ノーログVPN監査が実際に証明すること(そして証明しない4つのこと)

今やほぼすべての主要VPNが、「第三者監査済みのノーログ」という言葉を金メダルのように掲げています。マーケティングページは、緻密に言葉を選んで書かれた密度の高い保証報告書を、たった一つの緑のチェックマークに縮めてしまい、ほとんどの購入者はそのチェックマークを「この事業者は何ひとつ、永遠に記録せず、しかも裁判所がそれを確認済みだ」という意味に受け取ります。監査が語っているのは、そんなことではありません。それどころか、まったくの的外れです。

監査とは、事業者自身が依頼し費用を負担する、範囲が限定され、期間が区切られ、しばしば限定的保証にとどまる業務です。正しく読めば、それは確かに有用な証拠になります。しかし保証だと読み違えれば、あなたを誤解へと導きます。本ガイドでは、ノーログ監査が実際に何を証明するのか、構造的に証明し得ない4つのこと、その背後にある範囲と基準をどう読むか、そしてRAM専用サーバーや実際に検証された差し押さえ事例といった検証可能なインフラの選択が、なぜどんなバッジよりも多くを物語るのかを読み解いていきます。読み終える頃には、どんな事業者にもあなた自身で当てはめられるチェックリストが手に入ります。

「ノーログ」が実際に意味するもの(そして多くの主張が曖昧にする区別)

監査を評価できるようになる前に、何が監査されているのかを知る必要があります。「ノーログ」は一枚岩ではありません。少なくとも2つのまったく異なるデータの種類があり、マーケティングで使われる「私たちはログを取りません」という言い回しは、ほぼ必ずそのうちの一方だけをひそかに指しています。

• アクティビティ(利用)ログ — あなたが訪れたウェブサイト、DNSクエリ、通信の内容や宛先、ダウンロードしたファイルなど。信頼に足るノーログVPNは、これらを一切保持すべきではありません。これを保存することは、製品の存在意義そのものを台無しにします。

• 接続(メタデータ)ログ — いつ接続したかのタイムスタンプ、セッションの継続時間、転送されたデータ量、接続元のソースIP、利用したVPNサーバーなど。ここで各社の主張は大きく食い違います。一部の事業者は、不正利用の防止、容量計画、あるいは同時接続台数の制限を適用するために、集計済みまたは一時的な接続データを保持しています。

危険なのは「相関」です。アクティビティログがなくても、正確な接続タイムスタンプと接続元のIPアドレスがあれば、原理的には、同じ瞬間に宛先側で観測された行為とあなたを結びつけられてしまいます。ですから事業者が「ノーログ」と言うとき、最初に問うべきは監査人がチェックしたかどうかではなく、その監査がどのカテゴリを対象にしたかです。接続メタデータについて何も語らずアクティビティログだけをきれいに監査した報告書は、易しい問いに答え、難しい問いを飛ばしているのです。

監査の種類、そしてそれらが互換ではない理由

「監査済み」という言葉は、いくつもの異なる作業を一語に押し込めています。それらは重なり合いますが、証明するものは異なり、事業者は当然ながら最も強く聞こえるものを引き合いに出します。

ノーログ/プライバシーの言明 vs. セキュリティ監査

ノーログの言明業務は、サーバー構成、データ取り扱いのプロセス、社内ポリシーを精査し、事業者によるログ取得実務の記述が公正に述べられているかどうかを評価します。セキュリティ監査(侵入テスト、ソースコードレビュー、アプリ監査)は、アプリ、インフラ、暗号技術に存在する脆弱性を探します。この2つは互いの代わりにはなりません。VPNは、完璧なノーログ構成でありながら、あなたのIPを漏らす重大なバグを抱えていることもあれば、堅牢なアプリを持ちながら、バックエンドがひそかにメタデータを保持していることもあります。あなたが欲しいのは両方であり、一方をもう一方の代わりにさせてはいけません。

