ダウンロード
ブログに戻る
ガイド··9 分で読めます

VPNとは?完全ガイド

言語: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

仮想プライベートネットワーク(VPN)とは、デバイスのインターネット通信 を、提供事業者が運用するサーバーまで暗号化されたトンネルを通して中継す るサービスです。このガイドでは、VPNが技術的にどう動作するのか、プライバ シーとセキュリティのために何ができて何ができないのか、そして利用できる 選択肢をどう評価すればよいのかを説明します。

VPNが実際に行うこと

VPNアプリは、利用者のデバイスと遠隔のサーバーとの間にネットワークのトン ネルを作ります。デバイスからインターネットへ向かうすべての通信はカプセ ル化され、暗号化されてこのトンネルを通りサーバーへ送られ、サーバーがそ の通信を公衆インターネット上の宛先へ転送します。戻りの通信は逆の経路を たどります。

この仕組みから、実用上の二つの変化が生まれます。第一に、デバイスとVPN サーバーの間にあるネットワーク(ローカルのWi-Fi、インターネットサービス プロバイダー、経由する各種ネットワークなど)からは、デバイスとVPNサーバ ーの間を流れる暗号化された通信しか見えません。第二に、公衆インターネット からは、デバイスの実際のアドレスではなくVPNサーバーのIPアドレスから来た リクエストとして見えます。

したがってVPNは、誰が通信を観察できるのか、そして遠隔のサービスにどのア ドレスが見えるのかを変えます。ただしそれだけで接続が匿名になるわけではな く、あらゆる形態の追跡をなくすわけでもありません。

VPNの仕組み

中核となる仕組みは、カプセル化と暗号化の組み合わせです。VPNクライアント が有効なとき、OSは送信パケットをVPNアプリが作成した仮想ネットワークイン ターフェース経由でルーティングします。各パケットは新しいパケットの中に 包まれ(カプセル化され)、接続確立時にネゴシエートされたセッション鍵で 暗号化されます。

トンネリング

カプセル化とは、元のパケット(宛先アドレスとペイロードを含む)が、VPNサ ーバー宛ての外側のパケットのペイロードになることを意味します。外側のパ ケットは公衆インターネットを通ってサーバーまで届き、サーバーがそのペイ ロードを復号して、元のパケットを先へ転送します。

暗号化

最新のVPNプロトコルは、ChaCha20-Poly1305やAES-GCMといった認証付き暗号化 アルゴリズムを使います。セッション鍵は、公開鍵暗号にもとづく鍵交換プロ トコルを用いて接続時にネゴシエートされます。これにより、接続の途中にい る観察者がカプセル化された通信を読んだり、気づかれずに改ざんしたりでき ないことが保証されます。

ルーティングとDNS

暗号化に加えて、VPNアプリはOSのルーティングテーブルも再設定し、すべての 通信(一部の設定では特定の宛先のみ)がトンネルを通って送られるようにし ます。DNSクエリも通常はVPN経由でルーティングされ、ローカルネットワーク への漏えいを防ぎます。

よくある用途

VPNにはいくつかの異なる目的があり、適切なプロバイダーの設定は、そのうち どれが主な動機かによって変わります。

  • ローカルネットワークからのプライバシー。公共Wi-Fiの 接続(カフェ、ホテル、空港など)は、暗号化されていない通信を同じネット ワーク上の他の利用者にさらすおそれがあります。VPNなら通信はデバイスを 出る前に暗号化されるため、こうした露出をなくせます。
  • プロバイダー(ISP)からのプライバシー。プロバイダー (ISP)は、暗号化されていないDNS参照の宛先や、TLS接続のメタデータを観察 できます。VPNはこの可視性をプロバイダー(ISP)からVPN提供事業者へ移しま す。
  • 地理的な接続元の選択。一部のサービスは利用者のIPアドレ スにもとづいてアクセスを制限します。VPNを使うと、利用者はVPNサーバーが ある国から接続しているように見せられます。
  • 組織向けのネットワークアクセス。企業のVPNは、リモート で働く従業員が、公衆インターネットに公開されていない社内の私的なサービ スに到達できるようにするために使われます。

最新のVPNで使われるプロトコル

プロトコルは、トンネルがどう確立されるか、どの暗号アルゴリズムが使われ るか、そしてパケットロスやネットワークの変化のもとで接続がどう振る舞う かを決めます。一般消費者向けのVPNサービスで最もよく見かけるプロトコル は、WireGuard、OpenVPN、IKEv2/IPsecです。

