仮想プライベートネットワーク(VPN)は急速に普及しており、世界の人口の約5分の1が利用していると推定されています。12億人のユーザーは大きな市場です! VPNの中心にあるのはプライバシーですが、何億人もの人々が実際にどのようなプライバシーをVPNから得ているのかが大きな疑問です。
すべてのVPNは、インターネットトラフィックのプロキシまたは仲介者としての共通の機能を果たします。つまり、オンラインでの活動に一定のプライバシーを提供するために、あなたの身元を隠すのです。しかし、実際のプライバシーのレベルは、VPNサービスのアーキテクチャとそのプライバシー機能に大きく依存します。
VPNの仕組みを説明するために、Nymのガイドでは、中央集権型VPNと分散型VPN(dVPN)の違いに焦点を当てます。重要なポイントは、オンラインでの真のプライバシーと匿名性は、中央集権型VPNでは確保できないということです。必要なのは、私たちのトラフィックのための新しい形式の分散型で匿名なルーティングです。その理由を理解するために、最初から見ていきましょう。
VPNはどう機能するのか?
オンラインでプライバシーを保護するために、VPNは2つの主要な機能を提供します。1つはプロキシまたはリレー接続(トラフィックの起源を隠す)、もう1つはトンネリング暗号化(データの内容を保護する)です。
VPNはプロキシサーバーとは異なります。VPNはシステム全体に対応するのに対し、プロキシはアプリ専用で設定されます。また、VPNはオンライントラフィックを暗号化する唯一の方法ではありませんが、VPNの暗号化は重要なセキュリティ層です。
IPアドレスを隠す
VPN保護の基盤は、インターネットプロトコル(IP)アドレスを隠すことです。IPは、あなたのデバイスを一意に識別する番号で、インターネットサービスプロバイダー(ISP)が他のIPと接続できるようにします。ウェブサイトのサーバーなどの接続も含まれます。この32ビットまたは128ビットの番号に加えて、IPアドレスはオンラインで接続するたびにISPやおおよその位置など、あなたに関する特定の情報を公開します。「43 W. Main StreetのJoe Schmo at 3:30PM」といった詳細は公開しませんが、オンライン上のすべての活動に関連付けられる番号で、デジタルで触れるものすべてにデジタル指紋のように残ります。
VPNをアクティブにしてウェブにアクセスすると、すべてのトラフィックはまずVPNのサーバーを通過し、目的地に接続されます。すべてのサーバーには独自のIPアドレスがあり、データのトラフィックに付随する個人のIPはVPNのIPに置き換えられます。これにより、VPNサーバーがリクエストの起源であり、あなたの個人デバイスではないように見えます。これがVPNの匿名性です。VPNはオンラインでの活動を「代理」または「代わりに」行います。
データを暗号化する
トラフィックがデバイスを出る前に、VPN保護はデータ暗号化から始まります。これはデバイスとVPNサーバーの間に確立されるVPNトンネルを通じて行われます。これらの2つの端だけがデータを復号するために必要なキーを持っています。デバイスとVPNサーバーの間でトラフィックを傍受しようとする第三者がいる場合、データは解読不可能になります。
ほとんどのウェブ接続は現在デフォルトでHTTPS暗号化プロトコルによって暗号化されているため、VPNの暗号化はコミュニケーション内容に追加のセキュリティ層を提供します。ただし、トラフィックのメタデータを保護するのはより困難です。暗号化された接続からも多くの未保護情報が「漏れ」るからです(例:接続する時間、場所、相手)。メタデータは、編纂し分析することで、多くの個人情報を明らかにすることができます。閲覧履歴全体を含む場合があります。
匿名性を保護する
VPNは、追加のプライバシーとセキュリティ保護も提供できます。複数および分散型サーバーネットワーク、国選択、キルスイッチ、DNSリーク保護、トラフィック分析をブロックする高度な技術などです。しかし、以下の詳細に入る前に、気になることがあるかもしれません。
なぜVPNが必要なのか?
