Microsoftは最近、ソーシャルプラットフォーム上でEdgeの組み込みEdge Secure Network「VPN」機能を宣伝しました。Microsoftは、この機能はブラウザ内のトラフィックを暗号化してサードパーティによる盗聴、追跡、悪意のある攻撃に対抗し、ユーザーのIPアドレスを隠すことでオンラインプライバシーを向上させる「VPNテクノロジー」に基づいていると主張しています。
Edge Secure Network VPN と呼ばれるこの機能は Edge ブラウザに統合されており、理論的には一部のサードパーティ VPN のインストールを置き換えることができますが、月間トラフィックの上限は 5GB です。ユーザーは、Edge の右上隅にある 3 点メニューをクリックし、[その他のツール] を選択して [セキュリティで保護されたネットワーク] に入り、[VPN を無料で入手] をクリックし、個人の Microsoft アカウントでログインして有効にする必要があります。無料クォータがなくなると、暗号化保護は一時停止され、次の請求サイクルでリセットされます。トラフィックを節約するために、Netflix、Hulu、HBO、その他のビデオ ストリーミング メディアなどの高帯域幅のシナリオは、暗号化されたトンネルから除外されます。さらに、この機能は現在エンタープライズ デバイスまたは管理対象デバイスではサポートされておらず、一部の地域では利用できません。
サーバーの選択に関して、Edge Secure Network VPN ではユーザーがノードや国/地域を手動で指定することはできません。ユーザーの質問に答えて、Microsoft は、このサービスは地理的に「最も近い」サーバーに自動的に接続し、手動で地域を切り替えるオプションは開かれないことを確認しました。 Microsoftはまた、この機能にはある程度の「インテリジェンス」があり、完全に暗号化されていないWebサイトや、リスクが高いと考えられるネットワーク環境(公衆Wi-Fiなど)にアクセスした場合に自動的に有効化されると述べた。ユーザーは設定でこれを調整して、より多くの閲覧シナリオで有効にしたり、オンデマンドのみを有効にしたりすることもできます。 Microsoft は公式説明の中で、Edge Secure Network を組み込みの「基本的な保護」と位置づけており、従来の独立した VPN サービスを完全に置き換えることができるとは明示的に主張していません。しかし、同社は依然としてマーケティング上のレトリックで「月額無料の VPN データ保護」や「VPN テクノロジーの使用」などの用語を使用しています。
この宣伝はすぐに、プライバシー研究者である Sooraj Sathyanarayanan から技術的な懐疑的な見方を引き起こしました。彼は現在 Brave ブラウザー チームに所属しており、以前からプライバシーとセキュリティの問題を懸念していました。スーラジ公開日
Sooraj 氏の分析によると、Edge Secure Network は本質的にブラウザ レベルのトラフィック トンネルであり、システム レベルの仮想プライベート ネットワークではありません。これは、Edge ブラウザによって生成されたネットワーク リクエストのみが暗号化チャネルに送信され、システム内の他のアプリケーション、バックグラウンド サービス、電子メール クライアント、オペレーティング システムのアップデート、さらには DNS クエリさえも通常のネットワーク パスを通過し続け、この機能によって保護されないことを意味します。
同氏は、これを、デバイス全体にエンドツーエンドの暗号化トンネルを確立するのではなく、Edge 内の閲覧セッションを保護するように設計された、Cloudflare Privacy Proxy 上に構築された HTTP CONNECT プロキシ アーキテクチャと定義しています。対照的に、多くの商用 VPN ツールは、すべてのネットワーク トラフィックをデバイスから暗号化された出口に均一にルーティングし、「キル スイッチ」やサーバー リージョンの選択などの機能を提供します。
研究者らはまた、Edge Secure NetworkはデフォルトでMicrosoftが「最適化モード」と呼ぶモードで動作することも指摘しており、これはユーザーが設定を手動で変更してすべての閲覧シナリオをカバーするように拡張しない限り、特定の条件(公衆Wi-Fiへの接続、HTTPS以外のWebサイトへのアクセスなど)でのみ自動的に有効になることを意味する。さらに、この機能を有効にするには、個人の Microsoft アカウントにログインする必要があります。 Microsoft は、これは月間 5 GB のトラフィック制限を測定し強制するためであると説明していますが、研究者の見解では、これは、この保護層が匿名の使用ではなく検証済みの ID に関連付けられていることも意味します。
信頼モデルに関して、Sooraj 氏は Edge Secure Network を「二者間信頼アーキテクチャ」と説明しました。Microsoft がアカウント ID 管理を担当し、Cloudflare がネットワーク ルーティングを担当します。 Microsoftは、CloudflareがユーザーアカウントのIDを確認できないことを保証しており、Cloudflareはユーザーの特定のトラフィックコンテンツをチェックしないと公式声明で述べています。しかし研究者らは、システム全体が両当事者の声明の信頼に基づいており、データ処理の詳細を検証するための独立した公的監査が欠けていると警告している。同氏はまた、Edge Secure Networkには手動によるリージョン選択がなく、ルーティング動作の透明性が限られており、従来のフルデバイスVPNに共通する保護メカニズムの一部が欠けていることにも言及した。
より広範な業界状況を見ると、ブラウザにネットワーク保護層を導入しているのは Microsoft だけではありません。 Opera ブラウザにはすでに同様の「ブラウザ内 VPN」機能が組み込まれており、統合されたプライバシー保護コンポーネントとして位置付けられています。このタイプのツールは、「利便性第一」のシナリオを重視しています。つまり、特定の条件下で自動的にオンになり、設定が簡単で、システム全体の VPN によって引き起こされる可能性のある明らかなパフォーマンスの低下を回避しながら、公衆 Wi-Fi などの安全でない接続によって引き起こされる明示的なリスクをある程度軽減します。ただし、本来の設計意図と機能の観点から、これらのブラウザーに組み込まれた保護機能は、従来の VPN サービスの完全な代替品と見なすことはできませんし、またそう見なすべきではありません。
Edge Secure Network をめぐる論争における重要な問題は、ベンダーがそのような機能をユーザーに宣伝する際に、その機能の範囲をどの程度正確かつ透過的に定義すべきかということです。一般のユーザーにとって、「VPN」という用語はシステム レベルの全トラフィックのプライバシー保護と地域切り替え機能を意味することが多いですが、Edge Secure Network は「組み込みセキュリティ プロキシ」のカテゴリに近いものです。将来的に、この機能を「実用的な基本的な保護」とみなすことができるか、それとも「過剰にパッケージ化されたプライバシー機能」とみなすことができるかは、Microsoft が公式文書やマーケティング表現でその位置付けと制限をどのように明確にし続けるかに大きく依存します。 Microsoftは、研究者の批判についてこれ以上の公式声明をまだ出していない。同メディアはマイクロソフトに対し、より明確な声明を求めており、回答を得次第報告書を更新すると述べた。