VPNプロトコル徹底解説｜WireGuardが最適解な理由と古いプロトコルのリスク【中級者向け】

本記事は、主要なVPN プロトコル（WireGuard・OpenVPN・IKEv2/IPsec）と、古いプロトコル（PPTP・L2TP/IPsec）の違いを技術的に解説する記事です。

対象読者はVPN中級者で、プロトコルごとの仕組み・速度・安全性を踏まえて適切な選択をしたい方を想定しています。

先に結論を述べると、現代の最適解はWireGuardです。OpenVPNは安定の標準、IKEv2/IPsecはモバイル特化、PPTPとL2TP/IPsecは古いため避けるのが無難です。

用途別の判断フローではなく、プロトコル別の技術解説と古いプロトコルのリスクに焦点を当てます。読了後には、自分のVPNアプリで何を選ぶべきかが整理できるはずです。

VPNプロトコルの全体像｜現代の主流と非推奨を区別する

まず全体像を押さえましょう。VPNプロトコルは「現代の主流（推奨）」と「古いプロトコル（非推奨）」の2グループに大別できます。

なぜ区別が重要かというと、古いプロトコルには既知の脆弱性や実装上の懸念があり、現代のセキュリティ基準を満たさないためです。中級者であっても、「とりあえずWireGuardかOpenVPN」と覚えておけば9割の用途で困りません。

分類	プロトコル	推奨度
現代の主流	WireGuard	◎（最適解）
現代の主流	OpenVPN	◯（安定の標準）
現代の主流	IKEv2/IPsec	◯（モバイル特化）
古いプロトコル	PPTP	✗（脆弱性あり）
古いプロトコル	L2TP/IPsec	△〜✗（懸念あり）

実際のVPNアプリでは「自動」設定が用意されており、多くの場合WireGuardまたはその派生プロトコルが優先選択されます。つまり中級者向けの本記事の目的は、自動が選ばないプロトコルの存在意義と、古いプロトコルがなぜ非推奨かを理解することにあります。

WireGuard｜現代のVPNプロトコルの最適解

結論として、WireGuardが現代のVPNプロトコルの最適解です。理由は速度・コードの軽さ・最新の暗号化の3点で他のプロトコルを上回るためです。

基本仕様を整理します。

• 登場年：2016年初版、2020年にLinuxカーネル（バージョン5.6）へ正式統合
• コード行数：約4,000行（OpenVPNの約20分の1）
• 暗号化：ChaCha20、Poly1305認証、Curve25519鍵交換、BLAKE2sハッシュ
• 動作領域：カーネル空間（OSの中核領域で動作し、処理オーバーヘッドが極小）

速度面のベンチマークも明確です。元の回線速度の85〜95%を維持し、Pingの増加は+5ms未満が目安となります。OpenVPN TCPと比べるとスループットで3〜4倍の差がつくケースもあります。

一方で弱点もあります。素のWireGuardは静的IPアドレスをサーバー側に保存する仕様で、プライバシー上の懸念が指摘されてきました。

しかし、大手VPN事業者は独自のNAT技術等でこの問題を解決しています。例えばNordVPNの「NordLynx」は、WireGuardベースにダブルNAT（2段階のアドレス変換）を加えてIP保存問題を解消しています。

動画視聴・オンラインゲーム・大容量ファイルの送受信・Webブラウジングのいずれにおいても、WireGuardが第一選択になります。VPNアプリの「自動」を選んでいれば、多くの場合すでにWireGuard系が動いていると考えてよいでしょう。

OpenVPNとIKEv2/IPsec｜実績と特化用途のプロトコル

WireGuard以外にも実用的なプロトコルが2つあります。OpenVPNは「実績と互換性の標準」、IKEv2/IPsecは「モバイル特化」と覚えると整理しやすいです。

OpenVPN｜安定性と互換性の標準

OpenVPNは2001年公開、20年以上の実績を持つオープンソースの定番プロトコルです。コード行数は約70,000行と重厚長大で、暗号化はAES-256（OpenSSLライブラリを使用）を採用しています。

動作はユーザー空間（一般アプリと同じ領域）で、カーネル空間で動くWireGuardよりは処理が遅くなる傾向があります。

強みは互換性とモード切替です。

• 対応デバイス・ルーターが圧倒的に多く、古いハードウェアでも動作する
• UDPモード：高速、デフォルト推奨。動画視聴やゲーム向き
• TCPモード：信頼性重視。<mark>ポート443でHTTPS偽装が可能</mark>で、検閲回避に強い

速度はOpenVPN UDPで元の回線速度の50〜70%、TCPで25〜60%が目安です。中国出張など検閲環境での利用、古いルーターやNASで自前のVPNサーバーを立てる場合、企業ネットワークで安定性を重視する場面で活きてきます。

IKEv2/IPsec｜モバイル特化の選択肢

IKEv2/IPsecはCiscoとMicrosoftが共同開発したプロトコルです。暗号化はIPsecが担当し（AES-256等）、カーネル空間で動作します。

最大の強みはMOBIKE（Mobility and Multihoming Protocol、RFC 4555で2006年に標準化）です。Wi-Fiとモバイル回線（4G/5G）の切替時に接続が切れにくいため、通勤中や移動中の利用で快適です。

OS対応はiOS・macOSが標準サポートしており、VPNアプリなしでも設定可能です。一方Androidは標準サポートがなく、サードパーティアプリ経由となります。

速度は元の回線速度の70〜80%維持、Ping増加は+10ms程度が目安です。なお、WireGuardもモバイル対応が改善しており、IKEv2の優位性は縮まっています。それでもiPhoneユーザーやモバイル中心の利用者には選択肢として残ります。

