VPNは通信を暗号化されたトンネルで包み、公衆Wi-Fiでの盗聴リスクを低減する。ただしVPNが守れる範囲には明確な限界があり、マルウェアやフィッシングは防げない。また、モバイル回線(eSIM含む)を活用すれば公衆Wi-Fi自体を避けられるため、VPNが不要になる場面も多い。
この記事では、VPNの仕組み・限界・選び方を整理する。公衆Wi-Fi利用時のリスク全体については公衆Wi-Fiの安全な使い方で詳しく解説している。
VPNの仕組み — 暗号化トンネルとは何か
VPN(Virtual Private Network)は、デバイスとVPNサーバーの間にデータを暗号化したトンネルを作る技術だ。
通常のインターネット接続では、デバイスからルーター・ISP・インターネットを経由して目的のサーバーへ通信が届く。この経路上の各地点で通信内容を観察できる。
VPN接続時の通信の流れは次のとおりだ。
- デバイスが通信データを暗号化してVPNサーバーへ送信する
- VPNサーバーが暗号を解いて、目的のサーバーへ通信を中継する
- 応答はVPNサーバー経由で暗号化されてデバイスに戻る
この仕組みにより、同じWi-Fiネットワーク上の第三者が通信を傍受しても、暗号化されたデータしか見えない。接続先のIPアドレスはVPNサーバーのものとして見えるため、ホームネットワーク外からは実際のIPアドレスが隠れる。
VPNが守るもの、守らないもの
VPNの効果を正確に理解することが重要だ。
VPNが守るもの
- 公衆Wi-Fiでの通信内容の盗聴: 同一ネットワーク上の第三者による中間者攻撃(MITM)から通信内容を保護する
- ISPによるトラフィック監視の制限: ISPにはVPNサーバーへの暗号化通信しか見えなくなる
- 実IPアドレスの隠蔽: 接続先サーバーにはVPNサーバーのIPアドレスが通知される
VPNが守らないもの
- マルウェア: デバイスにインストールされたマルウェアはVPNの外側で動作する。VPNは悪意あるソフトウェアの挙動を止めない
- フィッシング: 偽サイトへのURL誘導は通信経路とは無関係に発生する。VPN接続中でもフィッシングサイトは危険だ
- VPNサーバー以降の通信: VPNサーバーからインターネット側の通信はVPNで保護されない。この区間はHTTPSなど他の手段に依存する
- VPNプロバイダー自身への露出: VPNプロバイダーはユーザーの通信を把握できる立場にある。ノーログポリシーの有無と実績が重要になる
HTTPSとVPNの関係
現在はほぼすべての主要サービスがHTTPS(TLS)による通信暗号化に対応している。HTTPSが確立された通信では、VPNなしでも通信内容は暗号化されている。VPNを使うことでその暗号化された通信をさらに暗号化トンネルで包む二重構造になる。VPNとHTTPSは代替関係ではなく、役割が異なる補完関係にある。
VPNプロトコルの種類と特徴
VPNはさまざまなプロトコルで実装されており、速度・セキュリティ・互換性に違いがある。主要な3種類を整理する。
WireGuard
WireGuardは2019年頃から注目が高まった新しいプロトコルで、コードベースが4,000行未満(暗号プリミティブ除く)と小規模で監査しやすい設計が特徴だ。ChaCha20(暗号化)・Curve25519(鍵交換)・Poly1305(認証)など現代的な暗号化アルゴリズムを採用している。Linux 5.6カーネル(2020年リリース)から標準統合され、多くのVPNサービスがWireGuardに対応した。
速度は既存プロトコルと比較して高速とされており、モバイル環境でのネットワーク切り替え(Wi-Fiとモバイルデータの切り替え等)にも強い。ただし固定IPが実装によっては残るため、プライバシーを重視する場合はプロバイダーの実装を確認する必要がある。
OpenVPN
OpenVPNは2001年に開発が始まり2002年にリリースされたオープンソースのプロトコルで、長年にわたる実績がある。OpenSSLライブラリを使ってTLSベースの暗号化を行い、UDP・TCPの両方で動作する。
コードベースが大きく設定の柔軟性が高い反面、設定の複雑さがある。WireGuardと比べると速度面でやや劣る場合があるが、信頼性は高い。多くの商用VPNサービスがOpenVPNを提供しており、サードパーティクライアントからも利用できる。
