ダウンロード
ブログに戻る
プライバシー··10 分で読めます

ノーログVPNのポリシーを解説

言語: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

ノーログ VPN ポリシーとは、サービスのプロバイダーが、ユーザーの活動の 記録を保持しないという約束です。この言い回しは VPN のマーケティングで 一般的になりましたが、実際の意味はプロバイダーによって異なります。 この記事では、信頼できるノーログ・ポリシーが何をカバーするのか、それが インフラ層でどう実装されるのか、そしてその主張が独立した証拠に 支えられているかをどう評価するのかを解説します。

ノーログ・ポリシーが主張すること

ノーログ・ポリシーとは、プロバイダーがどんな種類のユーザーデータを記録し 保持するかについての表明です。強力なポリシーは、接続ログ、活動ログ、 本人を特定するメタデータに具体的に触れ、そのポリシーを徹底する技術的な 手段を説明します。

言い回しが重要なのは、「ノーログ」が時に緩やかに、「私たちが機微だと 考えるログはない」という意味で使われる一方で、それ以外のデータ — 帯域幅の使用量、接続回数、サーバーの負荷 — が運用目的のために 引き続き保持されるからです。明確なポリシーは両者を区別し、それぞれの 根拠を説明します。

ログの種類

VPN の文脈におけるログは、通常三つのカテゴリに分かれます。

活動ログ

活動ログは、セッション中にユーザーの通信がどのウェブサイト、アプリ、 宛先に到達したかを記録します。これは最も機微なカテゴリです。活動ログを 保持するプロバイダーは、ユーザーの閲覧履歴を再構築できます。活動ログを 明示的に否定しないノーログ・ポリシーは、意味のあるプライバシーの約束では ありません。

接続ログ

接続ログは、ユーザーがいつ接続したか、セッションがどれだけ続いたか、 ユーザーが接続してきた送信元の IP アドレス、そしてユーザーが接続した サーバーを記録します。活動ログほど機微ではありませんが、接続ログは VPN のセッションを、インターネットの他の場所で観測された活動と関連づける ために使われうります。

集計ログまたは運用ログ

集計ログは、サーバーごとの総帯域幅、同時セッション数、エラー数といった 指標を記録します。これらは通常、容量計画と不正利用の抑止に必要です。 合理的なノーログ・ポリシーは、集計された運用上の指標と、ユーザーごとの ログとを区別します。

実装の方法

信頼できるノーログ・ポリシーは、会社のポリシーだけでなく、インフラの 設計によって徹底されます。いくつかの手法が一般的に用いられます。

  • メモリのみのサーバー。 VPN サーバーは完全に RAM から 動作し、永続的なストレージは接続されていません。サーバーが再起動されると、 メモリ内のデータはすべて失われます。これは RAM のみ、あるいは ディスクレスの構成と呼ばれることがあります。
  • ステートレスなトンネル。 WireGuard のような現代の プロトコルは、サーバー上に最小限の状態しか保持しません。サーバーは どのピアが許可されているかは把握しますが、セッションの履歴を追跡する 必要はありません。対照的に、ユーザー名ベースの認証を伴う OpenVPN は、 追加の状態を保持します。
  • 抑制されたシステムログ。 サーバーは、既定の システムロガーが接続ごとの情報を記録しないように構成されます。詳細な ログ取得は、通常、デバッグ中に短時間だけ有効にされます。
  • アカウントのデータベースなし。 ユーザーのアカウントを 必要としないサービスは、そもそも接続を個人に結びつけることができません。 Snap VPN はこのアプローチに従っています。サブスクリプションは Apple を 通じて処理され、サービスはユーザーのデータベースを保持しません。

独立した監査

独立した監査は、ノーログ・ポリシーが主張どおりに実装されていることを 示す、利用可能な中で最も強力な証拠の形です。典型的な監査の取り組みでは、 第三者のセキュリティ企業が数週間にわたって、プロバイダーのサーバーの構成、 ソースコード、運用上の手順を審査します。

監査の価値は、その範囲に左右されます。有益な監査は、どのサーバー、構成要素、 期間が調べられたかを明記し、発見した事項を — 肯定的なものも否定的なものも — 完全に閲覧できる報告書として公表します。マーケティング用の要約しか 生み出さない監査は、かなり弱いものです。

監査が立証できないことを認識しておくことも重要です。監査は、ある時点の スナップショットを捉えるものです。監査が終わったあとも、プロバイダーが 同じやり方で運営し続けることを保証するものではありません。定期的な 間隔での繰り返しの監査は、継続的により強い保証を提供します。

法的請求

ノーログ・ポリシーは、重要な点で法的な手続きと関わります。プロバイダーが ユーザーデータを求める召喚状や裁判所命令を受け取った場合、プロバイダーは 自分が持っているものしか開示できません。活動ログと接続ログが保持されて いなければ、プロバイダーは、サブスクリプションの記録を超えて、特定の ユーザーの活動について開示できるものを何も持ちません。

いくつかのプロバイダーは、受け取った法的請求と、それに対して行った対応を 記した「透明性レポート」を公表しています。受け取った請求を列挙し、開示 できる実質的なデータが存在しないことを詳述する透明性レポートは、機能して いるノーログ・ポリシーと矛盾しません。

管轄も重要です。プロバイダーが運営する法的な体制は、従うよう強制されうる 請求の種類や、将来に向けてログ取得を始めるよう求められうるかどうかを 決めます。

主張の検証

ノーログの主張に信頼性があるかどうかを示すシグナルはいくつかあります。

  • ポリシーの具体性。 ポリシーが、曖昧な言い回しを使うの ではなく、保持しないログのカテゴリを明示的に挙げている。
  • 監査の履歴。 プロバイダーが独立した監査を依頼しており、 完全な監査報告書が公開されていて、その監査が最も重要な構成要素 — サーバーと認証のシステム — をカバーしている。
  • 運用上の設計。 メモリのみのサーバー、アカウント不要の 認証、ステートレスなプロトコルの使用を含め、インフラが技術的な詳細で 説明されている。
  • 透明性レポート。 プロバイダーが、受け取った法的請求と それに対して行った対応を記した定期的なレポートを公表している。

よくある落とし穴

ノーログの主張が、見かけほど堅固でないかもしれないことを示すパターンが いくつかあります。

曖昧な言葉。 どのカテゴリのデータが除外されるかを明記 せずに「個人を特定できる情報は一切保持しない」と約束するポリシーは、 相当量の接続のメタデータの保持と矛盾しないことがあります。

アカウントベースのサービス。 アカウントのためにメール アドレスを必要とするサービスは、活動をログに取らないと主張していても、 本質的に何らかの情報を保持しています。アカウント不要のサービスは、より 強い構造的な立場にあります。

自己申告のみ。 独立した立場の者によって調べられていない ノーログの主張は、プロバイダーの表明だけに依拠しています。

Snap VPN は、ノーログの主張を仕組みとして信頼できるものにするよう 構成されています。ユーザーのアカウントなし、メモリのみのサーバー、そして 最小限のセッションの状態しか持たない WireGuard プロトコルです。より広い 文脈については、 VPNの入門記事 WireGuardとOpenVPNの比較を ご覧ください。

The Snap VPN Team
Editorial