  |
はてなキーワード:VPNとは
最近のブラウザーは通信を暗号化して、プライバシーとセキュリティをより強化する機能がある。
なお、ほとんどのブラウザーでデフォルト設定はオフで、必要ならオンに変更する必要があるので注意。
オンにすると一部サイトでは海外扱いになり不具合が発生する。フレッツIPv6閉域網にもフレッツ外の扱いになるため接続できない。また、Wikipediaはプロキシ接続での編集を一切禁止しており、プロキシ扱いになるため、編集ができなくなる (編集頻度が多いなら例外設定やスマートフォンではアプリから編集するなど検討を) 。
なお、ブラウザーによってはIPv4接続でも暗号化機能をオンにするとIPv6専用ウェブサイトにアクセスできるようになる場合がある。
IPv6で接続しているかを確認したい場合は、anond:20260215110540 を参考に。
そんな機能はない。
※追記: ただし、HTTPS化されているウェブサイトをHTTPS優先で接続する設定は、この記事に記載の全ブラウザーで (Chromeでも) できる。一番下の追記も参照。
Googleは広告会社でもあるので、プライバシー保護とは基本的に相性が悪いと考えるべきだろう。
利用者も世界最多であるがゆえのデータ量でユーザーに (プライバシーより利便性という形で)還元するという方向である。Google Mapsの渋滞表示や施設の混雑状況表示はこれで成り立っているというのがある。
なお、拡張機能でVPNは個人的にはおすすめしない。VPNアプリを使用するべきだろう。
2つのリレーを使うようになっていて、1つ目はISPからAppleへのリレー、2つ目はAppleからコンテンツプロバイダーへのリレーになっている。コンテンツプロバイダーは公開されていないが、プライベートリレーをオンにしたときに表示されるIPアドレスを見るに、Cloudflareがその1プロバイダーにふくまれているっぽい。
無料でも初期設定でメールやSafariのトラッキングコンテンツ (アクセス解析など) のみ保護してくれるが、有料プラン (2026年2月現在最低月額150円) に加入してプライベートリレーをオンにすることで、Safariでアクセスするすべてのウェブサイトが保護対象になる。
暗号化サービスとしては日本トップレベルの普及率となっているため、不具合の発生率は低め。
検索結果の精度向上のため位置情報 (GPSではなくISPによるもの) を保持するかプライバシー保護向上のため国情報のみ使用するかを選択できる。ブラウザーでradikoを再生するとかなら (エリアフリープランを除き)位置情報を保持する設定にすべきだろう。
なお、AppleのウェブサイトにIPアドレスと位置情報の一覧 (CSV) が公開されている。アクセス制御が必要なら参考にしてほしい。
https://developer.apple.com/jp/icloud/prepare-your-network-for-icloud-private-relay/
"Microsoft Edge セキュアネットワーク" という機能。Cloudflareに接続される。現時点では、PCのみ対応でモバイルでは使用できない。
個人のMicrosoft アカウントでサインインすることで、5GB / 月の容量を使用できる。保護レベルは3段階から選択でき、指定したサイト、最適化 (初期設定) 、すべてのサイトから選択する。指定したサイトとすべてのサイトはその名のとおりだが、最適化は容量を節約するため、動画視聴サイトが自動的に保護対象から除外されるなど、5GBをなるべく使い切ることがないよう、うまいこと調整してくれる。
現時点では、企業では使用不可。 "最新情報にご期待ください" とのことだが...。
"BraveVPN" という機能。Guardianに接続される。月額9ドル99セント、または年額99ドル99セントで10台まで保護できるうえに、なんとブラウザー以外も含めた全アプリを保護してくれるとのこと。
プロトコルにLightway (ExpressVPNで使用しているものと同じ) を採用しており、消費電力の少なさを売りにしている。