IKEv2/IPsec
IKEv2(Internet Key Exchange version 2)はIPsecと組み合わせて使用されるプロトコルだ。ネットワーク切り替え時の再接続(MOBIKE: IKEv2 Mobility and Multihoming Protocol)が速いため、モバイル回線とWi-Fiを頻繁に切り替える用途に向いている。
iOSとmacOSはIKEv2をネイティブサポートしており、システムVPNとして設定できる。
VPNの選び方
VPNサービスを選ぶ際に確認すべき主要な項目を整理する。
ログポリシー(ノーログポリシー)
最も重要な確認項目の1つだ。「ノーログ(no-log)」または「ゼロログ」を掲げるプロバイダーは、ユーザーの接続ログや通信内容を記録しないと主張している。
ただし主張の確認が重要だ。第三者機関による監査(独立したセキュリティ企業によるログポリシーの検証)を実施し、その報告書を公開しているプロバイダーの方が信頼性を確認しやすい。監査未実施のプロバイダーの場合は主張を鵜呑みにできない。
所在地・管轄(Jurisdiction)
VPNプロバイダーが法人登録している国・地域によって、適用される法律が異なる。
- 強制的なデータ保持法がない国: プロバイダーが技術的に記録を持っていない場合、存在しないデータを提出はできない
- 情報共有協定(Five Eyes・Nine Eyes・14 Eyes等): 加盟国の当局間でデータ共有が行われる可能性がある。協定対象国に法人があるプロバイダーは、協定の枠組みで情報提供を求められる場合がある
ただし管轄だけで判断するのは過剰単純化だ。技術的なノーログ実装と監査レポートの方が具体的な根拠になる。
プロトコルの透明性
前述のWireGuard・OpenVPN・IKEv2などオープンソースまたは標準化されたプロトコルを採用していることが望ましい。独自プロトコルを開発するプロバイダーもあるが、独自プロトコルは外部からの検証が難しい。
速度と接続安定性
VPN接続ではVPNサーバーへの迂回と暗号化処理のオーバーヘッドにより、通常よりも通信速度が低下することがある。サーバーの物理的距離・サーバー数・混雑状況が速度に影響する。
接続しようとするサーバーが地理的に遠い場合はレイテンシが増加する。主要国にサーバーを持つプロバイダーを選ぶと速度への影響を抑えやすい。
無料VPNのリスク
無料VPNは慎重に評価する必要がある。無料で提供できる理由として、広告収入かユーザーの通信データの収集・販売が考えられる。後者の場合、VPNを使って守ろうとしているプライバシーをVPNプロバイダーに渡すことになる。
無料VPN全般が危険というわけではないが、ビジネスモデルを確認できないプロバイダーは避けることを推奨する。オープンソースで開発され、収益構造が明示されているものは判断しやすい。
VPNの主な用途
公衆Wi-Fiでの通信保護
カフェ・空港・ホテルの公衆Wi-Fiを使う際に、VPNを使うことで通信が暗号化されたトンネル内を通り、同一ネットワーク上の盗聴者から保護できる。公衆Wi-Fiの具体的なリスクと対策の詳細は公衆Wi-Fiの安全な使い方を参照してほしい。
この用途では、後述するモバイル回線への切り替えという代替手段も有効だ。
地理的制限のあるコンテンツへのアクセス
一部の動画サービスは地域によって視聴できるコンテンツが異なる。VPNサーバーを目的の国に設定することで、そのサーバーのIPアドレスからのアクセスとして扱われる。ただしサービス利用規約の遵守は利用者の責任であり、地理的制限の回避が禁止されているサービスもある。
リモートワーク・企業ネットワークへのアクセス
企業では社内ネットワークへのリモートアクセス手段としてVPNを提供している場合がある。この用途では企業が管理するVPNを使うのが一般的で、商用VPNサービスとは別の文脈だ。
プライバシーの向上
ISPや訪問先サービスによるトラフィックログへの意識がある場合、VPNを使うことでISPには暗号化されたVPNトラフィックのみが見える状態を作れる。ただし完全な匿名性ではなく、VPNプロバイダーへのトラストシフトになる点に注意が必要だ。
VPNに関する誤解
「VPNを使えば完全に匿名になる」は誤り
