Chaos and Order

💡 왼쪽 원문을 읽으면서 오른쪽에 따라 써보세요. Tab 키로 힌트를 받을 수 있습니다.

プロローグ — なぜまた自分で動かすのか

2018年の友人は「それ、なんで自分でホストするの? AWSで立てなよ」と言った。 2026年の同じ友人は、N100ミニPCにCoolifyを入れ、Tailscaleで自分のImmichにつなぎ、写真を見ている。

この変化は一夜にして起きたわけではない。いくつもの点が同時に打たれた。

クラウドが高くなった。 為替、AWSのegress、S3リクエスト単価、そして何より「うっかり付けっぱなしで1万ドル請求」の恐怖。月100ドル以上をサイドプロジェクトに溶かしていた人たちが、200ドルのN100ミニPC1台と「一生分のホスティング」に乗り換えた。
メッシュVPNが日常になった。 TailscaleがWireGuardを人間に使える形に包んで無料で配り始めて以降、「ポート転送、動的DNS、証明書、NAT越え」という4大地獄が一気に消えた。Headscaleでコントロールプレーンまで自分のものにする人も増えている。
コンテナが大人になった。 Docker Composeのファイル1枚で、Immich・Nextcloud・Vaultwarden・Forgejo・Plausible・Pi-holeが5分で立ち上がる。5年前のAnsibleプレイブック時代がもう別の人生のように感じる。
PaaSがオープンソースになった。 Coolify・Dokku・CapRoverが「git pushで自動デプロイ」体験を自分のサーバーに載せてくれる。月100ドルのHerokuが0ドルになる。
データ主権が再び議題に上った。 写真、ドキュメント、パスワード、家族のチャット。何が何のモデルの学習データになるか、誰も保証してくれない。「自分のデータは自分のディスクに」がふたたび魅力的になった。
サイドプロジェクトの美学が戻ってきた。selfh.stニュースレター、r/selfhosted、awesome-selfhosted、Homelab Show。自分の小さなサーバーを自慢する文化。90年代のPCユーザーグループが、21世紀版として復活した感じだ。

この記事はそのセルフホスティング・ルネサンスの、2026年時点の地図だ。何をどう自分でホストし、何だけは絶対にホストしない方がいいかまで含めて。

1章 · 基礎 — メッシュVPNがすべてを変えた

今の家ラボブームを一行で要約するとこうなる。

セルフホスティングはTailscale以前と以後に分けられる。

Tailscaleが消したもの

昔の自宅サーバーガイドはいつも同じ章から始まった。

家のルーターに入って80・443・22のポート転送を開く。
動的DNS(DDNS)を設定して家庭用IPをドメインに紐付ける。
Let's Encryptで証明書を取って、nginxのリバースプロキシを立てる。
fail2ban、侵入検知、SSHの鍵認証を仕込む。
土曜の朝、誰かがSSHを総当たりしているアラートで目を覚ます。

Tailscaleはこの鎖を一手で切った。**ポートを1つも開けない。**全機器にクライアントを入れ、同じアカウントでログインすれば、WireGuardベースのP2Pメッシュが自動で張られる。100.x.y.z帯のプライベートIPが各機器に付き、そのネットワーク内だけで通信する。

2026年時点のTailscaleが提供するもの。

WireGuardベースのメッシュVPN — ハブ&スポークではなくP2P。2ノードが直接つながれば、トラフィックはコントロールプレーンを経由しない。
NAT越え(STUN、UDPホールパンチ)が自動。抜けない場合はDERPリレーへフォールバック。
MagicDNS — 100.64.x.xではなくmy-nas.tailnet-name.ts.netのような名前。
Tailscale SSH — SSH鍵管理をACLに委譲。踏み台が消える。
サブネットルーター/exitノード — ゲートウェイ1台で家庭LAN全体を見せたり、すべての通信を自宅経由にしたり。
Funnel — 特定のサービスだけ公開インターネットに少しだけ晒す(ポート開放なし)。
JSONでのACL — 誰がどこへどのポートで行けるかをコードで。
無料プラン:100台、3ユーザー(2024年4月の拡張以降、2026年も維持)。

