清水理史の「イニシャルB」
「browser VPN」という考え方 Opera 40に統合されたVPN機能を試す
2016年10月3日 06:00
9月20日、VPN機能と広告ブロック機能が統合された「Opera」の最新版40がリリースされた。最大の特長は、同社が言うところの「VPN」機能が搭載された点だ。果たしてどのようなものなのか? 実際に試してみた。
無料Wi-FiにVPN利用は必要だが……
街中で提供されている無料Wi-Fiの利用時にVPNを活用する――。これに特に異論はないが、そのVPNサービスそのものは果たして本当に信頼できるのか? と常々疑問に感じていた。
確かに、VPNサービスを利用すれば、暗号化なしで提供されている無線LANを利用し、万が一、通信内容を盗聴されたとしても、実害を免れることができる可能性が高い。しかし、その時に利用したVPN事業者は、果たして、本当にあなたのプライバシーを保護しているのだろうか?
AndroidのマーケットにVPNアプリがあふれかえっている状況を見ると、果たしてこのアプリを提供することのうまみは何なのか? と、その悪意のあるなしも疑いたくなるところだが、たとえ悪意がなかったとしても、どのような方法でどこまで通信を保護しているのかがよくわからないうえ、がっつり事業者のサーバーに通信内容がストックされているかもしれないし、その情報がずさんに管理されているかもしれない。
だから「信頼できる」サービスを使うことは大切なのだが、困ったことに、この「信頼」という言葉は実にあいまいだ。
「友達が使ってる」「使い方がWebで紹介されている」というのも実に頼りないが、名の通った企業が提供しているからと言って無条件で信頼するのもどうかと思える。
実際、9月20日に公開されたOperaに搭載されているVPN機能の評価はさまざまだ。同社が公開している情報を見る限り、プライバシーへの配慮はしっかりとしていようだが、個人的には、この機能をいわゆる「VPN」と称することには、少々、違和感がある。
「browser VPN」
それでは、今回Operaに搭載されたVPN機能について見ていくことにしよう。
同機能は、今年の4月に公開された開発版にすでに搭載されていた機能だ。ブラウザにビルトインされており、「設定」画面にある「プライバシーとセキュリティ」で「VPN」の有効化にチェックを付けることで自動的にオンになる。
機能を有効化すると、アドレスバーに「VPN」というアイコンが表示され、オレンジから青に色が変わることで、同社のサーバーへの接続が完了したことがわかる。
あとは、普通にURLにアドレスを入力したり、検索するだけでいい。これでVPN経由でのアクセスになる。
従来のVPN接続は必要なときに接続するという方式が一般的だったが、Operaの場合は、一度設定を有効にすると、ブラウザの起動時から常にVPN接続が有効となり、常時セキュアな接続でプライバシーが保護されることになる。
と、ここで筆者もそうだったが、「あれ?」と感じるかもしれない。
試しに「確認くん」などのサービスを利用してIPアドレスを確認してみると、確かにOperaからのアクセスは同社のサーバー経由のものとなっているが、同時にMicrosoft Edgeなど他のブラウザー経由でのアクセスも比べてみると、こちらは通常のグローバルIPアドレスのままだ。
「これはVPNというより、プロキシではないのだろうか?」と。
このあたりの動作を検証した海外記事を参照すると、動作的には認証付きプロキシを内部的に設定しているだけのようにも見えるため、VPNという言葉を使うと違和感がある。
いずれにせよ大切なのは、OperaのVPNで保護されるのは、Operaの通信のみであり、それ以外の通信は保護されないことだ。
VPNというサービスに対して我々が持つイメージは、もっと汎用的で、すべての通信がVPN経由となることでブラウザーのみならず、すべてのアプリの通信が暗号化されるというものが一般的だろう。
しかしOperaのVPNは、そうではなく、あくまでもOperaのみが対象だ。このため、当たり前だが、前掲の画面のように他のブラウザーやメールアプリなどの通信は暗号化されない。
同社がWeb上で公開しているリリース(http://www.operasoftware.com/press/releases/desktop/2016-09-20)によると、「Opera’s VPN creates a secure connection to one of Opera’s five server locations around the world」とされており、具体的には256bit AES暗号化によるセキュアな接続を確立していると記載されている。
このため、確かに仮想的(V)で、プライベート(P)な通信が確立されていることは間違いないのだが、ネットワーク(N)の部分の範囲が異なる。
この点を理解していれば、本サービスを使うことに問題ないが、一般的なVPNであると勘違いして利用すると、保護されていると思っていた通信の一部がされていないことにもなりかねないので注意が必要だ。
どうやら、同社は、この機能を「browser VPN」と定義しているようだが、もう少し、それがわかりやすく理解できるように説明するなどの工夫をした方がいいのではないだろうか。
プライバシーポリシーを見てみる
