プライバシーに配慮した法域の KYC 不要 VPS にセルフホスト VPN を構築することは、2026年において最も費用対効果の高いプライバシー強化策のひとつです。月額 $10 未満で、ロギングポリシーを信頼に委ねるしかない商用 VPN プロバイダーを、自分自身が信頼境界となる構成に置き換えられます。現在運用する価値のあるプロトコルは WireGuard と OpenVPN の 2 つです。マーケティングページでは互換品のように見えますが、実態は異なります。このガイドでは、実質的な違い、重要なセットアップ上の注意点、そして長期間にわたってサーバーを有用な状態に保つための運用上のポイントを解説します。
商用 VPN を使わずにセルフホストする理由
信頼境界が自分自身に移る
商用 VPN プロバイダーは、あなたが訪問するすべてのサイトを把握できます。プライバシーポリシーは約束に過ぎず、公開のノーログ監査があったとしても、その検証には限界があります。セルフホストであれば、VPN レイヤーでトラフィックの中身を見られる唯一の主体は自分だけです。ホストは IP が存在しトラフィックが流れていることを知りますが、トンネル内の内容はホストには不透明です。
KYC なし、共有出口 IP のレピュテーション問題もなし
商用 VPN の出口 IP は継続的にブロックリストに登録されます。2026年現在、主要プロバイダーの IP 範囲の大半は Cloudflare、Google の CAPTCHA、金融サービスの不正防止システム、ストリーミングのジオフェンスによってフラグが立てられています。履歴のない新しいデータセンター IP 上のセルフホストエンドポイントは、それらに引っかかることはほとんどありません。悪用した時点でその IP は使い物にならなくなり、新しい IP を立ち上げることになります。
コスト
商用 VPN:ユーザーあたり月額 $5〜$13。1GB / 1 vCPU の VPS にセルフホスト:月額 $5〜$8 で、家庭全体をサポートし、WireGuard で 200 Mbps に簡単に到達します。損益分岐点はユーザー 1 人の時点です。
失うもの
複数国の出口選択肢です。商用 VPN はワンクリックで 50 か国以上の出口を提供しますが、セルフホストでは VPS が置かれている国のみになります。解決策は 2〜3 台のサーバーを異なる法域に立ち上げることで、それでも商用より安くなります。
WireGuard vs OpenVPN:プロトコルレベルの比較
WireGuard の概要
WireGuard は Jason Donenfeld が設計したモダンな VPN プロトコルで、2020年3月に Linux カーネルにメインライン統合されました。コードベースは約 4,000 行の C(OpenVPN の約 70,000 行に対して)です。Linux ではカーネル空間で動作するため、速度面での優位性の大部分はここから来ています。暗号は固定です:対称暗号に ChaCha20-Poly1305、鍵交換に Curve25519、ハッシュに BLAKE2s を使用し、アルゴリズムのネゴシエーションはありません。設定は 4〜10 行のテキストファイルです。
OpenVPN の概要
OpenVPN は 2001年から本番運用されている確立した標準プロトコルです。ユーザー空間で動作し、暗号に OpenSSL または mbedTLS を使用し、幅広い暗号方式と認証方式をサポートし、細部まで設定可能です。TCP トランスポートのネイティブサポート(UDP がブロックされる一部の制限されたネットワークで必須)、証明書による TLS ベースのクライアント認証、PAM/RADIUS プラグイン認証に対応しています。成熟したツール群、スクリプト化のしやすさ、監査のしやすさ、文書化された運用上の注意点が揃っています。
並列比較
| 項目 | WireGuard | OpenVPN |
|---|---|---|
| コードサイズ | 約 4,000 行 | 約 70,000 行 + OpenSSL |
| 1 Gbps リンクでのスループット | 回線速度の約 95%(約 940 Mbps) | 回線速度の約 50〜70%(500〜700 Mbps) |
| ハンドシェイク時間 | 約 1 RTT | 約 6 RTT |
| デフォルト UDP ポート | 51820 | 1194 |
| TCP フォールバック | なし(udp2raw または wstunnel を使用) | あり、ネイティブ |
| 暗号の柔軟性 | なし(固定スイート) | フル |