Headscale — Tailscaleのコントロールプレーンも自前で

Tailscaleのコントロールプレーン(座標・認証・ACL)は会社が運営している。「それすら信用ならない」人のために、Headscale(MITライセンス)が互換のコントロールプレーンを提供する。データプレーンはそのままWireGuardなので、性能差はない。

2026年時点のHeadscaleはv0.26前後を安定版と見なす。OIDCのSSO、ポリシーv2、プレフィックス付きAPIキー、組み込みDERPまで揃った。「自社のOAuthをつないだ自分たちだけのTailscale」が現実的になった。

小さなACLスニペット

{
  "acls": [
    { "action": "accept", "src": ["group:admin"], "dst": ["*:*"] },
    { "action": "accept", "src": ["group:family"], "dst": ["tag:media:80,443"] },
    { "action": "accept", "src": ["tag:ci"], "dst": ["tag:registry:443"] }
  ],
  "groups": {
    "group:admin":  ["alice@example.com"],
    "group:family": ["bob@example.com", "carol@example.com"]
  },
  "tagOwners": {
    "tag:media":    ["group:admin"],
    "tag:registry": ["group:admin"],
    "tag:ci":       ["group:admin"]
  }
}

この1枚で「管理者は全部、家族はメディアだけ、CIはレジストリだけ」が完了する。発想の転換は、ファイアウォールルールをIPではなくアイデンティティで書くこと。

Tailscale Funnel — ポートを開けずに公開

FunnelはTailnet内部のサービスをTailscale公式ドメインxxx.ts.netで公開する。TLSはTailscaleが発行/更新し、トラフィックはまずTailscaleを通って内部ノードに流れる。家のルーターのポートを1つも開けずに公開ブログが運用できる。

代替手段を1行で

ツール	性格	一言
Tailscale	管理SaaS + 無料100台	一番ラク。90%の人はここで終わる
Headscale	Tailscale互換コントロールプレーンを自前で	会社用・完全自律向け
Netbird	OSSのメッシュ、ZTNAポリシーが豊富	Tailscaleの代替1番手
ZeroTier	仮想L2ネットワーク、古参	LANゲームや組込に強い
Nebula	Slack製メッシュ、軽くて速い	運用負担はやや重い
生のWireGuard	最速だが何もかも自前	メッシュは自分で描く

この章の結論はシンプル — **何をセルフホストするにせよ、まずTailscaleを入れる。**公開が本当に必要なものだけ(ブログなど)はFunnelやCloudflare Tunnelで別途。

2章 · PaaSのセルフホスティング — Coolify・Dokku・CapRover

家ラボは最終的に「Heroku的なgit push一発デプロイを自分の手元に」という願いから育つ。2026年、この領域には主要選手が3人いる。

2.1 Coolify — 2025-2026のスター

Coolifyはハンガリーの開発者Andras Bacsai氏が始めたPHP/Laravelベースのオープンソース PaaS。現在は法人化済。Apache 2.0ライセンスで、Dockerホスト1台があればHeroku/Vercelに近い体験を提供する。

提供するもの:

Gitリポ連携 — GitHub/GitLab/Gitea/Bitbucket。pushで自動ビルド・デプロイ。
Nixpacks / Heroku Buildpacks / Dockerfileを自動判別。
プレビュー環境 — PRごとに別ドメイン。
DB・Redis・RabbitMQ・MeiliSearchをワンクリックでプロビジョン。
自動TLS(Caddyベースのルーター)。
マルチサーバ — 1つのCoolifyで複数ノード管理。
ワンクリック自家ホストアプリのカタログ(Plausible、Umami、n8n、Supabase…)。
バックアップ → S3互換ストレージ(B2、R2、MinIO)。

2026年現在、Coolifyは安定版4.x系で運用され、1行インストールスクリプトがほぼ標準化されている。selfh.stニュースレターの最頻出キーワード。

こんなときに:

サイドプロジェクトを複数抱える個人開発者。
ステージング/本番を1台で運用する小さなチーム。
Heroku/Vercel代が痛くなり始めたインディーメイカー。

弱み:

DBバックアップの復元フローはまだ手間。
マルチノードは可能だが本格クラスタとは別物(そこまで行くならK3s)。
コアがLaravelなので、深いカスタマイズには学習が要る。

