VPNプロトコル解説 – どれを使うべきか？

VPNプロトコルとは何ですか？

VPNプロトコルは、デバイスとVPNサーバー間の接続方法に関する一連の指示/規則です。プロトコルは速度を決定し、データを安全に保つために暗号化アルゴリズムを使用する場合があります。

異なるプロトコルには、使用時に異なるパラメーターと仕様があります。これには、認証技術、エラー訂正タイプ、アドレス形式、データパケットのサイズなどが含まれます。

このガイドラインは、セキュリティ、プライバシー、速度、および安定性により焦点を当てます。

ほとんどの商用VPNプロバイダーがサポートする注目のVPNプロトコルには、PPTP、L2TP/IPSec、SSTP、OpenVPN、IKEv2/IPSec、およびWireGuardがあります。

それでは、さっそく始めましょう！

様々な標準的なVPNプロトコルの簡単な比較：

よく使用されるVPNプロトコル

これらは、最も評判の良いVPNプロバイダーが提供することを好むプロトコルです。これらは、高速かつ安定しており、容易に侵害されることはありません。

それらは以下の通りです：

OpenVPN

OpenVPNはVPNプロトコルの業界標準です。OpenVPNはオープンソースであり、OpenSSLライブラリと他のセキュリティ技術を利用しています。

OpenSSLは、安全なエンドツーエンド通信に必要なSSL/TLSおよび暗号化のツールキットです。

OpenVPNは最も安全なVPNプロトコルであり、非常に設定可能です。OpenSSLは必要なすべての暗号化と認証を提供します。

したがって、OpenVPNはOpenSSLライブラリが提供するさまざまな暗号を使用できます。ほとんどのVPNプロバイダーはBlowfishとAES暗号を使用することを好みます。

VPNの暗号化は、データチャネルとコントロールチャネルの両方で行われます。データチャネルの暗号化はあなたのデータを、コントロールチャネルの暗号化は接続を保護します。

これにより、VPN接続とデータが決して危険にさらされないことが保証されます。ただし、ほとんどのVPNプロバイダーは、データチャネルよりもコントロールチャネルに最高レベルの暗号化を使用します。

通常、OpenVPNは利用可能な最高レベルの暗号化を使用します。それは、256ビット暗号化、RSA-4096ハンドシェイク、およびSHA-512ハッシュ認証の暗号です。時には、HMAC認証やパーフェクトフォワードシークレシーを組み込むこともあります。

さらに、パフォーマンス向上のためにハードウェアアクセラレーションを使用します。

オープンソースであるため、OpenVPNはさまざまなエンティティによって監査され、重大な脆弱性がないことが確認されています。

脆弱性が発見された場合、迅速に修正されます。特にパーフェクトフォワードシークレシーが使用されている場合、政府機関によっても弱体化させることはできません。

OpenVPN TCPとOpenVPN UDP

卓越したセキュリティのほかに、OpenVPNは2つの通信プロトコルを通じて速度と信頼性を提供します。OpenVPN TCPは信頼性のために、OpenVPN UDPは速度のために使用されます。

OpenVPN TCPとUDPは、単一のTCP/UDPポート443で実行できます。UDPは別のポートで実行するように設定できます。同じポートは、安全なHTTPウェブトラフィック用に使用されます。これにより、OpenVPN接続をブロックすることが困難になります。

セキュリティとプライバシーが最も重要な場合にはOpenVPNの使用を推奨します。暗号化のオーバーヘッドのため、OpenVPNはゲームなどの低遅延タスクには適していないかもしれません。しかし、高速接続を持っている場合、これは問題になりません。

OpenVPNは、ほとんどのVPN対応デバイスと互換性を持つために、サードパーティのソフトウェアを使用します。ほとんどのVPNプロバイダーもこのプロトコルを提供しています。

