VPNの「ノーログ」が本当に意味すること

どの VPN のトップページを開いても、上部に同じ二つの言葉が並んでいます。 「ノーログ」です。あまりにも頻繁に登場するため、もはや特定の意味を 持たなくなっています。どのプロバイダーもそう言います。プレミアムなもの、 格安なもの、空港に看板を出しているもの、聞いたこともないもの。 どれもそう言います。それでいて、そう主張している人たちは、あなたが 送るすべてのパケットを処理する、実際のディスクとメモリ上の実際の サーバーを運用しているのです。

では、VPN のノーログという主張は実際には何を意味し、それが本当かどうかを どうやって知ればよいのでしょうか。これは宣伝文句が決して正直に答えない 問いです。この記事はそれに答えます。

手短に言えば、「ノーログ」は便利な出発点であって、ゴールラインでは ありません。それは幅広い実践を含んでおり、その一部は本当にあなたを 守りますが、一部は本質的にごく普通のデータ保持を包んだマーケティング 表現にすぎません。それを評価するには、まず VPN プロバイダーがそもそも 何を見られるのか、どんなカテゴリのログが存在するのか、そして記録しない というポリシーと記録できない設計との違いを知る必要があります。

VPNプロバイダーが見られるもの

ログの話をする前に、可視性について話す必要があります。ログとは、何が 書き留められるかという問題です。可視性とは、そもそも何がサーバーの前に あるのかという問題です。これらは別の問題であり、両者を混同することは VPN のマーケティングが人々を誤解させる主な手口の一つです。

VPN に接続すると、あなたのデバイスはプロバイダーのサーバーの一つに 暗号化されたトンネルを確立します。そこからサーバーはあなたの通信を 復号し、公共のインターネットへ転送します。この復号のステップこそが 肝心な点です。あなたの通信が訪問先のサイトに届くとき、VPN が自分の IP を あなたの IP の代わりに使うのはこのためです。 VPNとは何か、その仕組み についての入門記事で、その根底にある仕組みをさらに詳しく扱っています。

この仕組みそのものにより、VPN サーバーは技術的に次のものを観測できる ということになります。

• 接続時のあなたの本当のIPアドレス。 あなたのデバイスは、 暗号化された応答パケットをどこに送るかをサーバーに伝えなければなりません。 その宛先があなたの本当の IP です。
• どのVPNサーバーにいつ接続したか。 選んだサーバー、 接続したタイムスタンプ、切断したタイムスタンプ。これはセッションに 関するメタデータです。
• 行ったDNSクエリ。VPN が独自の DNS リゾルバを 運用している場合です。ブラウザにドメインを入力すると、何かがその IP アドレスを調べなければなりません。あなたの VPN がそれを解決するなら、 その照会が見えます。
• セッションごとに使用した帯域幅。 各方向に何バイトが 移動したか。
• 通信のタイミングのパターン。 内容が宛先サイトに対して 暗号化されていても、パケットのサイズとタイミングは、本気の観察者に 情報を明かすことがあります。

あなたの HTTPS 接続の暗号化された内容は、このリストには含まれません。 ブラウザが、たとえばあなたの銀行と TLS でやり取りしている間、VPN に 見えるのはあなたの銀行の IP へ向かう暗号化されたバイト列であって、 実際の内容ではありません。その部分の保護は本物であり、重要です。

しかし上記のメタデータは現実に存在します。サーバーが仕事をするために それを必要とするため、セッションが生きている間はメモリ上に存在します。 「ログ」の問題とは、その後そのデータに何が起こるか — ディスクに書き込まれ、保持され、索引付けされ、維持され、後に法的な 圧力のもとで提出されうるかどうか — ということです。

ログのカテゴリ

すべてのログが同じではありません。有益なノーログ VPN の評価は、三つの カテゴリを区別することから始まります。なぜなら、プロバイダーは意図的に それらを曖昧にするからです。

接続ログ

これは最小限のセッションのメタデータです。あるユーザーがあるタイムスタンプに あるサーバーへ接続したという記録で、場合によってはセッションの長さと 使用した帯域幅を含みます。多くのプロバイダーは、診断、不正利用対策、 容量計画のために、これの何らかの版を短期間保持します。ごく一部は まったく何も保持しません。

接続ログそれ自体は破滅的ではありません。あなたが何をしたかは明かしません。 ただし、あなたがそのサービスを使ったことは明かします。これは状況によっては 重要になりますし、本人を特定できるアカウントのデータと組み合わさると、 はるかに多くを明かすものになります。