VPNはなぜ必要なのか?そもそもVPNの使い道は何で、誰が必要なのか?簡単な答えは、オンラインでプライバシーが気になるなら、高品質なVPNがそれを守るための最良のツールであるということです。
何かを隠している人だけが自分の活動をプライベートかつ匿名にするために追加の手段を講じる必要があるという誤った前提があります。実際には、誰もがオンラインでのプライバシーを守る必要があります。なぜなら、誰もがプライバシーを体系的に悪用されているからです。
オンラインプライバシーへの脅威
インターネット上でプライバシーを保つのは非常に難しい(そしてそれは私たちがウェブが「公開されている」と言う理由ではありません)。
インターネット上の特定の情報は、誰もがアクセスできるように意図されています(ウェブサイトやウェブサービスが提供する情報、または公開されたブログなど)。私たちは、おそらく自分たちが公開する情報と公開しない情報は自分たちで決めるべきだと期待しています。この前提は、残念ながら、甘い考えです。
私たちがオンラインで何をしているかを追跡する多くの異なるエージェントとアルゴリズムがあります。収集されるデータの量は、AIシステムの助けを借りて指数関数的に増加しています。この追跡は時には秘密裏に行われ、時にはサービスにアクセスするためにほとんど読めない利用規約を受け入れることで「同意」する形で行われます。どちらの場合でも、ユーザーは何が追跡されているのか、誰によって追跡されているのかをほとんど認識していません。
データトラッカー
では、誰が私たちを追跡しているのでしょうか?グローバルな追跡の規模に関して、これらの追跡者には以下が含まれます:
-
ビッグテック企業。Google、Meta、Appleなどの企業は、ユーザーデータを最大規模で収集しています。このデータはマーケティング、製品開発に使用されるだけでなく、第三者との商業的取引にも使われます。
-
ISP(インターネットサービスプロバイダー)。私たちがオンラインで行うすべてのことは、まずISPを通過して公開ウェブにアクセスします。ISPは定期的にメタデータの記録を保持し、第三者に販売することさえあります。
-
政府の情報機関。政府の監視プログラムはデジタル記録に前例のないアクセスを持っていますが、私たちの活動への関心はおそらく限られているでしょう(例:国家安全保障の脅威を特定するため)。しかし、このデータを不正に使用する可能性は極端であり、一部の国では人権に対して実際に深刻な影響を及ぼします。
-
データブローカー。これらはサービスプロバイダー、ISP、その他の追跡手段から収集されたインターネットユーザーの大量データ記録を商業的に取引する企業です。
-
広告主。大量データ記録は広告代理店によって購入され、分析され、消費者のトレンドを予測し、個別および集団的にユーザーに広告をターゲティングするために使用されます。
-
ウェブサービス。訪れるすべてのウェブサイトは、そのサイトでの行動に関するデータを収集します。これは運営目的、ユーザーエクスペリエンスの改善、またはユーザーデータをブローカーに販売するような商業的目標のためです。
-
サイバー犯罪者。あなたのデータはあなたの個人的な世界への窓であり、悪意のあるエージェントがあなたを搾取するために有用です。
これは長いリストであり、全てのデータ追跡の動機を網羅しているわけではありません。重要なポイントは、オンラインで何をしても関係ないということです。単に買い物をしているのか、気まぐれにブラウジングしているのか、プライベートメッセージを送っているのか、医療機関での予約を確認しているのか、すべてのデータはどこかで追跡されています。
VPNがどのように役立つか
VPNを使ってオンラインでの自分の身元を保護することは、これらの侵入的な行為に対抗する手段となり得ます。しかし、AIアルゴリズムが追跡し続ける情報をトレースできないようにするためには、適切なプライバシーツールを選ぶ必要があります。最終的に、オンラインでのプライバシーを保護するためのさまざまな潜在能力を持つ多くの種類のVPNがあります。それでは、それらがどのように機能するのか見てみましょう。