特定時点 vs. 継続的

ノーログ監査の大多数は特定時点型(タイプ1とも呼ばれます)です。監査人は、ある特定の日または短い期間に存在するシステムを検査します。継続的な業務(タイプ2)は、たとえば6か月や12か月といった定められた期間にわたって統制が有効に機能していたかどうかを検証します。特定時点型が教えてくれるのは、検査官が訪れたその日の午後、戸棚が空っぽだったということだけ。その前後の日々については何も語りません。

合理的保証 vs. 限定的保証

これは、どんな監査報告書においても最も見落とされる一行です。ほとんどのVPN監査が用いる保証基準のもとで、監査人は2つの信頼水準のいずれかを表明します。合理的保証はより高い水準で、肯定的な意見を裏づける広範なテストを伴います(「私たちの意見では、統制は公正に述べられている」)。限定的保証はより弱く、監査人はより少ない手続きしか行わず、否定形の結論を出します(「主張に重要な虚偽表示があると示唆するような事項は、私たちの注意を引かなかった」)。見出しを飾る多くのノーログ監査は、この限定的保証の業務です。「私たちの注意を引かなかった」は、「私たちはこれを検証した」よりも明らかに柔らかい言明であり、バッジの陰でひそかに大きな役割を果たしているのです。

監査は、事業者の誠実さに対する侵入テストではありません。それは、特定の日付における、特定の記述についての、事業者が定義を手伝った範囲内での、構造化された一つの意見です。

ノーログ監査が証明しない4つのこと

一流企業による優れた監査であっても、構造的に超えられない限界があります。これらは監査人の落ち度ではありません。監査というものの本質に内在するものです。「監査済みノーログ」というすべての主張を、この4つに照らして検証してください。

1. 限定された範囲。 監査は、業務契約書に書かれた対象だけをカバーし、その定義づけには事業者自身が関与します。デスクトップアプリの監査は、モバイルアプリやサーバー群について何も語りません。「アクティビティログなし」の監査は、接続メタデータ、課金データ、サポートチケットの保持、アプリ内の第三者アナリティクスについて沈黙しているかもしれません。範囲は証明の境界線であり、マーケティングが謳うよりも狭いことがしばしばです。

2. 期間が区切られたスナップショット。 特定時点の報告書が描くのは、一つの瞬間です。構成は時とともに移ろい、新しいサーバーが追加され、スクリプトが書き換えられ、障害対応のさなかに慌てたエンジニアがデバッグログを有効にすることもあります。監査が継続的かつ最近のものでない限り、それはライブ映像ではなく一枚の写真にすぎません。

3. 監査人が見ることを許されなかったもの。 監査人は、クライアントが提供したものを精査します。彼らは令状を執行する警察ではありません。隠されたログ取得サーバー、秘密のデータ保持パイプライン、渡された資産目録から外された並行システムの開示を強制することはできません。本気の悪意ある事業者は、監査が本来捕らえるべきまさにその対象を避けるように、範囲を設計できてしまいます。

4. 監査後の変更。 報告書は署名されたその日に凍結されます。所有権は変わりうるし、会社は買収されうるし、管轄は移りうるし、新しい法律が保持義務を課すかもしれず、あるいは事業者は公開のわずか一週間後にインフラを単純に変更することもできます。ホームページのバッジは何年も前のもので、もはや同じ形では存在しない会社を説明しているのかもしれません。

監査報告書を実際にどう読むか

事業者が完全な報告書へのリンクを掲載しているなら(掲載していなければ、その主張は証拠ではなくマーケティングとして扱ってください)、バッジを信じる前に、以下の5点に10分を費やしてください。

• 誰が範囲を定め、誰が費用を払ったか。 監査は事業者が依頼し費用を負担します。それは普通のことであり、失格の理由にはなりませんが、範囲を形づくります。明示的な境界を探してください。どのアプリ、どのサーバー、どのデータカテゴリ、どの期間か。

• 日付。 2026年の判断を2021年の報告書に委ねるべきではありません。一度きりの過去の監査よりも、最新性と反復のほうが重要です。毎年再監査する事業者は、一回限りのスタンプで商売する事業者よりも強い言明をしています。

• 監査人の独立性と評判。 この分野で知られた名前には、保証業務についてはBig Four(Deloitte、PwC、KPMG、EY)、コードとインフラの作業についてはCure53のような専門セキュリティ企業があります。無名または非開示の監査人は警戒すべき兆候です。