トラフィックログ

これは存在すべきでないカテゴリです。トラフィックログは、あなたが どのサイトや IP を訪れたか、DNS クエリが何だったか、極端な場合には 要求した URL を記録します。トラフィックログを保持する VPN は、プライバシーの 観点からは VPN がまったくないよりも悪いものです。あなたは閲覧の可視性を、 プロバイダー(ISP) と訪問先サイトとに分散させる代わりに、一つの プロバイダーのデータベースに集中させてしまっているのです。

まともな VPN はトラフィックログを保持すべきではありません。あるプロバイダーの ポリシーがこの点で曖昧なら、その曖昧さを「いいえ」と受け取ってください。

本人を特定するメタデータ

これはほとんどの人が忘れているカテゴリで、しばしば本当のプライバシーの 物語が宿っている場所です。次のものが含まれます。

• 登録に使ったメールアドレス
• 支払い方法と請求の詳細
• 登録時に使った IP アドレス
• サポートのチケットと、それが送られてきた IP
• アカウント復旧のための情報
• ログインのタイムスタンプと、アカウントの安全のために使われるデバイスの指紋

本人を特定するメタデータは、その VPN におけるあなたの正体です。たとえ プロバイダーが本当にトラフィックログをゼロ、接続ログをゼロに保っていても、 メールアドレスとクレジットカードがあれば、「この特定の人物が うちにアカウントを持っていたか」という問いに答えられます。そして、 それこそが誰かが答えを必要とする唯一の問いであることがよくあります。

だからこそ、VPN のノーログという主張は、それだけでは不完全なのです。 ログを保持しないが、メールとカードでの登録を必須にするプロバイダーは、 プライバシーの物語を設計ではなくポリシーの上に築いています。データは 依然として存在し、ただ別のテーブルに宿っているだけです。同じ論点は、 メール不要の匿名VPNサービスについての記事にも出てきます。

ポリシーと設計の違い

プロバイダーが「ログを取らない」と言うとき、根本的に異なる二つのことを 意味しうります。

「私たちはログを取りません」はポリシーの主張です。 システムにはログを取る能力があります。一時的に、メモリ上で、あるいは どこかのサポートツール内でログを取るかもしれません。約束は、会社がその データを保持しないことを選ぶ、あるいは破棄することを選ぶ、というものです。 これは本物の約束であり、価値があります。しかし、会社を信頼することに 依存しています。ポリシーは変わりえます。従業員はミスをしえます。 裁判所の命令は、宣伝されない変更を強制しえます。

「私たちはログを取れません」は設計の主張です。 システムは、データが残らないように作られています。サーバーはメモリ だけから動作し、再起動のたびにすべてを忘れます。たとえ誰かがそう望んでも、 関連する情報を保持できるデータベースのテーブルが存在しません。アカウントの 作成も、そもそも本人を特定する情報の収集を必要としません。これははるかに 強力な主張です。なぜなら、継続的な善意に依存しないからです — データが行く場所がないため、データは消えているのです。

設計は、少なくとも原理的には検証可能です。ポリシーは信頼を必要とします。

ほとんどのプロバイダーは両者の混合を提供しています。マーケティングは、 ポリシーの約束を、設計のように聞こえる言葉(「ノーログ・サーバー」 「RAM のみのインフラ」)で説明しがちです。注意深く読んでください。 問うべきことはこうです。もし誰かが明日このプロバイダーに、特定のアカウントに ついて持っているすべてを要求する正当な法的請求を出したら、彼らは実際に 何を提出できるのか。正直な答えが「メールアドレス、支払い記録、登録時の IP、サポート履歴、そしておそらく接続のタイムスタンプ」であれば、 トップページが何と言おうと、それがあなたのプライバシーの下限です。

主張を評価する方法

VPN がどんなデータを収集するか、そしてその主張に信頼性があるかを評価する ための実践的なチェックリストを示します。

独立した第三者による監査

プロバイダーのシステム、方法論、インフラを審査した、評判のよい セキュリティ企業による公開報告書を探してください。確認すべき点は二つです。

• 新しさ。 四年前の監査は、もはや同じ形では存在しないかも しれない会社を描写しています。二年以内であれば妥当な基準です。
• 範囲。 監査は、実際に何を調べたかが大きく異なります。 ノーログ・ポリシーの監査は、一般的なセキュリティ監査よりも意味があります。 VPN のブログにある要約ではなく、報告書そのものの範囲の節を読んでください。