さらに、OpenVPNプロジェクトには、個別に使用できるカスタムOpenVPNクライアント/アプリがあります。手動での設定が必要です。

TCPとUDPのOpenVPNについて詳しく知りたい場合は、TCPとUDPのOpenVPNに関する完全ガイドがあります。

利点

• オープンソース。
• パーフェクトフォワードシークレシーを使用した完璧なセキュリティ。
• さまざまな暗号（設定可能）と互換性がある。
• ファイアウォール/制限を容易に回避する。
• ほぼすべてのVPNプロバイダーが提供している。
• テスト、監査され、証明されている。
• UDPとTCPを含む。
• 弱体化が困難。

欠点

• 高い暗号化オーバーヘッド。
• 非常に速くはない。
• コードベースが重い。
• 互換性のためにサードパーティのソフトウェアが必要。

IKEv2

このプロトコルはIKEv2/IPsecとしても知られています。インターネットキーエクスチェンジバージョン2（IKEv2）はトンネリングプロトコルであり、その名前からも分かるように、安全に鍵を交換するために使用されます。

これをVPNプロトコルとして使用するためには、暗号化と認証のために別のプロトコルが必要です。これが、IPSecと組み合わされる理由です。

前述の通り（L2TP/IPSec）、IPSecは安全なチャネルを提供し、さまざまな暗号化アルゴリズムを許可します。したがって、このプロトコルでは最大256ビットの暗号化を得ることができます。

IKEv2は鍵交換プロトコルであるため、Diffie-Hellman鍵交換を使用し、パーフェクトフォワードシークレシーを利用してデータを保護します。

このプロトコルは、確認応答、エラー処理、転送制御、組み込みのネットワークアドレス変換トラバーサルを使用しているため信頼性があります。

また、他のプロトコルよりも効率的にVPN接続の自動再確立を行うため、安定しています。

さらに、モビリティとマルチホーミングプロトコル（MOBIKE）を介して通常のモビリティをサポートします。これにより、ユーザーはセキュアな接続を維持しながらネットワークを変更できます。

したがって、IKEv2は、定期的にWIFIとモバイルネットワークインターネット接続間で切り替わるモバイル電話に適しています。これが、ほとんどのVPN対応モバイル電話にIKEv2が組み込まれている理由でもあります。

IKEv1からの改善により、IKEv2はより高速で効率的であり、帯域幅を少なく消費し、知られている脆弱性はありません。脆弱性は、VPNプロバイダーが不適切に実装した場合に生じます。

もともと、IKEv2はMicrosoftとCiscoの共同努力から開発されました。Blackberry、iOS、およびWindows 7と互換性がありました。

しかし、現在ではIKEv2の多くのバージョンがオープンソース化され、他のプラットフォームもサポートしています。

IKEv2を使用する優れたVPNにはNordVPNがあります。

利点

• シームレスな高速スピード。
• AESによる最大限の保護。
• 安定した自動再接続。
• ネットワークを心配せずに変更可能。
• 脆弱性のないセキュアな状態。
• Blackberryデバイスや他のプラットフォームをサポート。

欠点

• 不適切な実装により問題が発生する可能性がある。
• クローズドソースバージョン。
• ファイアウォールの制限を受けやすい。

IKEv2 VPNプロトコルに関する詳細な説明は、当ガイドをチェックしてください。

WireGuard

WireGuardは、シンプルで使いやすい比較的新しいオープンソースプロトコルです。IPSecよりも速く、OpenVPNよりも効率的であるように設計されています。

まだ開発中であるにもかかわらず、ほとんどの評判の良いVPNプロバイダーはWireGuardを主要なプロトコルの一つとして採用しています。他のプロバイダーは、異なる名前の下でそれを調整したバージョンを提供しています。

