VPSで作る自分専用VPN ― WireGuardで安全な回線を持つ完全ガイド

公衆Wi-Fiでの作業，固定IPが要るサービスへの接続── 商用VPNに月額を払い続ける前に，VPS＋WireGuardで自分専用VPNを持つ選択肢を知っておこう．

対象はセキュリティと自由度を両立したい個人開発者・リモートワーカー．読み終えたとき，自前VPNの仕組みと構築手順が掴めています．

なぜ自前VPNなのか

商用VPNは手軽だが，通信が事業者を経由するという信頼の問題が残る．自前VPNなら経路は自分のVPSだけで完結する．

さらにVPSの固定IPを出口にできるため，「特定IPからのみ許可」する管理画面やAPIへの接続にも使える．自由度が段違いだ．

WireGuardとは ― 速くて設定が単純な現代のVPN

WireGuardは軽量・高速・設定がシンプルな現代的VPNだ．従来のVPNより圧倒的に少ない設定で，暗号化された回線を張れる．

VPSをサーバー役にし，手元の端末をクライアントにする．これだけで暗号化トンネルが完成する．

ステップ1：VPSにWireGuardを入れて鍵を作る

WireGuardを導入し，サーバー用の鍵ペアを生成する．鍵の管理がそのままセキュリティの要になる．

導入と鍵生成

sudo apt install -y wireguard
wg genkey | tee server.key | wg pubkey > server.pub
sudo sysctl -w net.ipv4.ip_forward=1   # 転送を有効化

ステップ2：サーバー設定を書く

/etc/wireguard/wg0.conf にインターフェースとクライアントを定義する．VPSの公開ポートをファイアウォールで開けるのを忘れずに．

wg0.conf（サーバー側・抜粋）

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server.keyの中身>

[Peer]   # クライアント端末
PublicKey = <クライアントのpub>
AllowedIPs = 10.8.0.2/32

ステップ3：起動してファイアウォールを開ける

サービスとして起動し，51820/udpを開放する．これでVPSがVPNサーバーとして待ち受け始める．

起動とポート開放

sudo ufw allow 51820/udp
sudo systemctl enable --now wg-quick@wg0
sudo wg show

ステップ4：端末から接続して出口IPを確認

クライアント端末（PC/スマホ）に設定を入れて接続し，グローバルIPがVPSのものに変わることを確認する．これで通信はVPS経由になる．

公衆Wi-Fiでもこの状態なら通信は暗号化され，盗聴のリスクが大きく下がる．

補論：VPNの安定は「回線品質」と「固定IP」で決まる

自前VPNの体感品質は，VPSのネットワーク品質と固定IPに直結する．遅いVPSをVPNにすると，全通信が遅くなって本末転倒だ．

高速NVMe・50種類以上のOSテンプレートに対応した国内VPS─シン・VPS─ はNVMe SSD＋安定した回線で，VPN出口として常用しても快適に使える．固定IPが付くので「特定IPのみ許可」の運用にも向き，スナップショットで設定のやり直しも容易だ．

VPN管理用のダッシュボードを公開するなら，取り扱い400種類以上のドメイン取得サービス─ムームードメイン─ で取得したドメインを割り当てておくと管理が分かりやすくなる．

よくある質問

Q1：商用VPNと比べてコストは？

VPS代だけで済むため，複数端末で使うほど割安になりやすい．加えて経路を自分で管理できる安心感が得られる．

Q2：スマホからも使える？

使える．WireGuardは各OS向けの公式アプリがあり，QRコードで設定を読み込めば数秒で接続できる．

Q3：違法な用途にならない？

自分の通信を暗号化したり固定IPを確保する正当な用途であれば問題ない．各サービスの利用規約と法令の範囲で使うこと．

まとめ ― 「自分の回線」を持つという選択肢

VPS＋WireGuardは，暗号化・固定IP・経路の自己管理を一度に手に入れる方法だ．商用VPNに払い続ける前に検討する価値がある．

設定はシンプルだ．まず1台のVPSにWireGuardを入れ，手元の端末から繋いでIPが変わる瞬間を体験してみよう．