• 用いられた基準。 評判の良いノーログ保証報告書は、通常ISAE 3000(国際保証業務基準3000)に基づいて実施されます。これはIAASBが発行したもので、過去財務情報の監査以外の保証業務を規律します。基準名が明記されていることは、その業務に定義された方法論があったことを示します。それが合理的保証か限定的保証かに注意してください。

• 保証の文言そのもの。 意見の段落を見つけてください。「私たちの意見では、記述は公正に提示されている」(肯定形、合理的保証)と、「私たちの注意を引いた事項はなかった」(否定形、限定的保証)を区別しましょう。どちらにも価値はありますが、同じ価値ではありません。

RAM専用サーバー:ディスクレスのインフラが本当に保証するもの

監査が評価するのはプロセスです。RAM専用(ディスクレス)サーバーは、その土台となる物理法則そのものを変えます。だからこそ、どんなバッジとも独立して重要なのです。発想はこうです。VPNサーバー全体を、OSもすべて含めて、ハードドライブやSSDを一切接続せず、揮発性のRAM上で動かす。ソフトウェアは、中央の読み取り専用イメージからセキュアブートのプロセスを通じて読み込まれます。いくつかの主要事業者がこの方式の変種を運用しており、ExpressVPNのTrustedServerやNordVPNのコロケーション型ディスクレス群といった名前で打ち出されています。

RAM専用が本当にもたらすもの:

• 再起動や電源喪失をまたいで何も残らない。 揮発性メモリは電源が切れると消去されます。サーバーが物理的に押収され電源を抜かれれば、RAM上にのみ存在していたデータは消えます。削除されたが復元可能なのではなく、物理的に存在しなくなるのです。

• 一貫した、中央で定義された状態。 すべてのサーバーは起動時に同じ検証済みイメージを再読み込みするため、構成のずれが減り、一台の不正なサーバーがひそかに別のログ取得ビルドを動かしているリスクも下がります。

• より小さなフォレンジック対象面。 イメージ化すべきディスクも、スワップファイルも、事後にくまなく調べるべきログディレクトリも存在しません。

RAM専用がしないこと、そしてここでマーケティングは行き過ぎます:

• サーバーの稼働中にログを取ることを止めはしません。RAMはライブデータを保持しています。稼働中のソフトウェアがメタデータを捕捉し転送するよう構成されていれば、いかなる再起動の前にも、リアルタイムでそれを行えます。ディスクレスは永続性についての話であって、その瞬間に何が起きるかについての話ではありません。

• 電源が入ったまま押収されたサーバーを守ってはくれません。電源を失わずに持ち去られたマシンは、シャットダウンされるまでRAMの内容を保持し続け、ライブメモリは取得されうるのです。

• それ自体では、中央イメージがクリーンであることを証明しません。あなたは今や、ディスクの代わりにビルドイメージとブートのパイプラインを信頼しているのです。その信頼もまた、理想的には監査を通じて、勝ち取られなければなりません。

RAM専用と監査は補い合う関係です。アーキテクチャが保持しうるものを制限し、監査が実際に構成されているものをチェックします。どちらか一方だけでは物語の全体にはなりません。

唯一の本当の試金石:ノーログの主張が令状と出会うとき

最も説得力のある証拠は、監査ではまったくありません。それは、法執行機関が実際にやって来たときに何が起きるか、です。いくつかの事例が、現実世界でノーログの主張に負荷をかけてきました。

2023年のMullvad家宅捜索。 2023年4月18日、スウェーデン警察の国家作戦局の捜査官が、ある捜査に関連してコンピューターを押収する意図で、令状を携えてイェーテボリのMullvadのオフィスに到着しました。Mullvadが公表した説明によれば、同社のスタッフと法律顧問は、会社が顧客データを一切保存しておらず、スウェーデンの法律のもとで押収するに値するものは何もないと説明しました。警察はハードウェアを一切持ち去ることなく引き上げました。これは、その原則の最もきれいな公開実証です。データが本当に存在しないなら、令状は何も持ち帰れない。その結果を生んだのはバッジではなく、アーキテクチャとポリシーでした。

