Chatはより幅広く、より多くのチャンネルタイプを統合し、より大きなプラグインエコシステムを持ちます。小規模なチームや家族のチャットという典型的なプライバシースタックの用途には、どちらでも問題ありません。

2026年の注意点: Mattermostをデプロイする前に、正確な無料エディションを確認してください。Mattermost Entryには10,000メッセージの履歴上限があり、一方でTeam Editionはその上限を避けますが、それ自体の制限を持ちます。Rocket.Chatについては、MongoDB、アップロード、統合がオーバーヘッドを加えるので、ちっぽけな1 GBのVPSより多くを予算化してください。

このセクションの要点: セルフホストのMattermostやRocket.Chatは、あなたのチームのチャットアーカイブをSaaSベンダーから取り除きますが、2人の間で真のエンドツーエンド暗号化が必要なら、Signalがいまも正しいツールです。

何をセルフホストすべきでないか(そしてなぜ)

プライバシースタックに属するように見えて、属さないものがあります。それらを挙げることも、信頼に値するスタックを築くことの一部です。

メール。 あなたが、特にそうしたいと望む経験豊富なLinuxの運用者でないなら、メールをセルフホストしないでください。PrivacyGuidesはこれについて明確でよく知られた立場を取っており、それは正しい立場です。自分のメールサーバーを運用すべきは高度なユーザーだけ、というものです。理由は技術的な好奇心ではありません。SPF、DKIM、DMARCを設定し、正しく保ち続けなければなりません。

IPのレピュテーションは獲得し、維持しなければなりません。スパムフィルタリングは永続的な状態です。Gmailとの到達性の戦いはセットアップの一手順ではありません。継続的な状態です。それ以外の全員にとって、管理されたプライバシー尊重のプロバイダーが、この層にとって本当に正しい答えです。

Proton Mail、Tuta(旧Tutanota)、Mailbox.orgはどれも良い選択肢です。これはこの投稿の厳格なルールです。一般向けのプライバシーのためにメールをセルフホストしないこと。

VPS上で、家庭ネットワークの主要なDNSリゾルバーとしてのPi-hole。 Pi-holeは素晴らしいです。それをVPS上に、家庭全体のインターネットの再帰リゾルバーとして置くことは、VPSがしゃっくりしたときに家中の全員のインターネットを壊す、単一障害点です。Pi-holeは自宅のRaspberry Pi上に属します。これはこのスタックの一部ではありません。

連合型のソーシャルメディア。 Mastodon、Pleroma、その他は興味深く、隣接しています。主な制約はプライバシーではなく普及です。一部の人にとっては正しい答えですが、自分自身のデータを巨大テックのサーバーから取り戻すことに焦点を当てたプライバシースタックの中核ではありません。

匿名性のツール。 Tor、I2P、ミックスネット。異なる脅威モデル、異なる投稿です。それらが必要なら、あなたはすでに知っています。

まとめ: Proton Mailやその同類は、1つの特定の層のための管理された代替であり、それを認めることが、使う価値のあるスタックの一部です。セルフホストは、それらのプロバイダーがワークフロー全体をカバーしないところで役立ちます。写真、検索、カスタム分析、チームチャットです。一般向けのプライバシーにとって、メールはこのスタックが外部委託すべき唯一の層です。

このセクションの要点: ほとんどのユーザーはメールをセルフホストすべきではありません。Proton Mailのようなプライバシー尊重の管理されたプロバイダーが、その1つの層にとって本当により良い答えであり、それを認めることが、信頼できるスタックを築くことの一部です。

どこで動かすか:VPSのサイジングと管轄

VPS sizing for the privacy stack: a minimum stack of WireGuard, Vaultwarden, and SearXNG runs on a small VPS, while adding Nextcloud and then Immich raises the RAM and vCPU floor.