WireGuardは三つの中で最も新しいものです。少数の最新の暗号プリミティブを 使い、コードはおよそ四千行に収まり、Linuxカーネルのほか大半の一般消費者 向けOSに統合されています。その設計は、シンプルさ、性能、そして監査対象 となる範囲の小ささを重視しています。

OpenVPNはより古く、はるかに柔軟です。多くの暗号スイート、トランスポー ト、設定オプションに対応します。その柔軟性は複雑さと引き換えです。 OpenVPNは、特に企業環境で今も広く使われています。

IKEv2/IPsecはiOS、macOS、Windowsに組み込まれています。モバイル端末で 良好に動作し、ネットワークの変化(たとえばWi-Fiとセルラーの切り替え)を スムーズに処理します。

一般消費者向けで最もよく使われる二つのプロトコルの詳しい比較は、当サイト の WireGuardとOpenVPNの比較でご覧いただけます。

VPNとプロキシ・Torの違い

VPNはプロキシやTorネットワークと混同されることがあります。仕組みと想定 する脅威モデルは異なります。

プロキシサーバーは、特定のアプリケーションの通信(最も一般的にはHTTP) を、利用者に代わって宛先へ転送します。プロキシはそれ自体では通常通信を 暗号化せず、ネットワークの層ではなくアプリケーションの層で動作します。

Torは匿名化ネットワークで、ボランティアが運用する集合から選ばれた三つの リレーを通じて通信をルーティングし、各ホップを個別に暗号化します。Torは ネットワークに対して匿名性をもたらします(どの単一のリレーも送信元と宛先 の両方を観察できません)が、VPNより遅く、高スループットの用途には向きま せん。

VPNはローカルネットワークに対して暗号化をもたらし、見えるIPアドレスを変 えますが、信頼の対象をVPN提供事業者へ移します。その事業者は利用者の実際 のアドレスと、利用者が到達する宛先を見ることになります。

理解しておきたい制限

VPNはより広いプライバシー対策の一つの構成要素であり、完全な解決策として 扱うべきではありません。いくつかの重要な制限があります。

VPN提供事業者は新たな信頼の対象になります。これまでプロ バイダー(ISP)が接続を見られたのと同じ可視性を、いまやVPN提供事業者が持 ちます。そのため、提供事業者のノーログ方針やインフラ設計の信頼性が重要に なります。当サイトの ノーログVPN方針 のガイドで、こうした主張が実際に何を意味するのかを解説しています。

エンドポイントのセキュリティは変わりません。VPNは、デバ イス上で動くマルウェア、フィッシング攻撃、侵害されたブラウザ拡張機能、 あるいはすでに利用者のデータへのアクセスを許可されたアプリによる追跡から は保護しません。

ウェブサイト単位の追跡は続きます。VPNは遠隔のサービスに 見えるIPアドレスを変えますが、Cookie、ブラウザのフィンガープリント、ある いは利用者がサインインしているアカウントには影響しません。

プロバイダーの選び方

VPNサービスを評価するときは、いくつかの要素を確認する価値があります。

  • プロトコルへの対応。最新のプロバイダーはWireGuardか IKEv2/IPsecに対応しているべきです。OpenVPNは互換性の点で引き続き妥当な 選択肢です。
  • プライバシー方針と監査の履歴。独立した監査結果を伴う、 短く具体的なプライバシー方針は、これ以上の詳細なく「軍事レベルの暗号 化」をうたう宣伝文句よりも信頼できます。
  • アカウントの要件。アカウントなしで運用するサービスは 保持するデータが少なく、万一の情報漏えいの際にさらされうる情報の量を抑 えられます。
  • キルスイッチの実装。正しく動くキルスイッチは、トンネル が切断されたときに通信が露出するのを防ぎます。当サイトの VPNのキルスイッチ の概説で、それが正しく動いているかを確認する方法を説明しています。
  • 管轄地。提供事業者が設立されている国は、その事業者が 従う法制度に影響します。

Snap VPNはこれらの原則のいくつかを軸に作られています。すなわち 単一のプロトコル、アカウント不要、既定で有効なキル スイッチ、そして数十もの使われない拠点ではなく三つの地域にわたる 厳選されたサーバーネットワークです。詳しい 設定手順は iPhoneのセットアップガイドにまとめています。

The Snap VPN Team
Editorial