WireGuardは最先端の暗号技術を使用してインターネットトラフィックを安全に保ちます。他のプロトコルでは採用されていない新しい暗号を使用します。

暗号化にはChaCha20を使用します。ChaCha20は安全で、一般的なAESよりも、特にモバイルデバイスで高速に動作します。

この最先端の暗号技術は、量子コンピューティングでも容易に暗号を破れないことを保証します。

ベースコードも軽量で、攻撃対象面を最小限に保ちます。

コードは個人でもすぐにレビューでき、OpenVPNのような大きなコードとは異なります。コードが小さいほど、脆弱性や弱点を監査して特定しやすくなります。

モバイルフォンでさえも暗号化メカニズムが高速であるため、WireGuardは高性能を誇ります。また、簡単に設定できるシンプルなネットワークインターフェースを使用します。

効率的な暗号化により、WireGuardは最小限の帯域幅を使用します。その接続はUDPに依存します。高性能のため、WireGuardは最速の速度を提供します。

すべての良い点にもかかわらず、WireGuardのデフォルト設定は静的IPアドレスログを保持します。これは、ほとんどのユーザーにとって重大なプライバシー上の懸念です。

また、比較的新しく開発中であるため、さらなるテストが必要です。

WireGuardはほぼすべてのコンピューティングプラットフォームと互換性があります。スピードを必要とするタスクに適しており、多くの電力を消費せず、安全な暗号化を提供します。

利点

• オープンソース。
• 非常に高速な速度で高性能。
• 軽量ベースコード。
• モバイルフォンでもうまく機能。
• 低帯域幅消費。
• 優れたセキュリティ。
• 知られている脆弱性なし。

欠点

• UDPのみ使用。
• ブロックされやすい。
• まだ開発中。
• リスキーなデフォルト設定 – IPログ記録。

これら2つのプロトコルの詳細な比較については、OpenVPN対WireGuardのガイドをチェックしてください。

時代遅れのVPNプロトコル

これらは、脆弱性のためにほとんどの評判の良いVPNプロバイダーが提供を停止したプロトコルです。しかし、多くのVPNプロバイダーでまだ利用できます。

プロトコルには以下が含まれます：

PPTP

ポイント・ツー・ポイント・トンネリング・プロトコル（PPTP）は、最も古いVPNプロトコルの一つです。このプロトコルは、セキュリティがどのように実装されるべきかを指定していません。

セキュリティを提供するために、MS-CHAP v2などのさまざまな認証方法に依存しています。この認証方法は安全ではなく、いくつかの既知の弱点や脆弱性があります。

暗号化に関しては、PPTPは128ビット暗号化のRC4暗号暗号を使用しています。このRC4暗号は高速で軽量ですが、辞書攻撃、ブルートフォース攻撃、さらにはビットフリッピングにも脆弱です。

十年以上前に、MS-CHAP v2のエクスプロイトによってPPTPは2日以内にクラックされました。当時、新しいツールは24時間未満でクラックすると自慢していました。MS-CHAP v2と組み合わせることで、PPTPはプライバシーとセキュリティのために推奨されません。

それでも、PPTPは高速タスク用として使用できます。設定が簡単（追加ソフトウェア不要）で、計算オーバーヘッドが非常に低いです。

そのため、現在もPPTPは企業や商用VPNサービスの標準です。ほとんどのVPN対応デバイスに組み込まれたVPNプロトコルでもあります。

PPTPはTCPポート1723を使用するため、ブロックしやすくなっています。

利点

• 非常に高速なスピード。
• 設定が非常に簡単。
• 多数のVPNプロバイダーがサポートしている。
• ほとんどのプラットフォームと互換性がある。

欠点

• セキュリティと暗号化が弱い。
• プライバシーを向上させない。
• 政府機関や技術に精通した個人に簡単にクラックされる。
• 制限を回避できない/簡単にブロックされる。
• 多数の既知の脆弱性。

L2TP/IPsec

このプロトコルは2つの部分から構成されていますが、時にはL2TPとして言及されることがあります。それらはレイヤー2トンネリングプロトコル（L2TP）とインターネットプロトコルセキュリティ（IPsec）です。