サイジングの問いは抽象的ではありません。このスタックには3つの実用的な形があります。軽いプライバシーのコア、ファイルの層、そしてImmichの機械学習を組み合わせる写真中心の版です。1つから次への跳躍は、見た目だけの話ではありません。ファイル、サムネイル、顔認識、最初のライブラリ移行こそが、小さなVPSを本格的なサーバー予算に変えるものです。

デプロイの形含まれるアプリ現実的なVPSの下限
実用最小限のスタックWireGuard、Vaultwarden、SearXNG2 GB RAM / 1 vCPU
NextcloudのベースラインWireGuard、Vaultwarden、SearXNG、Nextcloud AIO4 GB RAM / 2 vCPU
ファイルと写真のスタックWireGuard、Vaultwarden、SearXNG、Nextcloud AIO、Immich8 GB RAM / 4 vCPU
ストレージとバックアップの注記主にNextcloudとImmichNVMeストレージ + サーバー外のバックアップ

この表はこう読んでください。

  • 最小限のスタック は、最も見返りの大きい3つの層、ネットワーク、アイデンティティ、検索をカバーします。
  • Nextcloudのベースライン は、PHP、データベースの作業、ファイルのインデックス化、同期ジョブ、Web UIがすべて一緒に走るので、より多くの余力が必要です。
  • ファイルと写真のスタック は、Immichの機械学習、サムネイル、顔認識、そして最初の写真ライブラリのスキャンが、移行中にサーバーを激しく叩きうるので、より大きな予算が必要です。
  • ストレージ が重要なのは、計算能力は計画の半分にすぎないからです。ファイルと写真は、成長する余地、VPSから離れたバックアップ、そしてサーバーが失われても機能する復旧経路を必要とします。

それから管轄があります。2025年6月、 Microsoftはフランス議会で証言し 、EUでホストされたデータが米国の法的アクセスから保護されることを保証できないと述べました。その証言は、データ主権の議論を理論の外へ、主流の政策の会話へと動かしました。

データ主権を優先するユーザーにとって、会社の管轄、データセンターの場所、契約、暗号化モデル、バックアップの場所がすべて重要です。

If CLOUD Act への露出は懸念の一部ですが、EUのデータセンターだけを答えのすべてとして扱わないでください。米国に本社を置くハイパースケーラーのEUリージョンより、米国外に本社を置きヨーロッパのリージョンを持つプロバイダーのほうがすっきり合いますが、それでもデータが法的に触れられないものになるわけではありません。

注意点: 管轄は摩擦であって、不可侵性ではありません。ドイツの裁判所命令は依然として裁判所命令です。オランダのものも同様です。スイスの法的な請求も同じです。ヨーロッパでのホスティングは、米国に本社を置くクラウドプロバイダーへの一部の直接的な露出を減らし、現地の法的手続きを加えられますが、データを法的に触れられないものにはしません。

ほとんどの読者の脅威モデルにとって、加わる摩擦は有用です。それは魔法の盾ではありません。

このセクションの要点: 軽いスタックは小さなVPSで動かせますが、ファイルと写真は予算を変えます。Nextcloud専用のベースラインとして4 GB / 2 vCPUを使い、写真中心のImmich構成には8 GB / 4 vCPUに近いところを計画してください。Cloudzy Marketplaceはコアアプリのセットアップの手間を下げ、一方で管轄は法的な摩擦を加えますが、不可視性は加えません。

セットアップをプロジェクトにせずにスタックをデプロイする方法

すべての層を手作業で構築できます。セットアップの作業そのものが魅力の一部なら、それで構いません。ほとんどの読者にとっては、そうではありません。このスタックの目的は、巨大テックのデータ重力から離れることであって、最初のアプリが動き出す前に、Docker、ポート、DNS、サービスファイルのデバッグに1週間を費やすことではありません。

より摩擦の少ない道は、機能するVPSイメージから始めて、そこからハードニングすることです。 Cloudzy Marketplace には、WireGuard、Vaultwarden、SearXNG、Nextcloud AIO、その他のセルフホストツールのワンクリックVPSイメージが含まれているので、土台のデプロイが週末を食う部分にはなりません。