まあ、プロキシ的な機能であることはいいとして、気になるのは同社を経由する我々のデータがどのように扱われているかということだ。リリースでは「no-log」などの文字が躍るが、実際にどこまで情報が管理されるのかが気になるところだ。
そこで、プライバシーポリシー(https://www.surfeasy.com/privacy_policy/)を確認してみた。本サービスは、Operaが以前に買収したSurfEasyという企業が運営していたいものを利用しているため、プライバシーポリシーもSurfEasyのものが適用されることになる。
プライバシーポリシーによると、「The SurfEasy network is a No Log network」とされており、ユーザーのオリジナル(送信元)のIPアドレスは記録しないと明記。また、接続中に利用したアプリや利用したサービスなどの情報も同様に記録しないと記載されている。
では、まったく情報を収集しないのか? というと、そうではなく、いくつかの例外が定められている。
たとえば、有料サービス向けの課金のために必要な通信帯域(容量)。トラブル解決のために一時的に蓄えたデータを取得するようだ。この記載は、SurfEasyが提供する有料のサービス向けのものだが、有料サービスの帯域しか確認しないとは思えないので、今回のOperaも含めすべての帯域を監視していると考えられる。
また、サービス向上を目的として、リアルタイム処理のトラフィックマネジメントを適用しているが、この処理に必要なルールを適用するためには、接続先のWebサイトのアドレス、接続元IPアドレスが必要なため、これらの情報も収集しているとされている。ただし、この情報は、あくまでもリアルタイム処理時のみ使用し、ログとして保存しないことが重ねて説明されている。
このほか、SurfEasyクライアントモジュール(このクライアントモジュールがOperaVPNビルトインのものも含むのかは不明)には、Google Analysticsに似た解析技術が搭載されており、アプリの動作やサービス改善を行なっている。
注目は、IDが管理される点だ。Operaに搭載されたVPNでは、「subscriver ID(全登録に順番に生成)」が作成され、同社のシステム上でユーザーを管理するために利用されるとしている。「manage」の具体的な内容の記載がないため、何に使われるのかわからないが、単純に通信制御に用いていると考えるのが妥当だろう。
なお、ユーザーがブラウザーのキャッシュと履歴を削除すれば、新しいsubscriber IDが付与されるとしている。
もちろん、裁判所からの開示命令によって、ユーザーの利用状況を収集し、開示する可能性があることは明記されている。匿名性という観点で、本サービスを利用しようと考えている人もいるかもしれないが、厳密な意味での匿名性は確保できない点には注意が必要だ。
動作は許容範囲
実際の動作は、軽快とはいいがたいが、許容範囲だ。今回は自宅の光回線で試したため、外出先の無料Wi-Fiなどもともと速度的に難がある回線では違和感が少なくなるかもしれないが、ページの表示が開始されるまでもワンテンポ遅れるし、画像などもパラパラと部分的に表示される印象がある。とはいえ、通常のWebページなどの閲覧に困るほどではない。
接続先は、標準では「Optimal Location」が選択されており、筆者の場合オランダに接続されたが、カナダ、ドイツ、オランダ、シンガポール、米国が選択可能で、手動で選択することも可能だ。
速度面で不満がある場合や、現地のIPアドレスからしか接続を受け付けないようようなサービスを利用したいときは、接続を変更することも可能だ。
ただし、接続先を変更した際、「Authentication Credensials required.」というエラーメッセージが表示され接続できなくなることが何度かあった。まだ若干サービスとして不安定な部分もあるようだ。
なお、Opera 40は、PortableApps.comからポータブル版をダウンロードすることも可能なため、USBメモリーに入れて持ち歩くこともできる。外出先に備え付けのPCなどを使う場合は、この方法でアプリを持ち歩くのも1つの方法だ。
心配なら自分でVPNサーバーを用意すべき
以上、Operaに統合されたVPNサービスを使ってみたが、これまでハードルが高かった機能をブラウザーに統合したことで、誰もが手軽に使えるようにした功績は高く評価したい。
しかし、手軽で、誰もが使えるのだからこそ、その分、幅広いユーザー層を見据えた工夫がもっと必要だと感じた。
「VPN」という言葉から勘違いするユーザーがいるかもしれないことを考えると、単に「安全」であることを訴求するだけでなく、何が安全で何が対象外なのかをもっと明確にすべきだ。情報の収集ポリシーも単にno-logとするだけでなく、もっと具体的に説明してほしいところだ。
ちなみに、筆者はと言うと、自宅のルーターでVPN接続をセットアップし、外出先やホテルなどでインターネット接続が必要な場合は、自宅経由で接続することにしている。
接続相手が信頼できるかどうか? これを調べるのは大変手間がかかるし、調べたところでプライバシーポリシーなどを信じるしかなく、結局のところ真相はわからない。であれば、自分で環境を用意してしまうのも1つの方法だろう。