| モバイルバッテリーへの影響 | 低い(カーネル + ローミング対応) | 中程度 |
| 難読化 | 外部対応(udp2raw、awg) | obfsproxy、stunnel、tls-crypt-v2 |
| 監査対象範囲 | 小さく、形式的に検証済み | 大きく、十分にレビュー済み |
| 運用成熟度 | 2021年以降安定 | 約 2008年以降安定 |
スループット数値の解説
1 vCPU と 1 Gbps 共有リンクを持つ $10 の VPS では、WireGuard はホストの帯域シェーパーまたはユーザー空間ネットワークスタックの CPU ボトルネックに達するまでリンクを飽和させます。2026年では通常 800〜940 Mbps です。同じハードウェア上の OpenVPN は TLS オーバーヘッドとユーザー空間のコンテキストスイッチコストにより、500〜650 Mbps 前後で頭打ちになります。4K をストリーミングする家庭用途では、どちらも十分です。マルチギガバイトのコンテナイメージをトンネル越しに取得する開発者にとっては、WireGuard が実際の時間を節約します。
OpenVPN がまだ正しい選択肢である場合
UDP をブロックする制限されたネットワーク
UDP トラフィックを遮断するホテル、大学、企業ネットワークでは WireGuard が完全に機能しなくなります。TCP/443 上の OpenVPN は L4 レベルで HTTPS と区別がつかず、通過できます。WireGuard は udp2raw や wstunnel を使って TCP 上にトンネリングできますが、それは追加の可動部品を生み、WireGuard のシンプルさの一部が失われます。
高度な難読化が必要な場合
ディープパケットインスペクションによる VPN ブロック(中国のグレートファイアウォール、イラン、主要 VPN プロトコルへの最近の規制を実施しているロシアなど)が行われている国でのアクティブプロービングからの保護が必要な場合、stunnel や obfs4 を用いた OpenVPN の方が実績があります。WireGuard の解決策(最も活発に開発されている難読化フォークは AmneziaWG)は機能しますが、エコシステムはまだ若いです。
ユーザーごとのきめ細かい認証
小規模チームに VPN を提供し、個人の接続を無効化する必要がある場合、OpenVPN の PKI モデル(各ユーザーが証明書を持ち、CRL で失効)は WireGuard の「設定を編集してリロード」という方式よりも使いやすいです。
WireGuard が正しい選択肢である場合
ほぼそれ以外のすべての用途:個人用 VPN、家庭用 VPN、頻繁なネットワーク切り替えがあるモバイル VPN、パフォーマンス重視のトンネル、低消費電力デバイス、そしてシンプルさが運用リスクを低減するあらゆる構成です。4 行の設定ファイルは設定ミスの余地を最小限に抑えます。OpenVPN のプライバシーリークの一般的な原因は、設定が複雑で圧縮をオンのまま(CRIME)にしたり、古い暗号を使い続けたりすることです。
モバイルクライアント
WireGuard のローミング動作(基盤のネットワークが変わった際にトンネルをサイレントに再確立する)は、OpenVPN よりも格段にスムーズです。OpenVPN では再接続時にアプリが中断されることがよくあります。モバイルでは、バッテリーへの影響の差も実際に存在します。WireGuard のカーネルレベルの効率性は、常時 VPN をオンにしているスマートフォンで 1 日のバッテリー消費量の測定可能なパーセンテージポイントを節約します。
よくある設定上の落とし穴
MTU クランプ
どちらのプロトコルもすべてのパケットにオーバーヘッドを追加します(WireGuard で約 60 バイト、OpenVPN ではそれ以上)。基盤のネットワークの MTU が 1500 で内部 MTU も 1500 のままだと、大きなパケットが断片化またはドロップされます。症状は「小さなものは動くが、大きなファイル転送が止まる」です。VPS サーバーで修正するには:iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu。WireGuard はある程度自己調整しますが、TCP-over-UDP-over-TCP のシナリオでは問題が発生することがあります。
ポート 25 の悪用とスパムレピュテーション問題
