バイパス（bypass）と「許可のみ」はどちらを使えばよいですか

例外が少なく「ほとんど全部プロキシ」ならバイパスで銀行と国内アプリだけ外す構成が単純です。逆にブラウザ数本とツールだけ通したいなら許可のみの方が安全で、リストは定期メンテが必要になります。

分アプリを触っただけでタイムアウトが増えました。原因になりますか

測速クライアントやブラウザがトンネル外にいる許可のみ設定によく起因します。また DNS 側の競合とも混ざって見えるため、一旦全体許可へ戻し、並行して VPN 権限や fake-ip を含む DNS チェックも行ってください。

YAML の DOMAIN ルールと分アプリはどちらが優先ですか

レイヤが異なります。分アプリは Android の VPN がどのアプリ UID をキャプチャするかを決め、YAML は一度トンネルに入ったトラフィックをどう振り分けるかを決めます。両方必要なときは両方設定します。

銀アプリは直結にしたつもりなのにまだ異常になります

同一機能を提供する複数プロセスがあるケースがあります。開発者オプションのプロセス一覧やログで実際の送信元 UID を確認し、見落ちがないか再点検してください。親アプリを直結でも WebView が別 UID の場合があります。

Clash for Android｜分アプリプロキシとバイパス手順

分アプリプロキシで解決する悩み

グローバルに VPN をオンにすると、位置情報サービスへの対応がある金融アプリが警告を返したり、国内ウォレットが利用制限になる例が定期的に話題になります。一方で、ブラウザやメッセンジャのみ海外ノード経由へ流したい、というユーザーは増え続けているため、単純オフ／オンでは両立しにくくなっています。Clash for Android では、この矛盾をVPN が捕捉する UID（アプリケーション単位）の集合で調整することで、アプリ側の細かな挙動に干渉しすぎないまま達成できるケースがあります。

用語ノート英語フォーラムで per-app と書かれた場合、本機能と同種のレイヤーを指していることがほとんどです。bypass は「トンネルの外側に出す」を意味しますが、画面上は「許可のみ」「適用しないアプリ」のように異なる文言が並ぶので、自分のインストール版については一度公式ドキュメント相当のスクショ付き資料を確認してください。

ここでの焦点はYAMLの書き換えではなく、アプリ画面上に並ぶリストの論理だけです。GEOIP などで国内を自動直結させる構成と両立させるときは、その先に読み込むレイヤとの整合が必要になります。そのため複雑化するユーザーは後半の関連節にも目を通し、別稿のYAML解説とも往復読みすると理解が進みやすくなります。

注意端末によってはワークプロファイル（仕事用アプリコンテナ）を別セットとして扱います。その場合リストを二重に管理しないと、「仕事側ブラウザは通したい」のにユーザー領域の設定だけ触って結局直結になり続けるなどの齟齬が起きやすくなります。

サブスク直後からノード一覧が異常だったりタイムアウトが増えている場合には、リスト以前に権限・DNS・省電力の影響が疑わしくなります。まず共通のチェックリストを踏みたい方は別稿のノード異常調査にも誘導されていますので、両方セットで読むと時間の節約になります：Clash for Android のノードがすべてタイムアウトするときの7ステップを参照してください。本稿とは切り口が異なりますが、並行運用での事故を減らす意味で親和性が高いです。

二つの考え方：例外バイパスと「許可のみ」リスト

実質的には同じ結果を両方のアプローチで作れる場面がありますが、思考のしかたが異なります。例外バイパス（除外リストとも呼ぶ）が向いているのは、トンネルに入れたい対象が多く、むしろ外したい名前がごくわずかなときです。この場合はリストを短く保てるので、定期的に増える国内アプリの更新にも追いつきやすいです。逆に、プロキシに載せたいのがごくわずかのブランドアプリのみで、それ以外すべてを国内のまま保ちたいなら許可のみタイプへ切り替えたほうが誤許可による事故確率が下がります。