2.2 Dokku — PaaS-in-a-Boxの元祖

Dokkuは2013年登場。「Herokuを100行で作れるか?」という実験から始まり、いまでは最も長く検証された単一ホスト型PaaSになった。MITライセンス、シェルスクリプトとDockerで作られていて、時間に磨かれた信頼性が強み。

コアの流れ:

# ホスト側
dokku apps:create myblog
dokku domains:add myblog blog.example.com
dokku letsencrypt:set myblog email me@example.com
dokku letsencrypt:enable myblog

# ローカル側
git remote add dokku dokku@homelab.tailnet-name.ts.net:myblog
git push dokku main
# → ビルドパック検出 → コンテナビルド → 無停止デプロイ

git push dokku mainを初めて見た人は「これ、Heroku そのものでは?」と固まる。

Coolify vs Dokkuを1行で:

DokkuはCLI/プラグイン中心。シェルが好きな人向け。
CoolifyはWeb UI中心。クリックで全部済ませたい人向け。

2.3 CapRover — Docker Swarmベースのいとこ

CapRoverは同カテゴリ。Docker Swarmの上で動き、「Quick One-Click Deploy 100+ apps」のカタログが売り。UIが少し軽めで、マルチノードクラスタが最初から組み込まれている。2026年時点のシェアはCoolifyに譲ったが、根強い支持層がいる。

2.4 K3s / k0s — 「PaaSは窮屈、K8sは重い」

その上のレイヤーはPaaSではなく軽量Kubernetes。K3s(Rancher)、k0s(Mirantis)、MicroK8s(Canonical)がここに座る。Pi 4/5 1台にも入るKubernetes。ArgoCD・Flux・Helmがそのまま使える点が魅力。引き換えに「Kubernetesの運用」というコストがついてくる。

家ラボでK3sを回すというのはほとんど宗教である。**得るもの:**GitOpsとIngress・ConfigMapの設計練習場。**失うもの:**週末のcert-manager・MetalLB・local-path-provisionerデバッグ。

2.5 決定マトリクス

状況	おすすめ
サイドプロジェクト2~5個、とにかく速く立てたい	Coolify
CLIスクリプトに慣れていて安定重視	Dokku
マルチノード + ワンクリックカタログ	CapRover
会社でK8sを触っていて家でも練習したい	K3s
Composeファイル1枚で済む	ただのdocker compose + Traefik

3章 · ID・パスワード・認証 — セルフホスティングの本丸

データが自分のディスクに置かれ始めると、必ず浮かぶ問いがある。「じゃあパスワードは?」。

3.1 Vaultwarden — Bitwardenサーバーを0円で

VaultwardenはRustで書き直されたBitwarden互換サーバー。公式Bitwardenサーバーは.NETのマルチコンテナで重いが、Vaultwardenは単一バイナリ + SQLite/PostgreSQLで完結する。公式Bitwardenクライアント(アプリ・拡張)と100%互換。

# docker-compose.yml
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: always
    environment:
      DOMAIN: "https://vault.tailnet-name.ts.net"
      SIGNUPS_ALLOWED: "false"
      ADMIN_TOKEN: "<argon2-hash>"
    volumes:
      - ./vw-data:/data
    ports:
      - "127.0.0.1:8080:80"

Tailscale内部にだけ公開しておけば、パスワード金庫が公開インターネットに触れることはない。Bitwarden Premium分の費用が0になり、家族共有vault・TOTP・添付ファイルまで全部使える。

3.2 Authentik / Authelia / Keycloak — SSOゲート

複数のセルフホストサービスにシングルサインオンで入りたくなったら、SSOまたはリバースプロキシ認証ゲートが必要。

Authentik — Python/Django。UIが一番親切で、OAuth2/OIDC・SAML・LDAPを一通り。2026年時点で最人気。
Authelia — Go、軽量。2FA・MFA・WebAuthnに強く、Traefikの事実上の相棒。
Keycloak — Java、エンタープライズ標準。重いが、会社で見ているKeycloakそのものを家でも。