それでも重要なのは、どのマーケットプレイスもあなたの代わりにできない作業です。DNS、ファイアウォールのルール、バックアップ、アクセス制御、アップデート、そして復旧のテストです。

下にあるサーバーも依然として重要です。このスタックは、ストレージ、ネットワーク、リージョンの選択、そして余力であって、表の中のアプリ名だけではありません。Cloudzyは、NVMeに支えられたVPSインフラ、完全なルートアクセス、13のリージョン、40 Gbpsのネットワーク、99.95%の稼働率、そして14日間の返金期間を提供します。

WireGuard、Vaultwarden、SearXNGには小さく始めましょう。Nextcloudには段を上げましょう。機械学習、サムネイル、写真の移行が絡んだら、Immichにはより本格的に計画しましょう。

どう始めるか

5つの層、それぞれが特定の脅威に対処します。どれもあなたを不可視にすると主張しません。すべてが、あなたが現在デフォルトで受け入れている特定の商業的なデータの露出を減らします。

あなたの最も具体的で現在の痛みに対処する、たった1つの層を選んでください。侵害通知のメールを開いたことがあるなら、それはアイデンティティ層です。訪れたこともないサイトにまたがって広告がついて回るのに気づいたことがあるなら、それは検索層です。その1つをデプロイしてください。アーキテクチャはスケールします。始めるという決断は、そうでなくて構いません。

どの単一の層のセットアップも、せいぜい週末がかりです。設定ファイルは短いです。これがこれ以上ややこしくなる理由はありません。

よくある質問

VPS上のセルフホストは本当に私のプライバシーを守るのか、それとも私はただ別のベンダーを信頼しているだけなのか?

はい、この脅威モデルにとっては。それは、ユーザーデータを収益化するSaaSベンダーから、インフラを売るVPSプロバイダーへと信頼を移します。それは商業的な露出とサービス横断のプロファイリングを減らしますが、VPSのメタデータ、ISPの接続記録、侵害されたデバイス、国家レベルの監視は隠しません。

私が始めるべき最小限のセルフホスト型プライバシースタックは何か?

WireGuard、Vaultwarden、SearXNGから始めてください。それらは、2 GB RAMのVPS上で、ネットワークの可視性、パスワードベンダーの侵害リスク、ログイン済みの検索プロファイリングをカバーします。Nextcloudは後で加え、Immichは、より多くのRAM、ストレージ、バックアップの規律を備えてから加えてください。

FrankfurtやAmsterdamでのホスティングは、米国よりも本当にプライバシーに良いのか?

ヨーロッパのリージョンは、米国に本社を置くプロバイダーへの一部の直接的な露出を減らせますが、データを法的に触れられないものにはしません。会社の管轄、データセンターの場所、契約、暗号化、バックアップの場所がすべて重要です。ドイツ、オランダ、スイスの法的な請求は依然として適用されうります。

プライバシーのために自分のメールをセルフホストすべきか?

ほぼ全員にとって、いいえです。メールのセルフホストには、SPF、DKIM、DMARC、IPのレピュテーション、スパムフィルタリング、そして絶え間ない到達性の作業が必要です。Proton Mail、Tuta、Mailbox.orgのような管理されたプライバシープロバイダーを使ってください。PrivacyGuidesは、セルフホストのメールを高度なユーザーにのみ推奨しています。

WireGuardは実際に私を何から守るのか?

WireGuardはトラフィックをあなたのVPS経由でルーティングし、あなたのISPとローカルネットワークが見られるものを制限します。VPSプロバイダーからはエグレスのトラフィックを隠しません。彼らは依然として接続のメタデータ、宛先のIP、タイミング、量を見られます。それはあなたのISPからのプライバシーであって、不可視性ではありません。

共有

ブログの他の記事

読み進める。

デプロイの準備はできましたか? 月額2.48ドルから。

2008年から独立運営のクラウド。AMD EPYC、NVMe、40 Gbps。14日間返金保証。