透明性レポートとワラント・カナリア

一部のプロバイダーは、ユーザーデータを求める法的請求を年間に何件 受け取ったかを、管轄と種類ごとに分けて公表し、それに応じて何を引き渡せたかも 公表しています。「N 件の請求を受け取り、提出できるものが何もなかったため、 そのうちゼロ件でデータを提出した」と公表するプロバイダーは、何も公表しない プロバイダーよりも強い表明をしています。

ワラント・カナリアとは、プロバイダーが特定の種類の法的要求を受け取って いないという定期的な声明です。その声明が消えたり、更新されなくなったりすれば、 その不在そのものがシグナルになります。カナリアには知られた法的な弱点が ありますが、その存在は少なくとも、プロバイダーがこの側面について 考えてきたことを示します。

法的管轄

VPN が法人登記されている国は、どの国の法律が適用されるか、どんな国際的な 協力協定のもとで運営されるかを決めます。一部の管轄には、通信事業者に 対する強制的なデータ保持法があります。他の管轄は、国境を越えた協力を 義務づける正式な情報共有同盟に属しています。

これは良いか悪いかの二者択一の軸ではありません。脅威モデルが異なれば、 気にすることも異なります。しかし、どのトップページが最もきれいに見えるかで 選ぶのではなく、あなたの VPN がどこに登記されていて、それが何を意味するかを 知っておく価値はあります。

アカウントのモデル

これはほとんどの人が飛ばす点です。どうやって登録するかを見てください。 アカウントの作成に有効なメールアドレスが必要なら、その VPN はあなたの 有効なメールアドレスを持っています。支払いがクレジットカードなら、VPN は あなたの名前に結びついた請求記録を持っています。これらの記録は、 プロバイダーが他に何かを「ログ」していようといまいと、プライバシーの 全体像の一部です。

匿名の支払い手段(ギフトカード、特定の暗号通貨)は、これをいくらか 変えます。すでに持っているプラットフォームの ID — App Store を通じた Apple ID のようなもの — に頼るサブスクリプションの モデルは、別の形で変えます。VPN プロバイダーはあなたの正体を得ませんが、 プラットフォームは得ます。

オープンソースのクライアントコード

あなたのデバイス上のアプリがオープンソースなら、セキュリティ研究者は それが実際に何をどこへ送るかを検証できます。これはサーバー側を カバーしませんが、一つの不確実性のカテゴリを取り除きます。クライアントが、 あなたが同意していないテレメトリーをひそかに送信していないかを知ることが できるのです。

クローズドソースのクライアントが自動的に怪しいわけではありませんが、 検証しにくいのは確かです。監査の状況と組み合わさると、オープンソースの クライアントは、あなたが独立に確認できることの下限を引き上げます。

過去の法的事案

ある VPN が、ログの提出を求められた法的手続きに関わったことがあれば、 公的な記録に何が起きたかが示されます。彼らはデータを提出したのか。 提出すべきデータを持っていたのか。その対応はポリシーの主張と一致して いたのか。

こうした事案はよくあるものではありませんが、存在するときには非常に 参考になります。プロバイダーの名前に「召喚状」や「裁判所命令」を加えて 検索し、プロバイダー自身の見せ方ではなく報道を読んでください。

シンプルな比較の枠組み

上記の問いを見るための、簡潔な方法を示します。

どちらの列も、すべてのプロバイダーに一律に当てはまるわけではなく、 ほとんどは中間のどこかで運営しています。しかし、ある VPN をこの表に 当てはめてみることは、トップページの「ノーログ」にうなずくよりも 役に立ちます。

Snap VPNのアプローチ

Snap VPN は、ポリシーの列よりも設計の列に近いところに位置しています。 具体的には次のとおりです。

• メールやアカウント登録なし。 サブスクリプションは、 あなたの Apple ID を通じて App Store で処理されます。私たちは メールアドレス、ユーザー名、電話番号、いかなるアカウントの資格情報も 一切収集しません。従来の意味でのアカウントのデータベースは存在しません。
• トラフィックログなし。 私たちは、あなたが訪れる サイト、やり取りする IP、行う DNS クエリを記録しません。
• 永続的な接続ログなし。 どの Apple ID が、いつ、 どのサーバーに接続したかという、保持された記録を私たちは持ちません。 稼働中のセッションを経路制御するために必要な運用上の状態は、保存された 接続の履歴とは同じではありません。
• 実在する人物に結びついたユーザー識別子なし。 内部的には、あなたのサブスクリプションは App Store が提供する不透明な値で 識別されます。私たちはその値に結びついた名前、メール、電話番号を持たず、 そこからそれらを導き出すこともできません。