国外で押収されたサーバー。 2017年、ロシア大使アンドレイ・カルロフ暗殺事件を捜査していたトルコの捜査当局が、ExpressVPNが使用していたサーバーを押収しました。当時の報道によれば、当局は接続ログもアクティビティログも復元できませんでした。なぜなら、何も保存されていなかったからです。これとは別に、Private Internet Accessは米国の裁判所提出書類の中で、法的要求に応じて利用ログを提出できないと述べました。保持していなかったからです。これらの出来事は監査ではありませんが、当時のそれらの事業者にとって、圧力のもとでも戸棚が本当に空っぽだったことを現実世界が裏づけたものです。

教訓は一貫しています。最も強力なプライバシー保証とは、そもそも生成されなかったデータです。監査はその結果を予測し、押収はそれを証明します。

管轄と5/9/14アイズという文脈

事業者が法的にどこを拠点とするかは、何を強制されうるか、何を保持するよう求められうるかを形づくります。ファイブアイズ情報同盟(アメリカ合衆国、イギリス、カナダ、オーストラリア、ニュージーランド)はシグナルインテリジェンスを共有します。ナインアイズはデンマーク、フランス、オランダ、ノルウェーを加え、フォーティーンアイズはさらにドイツ、ベルギー、イタリア、スペイン、スウェーデンを加えます。加盟しているからといって、その国がVPNにログ取得を強制しているわけではなく、これらの同盟内から運営している優れた事業者もあります。しかし管轄は、データ保持義務や箝口令の権限を含め、利用可能な法的手段を決定します。

2つの注意点があります。第一に、よく言われる「14アイズはすべて避けよ」という指針は現実よりも粗雑です。スイスとパナマはプライバシーに優しい拠点としてしばしば引き合いに出されますが、事業者の実際のデータ実務のほうが、掲げる旗よりもはるかに重要です。第二に、いわゆる「プライバシーの避難所」を本社に構えていても、サーバーやスタッフ、決済代行業者が別の場所にあるなら、ほとんど意味がありません。だからこそ検証されたインフラはマーケティングの文言に勝るのです。管轄は法的な上限を設定しますが、実際にどのデータがさらされているかを教えてくれるのは、監査され理想的には実地で試された技術的現実だけなのです。

どんな事業者にも当てはめられる、特定企業に偏らないチェックリスト

ホームページのバッジが何であれ、これを使えば、どんなVPNのノーログ主張も自分で評価できます。

1. 完全な報告書が公開されているか、それともロゴだけか? リンクできる報告書がないなら、その主張はマーケティングとして扱いましょう。

2. どれだけ最近のもので、どれだけ頻繁か? 一度きりの古い業務を引き合いに出す事業者よりも、定期的なサイクルで再監査する事業者を選びましょう。

3. 特定時点型か継続型か? 数か月にわたるタイプ2の業務は、一日だけのスナップショットよりも明らかに強力です。

4. 合理的保証か限定的保証か? 意見の段落と、明記された基準を読みましょう(ISAE 3000を探してください)。

5. 範囲はアクティビティログだけでなくメタデータをカバーしているか? そして、アプリだけでなくサーバー群もカバーしているか?

6. 監査人は誰か? 匿名化されていない、明示的に名前の挙がった、認知された保証企業またはセキュリティ企業であること。

7. インフラはRAM専用、すなわちディスクレスか? 押収や再起動の後に何が残りうるかについての、本物の制限です。

8. その主張は現実世界で試されたことがあるか? 公になった押収、召喚状、令状の事例こそが、証明の最高基準です。

9. 管轄はどこで、サーバーは実際にどこに置かれているか? 旗だけでなく、事業者の実際のデータ実務に照らして判断しましょう。

実践的な要点

独立したノーログ監査は、現実の価値あるシグナルですが、それは証拠であって判決ではありません。それが証明するのは、定義された範囲のシステムが、定義された日付に、明示された保証水準で、述べられた記述に一致したということです。監査人から何も隠されていなかったこと、構成が翌週も保たれたこと、今日あなたが信頼する会社が明日も同じ会社であることまでは、証明できません。

ですから、精査に耐えるものに重みを置きましょう。明記された基準のもとで実施され報告書が公開された、最近の・反復された・合理的保証の監査。何が残りうるかを制限するRAM専用インフラ。明確でメタデータも含むログ取得ポリシー。妥当な管轄。そして何より、令状や押収が空振りに終わったことを記録した実例です。緑のチェックマークは、デューデリジェンスの終わりではなく始まりとして扱ってください。

よくある質問

ノーログVPN監査とは、平たく言うと何を意味しますか?