VPNを使ってもIPアドレスがVPNサーバーのものに変わるだけで、VPNプロバイダー自身はユーザーのIPアドレスと接続先を把握できる立場にある。またブラウザのCookieやフィンガープリント、サービスへのログイン状態は変わらないため、サービス側からはアカウントを通じて身元が特定される。
SMSによる二段階認証のリスクについてはSMS 2FAのリスクとより安全な認証方法で解説している。
「VPNを使えばすべてのハッキングを防げる」は誤り
VPNは通信経路のセキュリティを向上させるが、エンドポイント(デバイス自体)のセキュリティとは別問題だ。SIMスワップ詐欺やアカウント乗っ取りのリスクについてはSIMスワップ詐欺とは — 手口・被害・対策を解説で整理している。
また、端末の紛失・盗難時のリスク管理についてはスマートフォン紛失・盗難時の対応ガイドを参照してほしい。
モバイル回線(eSIM)という現実的な選択肢
公衆Wi-Fiのセキュリティリスクへの最も根本的な対策の1つは、公衆Wi-Fiを使わないことだ。
モバイル回線(4G/5G)はLTE/5Gの通信規格で無線区間の暗号化が規定されており、公衆Wi-Fiのように同一ネットワーク上の第三者が通信を傍受できる構造になっていない。
eSIMはスマートフォンに内蔵されており、事前に通信プランをダウンロードしておくと現地に到着した時点から即時にモバイル回線を利用できる。旅行先・出張先でも公衆Wi-Fiに依存せずモバイル回線を維持できる。
海外渡航時のローミング設定と注意点についてはローミング設定の基礎と確認ポイントで解説している。
モバイル回線でもデータ消費量の増加という課題はあるが、セキュリティリスクとのトレードオフとして現実的な選択肢だ。
VPNの利用を検討すべき場面・不要な場面
VPNが有効な場面
- 公衆Wi-Fiを頻繁に利用し、モバイル回線への切り替えが難しい状況
- ISPによるトラフィック監視を避けたい場合
- 地理的制限のあるコンテンツへのアクセスが必要な場合
- 企業のリモートアクセス要件がある場合
VPNを使わなくてもよい場面
- 自宅や職場の信頼できるネットワークのみを使用する場合
- スマートフォンのモバイル回線で通信する場合(公衆Wi-Fiを使わない)
- 訪問するすべてのサービスがHTTPSに対応している場合(通信内容はHTTPSで保護される)
VPN選択時のチェックリスト
VPNサービスを選ぶ際に確認すべき項目をまとめる。
| 確認項目 | 望ましい状態 |
|---|---|
| ノーログポリシー | 第三者機関による監査報告書が公開されている |
| 法人所在地 | データ保持義務法の適用がない国・地域 |
| プロトコル | WireGuard・OpenVPN・IKEv2など標準化・オープンソース |
| ビジネスモデル | 有料サブスクリプションまたは明示された収益構造 |
| サーバー数・所在地 | 利用頻度の高い国・地域にサーバーがある |
| オープンソース | クライアントアプリのソースコードが公開されている |
FAQ
Q: スマートフォンにVPNアプリを入れると端末が遅くなりますか?
VPN接続中は暗号化処理とVPNサーバーへの迂回によりオーバーヘッドが発生し、速度が低下する場合があります。低下の程度はプロトコルの種類・サーバーとの距離・デバイス性能によって異なります。WireGuardは既存プロトコルと比較して低オーバーヘッドとされていますが、接続する場面に応じてVPNのオン/オフを使い分けることも実用的な方法です。
Q: VPNはiPhoneとAndroidどちらでも使えますか?
はい。主要なVPNサービスはiOS・Android向けのアプリを提供しています。iOSはIKEv2・OpenVPN・WireGuardに対応したアプリを利用できます。Androidも同様で、WireGuard公式のAndroidアプリ(wireguard-android)がGoogle Play経由で提供されています。
Q: 海外旅行中にVPNを使うと問題になる国はありますか?
VPNの利用を制限または禁止している国があります。中国・ロシア・イラン・北朝鮮などでは政府非認可のVPNの利用が制限される場合があります。渡航先の法律を事前に確認することを推奨します。これは通信規制の観点からも重要で、海外での通信全般についてはローミング設定の基礎と確認ポイントも参照してほしい。