ダウンロード
ブログに戻る
チュートリアル··10 分で読めます

iPhoneでのVPN設定方法:実践ガイド

言語: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

iPhoneでのVPNの設定は、2つの方法のうち自分にどちらが必要なのかが わかれば簡単です。ほとんどの人はApp StoreからVPNアプリを インストールして接続をタップします。それより少数派、たとえば勤務先から 設定ファイルを渡される人や、VPNプロバイダーが手動の認証情報を 提供している人は、代わりに設定アプリから操作します。どちらの方法でも うまくいき、どちらもステータスバーに小さな“VPN”の マークを表示しますが、何かがうまくいかなかったときの挙動は異なります。

このガイドでは両方の方法を説明し、そのうえで多くの記事が省略する部分を 取り上げます。iOSがVPNの切断を実際にどう扱うのか、このプラットフォームで “キルスイッチ”が本当は何を意味するのか、そして正しく 動作する設定で陰ながら最も重要な役割を果たすオンデマンド接続の ルールについてです。

iPhoneにVPNを入れる2つの方法

サポートされている方法は正確に2つあります。

  1. App StoreからVPNアプリをインストールする。アプリが 初回起動時に構成プロファイルをインストールし、すべてを代わりに 管理してくれます。ほぼすべての人が選ぶべき方法です。
  2. 設定アプリでVPNを手動で設定する。サーバーアドレス、 認証情報、プロトコルの詳細を自分で入力するか、設定ファイルを 読み込みます。職場から受け取ったIKEv2の認証情報があるときや、 アプリを提供していないプロバイダーの設定ファイルがあるときに 役立ちます。

iPhoneでVPNを動かしたいだけなら、VPNアプリを使ってください。手動の 方法は特定の場面のために存在し、ここでは網羅のために説明しています。

VPNアプリを使う(多くの人におすすめ)

これが標準的な方法で、どのプロバイダーを選んでも同じように動作します。

手順

  1. App Storeを開き、お好みのVPNアプリをインストールします。
  2. アプリを起動します。初回起動時に、iOSがiPhoneへのVPN構成の追加許可を 求めるシステムの画面を表示します。
  3. 許可をタップし、Face ID、Touch ID、またはパスコードで 認証します。これはVPNアプリではなくiOSがあなたを確認しているので、 このダイアログはどのVPNでも同じように見えます。
  4. アプリにサインインするか、サーバーを選びます。最近のアプリの多くは 1つの接続ボタンをタップするだけで済みます。
  5. 接続をタップします。1〜2秒のうちに、ステータスバーのモバイル回線と Wi-Fiの表示の隣に小さなVPNのマークが現れます。 このマークはトンネルが確立していることをiOS自身が示す確認であり、 アプリが偽装することはできません。

初回起動時のプロファイルの確認画面は、アプリごとに一度だけ表示されます。 その後の接続と切断は、すべてアプリ内、または設定アプリのスイッチから 行います。

構成プロファイルが実際に行うこと

構成プロファイルは、VPNが有効なときにiOSがどのように通信を経路付けるかを 指示する、小さなシステムレベルの設定です。プロトコル(質の高いアプリの 多くは現在WireGuardを使います)、サーバーアドレス、そして暗号鍵が 含まれます。プロファイルは設定 → 一般 → VPNとデバイス管理 → VPNにあります。アプリをアンインストールする際には、ここから プロファイルを削除しておくと、何も残らないようにする確実な方法になります。

手動設定(設定 → 一般 → VPNとデバイス管理)

これは、すでにどこかからVPNの認証情報を持っている人のための方法です。 ここにはサーバーの一覧や国の選択画面はありません。手動設定は、どの サーバーに接続するのかを正確に把握していることを前提としています。

iOSでサポートされる種類

iOSは標準で3種類の組み込みVPNをサポートしています。

  • IKEv2 — 最新で、高速、よくサポートされています。 手動設定での標準的な選択肢です。
  • IPsec — より古いものの堅実です。企業環境でよく 使われます。
  • L2TP — Appleによって非推奨とされており、現代の基準では 脆弱です。ほかに選択肢がない場合を除き、避けてください。

WireGuardはiOSの組み込みVPNの種類ではありません。iOSは 設定アプリにWireGuardのネイティブ対応を備えていないため、最近の プロバイダーの多くが好むプロトコルであっても、利用するにはWireGuardに 対応したアプリが必要です。各プロトコルが実際に何をもたらすのかについては、 こちらの WireGuard対OpenVPN対IKEv2の比較 をご覧ください。