Tailscaleを入れているなら「Tailscale ACLが1段目、Authentikが2段目」がきれい。外部に公開する必要があるサービスがある時だけAuthentikが効いてくる。内部限定ならTailscale ACLだけで十分なケースが多い。

3.3 PasskeyとWebAuthn

2026年に入ってセルフホスティング界隈でもPasskey採用が一気に進んだ。VaultwardenはPasskeyのvault保存に対応し、Forgejo/Gitea、Authentik、ImmichがWebAuthnログインを標準オプションにしている。「パスワード入力自体が消えていく」流れはここも同じ。

4章 · コンテンツ — 写真・ドキュメント・ノート・コード・動画

4.1 Immich — Googleフォト代替の本命

Immichは2026年のセルフホスティング界で最大の成功作だ。GoogleフォトのUXをそのまま写した — モバイルアプリ、自動バックアップ、顔認識、物体検索、地理クラスタリング、ライブフォト、外部ライブラリ、共有アルバム、キュレートされた思い出。2024年にGA、2025年に利用者が爆発し、2026年時点では「Googleフォトから引っ越すときに使う道具」になった。

バックエンドはML(CLIP埋め込み検索・MediaPipe顔認識・任意でWhisper動画音声抽出)が入っていて、GPUがあるとさらに気持ちよいが、N100のCPUだけでも実用十分。家族単位のライブラリ保存が本気になったら、もう選択肢はほぼ一択。

4.2 Nextcloud / OwnCloud / Seafile — Drive代替

Nextcloud — 最大の生態系。カレンダー・ノート・オフィス(Collabora/OnlyOffice)・メール・チャット(Talk)まで全部入りのスーパーアプリ。重いが万能。
OwnCloud Infinite Scale(OCIS) — Goで書き直した軽量版。ファイル同期に集中。
Seafile — 同期性能の評価が一番高い。UIはシンプル。

家族写真はImmich、一般文書はNextcloudというのが定番。

4.3 Forgejo / Gitea — GitHubの代替

GitHub CodespacesとCopilotの時代、自分のGitサーバーに意味はあるのか? 答えは2つ。

ソースコード主権 — 私的な作業、実験、個人のコード日誌。
CI・Issue・Wikiワンセット — Forgejo ActionsはGitHub ActionsのワークフローYAMLと互換。actions-runnerを別に立てれば終わり。

Forgejoは2022年のGitea法人化への反発からコミュニティがフォークした非営利プロジェクト。2025年にCodebergがForgejoへ完全移行し、2026年のセルフホスティング界ではForgejoが事実上の標準。Giteaも依然活発だが、ライセンスとガバナンス上の理由で新規採用はForgejoが優勢。

4.4 ノート・ドキュメント・Wiki

Obsidian + Git/Syncthing/自家同期 — マークダウンファイル + Git同期、王道。
Outline — チーム用Wiki。Slack/Confluenceの代替として頻出。
AppFlowy — Notionクローン、Rust製。2026年はモバイルも安定化。
Trilium / TriliumNext — 単一ユーザー向けノートツリー。マニア寄り。
BookStack — 本/章/ページのメタファーWiki。マニュアルやランブックに強い。
Memos — Twitterのような短文ノートストリーム。日記用。

4.5 メディアサーバー — Jellyfin / Plex / Emby

映画・音楽・TVライブラリは依然メディアサーバーが担う。Jellyfin(完全OSS、無料)が2024年からPlexのポリシー変更への反発で利用者を急速に取り込んだ。PlexはUIとハードウェアトランスコーディング品質では先んじているが、「自分のライブラリに広告が混じるのは耐えられない」と離脱したユーザーが多い。

4.6 RSS・あとで読む・アーカイブ

Miniflux — Go、軽量。実直なRSSリーダー。
FreshRSS — PHP、機能豊富。
Wallabag — Pocket代替、あとで読む。
Readeck / Linkding — ブックマーク。
Karakeep / Linkwarden — AI自動タグ付きブックマーク、2026年に注目。
ArchiveBox — URLを丸ごと保存(スクショ・HTML・warc)。