無料だと3地域のサーバーに接続できるが、有料プラン (月8ドル / 年48ドル) にすると30以上の国別サーバーに接続でき、ブラウザー以外も保護されるようになるとのこと。
とはいえ無料でも無制限に使用できる (この記事の中では) 唯一のブラウザーなので、Opera内だけ保護してなおかつ地域限定コンテンツも使用しないなら選択肢になる。
有料 (月9ドル99セント / 年99ドル99セント) だが日本は対象地域ではないため使用できない。
有料だが日本は現在対象地域ではないため使用できない。ただしウェイトリストに登録できる。
マルチホップ機能が使用できる。これはパフォーマンスと消費電力が犠牲になるが、2か国のサーバーにリレー接続することでよりプライバシーが保護されるという仕組み。
1つめのほうについて書いた段落は投稿してすぐに消した。それまでの間についてしまった反応だが ("この内容を登録する" を押す前に "確認する" を押さなかった自分の落ち度ではあるが) 、返信する。
2つめのほうはそれより後だが、内容がほぼ同じのためまとめて返信する。
確かにHTTPSは日常閲覧するサイトの9割 (個人差はあるが一般的な使い方の人の場合) になっており、長期間更新放置されているサイトもHTTPS化される例 (かめプロジェクトなど) が増えているため、ほとんどの人にとってはなくても困らない機能だろう。なお、ChromeであってもHTTPS化されているサイトは優先的にHTTPSで接続する設定はできる (これは本文で書き漏れていたため追記した) 。
ただ、残りの1割のサイトはいまだに暗号化が行われておらず、このようなサイトを閲覧する機会が多い人は、暗号化機能を使用する価値があると考えている。
とはいえ、そのようなサイトはプライバシーのみならずセキュリティリスクでもあるので、可能ならば避けて他のHTTPS対応サイトで代替できないかを検討するべきではあるが。
--- ここから2026-02-16 ---
ほとんどのウェブサイトは、接続元の判定ではなくトラッキング機能で判定しているため、この機能による影響はない。
ただし、Chromeを除くほとんどのインターネットブラウザーはトラッキング機能を遮断するようになっていて、そちらの機能で支障が発生することもある。ポイ活をよく使用するのであれば、暗号化機能よりむしろトラッキング防止機能をオフにするのがよい。
Safariの場合、Safari設定の "プライバシーとセキュリティ" に "サイト越えトラッキングを防ぐ" があるのでオフにする。 "詳細" に "高度なトラッキングとフィンガープリント保護" があるので、これもオフにする。 "すべてのCookie をブロック" はさすがにオフだとは思うが、もしオンになっていたらこれもオフ。
Edgeの場合は、設定の "プライバシー" に "追跡防止" があるのでオフにする。
楽天などポイ活専用アプリも提供しているところなら、専用アプリを使用するのもひとつ。
ないところなら、デフォルト設定で追跡防止をしていないChromeをポイ活専用ブラウザーにしてしまうのもひとつの方法。
なお、iOSはOSの制約上、他社のブラウザーやアプリ内ブラウザーなどにもSafariと同様のトラッキング防止機能が適用されるので、ブラウザーの設定とOSの設定の両方でトラッキングできるように設定する必要がある。これについてははてなブログ・ブックマークアプリにも影響があり、はてな公式のお知らせにも掲載があるので、こちらで設定方法を確認してほしい。
外部から接続する時、ゲートウェイ、フャイヤーウォール、リレー制御、がパケットを選別する
グローバルIPで縛りを入れたり
秘密鍵を所持したり
多要素認証(MFA)にしたり
界隈が新しいシノギだと張り切るわけ
昨今の流行りは、VPNの境界制御ではだめだ、一切信頼しないセキュリティ
そう、ZTNA(Zero TrustNetworkAccess)だ
というやつ
この話、適当な話がいろいろと展開されていて
まぁ、まともな話はされていない
例えばVPNと言っても、フルオープンにしておいて都度VPNクライアントでネット接続するタイプがある
攻撃されるのは大体これ
これは、言ってしまえば自宅玄関の鍵がWWWに公開されて、誰でもアタックできる状態
これの問題はVPNがどうこうという話じゃないの分かるだろう?