手動の方法を使う場面

  • VPNプロバイダーから.mobileconfigファイルが渡される。 iPhoneで開くと、iOSがインストールの手順を案内してくれます。
  • 勤務先がIKEv2サーバーを運用しており、サーバーアドレス、リモートID、 認証情報を渡してくれる。
  • 独自のVPNエンドポイントを公開しているルーターやNASに接続する。

認証情報を手動で入力する方法

  1. 設定 → 一般 → VPNとデバイス管理 → VPN → VPN構成を追加を開きます。
  2. 種類を選びます(ほとんどの場合はIKEv2)。
  3. 説明、サーバー、リモートID、そしてユーザー名とパスワード、または 証明書を入力します。
  4. 保存します。新しいプロファイルがスイッチ付きでVPNの一覧に現れます。
  5. スイッチを入れて接続します。

プロバイダーが.mobileconfigファイルを送ってきた場合は、 メールやファイルからそれを開けば入力の大半を省けます。iOSが設定を そのまま読み込みます。

オンデマンド接続 / Connect On Demand

これは“VPNをインストールしている”を“実際に オンのままになるVPNがある”に変える機能です。ほとんどの人は この機能を見つけません。2分の時間をかける価値があります。

この機能が行うこと

オンデマンド接続は、特定のネットワーク条件が満たされたときに、iOSに 自動でVPNを接続するよう指示します。便利なパターンは2つあります。

  • 常に — いずれかのネットワークが有効になるたびに VPNが再接続します。
  • Wi-Fi接続時 — VPNはWi-Fiでは接続しますがモバイル 回線では接続しません(通信会社は信頼するがカフェのWi-Fiは信頼しない 場合に便利です)。

その逆、つまりモバイル回線では接続するが信頼している自宅のWi-Fiでは 接続しない、という設定も可能ですが、こちらはあまり一般的ではありません。

見つけ方

  1. 設定 → 一般 → VPNとデバイス管理 → VPNを開きます。
  2. VPNプロファイルの隣にある小さな(i)をタップします。
  3. 下にスクロールしてConnect On Demandを見つけ、 オンにします。
  4. ルールをお好みに合わせて設定します。

VPNアプリをインストールしている場合は、アプリの設定画面にそのアプリ独自の オンデマンド接続のスイッチがあるはずです。どちらの方法でも、同じiOSの 基盤となる設定に書き込まれます。

トレードオフ

オンデマンド接続はVPNの信頼性を大きく高めます。その代償は、わずかな 追加のバッテリー消費と、端末が目覚めたときの起動の遅さです。iOSは アプリがネットワークにアクセスできるようにする前にトンネルを 再確立する必要があるためです。WireGuardのハンドシェイクは十分に速いため、 たいていは気づかないでしょう。

iOSにおけるキルスイッチの実態

この節は、VPNの“キルスイッチ”について読んだことがあり、 iPhoneで実際に何が可能なのかを知りたい人のためのものです。

本物のキルスイッチ、つまりデスクトップのVPNアプリが宣伝している類のものは、 VPNトンネルが切断された場合にすべてのインターネット通信を遮断します。 Windows、Linux、macOSでは、アプリがこれをOSレベルで強制する ファイアウォールのルールをインストールできます。iOSはその機能を サードパーティのアプリに公開していません。AppleのNetworkExtension フレームワークには、“VPN以外のすべての通信を遮断する”という 全体的な仕組みが含まれていません。

iOSでアプリにできるのは、オンデマンド接続のルールを使ってその挙動を 近似することです。設定は次のようになります。

  • すべてのネットワークで作動するルールでオンデマンド接続を有効にする。
  • VPNが接続できない場合に、ネットワーク接続を利用できないものとして 扱うようにルールを設定する。

これは安定した状態ではうまく機能しますが、正直な注意点があります。iOSが ネットワークを切り替えている(たとえばWi-Fiからモバイル回線へ)短い間や、 端末が目覚めるときには、トンネルがまだ有効になっていないことがあります。 オンデマンド接続が接続を再確立する前のそのすき間で、わずかな通信が 漏れる可能性があります。最近のWireGuardアプリは1秒もかからずに 再接続するため、この時間は短いものの、存在はします。iOSに完璧な キルスイッチがあると言う人は、フレームワークのドキュメントを読んで いません。

漏れのない状態があなたの用途にとって重要なら、デスクトップのOSはiOSよりも 優れた手段を提供します。ほとんどの人にとっては、常時オンのルールを使った オンデマンド接続で十分です。

