NordVPNはパナマで登録されたNordVPN S.A.によって運営され、アムステルダムに本社を置くNord Securityが開発している。パナマの管轄はファイブアイズ、ナインアイズ、フォーティーンアイズのいずれのアライアンスにも属さない。しかし、企業の歴史は多くのプロバイダーよりも複雑だ。NordVPNはTomas OkmanasとEimantas Sabaliauskaによって共同創業されたが、両者はリトアニアのテックインキュベーターであるTesonetも共同創業している。Tesonetのポートフォリオには、レジデンシャルプロキシおよびWebデータ抽出企業であるOxylabsが含まれる。2018年のHola訴訟に関連する法廷文書により、TesonetがNordVPNの運営に直接関与していたことが確認されている。NordVPNはTesonetが契約上のサービスのみを提供しており、VPNのポリシーに対する支配権はないと主張している。この関係が実質的な利益相反を構成するかどうかについて、プライバシーコミュニティでは意見が分かれたままだ。
監査の実績は業界内でもおそらく最も充実している。デロイトはISAE 3000基準のもとで6回連続の年次ノーログ審査(2020年〜2025年)を実施し、いずれもユーザーアクティビティのログが記録されていないことを確認している。Cure53は2022年にインフラおよびアプリセキュリティの包括的なレビューを実施し、アプリに関する22件、インフラに関する11件の指摘事項を発見したが、すべて解決済みだ。VerSpriteは2019年と2021年にペネトレーションテストを実施し、重大な脆弱性は発見されなかった。AV-Comparativesは2025年にThreat Protection Proをテストし、フィッシングサイトのブロック率92%を記録した。West Coast Labsは2025年11月に速度、信頼性、セキュリティを独立して検証している。
フィンランドのデータセンターで発生した2018年のサーバー侵害は、NordVPNの実績における重大な汚点として残っている。攻撃者は、データセンターがNordVPNの知らないうちに設置した安全でないリモート管理システムを通じてルートアクセスを取得した。NordVPNは何もログを記録していないためユーザーデータは侵害されなかったが、同社は5,000台以上のサーバーすべてを監査する必要があったとして、18ヶ月後まで公開開示を遅らせた。セキュリティ研究者たちはこの遅延をプライバシー企業としての致命的な失態と呼んだ。これを受けてNordVPNは当該データセンターとの契約を終了し、完全なRAMオンリーサーバーへの移行、バグバウンティプログラムの開始、監査頻度の大幅な増加を実施した。
速度パフォーマンスは明確な強みだ。NordVPNのWireGuardベースプロトコルであるNordLynxは、近隣サーバーへ900Mbps以上、大西洋横断でも約900Mbpsを提供し、業界最速クラスの一つに位置する。TechRadarは1,200Mbpsを超えるピーク値を記録している。2025年に導入された新しいNordWhisperプロトコルは、VPNトラフィックを通常のHTTPSに偽装することで、検閲が厳しい地域におけるディープパケットインスペクションを回避する。
NordVPNは主要VPNプロバイダーの中で初めて全プラットフォームにポスト量子暗号を実装し、2025年5月にNordLynxへML-KEM(NISTの標準であるCRYSTALS-Kyber)を導入した。これは量子コンピューターが将来的に現在傍受されたトラフィックを復号するという理論的な脅威に対して保護するもので、ProtonVPNや多くの競合が持たない先進的な機能だ。
サーバーインフラは127カ国以上に8,000〜9,000台以上のサーバーを展開しているが、正確な台数は現在公開されていない。特殊サーバーにはDouble VPN、Onion over VPN、難読化、P2P最適化、専用IPオプションが含まれる。Meshnetは最大60台のデバイス間でのピアツーピア接続を可能にする。Netflix、Prime Video、Disney+、BBC iPlayer、Huluを含むストリーミングサービスのブロック解除は安定して機能する。
NordVPNは2024年4月から2025年5月にかけて提起された複数の集団訴訟に直面しており、欺瞞的な自動更新慣行が主張されている。具体的な申し立てには、4層のメニューの奥に解約オプションを隠すこと、十分な通知なしに有効期限の14日前にサブスクリプションを更新すること、解約を妨げるダークパターンの使用が含まれる。2025年10月のインタビューでNordVPNは、YouTubeマーケティングと自動更新に関するコミュニケーションについて誤りがあったことを認めた。
価格は導入期間においては競争力があり、2年間のBasicプランは月額3.39ドルから始まる。ただし、更新価格は大幅に上昇する。これは業界全体でよく見られる慣行だが、低価格を約束するマーケティングの量を考えると特に批判されている。Plusティアには、NordPass(パスワードマネージャー)とThreat Protection Proが含まれる。支払い方法はクレジットカード、PayPal、暗号通貨に対応している。
プラットフォームサポートはWindows、macOS、Linux(CLIのみ、GUIなし)、iOS、Android、ブラウザ拡張機能をカバーする。機能の均一性は高くなく、スプリットトンネリング、高度なキルスイッチオプション、Threat Protection機能はプラットフォームによって異なる。ポスト量子暗号はMeshnet、専用IP、難読化サーバーとは非対応であり、それらの機能に依存するユーザーにとって注目すべき制限だ。
NordVPNは政府の禁止サイト登録への参加を拒否し2019年にロシアから撤退しており、CERT-Inのデータ保持義務に対応するため2026年6月までにインドのすべてのサーバーを撤去する予定だ。どちらの決定も、市場アクセスよりもプライバシーを優先する姿勢を示している。
Trustpilotのレビューやredditのディスカッションからは意見の分裂が見られる。一般ユーザーは速度とストリーミングのパフォーマンスを高く評価する一方、プライバシー重視の利用者はTesonetとの関係や積極的なインフルエンサーマーケティングを理由にMullvadやProtonVPNを好むと述べている。積極的なYouTubeスポンサー戦略によって生まれた圧倒的なマーケティング存在感は、プライバシー優先ではなく商業優先の姿勢の表れと見る声もある。