そも論外なんだよ
これは、VPNの口は外に公開されてはいるが、互いのIPを指定してトンネルを予め作っておく
攻撃できるとすれば、そもそもルーター側に致命的な脆弱性があるとか
サーバーに設定の穴が開いていたりするケース
このレベルの問題が発生する場合、ぜろとらすとにすればだーじょーぶい、ってな話でもない
この手の話で話されない事がある
ZTNAにしたら、「なにが」制御されるの?という話
VPNにしろ、ファイヤーウォールにしろ、そこを通ってしまったパケットは信頼されることになる
実際には、ハード構成やパケットリレーやアプリ側の設定で、「信頼度」を制御できるのだが
まぁ、基本は「信頼する」設計になっているという話にしてしまうわけだ
そして、ZTNAなら「信頼しない」のだから安全にできるというわけ
リソースへのアクセスをZTNAを構築するサービスがコントロールする
社内だから、社外だからではない、リソースへのアクセスはすべてZTNAサービスがコントロールし
ゆえに、なんなら社内に侵入されたとしても(メールの添付ファイルを実行しちゃっても)致命的な結果を防げるというわけさ
言ってしまえば「それを強制する仕組みをサービスとして構築したよ、みんな金払ってね」という話
これはファイルサーバーとか、DB、社内イントラへのアクセス権とかがZTNAに対応してる必要があるんだよ
コンサルとして潜り込んで、保守に自分の子飼いを一人二人放り込んだら億の話ですよ
AJAXとか、DX(デジタルトランスフォーメーション)とか、AIとか、そういうふわふわっとした集金の新しいのが
ゼ ロ ト ラ ス ト
みんなで金回そう
その従業員が、中国でVPNを使って、海外サイト(本人曰くyoutubeだが多分エロサイト)を見ていたところ、警察に捕まった。
で、その時の話を聞いたのでメモと所感
ある日いきなりwechatで警察から連絡が来たそう。中国だと、お茶を飲みにこないか(喝茶)ってスラングがあるらしいけど、その時はただ来なさいという連絡だったみたい。で証拠を出されながら事情聴取
ここから日本と違って、その場で反省文(懺悔書?って本人は言っていた)を書かされたそう。
〇〇の理由で使いました。
警察官の皆様からの丁寧な教育を受け、自己の犯した過ちを完全に理解しました。
申し訳ありません。
って書くみたい。この定型文もあるらしい。
で、拇印して終了
これだけ
現地人からすると、VPNを見つかったのは、車のネズミ取りに捕まったぐらいの印象で、本人曰く大したことは無いが、二度とできないぐらいの気持ちらしい。
これは、本人がオフショア開発をするぐらいのスキルがある前提だけど、都会ではGFの迂回方法も知ってるし、VPNの存在も知っているのが普通みたい。
映画オタクの天国ことCriterion Channel、日本からはジオブロで見られないと思ってる人が多いけど、実は余裕で見れる。
備忘録として最新の手順を書いておく。
普段の視聴時にVPNを繋ぐ必要はない。これを知らないと損する。
手順
無料のVPNでもいいけど、セキュリティが気になるなら有料の体験期間とかを使うといい。
これが一番重要。PCブラウザからだと日本のクレカが弾かれることが多い。
スマホアプリ経由なら、App Store /Google Playのサブスク決済が使えるので、日本のカードでも通る。
再生は日本のプロバイダ回線からそのままできる。むしろVPN通さない方が回線が安定して高画質で見れる。
月額10ドルちょっとで、あのラインナップと特典映像が見放題なのは実質タダみたいなもんだから、迷ってる奴はさっさと契約したほうがいい。
以上。
問題 6
企業が高可用性のリレーショナルデータベースを複数リージョンで運用したいと考えています。
RPO(RecoveryPoint Objective)1秒、RTO(RecoveryTime Objective)1分未満 を満たす災害復旧構成として最適なのはどれですか?
A.Amazon RDS forPostgreSQL +クロスリージョンリードレプリカ
B.AmazonAurora Global Database
D.AmazonTimestream for Analytics
問題 7
あるスタートアップが、新規社員向けにオンプレミスADと連携した仮想デスクトップ をAWS上に構築したいと考えています。
次のうち、最適なサービスの組み合わせはどれですか?
A.AWS Directory Services +VPN + ClassicLink
B.AWS Directory Services +VPN + IAM
C.AWS Directory Services +VPN +Amazon S3
D.AWS Directory Services +VPN +Amazon WorkSpaces
問題 8
アプリケーションのパフォーマンスが低下しているため、サーバーのリソースが十分か確認する必要があります。
最適な対応策はどれですか?