存在するものについて正直に言えば、VPN を運用するには、ある程度の運用上の 状態が必要です。サーバーは、パケットをあなたに送り返すために、稼働中の セッションがあることを知っていなければなりません。あらゆるルーターが 仕事をするために稼働中の接続を追跡しなければならないのと同じように、 ネットワークが機能するために必要な、短命のカウンターやメタデータが 存在します。これが、上記の分類における接続ログのカテゴリが、実際には どう見えるかということです。短命で、生きているセッションに限定され、 あなたの活動の記録として保持されず、あなたを特定するいかなるものにも 結びついていません。

これらの選択の背後にある原則は平凡です。収集するデータが少ないほど、 失われたり、侵害されたり、強制提出させられたりしうるデータも少なくなります。 ある情報が一度も集められなければ、それは侵害で流出することも、召喚されることも、 事業上の必要が変わったり誰かが会社を買収したりしたときに後から 転用されることもありません。設計がポリシーに勝るのは、ポリシーが不誠実だ からではなく、設計がその選択肢そのものを取り除くからです。

アカウントのモデルについて具体的に掘り下げたい方は、 メールアドレス不要の匿名VPN登録についての解説をご覧ください。

どのVPNにもできないこと

限界について率直に述べておく価値があります。なぜなら、VPN に寄せられる 信頼の一部は見当違いであり、技術が提供できる以上のものを期待した人々を がっかりさせて終わるからです。

• VPNは、あなたがログインするサイトからあなたを隠せません。 VPN 経由で Gmail を開いても、Google はあなたがあなただと依然として 分かっています。あなたはサインインしました。VPN が変えるのは経路で あって、正体ではありません。
• VPNは、ブラウザのフィンガープリンティングを止められません。 サイトは、ブラウザのバージョン、画面のサイズ、フォント、タイムゾーン、 その他何百もの小さな詳細から識別子を組み立てます。VPN はこの層には まったく対処しません。
• VPNはマルウェアを防ぎません。 通信を暗号化しますが、 脅威を探すために中身を検査することはしません。アンチウイルスは 別の関心事です。
• VPNは、すでに認証を済ませたサービス上で、魔法のように匿名性を 授けることはできません。 匿名性は設計に織り込まれていなければなりません。出発点が認証済みの アカウントであれば、VPN はそのアカウントの通信を別の経路で運ぶだけです — それが効果のすべてです。

VPN はプライバシーの積み重ねの一つの層であって、積み重ね全体では ありません。関連する読み物として、 よくあるVPNの誤解を解く、 VPNとは実際に何なのか、そして残りを重ねていくための、より広範な iPhoneプライバシー・チェックリスト があります。

まとめ

「ノーログ」は、はるかに大きな会話の略記です。VPN のトップページでそれを 見かけたら、答えではなく見出しとして扱ってください。本当に重要な問いは 次のものです。

• 登録時の本人を特定するメタデータを含め、システムはそもそもどんな データを収集するのか。
• 収集するデータのうち、どれを、どんな形で、どれくらいの期間保持するのか。
• ノーログの主張はポリシー(約束します)なのか、それとも設計(できません) なのか。
• 最近、誰か独立した立場の者がその主張を検証したか。そして、実際に何を 調べたのか。
• 法的な圧力がかけられたとき、そのプロバイダーの実績はどうだったか。

これらの問いに、約束したことと設計上不可能にしていることとを明確に 区別しながら、平易な言葉で答えるプロバイダーは、あなたが筋道立てて 考えられるプロバイダーです。漠然と「ノーログ」を指し示して話題を変える プロバイダーは、そうではありません。

この区別が重要な理由は単純です。会社の継続的な善行に全面的に依存する プライバシーは、あなたが完全には制御できないプライバシーです。 構造的に制約されたプライバシー — データがそもそも収集されなかったがゆえに — は、所有者、管轄、経営陣、そして法的な環境の変化を生き延びる版です。

Snap VPN は、その二つ目の考えを軸に設計されました。 メールでの登録なし、アカウントの資格情報なし、実在する人物に結びついた ユーザー識別子なし。サブスクリプションは App Store を通じてあなたの Apple ID に乗り、トラフィックはログに取られず、ネットワークを運用するために 必要な運用上の状態は、あなたが誰であるかに結びついていません。これが VPN を作る唯一の方法ではありませんし、あらゆるプライバシーの懸念を解決する わけでもありません。しかし、いかなるポリシーの約束だけでは取り除けない 一群のリスクを取り除きます。もしそれが、あなたの通信の背後にほしい設計の 種類であれば、ここで提供しているのはまさにそれです。私たちが下した選択と、 その理由を正直に説明しているだけです。