どちらのモードにも共通するのが「テストするときのアプリ」「速度計」「ブラウザ」がリストの外に残っていないかどうかの確認です。許可のみモード特有の地雷は、自分が通信検証するときだけ Chrome を開き、リストにチェックを付けていないため、画面上はノード異常にも見える、という単純なパターンが非常に多いことです。その意味で、まず「全体を通した状態で機能するか」を短時間だけでも確認し、問題が消えるなら原因はルールやノードではなくスコープである、と判断できます。

メニュー名はリリースラインやビルドで頻繁に変わるため、ここでは固定の文字列を列挙しません。代わりに探す見出しの方向性として「アプリ」「分割」「プロキシ」「VPN アプリ」といったカテゴリを横断してみてください。最近の派生版では英語UIがデフォルトの場合もあるので、英語表示に切り替えて per-app や split といったキーワードを探すのも早道です。

前提：Android の VPN プロファイルが実際にトラフィックを握れているか

分アプリをいじる前に、Clash 自体がトンネルを張れているかを確かめてください。トンネルが落ちているままリストだけを触っても何も改善しません。バッテリー最適化が強い端末では、バックグラウンドで止まりやすいです。省電力まわりの具体的な打ち手は Clash for Android のバックグラウンドと省電力周りを参考にしつつ、常時接続やオートスタートの扱いを整えてから分アプリへ進むと手戻りが減ります。

モードとして TUN（仮想ネットワーク）と システムプロキシ相当 を切り替えられる派生があれば、捕捉範囲が変わる点に注意してください。アプリがシステムプロキシを無視する実装の場合、UID ベースのスコープが効いても期待と違う経路が残ることがあります。症状が限定的なブランドアプリだけに出るときは、まず TUN 側へ寄せるか、ルールと合わせて検証するのが一般的です。

手順A：例外バイパスで銀行・ウォレット・国内配信アプリを外す

まずトンネルをオンにし、既定が「ほぼすべてのアプリが VPN 内」であることを確認します。次に例外リスト相当の画面を開き、除外したい公式アプリを順に追加します。銀行アプリは個別にプロセスが分かれていることがあるため、本体とセキュリティモジュール、サブのウォレットパッケージなど二重登録が必要なケースがあります。追加したらアプリを一度強制終了し、改めて課金フローや残高照会を試し、警告が消えるかを見ます。

ポイントは除外したアプリが実際に国内出口へ出ているかをアプリ内の表示や振る舞いで判断することです。IP 表示サイトは別アプリで開くとトンネル側のままなので、判断材料として混同しやすいです。たとえば決済画面が WebView で開く場合、親アプリは除外でも WebView のプロセスは別 UID であるため、期待と違う経路が残ることがあります。ここは実機ログとアプリ情報を使ってUIDを突き合わせるのが確実です。

国内の動画配信や地図を直結に保ちたい場合も同じ操作で例外を列挙します。ただし CDN の都合で海外ノードに乗せた方が速いストリーミングもあるため、例外を増やしすぎると本当はプロキシの方が快適なアプリまで外れてしまうことがあります。現場では「まずは金融と位置情報に敏感なアプリだけを外し、残りはノードと往復しながら調整する」といった漸進的なやり方が安定しやすいです。

手順B：「プロキシするアプリのみ」でホワイトリスト運用する

このモードは事故を減らす一方、メンテナンス負荷が上がります。切り替えた直後にブラウザがトンネル外に落ちると、実際にはプロキシが生きていても「すべてが失敗する」ように見えるため、最初に利用するアプリを全部チェックします。ここで典型的に抜けるのが、通知から起動する小型アプリ、ダウンロードマネージャ、独自のプロセスを持つ SNS クライアントです。

運用のコツはカテゴリ単位で棚卸しすることです。まず「海外サイト閲覧」「開発者向け API テスト」「社内アプリ」など目的別にフォルダのように頭の中で分け、各カテゴリで主要アプリを漏れなく選択します。新しいアプリを入れるたびにこの画面へ戻る習慣がないと、数週間後に「急にこのアプリだけつながらない」という形で再発します。

ホワイトリストはセキュリティ上の意味でも利用者が多いです。端末を家族と共有する場合や、誤って未知のアプリがトンネルに乗らないようにしたい場合に有効です。反面、OS アップデートでパッケージ名が分割されたり、メーカーアプリが差し替わったりすると静かに壊れるので、四半期に一度は棚卸しするのが現実的なラインです。