A. CloudWatchでパフォーマンス指標を監視し、ダッシュボードを作る
B.AWS Compute Optimizerを有効化し、推奨に従ってリソースを調整
C. TrustedAdvisorでコスト最適化を確認し、インスタンスを増減
D. CostExplorerでコストを確認し、予算に応じてインスタンスを増やす
問題 9
EC2 + RDSSQL Server構成のアプリケーションがあります。
EC2とRDS間の通信を暗号化する方法として正しい組み合わせはどれですか?(2つ選択)
A.EC2とRDSのセキュリティグループでポート443のみ許可
B. RDSでTDE(Transparent Data Encryption)を有効化
C. rds.force_sslパラメータをtrueに設定しDBを再起動
E. RDSルートCA証明書を取得してアプリでSSL接続を設定
アプリケーションVPCと 共有サービスVPCの接続を簡素化 し、将来的に数十VPC規模に拡張可能にしたい場合、最適な構成はどれですか?
ーーーー
答え
ーーーー
問題 回答
6 B
7 D
8 B
9 C, E
10 D
ポイント整理:
問題6: RPO 1秒、RTO 1分未満 →Aurora Global Database はクロスリージョンで高速レプリケーション可能
問題7:オンプレミスAD連携+仮想デスクトップ →AWS Directory Services +VPN + WorkSpaces
問題8:リソース最適化 → Compute Optimizer が推奨設定を自動提案
問題9:EC2 ↔ RDS通信暗号化 →SSL強制(rds.force_ssl)+CA証明書でアプリ側暗号化
問題 1
あなたはある企業のAWSアーキテクトです。既存のオンプレミスの金融データをAWSに移行する必要があります。移行後、すべてのデータは 削除や上書きができないように保護 する必要があります。
A.AWS StorageGateway +AmazonEBS +Object Lock
B.AWS DataSync +Amazon S3 +Object Lock
C.AWS DataSync +Amazon EFS +Object Lock
D.AWS StorageGateway +Amazon S3 +Object Lock
回答C。 AWS StorageGateway は名称てきにオンプレミスと sync しなさそうだから、DataSync -> EFS だと考えた。S3はストレージだからなし。
問題 2
Auto ScalingグループにあるEC2インスタンスのスケールインが発生しました。
デフォルトのスケールインポリシーの場合、どのインスタンスが優先的に削除されますか?(3つ選択)
C. 最も最近作成されたLaunch Templateのインスタンス
D. 最も古いLaunch Templateのインスタンス
スケールイン,スケールアウトの違いがわからない。アウトは拡大する、インはスケール縮小?
回答:A, 多いほうから削る。D, 古いものは削除、E,残り時間が少ない順から削る?
問題 3
グローバルに展開するアプリケーションがあり、ログイン処理が遅く、HTTP 504エラーも発生しています。
CloudFrontを利用してコストを抑えつつ、パフォーマンスを改善する方法として適切な組み合わせはどれですか?(2つ選択)
A.複数リージョンにアプリを展開してRoute 53のレイテンシルーティングを利用
B.CloudFrontのオリジンにCache-Controlmax-ageを設定してキャッシュ比率を上げる
C.Lambda@Edgeを使って認証処理をユーザーに近い場所で実行
D. 各リージョンに複数VPCを作りTransitVPCで接続してSAMでLambdaを配置
E.CloudFrontのオリジングループでフェイルオーバーを設定
回答:BとCかな。Aは手数が多すぎる。非効率かなと。Dも工数がかかりそう。手作業で複数作るのかな?Eはこういう設定して意味あるのかなと思った。
問題 4
医療系企業がAWSで複数のアプリケーションVPCを作成します。各アプリは 共有サービスVPC にアクセスする必要があり、アプリ同士も通信します。
将来的に数十のアプリが追加されることを考慮した場合、管理負荷を最小化する構成はどれですか?