5章 · インフラ雑用 — DNS・監視・自動化

5.1 Pi-hole / AdGuard Home — 家庭DNSブロッカー

家庭ネットワーク全体で広告・トラッカー・悪性ドメインをDNS層でブロックする。Raspberry Pi 4 1台(またはDockerコンテナ1つ)で十分。一度入れれば家族みんなのスマホ・テレビ・スマートトースターまで広告が減る。

Pi-hole — 最古参・最も検証済み。UIはシンプル。
AdGuard Home — Go、よりモダン。DoH・DoT・DNSCryptのアップストリームがスムーズ。

2026年は両方とも安定だが、AdGuard Homeが新規採用でやや優勢。両者ともTailscale MagicDNSと組み合わせやすい — 外ではTailscale DNS、内では自分のPi-hole。

5.2 Beszel / Glances / Netdata — 監視

家ラボ監視は会社用のPrometheus + Grafanaまで行く必要はない。

Beszel — Go、SQLite、単一バイナリ。2024年登場。軽くて綺麗。**2026年の家ラボ監視のダークホース。**エージェント + ハブ構成。
Glances — top/htopのスーパーセットを1ホストで。Web UIあり。
Netdata — 1秒解像度、非常に詳細。重いが情報量は最強。
Uptime Kuma — HTTP/ポート ping のアップタイムページ。サイドプロジェクトの監視に標準。
Dozzle — DockerログのWebビューア。
Beszel + Uptime Kuma + Dozzleの3点で家ラボの監視は99%済む。

5.3 バックアップ — Restic・Borg・Kopia

データを自分のディスクに置くということは、バックアップも自分で持つということ。

Restic — Go、単一バイナリ、暗号化・重複排除が標準。S3・B2・Wasabiなどほとんどのバックエンドに対応。
Borg — より古くより検証済み。pushモードのワークフローには癖あり。
Kopia — UIが最も親切、GUIも同梱。
Duplicacy — 商用、ライセンス論争で好み分かれる。

3-2-1バックアップ(3コピー、2メディア、1オフサイト)を家ラボでも同じく適用。オフサイトの定番はBackblaze B2(安い)、Cloudflare R2(egress無料)、AWS S3 Glacier Deep Archive(コールド)。

5.4 自動化 — n8n・Home Assistant

n8n — Zapier/IFTTTの自前版。ノードグラフ自動化。
Home Assistant — スマートホームOS。家のIoTを統合。2026年も圧倒的1位。
Node-RED — 視覚プログラミング、産業・Arduino系に強い。

n8nとHome Assistantは実質「自分のアシスタントを組み立てるキャンバス」になった。LLMノード(Anthropic、OpenAI、Ollama)が標準化し、「自分のローカル資料を根拠に答えるアシスタント」を作る流れもよく見る。

5.5 アクセス解析 — Plausible / Umami / GoatCounter

ブログやサイドサイトの解析をGA4ではなく自前で。

Plausible — Elixir、最も洗練。AGPLなのでホスティング時は注意。
Umami — Node/Postgres、MIT、最も普及。
GoatCounter — Go、個人の一作品、ミニマリズムの美学。

Cookieバナーが消え、訪問データが自分のディスクに留まる。

6章 · ハードウェア — 机の下に何を置くか

ソフトより難しいのがハードの選定だ。2026年の一般的なパターン。

6.1 N100/N305ミニPC — 事実上の標準

Intel N100(4コアAlder Lake-N、6W TDP)とN305(8コア、15W)は2024年以降の家ラボ「基礎体力」になった。200~350ドルで16GB RAM・512GB NVMe・2.5GbEデュアルNIC・HDMI出力まで揃う。

電力は年30~50 kWh水準(アイドル5W、負荷時15W)。多くの地域で年間4~9ドル。AWS t3.medium 1台が月30ドル近くいくのを思えば、1年で本体代が返る。

6.2 Raspberry Pi 5 — 軽量ノード

Pi 5(2.4GHzクアッドCortex-A76、8GB RAM)は一部のワークロードに依然強い。

Pi-hole/AdGuard Homeなどの DNS専用。
Octoprint・プリントサーバー。
Home Assistant OS専用機。
K3s 3ノードクラスタを学習用に。