よくあるハマりどころと切り分け

第一に、分アプリを切り替えた直後にキャッシュされた接続が残り、数分間だけ挙動が不安定に見えることがあります。完全に切り替わらない場合は端末再起動か、該当アプリのストレージキャッシュ削除を試します。第二に、IPv6 経路と IPv4 経路が混在するキャリアでは、UID スコープとルールの組み合わせで片方だけ期待外れになることがあります。第三に、端末にプリインストールされた「セキュリティセンター」が VPN を間欠的に止める例があり、そこはOS設定で例外を与える必要があります。

さらに、社内 MDM や常時 VPN 製品と二重化していると、UID ベースのスコープが期待どおりに効かないことがあります。症状が企業端末に限って出る場合は、IT 部門のポリシー確認が先です。家庭用端末でも子ども向け機能や親の管理アプリが干渉する例があるため、並行してオフになっているかだけ軽く見ておく価値があります。

症状っぽい見え方	ありがちな原因
ノード一覧のテストがすべて赤になる	テスト／ブラウザが許可のみの外にいる／fake-ip とテスト対象ドメインの相性など
銀だけ警告、他は問題なし	バイパス漏れまたは WebView 子プロセス
Wi‑Fi では普通、LTE だけおかしい	キャリア DNS／プライベート DNS と相性、別プロファイル側の省電力設定など

YAML のルールと二段構えにするときの読み替え

UID 側でブラウザをトンネルに入れたあとでも、YAML 上で国内ドメインを DIRECT に落としていると海外出口には出ません。その逆も真なりです。ユーザーが「YAML は完璧だのに結果が変」と感じる典型はこの二層です。複雑なマルチリージョン設計についてはClash YAML の分流ガイド（2026年版）でドメインパターンの整理や Rule Providers を扱っています。モバイルの短いチェックリストとデスクトップの長周期メンテの設計書を両方読むことで運用ミスが減ります。

実務では、YAML は「一度トンネルに載ったネットワークフローをどう振り分けるか」を担当し、アプリリストは「そもそもトンネルに載せるか」を担当する、という二行のノートだけ書いて運用開始しても十分です。そのメモがあるだけで数日後に他人へ引き継ぐときにも説明が早くなります。

よくある質問（補足）

Q. 画面に英語だけが並ぶときは
A. 端末自体の日本語設定は維持したまま、クライアントだけ英語へ切り替えて検索すると用語対応が取りやすいです。また GitHub Issues のスクショは英語版が多く、視覚的比較に向きます。

Q. ルーター側でも分流している場合
A. 二つのレイヤーを同時にいじると原因が不透明になりやすいです。検証フェーズでは片方を単純化し、問題が収束してから両方オンに戻してください。

まとめ

Clash for Android の分アプリプロキシ は、銀と海外ブラウザを両立させる現場で欠かせないレバーです。モードによってはリストを更新し続ける義務が生じますが、一度「全体適用での再現確認」を挟むだけで調査時間を大きく短縮できます。ノード異常との切り分けが必要になったときは前述のタイムアウト専用稿と往復させると、DNS 側の問題を誤ってアプリリストのせいにする事故を避けられます。

汎用の「ワンタップ VPN」製品には、アプリ粒度のリストが単純すぎたり、アプリ側の複数プロセスを意識しにくいUIのものがまだ見られます。更新がゆっくりなクローズドソースのアプリでは、Android の新しいパッケージ分割仕様への追従も遅れがちです。一方で Clash 系エコシステム とその派生では、YAML 側の自由度とセットで細かく制御できるため、ワークと生活を分ける要件にも現実解が見つけやすいのが強みです。入手経路ごとビルド差を一覧できると、自分の端末での再現ログと突き合わせやすくなります。

→ Clash を無料ダウンロード — 公式・派生ビルドの取得先を比較し、自分の端末構成にあわせたクライアントから試せます。

ほかのチュートリアルは技術コラムからどうぞ。