一般的なVPNの種類
VPNには大きく分けて二つのアーキテクチャがあります。従来型(または中央集権型)VPNと分散型VPN(dVPN)です。これらの種類は、データをルーティングするために使用される物理サーバーの数、誰がそれを管理しているか、およびデータが転送中にどのように処理されるかに基づいています。
中央集権型VPN
市場に出回っているVPNの大多数は、中央集権型のサーバーインフラストラクチャを使用しています。これは二つのことを意味します:(1)あなたのトラフィックは、ウェブにアクセスする前に通常1つのVPNサーバーを経由します、そして(2)選択可能なサーバーは多くありますが、それらは単一のVPNサービスプロバイダーによって所有(またはレンタル)され、運営されています。これは、最終的にどれだけプライベートであるかに関して重要です。
主流の中央集権型VPNサービスを使用する場合、あなたのデバイスからのすべてのトラフィックを一つの会社が処理し、その会社のIPアドレスの背後にあなたの身元を隠します。したがって、VPNを通じてオンラインで行うすべてのことは、VPNサーバーによって記録(またはログ)される可能性があります。これらの完全なトラフィック記録が一つの物理的な場所(単一のVPNサーバー)に保存されると、リスクは明らかです。
私たちがオンラインでプライバシーと匿名性を守るためにVPNに頼っていると仮定すると、トラフィックの中央集権型ログが一つのサーバーに保存されることは、その目的を無効にします。データ漏洩一回、または政府によるユーザーデータの大規模記録の要求があれば、私たちのプライバシーは無効となります。どんなに平凡なものであっても、私たちが行ったすべてのメタデータ記録は、取り出されて公開される可能性があります。
しかし、これらの主流のVPNはユーザーのトラフィックのログや記録を保持しているのでしょうか?最終的には確かにわかりません。プライバシーをマーケティングするVPNは、ユーザーにログを保持しない「ノーログ」または「ゼロログ」ポリシーを宣言することがよくあります。または、ネットワーク接続を維持するために必要な情報(IPアドレスなど)だけを保持する「運用ログ」を保持すると明記しています。他のVPNはそのようなポリシーを提供しない(ヒント:悪いサイン)場合があります。そして多くは利用規約において「マーケティングパートナーおよび関連会社」のような曖昧な用語でユーザーデータを共有すると明記しています – 言い換えれば、データ共有契約を結んだ誰でもです。
VPNサービスが提供する特定のポリシーが何であれ、これらはその中央集権型サーバーアーキテクチャのためにのみ必要です:それらは私たちのメタデータを一箇所に保持している可能性があるので、私たちのプライバシーを保護することを信頼しなければなりません。幸いにも、これはユーザーにとって唯一のVPNオプションではありません。
分散型VPN
分散型VPN技術は、従来の中央集権型VPNサービスがもたらすリスク、すなわちデータ漏洩、ユーザーレコードの大量要求に対する政府の協力、そしてトラフィック分析におけるAIの進展に対応して発展しました。dVPNは、すべてのトラフィックデータが一つの物理的な空間で読めないようにするべきであり、優れたものはネットワーク全体での追跡を大幅に複雑にするべきです。
分散型には、あなたのトラフィックをルーティングするために最低でも2つの独立したサーバーが必要です。たとえば、複数のサーバーは同じ個人または企業によって所有され運営されてはなりません。それらは独立しており、理想的には地理的に分散している必要があります。真の分散化は、単一障害点や脆弱性がないことから来ます。つまり、一つのサーバーが侵害されても、あなたのトラフィックの部分的な情報しか明らかにされません。サーバーの数が増えるにつれて、完全なトラフィック記録を編纂するために複数のサーバーを侵害することが指数関数的に難しくなります。
VPNはどのように機能するか?