2026年はARMコンテナイメージがほぼ完全に揃い、互換性の心配はほぼなくなった。安定性の鍵はSDカードからHAT経由のNVMeに換えること。

6.3 NAS — Synology vs TrueNAS vs Unraid

データが1TBを超え始めるとNAS領域に入る。

Synology — 最も簡単。DSMが本当に作り込まれている。ハードのコストパフォーマンスは議論あり。2025年に一部モデルで自社ディスク優遇方針が出て評価が揺れた。
TrueNAS Scale — Debian + ZFS + Kubernetes。強力だが学習曲線あり。
Unraid — JBOD + パリティの柔軟性。ディスクを1本ずつ増やせるのが強み。セルフホスティング界で最も愛されるNAS OS。
OpenMediaVault — Debian + Web UI。軽量。

家ラボの定番構成:UnraidまたはTrueNAS Scale 1台 + N100ミニPC 1台 + Pi 1台。「NASはストレージ、ミニPCはコンピュート」の分業が綺麗。

6.4 中古エンタープライズ — Dell・HP・Lenovoの1L PC

200ドル台でi5/i7・16GB・SSD付きのDell OptiPlex 7060、Lenovo M720q、HP EliteDeskが二次流通に出てきて、ミニPCの「もう一つの選択肢」に定着した。r/homelabsalesは常に活発。

6.5 Pi-KVM / TinyPilot — リモートKVM

「サーバーは一度立てたら触らない」つもりが、BIOSに入る用事ができる。Pi-KVM、TinyPilotはRaspberry PiにHDMIキャプチャとUSBエミュレーションを載せ、IP KVMにしてくれる。100ドル台の部品でIPMI/iLO並みの体験。

サーバーを「絶対会わない」友人宅・実家・オフィスの隅に置く人にはほぼ必須。

6.6 UPS — 停電とサージから守る

家ラボを本気で回すなら小さなUPS(APC Back-UPS、CyberPower)はほぼ必須。200ドル前後で30分の電源持続とサージ保護。ディスクのデータ安全に直結する。

7章 · 脅威モデル — 攻撃されないために

「自分のサーバーなんて誰も見ない」は通用しない。インターネットに晒した22番ポートは5秒以内にボットが叩く。2026年のセルフホスティング脅威モデルは次の前提から始まる。

公開ポートは偵察対象だ。可能なら0個。やむなく1個。それ以外はメッシュの裏に。

7.1 公開パターン5種

パターン	攻撃表面	推奨度
家庭ルーターで80/443/22をポート転送	高(全世界が見える)	非推奨
Cloudflare Tunnel	中(CFがゲート)	推奨
Tailscale Funnel	中(Tailscaleがゲート)	推奨
Tailscale限定(公開なし)	低(アカウント侵害のみ)	強推奨
エアギャップ + USB搬入	ほぼ0	マニア向け

基本原則は「非公開で始めて、本当に必要なものだけ公開へ昇格」 だ。

7.2 Cloudflare Tunnel

家側にcloudflaredデーモンを置き、Cloudflareへアウトバウンドのトンネルを1本だけ開く。Cloudflareのエッジがドメインを受け、トンネルにトラフィックを流し込む。ルーターのポート0個で公開ホスティング可能。

メリット:無料プラン、DDoS保護、Cloudflare Access(ゼロトラスト)でSSO付加、IP隠蔽。デメリット:Cloudflareがトラフィックを見る(TLS終端)、ライブストリーミングは利用規約違反領域。

7.3 Tailscale Funnel

Tailscale所有ドメイン(xxx.ts.net)で公開する。TLSはLet's Encryptを使い、Tailscaleが自動化。Cloudflareよりシンプルだが、無料プランには帯域上限があり、独自ドメインは(2026年時点で)使えない。

7.4 公開が本当に必要なもの

公開すべき: ブログ・ポートフォリオ・OAuthコールバックを受けるサービス・オンライン申込フォーム。
共有リンクで十分: Plausible埋め込みダッシュボード(公開ページオプション)・メディアライブラリのゲストリンク。
絶対に公開しない: Vaultwarden、Authentik、管理者UI、Forgejo管理画面、Coolifyダッシュボード、生のDB。