【非推奨】PPTP・L2TP/IPsec｜古いプロトコルのリスク

結論から言えば、PPTPとL2TP/IPsecは現在のセキュリティ基準では使うべきではありません。VPNアプリで選択肢に残っていても、特別な理由がない限り選ばないのが無難です。

まずPPTP（Point-to-Point Tunneling Protocol）について、要点を整理します。

• 1996年にMicrosoft中心に開発、認証はMS-CHAPv2、暗号化はMPPE
• 1998年にBruce SchneierらがMS-CHAPの脆弱性を指摘
• 2012年、暗号研究者Moxie Marlinspikeが、MS-CHAPv2の認証を実質24時間以内で解読する手法を公表
• 現在はFBI・NSAレベルの計算能力では解読可能と一般的に考えられている
• macOS Sierra（2016年）以降、PPTPの標準サポートを廃止
• 主要VPNプロバイダの多くは提供を停止

「PPTPは速い」という古い情報が残っていることもありますが、脆弱性のリスクが速度のメリットを上回ります。

次にL2TP/IPsecです。1999年にIETFで標準化されました。L2TP単体には暗号化機能がなく、IPsecとの併用が前提となります。IPsec部分のAES-256自体は強固です。

ただし、2013年のSnowdenによるNSA文書暴露で、IPsecの一部に脆弱性が存在する可能性が示唆されました。完全に否定されたわけではなく、業界では実装上の懸念として扱われています。

加えてL2TP/IPsecは2層のカプセル化構造のため、WireGuardと比較して速度が出にくい傾向があります。ファイアウォール越えも苦手で、UDP 500/4500/1701など複数ポートを使うため通りにくい場面があります。

こうした事情から、NordVPN・ExpressVPN・Surfsharkなど大手は L2TP/IPsec の提供を順次停止しています。「過去の標準だが現代では選ぶ理由がない」というのが業界のコンセンサスです。

設定画面でPPTPやL2TP/IPsecが選べる場合でも、特別な理由がない限り選ばない。「現代の最適解はWireGuard」という基本方針を覚えておけば、誤って古いプロトコルを選ぶ事態は避けやすくなります。

プロトコル	登場年	コード行数	暗号化	速度維持率	推奨度
WireGuard	2016	約4,000行	ChaCha20	85〜95%	◎
OpenVPN UDP	2001	約70,000行	AES-256	50〜70%	◯
OpenVPN TCP	2001	約70,000行	AES-256	25〜60%	△（検閲回避時◯）
IKEv2/IPsec	2005	–	AES-256	70〜80%	◯（モバイル特化）
PPTP	1996	–	MPPE	高速	✗（脆弱性あり）
L2TP/IPsec	1999	–	AES-256	60〜70%	△（懸念あり）

よくある質問

プロトコル選択は手動で変更すべき？それとも「自動」のままでいい？

9割の人は「自動」のままで問題ありません。最近のVPNアプリは環境に応じて最適なプロトコル（多くの場合WireGuard）を自動選択します。手動切替が活きるのは、モバイルで切れやすい場合のIKEv2や、検閲環境で繋がりにくい場合のOpenVPN TCPなど、特定の用途で不満が出たときに限られます。

WireGuardの「IPアドレス保存問題」は気にすべき？

大手VPN事業者を使う限り、ほぼ気にする必要はありません。NordVPNの「NordLynx」のように、独自のNAT技術で問題を解決しているためです。素のWireGuardを自前のサーバーで運用する場合のみ注意が必要です。

SSTPやSoftEtherなど他のプロトコルは？

SSTPはMicrosoft独自で主にWindows環境で使われ、SoftEtherは日本発のオープンソースプロトコルです。両者とも特定環境では有用ですが、本記事の主要4種（WireGuard・OpenVPN・IKEv2・古いプロトコル）の理解があれば、一般的なVPN利用には十分です。

プロトコル切替のたびに通信速度を測るべき？

切替直後に同じ環境（同じツール・同じVPNサーバー）で測定すると違いを実感できます。Fast.comやSpeedtest.netが定番です。詳細は「VPN速度の見方」記事をご覧ください。

まとめ｜WireGuard対応のNordVPN・MillenVPNがおすすめ

本記事の要点を3つに整理します。

• 現代の最適解はWireGuard：速度・コードの軽さ・最新の暗号化で他を圧倒
• OpenVPNは安定の標準、IKEv2/IPsecはモバイル特化の選択肢
• PPTP・L2TP/IPsecは古いプロトコルで、特別な理由がない限り選ばない

WireGuardを実際に使うなら、対応している以下のVPNサービスが代表的な選択肢です。

NordVPNはWireGuardベースの独自プロトコル「NordLynx」を採用しています。ダブルNATでWireGuardのIP保存問題も解消しており、サーバー数・速度・実績の総合力で業界トップクラスです。詳細は「NordVPN レビュー」記事をご覧ください。

MillenVPNは国産VPNとして代表的なサービスです。WireGuardプロトコルに対応し、日本語サポートも完全対応。国内法準拠の運営体制で、初めての海外系VPNに不安がある方にも向きます。詳細は「MillenVPN レビュー」記事をご覧ください。

プロトコル選択に迷ったら、まずは「WireGuard」または「自動（推奨）」を選べば大きく外しません。古いプロトコル（PPTP・L2TP/IPsec）が選択肢にあっても、特別な理由がない限り選ばない。これだけ押さえておけば、中級者として十分な判断ができます。

次に読みたい記事：

• VPN速度の見方を詳しく知りたい方 →「VPN速度の見方」記事
• 用途別の判断フローを知りたい方 →「VPNプロトコル比較」記事
• VPNの選び方全般を知りたい方 →「VPN選び方」記事
• VPNの基本に立ち返りたい方 →「VPNとは」記事