L2TPはトンネリングプロトコルに過ぎず、データ交換のための安全な接続を作りますが、それを暗号化しません。したがって、データ暗号化を可能にするプロトコルと組み合わせる必要があります。それがIPSecの役割です。

IPSecは暗号化、鍵交換、認証を担当します。さまざまな暗号化アルゴリズムの使用を許可します。IPSecは、一緒に使用されるときに安全なチャネルを提供し、L2TPはトンネルを担当します。

L2TP/IPSecは256ビットの暗号化を使用でき、非常に安全です。しかし、ほとんどのVPNはこのプロトコルを適切に実装していません。簡単に見つけることができるプリシェアードキーを使用しています。したがって、それを弱くしています。

さらに、多くの専門家は、開発中にNSAがIPsecを弱体化させたと強く示唆しています。

L2TP/IPSecは他のプロトコルよりも比較的遅いです。これは二重のカプセル化が原因です。PPTPのように、このプロトコルも固定ポートを使用するため、ブロックが容易になります。

他のプロトコルが失敗したときに使用でき、良い安定性を提供します。設定が簡単で、ほぼすべてのVPN対応デバイスでサポートされています。

利点

• 前身のPPTPと比べて安全。
• 比較的安定している。
• 設定が簡単。
• ほとんどのVPNプロバイダーがサポートしている。
• ほとんどのコンピューティングプラットフォームで利用可能。

欠点

• 固定ポートに依存している。
• ブロックされる可能性がある。
• 侵害される可能性がある。
• 比較的遅い。
• 不適切な実装により弱くなる。

SSTP

セキュアソケットトンネリングプロトコル（SSTP）は、SSL/TLS暗号化基準を使用して暗号化を提供する安全なプロトコルです。

これらの基準は、セキュアなHTTPトラフィックを提供するためにも使用されます。SSTPはポイント・ツー・ポイントプロトコル（PPP – 通信プロトコル）を安全にし、場合によってはL2TPを安全にすることができます。

しっかりとした統合により、SSTPは他の安全なプロトコルと同様に強力で安定することができます。SSL/TSLチャネルを通じて、SSTPは256ビットの暗号化を提供できるさまざまな暗号を使用できます。ただし、SSLはPOODLE中間者攻撃（MITM）に対して脆弱です。

SSTPのユニークな点は、ポート443の使用です。このポートはHTTPSトラフィック用に使用され、基本的にはほとんどのWeb活動に利用されます。

これにより、SSTPはステルスVPNプロトコルとなります。それは地域ブロックを回避でき、ファイアウォール上でブロックすることが難しくなります。Webトラフィックをフォローしたくない場合を除きます。

他のより良いプロトコルが利用できない場合、SSTPは制限を回避するのに役立ちます。正しく実装されている場合、良い速度を提供できます。しかし、TCPメルトダウンに悩まされることがあり、信頼性とパフォーマンスが低下します。

SSTPはMicrosoftプロトコルであり、数少ないプラットフォームでのみサポートされています。それにはWindows、Linux、BSDが含まれます。Microsoftプロトコルとして、SSTPは公開監査で利用可能ではありません。

また、MicrosoftとNSAの協力は、プライバシーとセキュリティが最優先事項である場合、このプロトコルの使用を避けさせるかもしれません。

利点

• ステルス性があり、ファイアウォールを回避できる。
• 安全。
• Windowsとの統合が素晴らしい。

欠点

• クローズドソース。
• SSLはMITMに脆弱。
• 侵害される可能性がある。
• 広くサポート/互換性がない。

注意：プライバシーとセキュリティに関心がない場合を除き、時代遅れのプロトコルの使用は避けてください。それらは他のすべてが機能しない場合の最後の手段となることがあります。