7.5 常時オンの基本

SSHはTailscale SSH経由。22番は閉じる。
コンテナはホストポートではなくDockerネットワーク内で繋ぎ、Traefik/Caddyがゲート。
セキュリティ自動更新(unattended-upgrades、watchtowerは慎重に)。
復元したことのないバックアップはまだバックアップではない。
緊急アクセス(Bitwarden Emergency Access、Vaultwarden Emergency Access)を設定。
2FAを同じvaultだけに置く単一障害点を避ける(YubiKeyや別vaultにバックアップ)。

7.6 実際に起こるパターン

公開Plex/Jellyfinの認証バイパスCVE — 年1回は出る。
Vaultwardenのadminトークンを環境変数に平文 → そのenvファイルがバックアップに紛れる。
Forgejo runnerトークン漏洩 → 任意ビルド実行。
Synology DiskStation弱パスワード + 公開 → ランサムウェア。
docker run --network host → 内部ネットワーク全公開。

要は単純だ — 公開を減らし、内部メッシュの裏に隠し、秘密と鍵は一箇所に集めて、その一箇所を最も強固に守る。

8章 · 何をセルフホストし、何はしないか

家ラボの最大の罠は「何でもできる」幻想だ。できることと、やるべきことは別。

カテゴリ	セルフホスト推奨?	理由
写真ライブラリ(Immich)	強推奨	家族の思い出は失えない → 自分で責任
パスワード(Vaultwarden)	強推奨	最重要資産、外部依存ゼロ
ノート・文書・Drive代替	推奨	データ主権の本丸
メディアサーバー(Jellyfin)	推奨	コストパフォーマンス圧倒、GPU要件に注意
アクセス解析(Umami/Plausible)	推奨	GA4代替、Cookieバナー消失
RSS・あとで読む・ブックマーク	推奨	軽量・データ価値高
Gitホスティング(Forgejo)	推奨(趣味)	会社コードは会社のポリシーで
自動化(n8n)・スマートホーム	推奨	個人の流れは外に置く理由なし
DNS・広告ブロック(Pi-hole)	強推奨	コスパ・体感が即時
メールサーバーの自前ホスト	非推奨	レピュテーション・DKIM・SPF・ブロックリスト地獄
決済・身元・法的義務	非推奨	コンプライアンス・監査負担
社内SSO・ディレクトリ	場合による	小チームならAuthentik可、本格はOkta/Entra
チャット・メッセンジャー(Matrix)	慎重	友人全員を移せるか?
LLM推論サーバー(Ollama等)	趣味推奨	本番はGPUとチューニング負担
Web会議(Jitsi)	軽用途	本格はSaaSが楽

1行で2つの原則:

運用負担 ≤ 効用 のときだけセルフホストする。メールが典型的な反例。
データの価値が大きいほど自分で管理する価値が大きい。 写真・パスワード・日記は自分が責任を持つのが妥当。

9章 · コスト計算 — 正直に

家ラボの魅力の1つは「AWS請求が消える」こと。正確な比較のため12か月の表を引いてみる。

項目	クラウド	家ラボ(N100 1台)
コンピュート(月)	$30(t3.medium)	$1.5(電気)
ストレージ(1 TB)	$23(S3 Std)	$5(NVMe按分)
外向け帯域(月)	$50+(TB単位)	$0(家庭インターネット)
可用性(月)	99.99%	99%(停電・再起動)
運用時間(月)	2 時間	序盤4~10 → 安定後 2
初期投資	$0	$250(ミニPC) +$ 80(UPS)
1年合計	$1,200+	$330(1年目) →$ 80(2年目以降)

見えないコスト: 自分の時間。最初の1か月は「入れて壊してやり直す」で30時間ほど。その後は月1~2時間に落ち着く。この時間が「楽しい」かが決め手。

見えない利益: 仕事で使うクラウドスキルを家で同じ形で練習できる。会社で見るArgoCD・Prometheus・Traefikを家で回すと、理解の次元が上がる。

10章 · スタートレシピ — 1週間で50%まで

これから始める人のための7日間ロードマップ。

1日目 — ハードとOS

N100ミニPCを1台注文(または中古1L PC)。
Ubuntu Server 24.04 LTSまたはDebian 12をインストール。
SSHのパスワードログインを切り、鍵認証のみに。

