ノーログVPNとは? 監査済みプロバイダー、独立した報告書、そして本物の主張をマーケティングと見分ける方法
ノーログVPNとは、ユーザーを特定しうる通信内容・DNS・接続メタデータを記録しないVPNを指す。この主張が意味を持つのは、独立した監査人が実際のインフラを検査したときだけだ。その見分け方を解説する。
「ノーログ」が実際に意味するもの
ノーログVPNとは、特定の個人ユーザーに結び付けられる通信内容・DNSクエリ・IPアドレス・接続タイムスタンプを記録しないと誓約するプロバイダーのことだ。「ノーログ」という言葉自体には法的な定義がない。あらゆるVPNのトップページがこの言葉を使っている。この主張が意味を持つのは、独立した監査人が実際のサーバー群と構成を検査し、その報告書が公開されたときだけだ。2026年現在、当サイトが取り上げる主要な有料VPN5社(Mullvad、Proton VPN、NordVPN、ExpressVPN、Surfshark)はすべて独立監査を公開している。
公開された監査が実際にカバーしている範囲
Mullvadの最新の監査はCure53によるもので、2024年6月3日から14日にかけて実施された(通算4回目、Cure53では2回目)。これはMullvadの本番サーバー群からOpenVPNサーバー1台とWireGuardサーバー1台を対象としたインフラ監査だ。Proton VPNはSecuritumによるノーログ監査を4年連続で通過している(2022年、2023年、2024年、2025年)。NordVPNはISAE 3000に基づく独立したノーログ保証評価を6回通過している(PwC 2018年、PwC 2020年、Deloitte 2022年、2023年、2024年、2025年)。ExpressVPNのTrust Centerには23件の公開監査が掲載されており、最新のものは3回目のKPMGによるノーログ監査(2025年)と、LightwayプロトコルのRust書き直しに対するCure53/Praetorianによる監査(2024年9月〜10月)だ。SurfsharkはISAE 3000に基づくDeloitteのノーログ監査を2023年と2025年に受けている。
本物のノーログの主張とはどのようなものか
本物のノーログの主張をマーケティングと分ける手がかりは3つある。第一に、公開された第三者による報告書があること——プレスリリース的なブログ記事ではなく、監査人の名前と日付が記載されたダウンロード可能なPDFやトラストセンターのページだ。第二に、監査の範囲がクライアントアプリだけでなくインフラ(サーバーレベルの構成)を含んでいること。第三に、理想的には実際の裁判所命令による検証があること。Mullvadのオフィスは2023年4月18日、ドイツの司法協力要請に基づいて発行された令状によりスウェーデン警察の捜索を受けたが、Mullvadはその出来事を公開で記録し、警察は顧客データを押収せずに引き上げた——令状が求めたデータがサーバー上に存在しなかったからだ(捜索令状に関するMullvadのブログ記事による)。対照的にPureVPNは、それ以前の「ノーログ」マーケティングにもかかわらず、2017年のRyan Linサイバーストーキング事件でFBIに接続ログを提供した——この事件は、マーケティングの主張が実際の法的強制によって覆された典型的な反例だ。
管轄地よりも、プロバイダーが何を保存しているかが重要
VPNマーケティングは管轄地を大いに強調する。5/9/14アイズの諜報共有取り決め(米国、英国、カナダ、オーストラリア、ニュージーランド+デンマーク、フランス、オランダ、ノルウェー+ドイツ、ベルギー、イタリア、スウェーデン、スペイン)は現実に存在し、スウェーデン登録やオランダ登録のVPNはその対象に含まれる。だが、接続ログを保持する非アイズ管轄地のプロバイダーは、どこにあろうとノーログのプロバイダーより劣る。Mullvad(スウェーデン、14アイズ内)とProton VPN(スイス、アイズ外)はともに監査を受けている。Mullvadの捜索事例は、地図上の旗よりもノーログの構成のほうが重要であることを示している。
監査報告書の読み方
報告書を開いて、3つの点を確認しよう。(1)範囲——報告書は、監査人が何を、どのサーバーを、どのプロトコルを、どの期間を対象に調べたかを記述しているか? 具体性のない「ポリシーを監査した」という一般的な文言は、「VPN構成ファイルとサーバー構成を検査した」よりも弱い。(2)手法——SecuritumのProton向け報告書は現地での構成レビューと従業員へのインタビューを記述し、DeloitteのNordVPN報告書はISAE 3000(国際的な保証業務基準)を引用し、Cure53のMullvad報告書は本番サーバー上でのホワイトボックス・セキュリティテストを記述している。(3)発見事項——どの監査も何かしらを発見する。Cure53の2024年6月のMullvad監査は2件の問題(低リスク1件、中リスク1件)を発見し、Praetorianの2024年のLightway監査は低リスクの問題を2件発見した。発見事項があること自体は悪いことではない——発見事項が一切ないほうがむしろ疑わしい。重要なのは重大度と是正対応だ。
無視すべきもの
手法を開示しない「最もプライバシーに優れたVPN」といった一般的なランキングは無視しよう。「監査」がサーバーを一度も見ていない小規模なコンサルティング会社の書簡にすぎないプロバイダーは無視しよう。実際の報告書へのリンクを示さないVPN比較サイトは無視しよう——報告書には日付と公開した主体がある。サイトがそれをリンクしないなら、その主張は検証不能だ。第一の手がかりとしての管轄地も無視しよう。唯一信頼できる手がかりは、公開された監査範囲と、存在する場合には法的強制の事例の履歴だ。
出典
Mullvad監査: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53。Mullvad 2023年の捜索: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised。Proton監査: protonvpn.com/blog/no-logs-audit。NordVPN監査: nordvpn.com/blog/nordvpn-no-logs-audit-2024。ExpressVPN Trust Center: expressvpn.com/trust。Surfshark監査: surfshark.com/blog/deloitte-nologs-policy-verified-again。PureVPN/Lin事件: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi。全URLは2026-04-30にアクセス。