回答:A 他はなんか怪しい。
問題 5
アプリケーションはEC2 + RDSSQL Server で構成されています。
要件:EC2とRDS間の通信はすべて暗号化されていなければならない
どの設定が最適ですか?(2つ選択)
A.EC2とRDSのセキュリティグループでポート443のみ許可
C. rds.force_sslパラメータをtrueにしてDB再起動
E. RDSルートCA証明書を取得しアプリでSSL接続を設定
回答 AとC。Eも正解っぽく感じる。
ーーーーー
答え
ーーーーー
問題 1
あなたの回答:C (AWS DataSync +Amazon EFS +Object Lock)
実際の正解は B (AWS DataSync +Amazon S3 +Object Lock)
理由:
Object Lock はAmazon S3 のみ がサポートしています。EFSやEBSではできません。
AWS DataSync で S3 にデータを移行し、Object Lock を有効にすると、削除や上書きを防止できます。
StorageGateway はハイブリッド用途(オンプレと同期)に便利ですが、このシナリオではすべてクラウドに移行するため不要です。
問題 2
あなたの回答:A, D, E
正解:A, D, E ✅
理由:
スケールインは 余剰リソースを減らす操作(インスタンスを削除する)
選ばれたAZの中で 最も古いLaunch Templateのインスタンス を削除
※「スケールイン=縮小」「スケールアウト=拡大」で覚えておきましょう。
問題 3
あなたの回答:BとC
正解は C と E
理由:
Lambda@Edge →認証処理をユーザーに近い場所で実行でき、ログイン処理を高速化
B(Cache-Controlmax-age)は静的コンテンツのキャッシュ用で、このシナリオの問題(認証処理の遅延や504)には直接関係なし
AやDはコストや運用負荷が高く、今回は「コストを抑えて改善」が条件
問題 4
あなたの回答:A
理由:
VPC Peering は数が増えると接続管理が爆発的に複雑 になる
TransitGateway を使えば 1つの中央ハブ で全VPCを接続でき、管理負荷が大幅に削減
VPNやDirectConnectはオンプレ接続用なので不適切
問題 5
あなたの回答:AとC
正解は C と E
理由:
rds.force_ssl=true → RDSがSSL接続を強制
クライアント側で RDSルートCA証明書を使用 してSSL接続
TDEは 静止データの暗号化 用で、通信の暗号化には関係なし
NHKONE開始に伴い、テレビを置かない、ネットだけの視聴者にも受信契約への門戸が開かれた。((解約が従来より容易になったのかどうかは現在のところ不明))テレビ受信契約と紐づいた9月までのNHKプラスは視聴を試みることはなかったが、10月に開設されたNHK受信料アカウントの新規加入申し込みのページにおいて、「地上」「衛星」の他に新たに加えられた「インターネット」を受信方式としてフォームに入力した。その際求められた住所入力には、以前の日本居住時の住所を入力した。((クレジットカード受取代行してくれている親戚の住所はNHKに知らせたくない。))これが10月2日ごろである。
ところが昨日【受信料アカウント】から受け取った「申請情報(契約確認)審査結果のお知らせ」と題したメールによると「今回の登録につきまして、ご入力いただいた受信契約情報から、お客様の受信契約を確認することができなかったため、受信料アカウントを作成することができませんでした」とのことであった。郵便物が辿りつかなかったなどの事象が発生したのだろう。ある程度予測のできることであった。
前提にも書いたが、増田はNHKの番組はけっこう面白いと思っていて、追加で月1100円の課金であれば支払うことに抵抗を感じない。母国語を使わず仕事や生活を送っている分、プライベートぐらいは母国語の番組をリラックスしながら見たい気持ちもある。受信料を払わない状態でNHKONEの配信を視聴するのは困難になることが予想される。そこで、どうしても受信料を払う状態を手に入れたい。
NHK的には、権利関係等からVPNを使って海外で配信を視聴するのを公認したくないのは想像できる。日本国内の住所確認を必要としないNHKオンデマンドについては黙認せざるを得ないのだろうが、NHKONEについては住所確認を足掛かりとして海外での視聴を阻みたいのだろう。しかし、そこを「はいそうですか」と引き下がるのは30年来のネット民としてはおもしろくない。なんとかしてNHKに受信料を受け取らせて、NHKONEをストレスなく視聴する方法を手に入れられないだろうか。はてな諸兄姉の賢策に期待したい。