まれに使用されるVPNプロトコル

これらは、ごく少数のVPNプロバイダーによってのみ使用されるVPNプロトコルです。

SoftEther

SoftEtherは、優れたセキュリティと高速な速度のためのオープンソースVPNプロトコルです。筑波大学の修士論文の一環として始まりました。

業界全体での普及は見られませんが、採用したVPNプロバイダーで既に優れた結果を示しています。

SoftEtherは暗号化と認証のためにOpenSSLに依存しています。これにより、AES-256やRSA-4096などの強力な暗号を利用できます。

また、SoftEtherはOpenVPNと同様に、TCPポート443を通じてトラフィックをトンネルします。このポートはHTTPSトラフィック用のポートであるため、SoftEtherトラフィックが簡単にブロックされないことを保証します。

このプロトコルは最高の接続速度を誇ります。内蔵のネットワークアドレス変換トラバーサルと組み込みダイナミックDNSを持っています。

また、データ圧縮をサポートし、サービスの品質によりVoIPに優先順位が与えられます。

商用VPNでSoftEtherプロトコルを提供しているのはHide.meとCactusVPNのみです。他のプロトコルとは異なり、コンピューティングプラットフォームにネイティブでサポートされていません。

利点

• オープンソース。
• 安全。
• 高速な速度。
• 制限されたファイアウォールへの対策。
• さまざまな暗号を適用できる。

欠点

• 比較的新しい。
• 非常に少数のVPNプロバイダーによってのみ使用される。
• どのプラットフォームもネイティブにサポートしていない。

独自のVPNプロトコル

これらは、特定のVPNプロバイダーが所有し、制御するプロトコルです。それらは、そのVPNサービス内で使用されるように専用に作成され、カスタマイズされます。

これらのプロトコルはクローズドソースであるため、他のVPNプロバイダーはこれらを使用できません。

独自のVPNプロトコルは通常、より良い接続速度、セキュリティ、安定性を提供し、一般的に使用されるプロトコルの課題を克服するために構築されます。

一部のプロバイダーは自身で作成し、他のプロバイダーは既存のオープンソースプロトコルに基づいて構築します。

オープンソースでないため、プロバイダー以外の誰も内部の仕組みを知りません。一部のプロバイダーは、自信を持たせるために、独立した監査で欠陥がないことを述べています。

それでも、これらのプロトコルからの提供には、攻撃対象面を最小限に抑えるための軽量コード、パーフェクトフォワードシークレシーを備えた確立された暗号化、UDPとTCPのサポート、優れた安定性、高性能の利点、およびその他の特徴が含まれます。

評判の良いVPNからの最も一般的に知られている独自のVPNプロトコルには、Catapult Hydra、Chameleon、Lightway、NordLynxがあります。

独自のVPNプロトコルの利点

• 完璧な暗号化。
• 高速な接続速度。
• 高性能。
• 低帯域幅消費。
• 検閲/ファイアウォール制限を回避する能力。

独自のVPNプロトコルの欠点

• クローズドソース。
• 単一のプロバイダーのみが使用。
• 脆弱性について知ることができない。

まとめ

VPNプロトコルは、VPN接続がどのように行われるべきかについてのガイドラインと仕様を提供します。プロトコルによって、VPN接続はより速く、より安全、またはより安定する可能性があります。

多くのVPNプロバイダーは、セキュリティが最も優れ、接続速度と信頼性が良好であるため、OpenVPNプロトコルを好みます。

また、ファイアウォールやその他の制限を簡単に回避します。このプロトコルがうまく機能しない場合は、速度のためにWireGuardや安定性のためにIKEv2/IPSecなど、他のプロトコルを使用できます。

また、優れたセキュリティを得られます。IKEv2/IPSecは、特にモバイルフォンに適しており、ネットワークの変更を効率的に処理します。

VPNプロバイダーがSoftEtherを提供している場合は、それを使用することもできます。これは、OpenVPNプロトコルと同様に優れたバランスのオプションです。

可能であれば、時代遅れのプロトコルは避けてください。プライバシーとセキュリティが最優先事項でない限り。