2日目 — Tailscale

ホスト + ノートPC + スマホにTailscaleを入れ、同じアカウントでログイン。
MagicDNSを有効化、Tailscale SSHを有効化。
ルーターのポート22を閉じる。

3日目 — Docker + Traefik/Caddy

DockerとDocker Composeをインストール。
TraefikまたはCaddyをリバースプロキシ + 自動TLS(Tailscale証明書)として1コンテナで起動。

4日目 — CoolifyかDokkuを1つ選ぶ

Coolifyなら1行のインストールスクリプト。
Dokkuならapt 1行 + 初回のgit push。
自分のサイドプロジェクトを1つデプロイしてみる。

5日目 — 中核3アプリ

Vaultwarden — パスワード。
Immich — 写真(家族単位の価値)。
Pi-holeかAdGuard Home — DNS。

6日目 — 監視とバックアップ

Beszel + Uptime Kuma + Dozzleをインストール。
Resticで/var/lib/docker/volumesと写真ボリュームをB2/R2へ毎日バックアップ。
一度復元してみる。 復元したことのないバックアップは願望。

7日目 — アンチパターン点検と休憩

外部に開いているポートが0個か確認。
VaultwardenのEmergency Accessと復元シードを紙に印刷して安全な場所へ。
来週追加するアプリを1つ決めて終わり。

80%の人はここで止まる。 ここからはウィッシュリストをゆっくり伸ばす段階 — Forgejo、Plausible、n8n、Home Assistant、Jellyfin…

エピローグ — セルフホスティングが再び普通になった

2026年の風景をまとめると、こうなる。

TailscaleがNAT・証明書・VPN地獄を消した。
Coolify・DokkuがHeroku体験を家に持ち込んだ。
Immich・Vaultwarden・Forgejo・Plausibleがビッグテック依存を一袋ずつ断ち切った。
N100ミニPC1台でクラウド請求0が現実になった。
selfh.st・r/selfhostedが友人のようなメンターを務めた。

これは「回避」ではなく 再均衡 の流れだ。クラウドは消えない — 会社のインフラ、世界規模のトラフィック、業務SaaSは引き続きクラウド。だが 個人のデータと道具は再び机の下に住む。

14項目チェックリスト

メッシュVPN(Tailscaleか相当品)が入っているか?
ルーターに公開された22番が閉じているか?
すべてのSSHが鍵認証 + Tailscale SSH経由か?
Vaultwarden(または相当)にすべてのパスワードが入っているか?
パスワードvaultのEmergency Accessと復元シードが紙でどこかにあるか?
データが最低2つのメディアにあり、うち1つがオフサイトか?
バックアップから一度でも復元成功させているか?
写真や文書などの中核資産がどこにあるか家族が知っているか?
監視がオンで、アラートが自分のスマホに届くか?
セキュリティ自動更新が回っているか?
UPSが30分以上持つか?
外部に公開した唯一のドメインの認証フローを描けるか?
「自分が1年戻れなくても誰がどう生かすか」を書いた紙があるか?
始めた頃より毎週かかる時間が減ってきたか?

アンチパターン10選

初週にアプリを20個入れる — 運用負担30個分。
ルーターで22・80・443をポート転送 — 5分でボットが叩く。
Vaultwarden adminトークンを平文の環境変数に — その環境ファイルがバックアップに紛れる。
バックアップを一度も復元しない — バックアップではない。
全サービスで同じSSOパスワード — 1か所抜けると全滅。
コンテナを--network hostで動かす — 隔離が消える。
監視が同じホスト上だけ — ホストが死ぬとアラートも死ぬ。
メールを自前ホスト — レピュテーション・DKIM地獄。
UPSなしでSSDに依存 — 停電1回でファイルシステム破損。
家族に知らせない — 自分が入れないと写真も入れない。

次回予告

候補:Kubernetes家ラボ — K3s・ArgoCD・Ciliumで小さなクラスタを回す、Immich深掘り — MLパイプライン・外部ライブラリ・B2バックアップ、Tailscale ACL実戦 — アイデンティティ駆動のファイアウォール設計。

「クラウドは仕事用。机の下は自分用。」

— 2026年のセルフホスティング・ルネサンス、ここまで。