モバイル回線とWi-Fiでの挙動

標準では、iOSのVPNはネットワークの変更をまたいで維持されます。自宅の Wi-FiからLTEに切り替えてもVPNはオンのままです。iOSがトンネルを透過的に 引き継ぐためです。一部のアプリは、バッテリーを節約したい人や、従量制の 接続でわずかなオーバーヘッドを避けたい人のために、“モバイル回線で 無効にする”というスイッチを用意しています。

よくある問題の解決

iPhoneユーザーが実際にぶつかる問題についての短い実用ガイドです。

“プロファイルのインストールが拒否されました”

これはたいてい、MDMポリシーがVPNプロファイルを遮断しているか、初回起動時の 確認画面で「許可しない」をタップしたことを意味します。 設定 → 一般 → VPNとデバイス管理を開き、保留中の プロファイルを見つけて、インストールを完了してください。管理対象の端末 (会社や学校の端末)の場合は、管理者に確認してください。

端末がスリープするとVPNが切断される

iOSはバッテリーを節約するためにバックグラウンドの動作を積極的に 中断しますが、VPN接続も例外ではありません。上で説明したようにConnect On Demandを有効にしてください。これがスリープの サイクルをまたいでトンネルを維持するためのサポートされた方法です。

思ったより遅い

確認すべき点がいくつかあります。

  • サーバーまでの距離。地球の反対側にあるVPNサーバーは、 自分の街にあるサーバーよりも常に遅くなります。まずはより近い サーバーを選んでください。
  • プロトコル。WireGuardは実環境のテストで、たいてい IKEv2やOpenVPNを上回ります。
  • Wi-FiのMTU。まれですが実際にあります。ルーターが 通常とは異なるMTUを使っている場合、VPNのカプセル化によって フラグメント化が起こることがあります。最近のアプリの多くはこれを 自動的に処理します。

IPが変わらない

接続後に見かけのIPアドレスが変わらない場合は、何らかの“what is my IP”のウェブツールで漏れのテストを行ってください。よくある原因は 2つあります。トンネルを迂回するIPv6通信(古い設定の一部はIPv6を トンネル経由にしません)か、ISPのリゾルバーへ漏れるDNSの問い合わせです。 どちらも設定の問題であり、よくできたVPNアプリはこれらを代わりに 処理してくれます。

機内モードのあとに再接続しない

設定アプリからVPNをオフにして再度オンにするか、VPNアプリを終了して 起動し直してください。機内モードはすべてのネットワークを切断し、 まれにVPNの状態機械がきれいに回復しないことがあります。

アプリ単位のVPN

特定のアプリだけをVPN経由で通す、という話を聞いたことがあるかもしれません。 iOSでは、アプリ単位のVPNは実在しますが、管理対象の端末に限られます。これは 企業が、個人の通信に影響を与えずに社内アプリをトンネル経由にするために 使うMDMの機能です。一般消費者向けのVPNアプリはこのAPIにアクセスできません。 個人のiPhoneにインストールするVPNは、何であってもシステム全体の通信を 経路付けます。

これはたいてい問題ありません。1つのアプリだけVPNを通したくない場合の 回避策は、VPNを切断し、そのアプリを使い、それから再接続することです。 手間ですが、必要になることはめったにありません。

まとめ

ほとんどのiPhoneユーザーにとって、iPhoneでのVPNの設定とは、アプリを ダウンロードし、プロファイルの確認画面を一度受け入れ、Connect On Demandを オンにすることです。これで手動設定なしに価値の大半が得られます。設定アプリ での手動の方法は、企業のIKEv2やアプリのないプロバイダーといった特定の 場面のために存在し、iOSのキルスイッチの事情は正直なところデスクトップの 同等品より弱いものの、オンデマンド接続のルールがその差の大半を埋めます。

初めてVPNを選ぶなら、WireGuardを使っていて、標準で メール登録の不要な匿名アカウントを採用し、 ログについて明確な 立場を示しているものを優先してください。設定の手順はどのプロバイダーでも 同じですが、信頼のモデルはそうではありません。

Snap VPNはWireGuardを中心に作られたiOSネイティブのクライアントです。 サブスクリプションはApple IDに紐づき、メールやアカウントの登録は不要で、 いかなるユーザー識別子も実在の人物に結びつけません。macOS版が次に 控えています。上で述べたプラットフォームの作法を尊重し、邪魔をしないVPNを お探しなら、 Snap VPNから始めてみてください。

さらに読む: VPNとは実際に何なのか 旅行中のVPNの使い方

The Snap VPN Team
Editorial