VPNサービスは非常に異なる物理的インフラストラクチャに依存しており、これがユーザープライバシーに大きな違いをもたらします。それでは、これらの異なるモデルを通過するトラフィックがどのように処理されるのか見てみましょう。
中央集権型VPNルーティング
従来型VPNサービスを使用すると、あなたのトラフィックはまずデバイス上で暗号化され、その後、唯一のVPNサーバーにトンネルで送信されるべきです。そこに到達すると、あなたのトラフィックに関連付けられたIPアドレスはVPNの公開IPに置き換えられ、トラフィックは解読されてリクエストを送信する場所が明らかになります。あなたのトラフィックが最終目的地に到達すると、それはVPNサーバーから発信されたように見えます。
しかし、正確に誰があなたの身元を見るのでしょうか?この一回のホップモデルでは、VPNがあなたのトラフィックの唯一の仲介者であるため、彼らはあなたのIPアドレスと接続している相手を両方とも見ることができます。しかし、受取人はVPNのIPアドレスしか見ることができません。これにより、公開ウェブ上の受取人に対してシンプルな形の匿名性が提供されます。
dVPNルーティング
dVPNでは、あなたのトラフィックは最低2つの独立したサーバーを通じてルーティングされます。したがって、最初のdVPNサーバーはあなたのIPアドレスを見ることができますが、最終的に接続している相手を見ることはできません。同様に、第二の最終dVPNサーバーは接続先を確認できますが、あなたの本当のIPアドレスにはアクセスできず、ネットワーク上の前のサーバーのIPだけを知ることができます。VPNサービスプロバイダーは、これらのサーバー上のデータにアクセスしてはいけませんし、サーバー間での調整もできません。
dVPNでは、あなたのトラフィックの完全な記録が一箇所にログとして記録されることはありません。プライバシーは約束ではなく、設計の特徴です。
高度なVPNプライバシー機能
プロキシと暗号化ルーティングに加えて、VPNは追加のプライバシーとセキュリティ機能を提供することもできます。市場に出回っているVPNプロバイダーは、これらの提供内容が大きく異なるので、プライバシーのための最良のVPNを選ぶ際にはこれらの機能に注目しましょう。
-
キルスイッチ
キルスイッチは、VPNサーバーとの接続が一瞬でも切れた場合に、インターネット接続を即座に遮断するユニークな機能です。たとえば、機密情報のダウンロードや送信をしている最中に、目に見えないグリッチがVPN接続を中断したとします。この短い時間の間に、あなたのトラフィックはVPNによって保護されなくなります。キルスイッチは、VPN接続が再開されるまで露出を防ぎます。 -
スプリットトンネリング
スプリットトンネリングは、特定のVPNで利用できる高度な設定で、ユーザーがどのトラフィックをVPN経由で送信し、どのトラフィックをバイパスするかを決定できます。たとえば、仕事のメールクライアントには高度なプライバシーとセキュリティが必要だが、ゲームインターフェース使用中の潜在的な遅延問題は避けたい場合、VPNをカスタマイズしてブラウザやメールアプリのすべてのトラフィックを保護し、あまり敏感でないゲーム活動は除外することができます。
-
DNSリーク保護
ドメインネームサーバー(DNS)は、人間中心のアドレス(www.nymvpn.com)をコンピュータ中心の数値IPアドレスに変換する役割を果たします。このサービスは通常、ISPによって提供されます。DNSリークは、トラフィック要求がVPNの暗号化トンネルを通過するのではなく、ISPのDNSサーバーに送信される場合に発生します。この場合、ISPは接続の詳細を確認し、ログに記録することができます。VPNは、自社のDNSサーバーを運営することで、この設定エラーから保護することができます。 -
マルチサーバールーティング
これまで見てきたように、大多数のVPNサービスは単一サーバーのルーティングアーキテクチャを使用しています。これはさまざまなリスクをもたらします。いくつかのVPNサービスは、マルチサーバールーティングや時にはダブルVPNモードと呼ばれる高度なプランを提供しています。しかし、これらのサーバーはまだ単一のエンティティによって制御されているため、ユーザーにとっては基本的にプライバシーが少なくなります。dVPNはデフォルトでマルチサーバーであり、ユーザーに追加の財政的コストをかけずに提供されます。
- 国別選択