評判の良いホストのほとんどはデフォルトでアウトバウンド TCP/25(SMTP)をブロックしています。ブロックがなければ、侵害された VPS は数時間以内にスパムリレーになります。2026年現在、事実上すべてのオフショア VPS プロバイダーが共有 IP 上のポート 25 をブロックしています。回避しようとしないでください。SMTP が本当に必要な場合は、静的レピュテーション IP をリクエストし、長めのオンボーディングを受け入れてください。VPN エンドポイントはデフォルト IP で運用し、メールサーバーは別の場所に置いてください。
ASN レピュテーション
データセンターの ASN は Cloudflare、Google、ほとんどの不正防止システムから徐々に CAPTCHA のプレッシャーが増します。小〜中規模の IP レンジを持つアイスランド、モルドバ、パナマのブティックオフショアデータセンター ASN は、大手コンシューマークラウド ASN よりもクリーンなレピュテーションを持つことが多いです。それを考慮してホストを選んでください。詳しくは VPN ホスティングのユースケース をご覧ください。
キルスイッチ — PostUp/PostDown
キルスイッチは、VPN トンネルが切断された場合にトラフィックをリークさせる代わりにデバイスが送信を停止することを保証します。WireGuard では設定ファイルの PostUp/PreDown フックで簡潔に実装できます。標準的なパターンは PostUp = iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT です。OpenVPN での相当物は --route-up と --down-pre スクリプトです。VPN プロセスを手動で終了させ、その後もトラフィックが流れるかどうかを確認することでキルスイッチをテストしてください。流れる場合、キルスイッチは有効になっていません。
DNS リーク
どちらのプロトコルも IP トラフィックを運びますが、DNS をトンネル経由で自動的にルーティングするわけではありません。VPN クライアントをトンネル越しでのみ到達可能な DNS サーバー(多くの場合、unbound や dnscrypt-proxy を実行している VPS 自体)を使うよう設定してください。Linux では resolvconf との統合をインストールするか、適切なスコープで systemd-resolved を使用してください。OS またはクライアントの大きなアップデートのたびに dnsleaktest.com でテストしてください。
IPv6 リーク
クライアントが IPv6 を持ち、VPN が IPv4 のみを扱う場合、IPv6 トラフィックはトンネルをバイパスして実際の IP を露出させます。デバイスレベルで IPv6 を無効にするか、VPN 設定をトンネル内で IPv6 も処理するよう拡張してください。WireGuard はデュアルスタックトンネルをクリーンにサポートしており、OpenVPN も適切なサーバー設定で対応できます。
用途に合った VPS の選び方
個人または家庭用のセルフホスト VPN であれば、スペックの最低ラインは低いです:RAM 1 GB、1 vCPU、ディスク 20 GB、そして必要なトンネル速度に見合ったネットワーク容量。WireGuard の CPU 使用率はほぼゼロに等しいですが、OpenVPN は 500 Mbps 以上を出したい場合に追加のコアが効果的です。まず 法域ガイド で国を選んでからサーバーをサイジングしてください。7 つの法域で月額 $10 未満のエントリーレベルのオプションについては VPS プラン一覧 を、セットアップに特化した注意事項については VPN ホスティングのユースケース をご覧ください。
運用上のポイント
- 6〜12 か月ごとにサーバーを入れ替える。データセンターの IP はゴミが蓄積されます。新しい IP を持つ新しい VPS は $9 で 10 分あれば構築できます。CAPTCHA と戦うよりも安上がりです。
- パスワード SSH を無効にする。鍵認証のみ、fail2ban または sshguard を導入し、ログノイズを減らすためにオプションで 22 番以外のポートを使用する。
- unattended-upgrades を実行する。カーネルパッチが 1 年分滞っている VPN ホストは、VPN がない状態よりも危険です。
- 内容ではなくトラフィックを監視する。シンプルな
vnstatのインストールで異常を検知できます。突然のアップリンク飽和はたいていサーバーが悪用されているサインです。 - 暗号通貨で支払い、登録時に KYC なし。暗号通貨支払いガイド では、通貨の選択ごとにホストがあなたについて何を知ることができるかを解説しています。