独立した企業が、事業者のシステムとデータ取り扱い実務のうち定められた一部を特定の日付に精査し、その事業者のログ取得に関する主張が公正に述べられているかどうかについて意見を述べた、ということです。それは範囲が限定され期間の区切られた評価であって、事業者が今後一切何も記録できないという永続的な保証ではありません。その価値は、範囲、日付、保証の水準に大きく左右されます。

ノーログVPN監査は信頼できますか?

有用ですが限界があります。監査は事業者が依頼し費用を負担し、合意された範囲だけをカバーし、通常は単一の時点を捉えるにすぎません。信頼に足る監査は最近のもので、ISAE 3000のような明記された基準のもと認知された企業が実施し、全文が公開されています。未公開または何年も前のバッジは疑ってかかり、監査人は事業者が彼らから隠したログ取得システムを見つけられないことを忘れないでください。

RAM専用VPNサーバーとは、簡単に言うと何ですか?

RAM専用(またはディスクレス)サーバーは、OSとVPNソフトウェア全体を、ハードドライブを一切接続せずに揮発性メモリ上で動かします。RAMは電源喪失で消去されるため、再起動や電源を抜いたマシンの物理的押収をまたいでデータが残りません。ただし、稼働中のサーバーがリアルタイムでデータを扱うことは防げないため、ログ取得リスクをすべて取り除くというより、データの永続性を制限するものです。

接続ログとアクティビティログの違いは何ですか?

アクティビティログは、あなたがオンラインで何をするかを記録します。訪れたサイト、DNSクエリ、通信の内容や宛先などです。接続ログはメタデータで、タイムスタンプ、セッションの長さ、使用した帯域、接続元のIPなどを指します。ほとんどの「私たちはログを取りません」という主張はアクティビティログを指す一方、接続メタデータについては曖昧なままにします。そしてそのメタデータこそ、利用者を実際の行為と結びつけられるデータなのです。

VPNの第三者監査とは、侵入テストと対比して何ですか?

独立したノーログ監査は、事業者が記述したデータ取り扱い実務が公正に述べられているかどうかを、しばしば「限定的保証」の水準で評価します。侵入テストは、アプリとインフラを能動的に探って、悪用可能な脆弱性を見つけます。両者は異なる問いに答えるため、一方が他方の代わりにはなりません。優れた事業者は両方を、名前の挙がった評判の良い企業に依頼し、報告書を公開します。

どこかのVPNのノーログ主張が、実際に警察によって試されたことはありますか?

あります。2023年4月、スウェーデン警察が捜索令状を携えてMullvadのイェーテボリのオフィスに到着しましたが、同社が顧客データを一切保存していないことを示された後、ハードウェアを一切押収せずに引き上げました。それ以前にも、2017年にExpressVPNのサーバーを押収したトルコ当局はログを復元できなかったと報じられ、Private Internet Accessは米国の裁判所で引き渡すべき利用ログは存在しないと述べました。これらの現実世界の試練は、どんな監査バッジよりも強力な証拠です。

VPNの管轄は、その監査よりも重要ですか?

両者は別のものを測っています。管轄(ファイブ、ナイン、フォーティーンアイズへの加盟など)は、データ保持や箝口令の権限を含め、政府が使える法的手段を定めます。しかし、要求できるデータが存在するかどうかを教えてくれるのは、監査と実際のインフラです。プライバシーに優しい本社も、サーバーやスタッフが別の場所にあればほとんど意味がありません。ですから、検証された技術的実務のほうが、ホームページの旗よりも重く扱われるべきです。