多くのVPNは、トラフィックが最後(または唯一)のホップで通過する国を選択することを許可しています。これは、トラフィックがどの国から来ているように見えるかを選択できることを意味します。これは必ずしもプライバシーのためではなく、多くの人々は単に別の国でのみ利用可能なコンテンツ(動画ストリーミングなど)にアクセスするためにVPNを使用しています。しかし、これはまた、出身国での不当な検閲制御を回避する手段にもなり得ます。ただし、検閲に対するVPNの有効性は、多くの要因に依存し、国がVPNをブラックリストに載せているかどうかなども含まれます。
VPNができないこと
質の高いVPNは、オンラインでのプライバシーと匿名性を高めるために多くのことができるが、これらの機能はVPNサービスプロバイダーとそのネットワークのアーキテクチャに大きく依存する。また、VPNが単にできないことや、特定の脆弱性も存在する。
どちらのVPNにもできないこと
- デバイスを100%保護すること
VPNは、データが転送中にハッキングの試みに対抗するために多くのことができ、知られている悪意のある広告やフィッシング詐欺からデバイスを守るのに非常に効果的であることもある。しかし、VPNはデバイスが最初に侵害されるのを防ぐことはできない。マルウェアやスパイウェアが既にデバイスに存在する場合、VPNの暗号化やプロキシ機能はプライバシーとセキュリティを保証できない。
- 自らエンドツーエンドの暗号化を提供すること
トラフィックは、初期接続が暗号化されている場合(例:HTTPS接続)にのみエンドツーエンドで暗号化される。VPNのトンネル暗号化は、デバイスとVPNサーバー間のデータを暗号化するのみである。サーバー上に到着すると、その暗号化レイヤーは取り除かれ、データが公衆のウェブ上でどこに送信されるかが明らかになる。最初にHTTPSやSSL/TLS暗号化が確立されていない場合、データは明白で完全に読み取れる状態となり、VPNサーバーと宛先の間で利用される可能性がある。
中央集権型VPNができないこと
- トラフィックログを不可能にすること
中央集権型VPNは、トラフィックのログを保持しないと約束することができるが、彼らのサーバーがオンラインでの私たちの行動の全ルートにアクセスできるため、最終的には彼らへの信頼が必要になる。
- データ侵害から保証すること
どんなセキュリティシステムも完全に無敵ではなく、データサーバーも例外ではない。VPNサーバーは、潜在的に何百万ものユーザーの情報を1か所に保持しているため、サイバー攻撃の一般的かつ成功するターゲットとなる。そのため、VPNサービスプロバイダーが保持する記録が露出する可能性がある。
- 政府の監視から保証すること
政府や法執行機関は、VPNユーザーのトラフィックや契約記録を要求することが知られている。VPNサービスが政府の監視要求の法的正当性の範囲内にある場合(例えば、14か国のネットワークなど)、記録の開示を法的に強制される可能性がある。もちろん、関連する記録が保持されていない場合は、協力が何も得られないこともある。しかし、記録が保持されている場合、多くの人々の個人情報が当局の手に渡る可能性がある。
dVPNができないこと
- 最も速いサービスを提供すること
dVPNが提供するプライバシーは、トラフィックをより匿名にする複数の独立したサーバーから来ている。しかし、ネットワーク内でデータが通過し、復号化されるたびに、接続は遅くなる。NymVPNのようなdVPNは、WireGuardなどの暗号化通信プロトコルにより速度が改善されたが、速度は単一サーバーのVPNインフラストラクチャや、直接のウェブ接続と比較しても決して速くはない。
まとめ
VPNはオンラインでのプライバシーと匿名性に関連付けられるようになった。残念ながら、時代は悪化している。データ追跡技術と大規模監視プログラムの進展により、市場を支配する従来のVPNは、私たちのプライバシーを意味のある方法で守るには不十分である。データの中央集権化がこの失敗の理由である。
分散型VPN技術は、新しい防御方法を提供する。しかし、市場に出回っているdVPNはこの任務に対応できるのか?日常的なケースではおそらく対応できる。しかし、敏感な金融取引や繊細なコミュニケーションのリスクを考えると、完全に安全とは言えないため、自分のニーズに合った最良のVPNを選ぶには注意が必要である。
このため、NymVPNは、5つのサーバーを通じてトラフィックを匿名化する革新的なミックスネットVPNモードを開発した。このモードは、最も敏感なトラフィックに対して比類のない保護を提供する。その他の使用ケース、たとえば通常のブラウジングには、WireGuardによって強化されたはるかに速く、なおかつ安全なdVPNモードを簡単に選択できる。NymVPNは最もプライバシーに優れたVPNリソースであり、最大限の保護が必要な時とスピードが必要な時を自分の手で選ぶことができる。