VPN

2026年のWireGuard対OpenVPN:暗号プリミティブ、コードベースの規模、そしてそれぞれが正しいデフォルトとなる場面

WireGuardはより新しく、より小さく、現代的なプリミティブを使用する。OpenVPNはより古く、より大きく、制限の厳しいネットワークを通過するためにTCP 443上で動作する。どちらもオープンな標準だ。これが正直なプロトコル選択の枠組みだ。

By Subger Editorial TeamUpdated 2026年4月30日7 min read

WireGuardとOpenVPNとは何か、手短に

WireGuardはJason A. Donenfeldが設計し、2020年にLinuxカーネルに統合されたVPNプロトコルだ。wireguard.com/papers/wireguard.pdfにあるホワイトペーパーが、その暗号プリミティブを規定している。鍵交換にCurve25519、対称暗号化にChaCha20、認証にPoly1305、ハッシュにBLAKE2s、鍵導出にHKDF、ハッシュテーブルキーにSipHash24を用いる。Linuxカーネル実装はおよそ4,000行のコードだ。OpenVPNはより古く(初公開は2001年)、GPLライセンスで、ユーザー空間(カーネルではなく)で動作し、暗号にOpenSSLまたはmbedTLSを使用する。OpenVPN 2.6のリファレンスマニュアルはopenvpn.netで公開されている。

コードベースの規模と監査対象面

WireGuardの小さなコードベース(Linuxカーネル実装で約4,000行)は意図的な設計上の選択だ——コードベースが小さいほど監査対象面も小さく、バグが潜む場所も少なくなる。OpenVPNのコードベースはより大きい(openvpnバイナリ、プラグイン、サポートライブラリを含むプロジェクト全体ははるかに大規模だ)——そのトレードオフは20年以上にわたるCVEの履歴であり、つまりあらゆる一般的なコーナーケースが発見され、修正され、今やテストスイートの一部になっているということだ。どちらも一義的に安全とは言えない。小さいコードベースは、より短い期間に、より少ない目によってレビューされてきた。

トランスポート:UDP対TCP

WireGuardはUDPのみを使用する。OpenVPNはUDPとTCPの両方をサポートする。その帰結として、UDPをブロックするネットワーク——制限の厳しい送出ルールを持つ企業Wi-Fi、一部のホテルネットワーク、非HTTPSのUDPをフラグするディープパケットインスペクションを行うネットワーク——はWireGuardをブロックする。OpenVPNのTCPモードはHTTPSが使うのと同じTCPポート443上で動作するため、通常のWeb通信を妨げずにブロックすることはより難しい。制限の厳しい送出ルールを持つネットワークから定期的に接続するなら、たとえ遅くてもOpenVPN-TCPがより信頼できる選択だ。主要なVPNクライアントのほとんどは、アカウントを変更せずにプロトコルを切り替えられる。

性能差はカーネル空間から生まれる

Linux上でのWireGuardの最大の性能上の利点は、カーネル空間で動作することだ——パケットは暗号化や復号のたびにユーザー空間とカーネルの境界を越える必要がない。OpenVPNはユーザー空間で動作し、歴史的にこれが無視できないオーバーヘッドだった。Data Channel Offload(DCO)を備えたOpenVPN 2.6は対称暗号の処理をカーネルに移し、その差の多くを埋める。当サイトは生のスループット数値を公表しない。それらはネットワーク状況、サーバー負荷、時間帯によって大きく変動するからだ。公開されたWireGuardのホワイトペーパーはプロトコル設計を記録しプロトタイプをベンチマークしているが、実世界の消費者向けVPNのスループットは、プロトコルと同じくらいプロバイダーのインフラに依存する。

どの監査済みVPNがどのプロトコルを実装しているか

主要な監査済み有料VPN5社はすべて、WireGuardとOpenVPNの両方をサポートしている。Mullvadは独自のWireGuard実装をOpenVPNと並んで提供している(Cure53は2024年6月に両方のサーバー構成を監査した)。Proton VPNはWireGuard、OpenVPN、そしてStealthプロトコル(制限の厳しいネットワーク向けのOpenVPN-on-TLSの変種)をサポートする。NordVPNのNordLynxはカスタマイズされたWireGuard実装だ。ExpressVPNのLightwayは独自の監査履歴を持つ独自プロトコルだ(Cure53+Praetorianが2024年にLightwayのRust書き直しをレビューした)。SurfsharkはWireGuardとOpenVPNをサポートする。

推奨

デフォルトではWireGuard、あるいはベンダーのWireGuard派生のカスタムプロトコル(NordLynx、ExpressVPNのLightway)を使おう。ネットワークがUDPをブロックする場合——企業Wi-Fi、制限の厳しい送出ルールを持つ大学Wi-Fi、DPIのあるホテルネットワーク——はOpenVPN-TCPに切り替えよう。プロトコルの選択が消費者向けVPNの性能のボトルネックになることはまれだ。プロバイダーのサーバー選択と現在の負荷のほうが影響する。プライバシーに関して言えば、プロトコルは問題にならない——ノーログという性質はプロトコルとは独立しており、それこそ監査が検証するために存在するものだ。

出典

WireGuardホワイトペーパー: wireguard.com/papers/wireguard.pdf。OpenVPN 2.6リファレンスマニュアル: openvpn.net/community-resources/reference-manual-for-openvpn-2-6。Mullvadインフラ監査(Cure53 2024年6月、OpenVPNとWireGuardの両方のサーバー構成をカバー): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53。ExpressVPN Lightway監査: expressvpn.com/blog/lightway-audits-cure53-praetorian。全URLは2026-04-30にアクセス。