Surfsharkは、ユーザーのセキュリティを重視した製品開発に注力しています。
ここでは、すべてのサービスと製品、お客様にとってのすべてのメリットに必要な最高のセキュリティ基準を保つ取り組みを紹介します。
100%RAMのみのインフラサーバー
Surfsharkは、VPN業界の中でサーバーをRAMのみのインフラに変えた最初の企業の一つです。これは、サーバーがハードドライブストレージの代わりにRAMメモリのみを使用して起動していることを意味します。
Surfsharkのトラストセンターへようこそ!
-
当社が沿っているセキュリティ基準
-
当社のサーバーインフラの技術的な側面
-
当社の認証、特許と監査
-
当社の価値観とプライバシー関連の取り組み
セキュリティ機能
お客様がSurfsharkを使用してセキュリティを確保できるように、非常に厳重なセキュリティ対策を講じています。当社のセキュリティの実装、テスト評価や、サービスとお客様の安全性を維持するためにSurfsharkと製品に導入している方法をご覧ください。
最も安全なプロトコルの実装
SurfsharkではWireGuard、OpenVPN、IKEv2 VPN のプロトコルを実装し、強力なAES-256-GCM暗号化方式を用いています。AES-256暗号化方式に加え、SurfsharkはWireGuardプロトコル向けのChaCha20暗号化方式を用いています。さらにSurfsharkでは、RSA(発明者のリベスト、シャミア、エーデルマンの頭文字)暗号鍵の2048ビットを用いています。
外部のバグバウンティ
Surfsharkでは外部のバグバウンティに応じています。信頼できる企業に依頼し、当社のソフトウェアのバグやシステムの脆弱性を発見してもらう仕組みを構築しています。これにより、ごくごく小さなセキュリティ上の欠陥もより的確に特定して修正でき、お客様と当社の事業を守ることができます。
ペネトレーションテスト
頻繁にシステムのペネトレーションテストを実施することで、悪用の恐れのある脆弱性を確認し、ソフトウェアを評価しています。社内外のペネトレーションテストを定期的に実施することで、当社のサービスの製品を徹底的に評価します。
安全な設計と開発
当社の設計プロセスには、セキュリティとプライバシーの脅威モデリングが含まれます。静的アプリケーション・セキュリティ・テスト(SAST)とそのほかの方法を用いてセキュリティの欠陥と、脅威と脆弱性を発見し、十分な対策を講じることで潜む危険を減らしたり、なくしたりしています。
セキュリティ対策
Surfsharkでは、ログインプロセスのセキュリティを強化し、ブルートフォース攻撃などの特定の攻撃を防ぎ、システムとデータへのアクセスを権限あるスタッフに限定するために、アプリケーションや社内業務に様々な形式のセキュリティ対策を講じています。
特権アクセス管理(PAM)
当社は、特権アクセス管理(PAM)を使用して、ITネットワークのアクセスを厳格に管理・監視しています。このシステムでは、許可されたスタッフのみが必要なアクセス権を持つことができ、すべてのアクティビティを保存す詳しい監査証跡が含まれるため、当社のセキュリティを向上させ、業界基準を満たすことができます。
セキュリティの監視
Surfsharkは、不審なアクティビティ、悪意のあるアクティビティや潜在的な攻撃からITインフラを監視しています。24時間年中無休で監視しており、すべてが自動で処理されます。
ゼロ知識性に対応したパスワードストレージ
Surfsharkのデータベースにあるユーザーのログイン情報は暗号化されているため、保存されているログイン情報は誰も復号することができません。サーバーのデータが漏洩した場合でも、保存されているユーザーのログイン情報は誰も復号することができません。
自動パッチ
Surfsharkは、製品環境が確実にソフトウェアの要件を満たすように、自動パッチによる更新を使用しています。
サイバー脅威インテリジェンス
システムを自動で監視し、インシデント、評価と脅威アクターに関する知識、専門性と経験に基づいて、世界中の最新の脅威を当社に通知する仕組みを講じることで、Surfsharkは常に最新の状態を保っています。
最小権限の原則(PoLP)
当社は最小権限の原則(PoLP、別名PoMP)を遵守しています。これは、従業員が各自の業務に必要なツール、リソースやオペレーションシステムのみにしかアクセスできないという仕組みです。当社のカスタマーサポートは、この必要最小限のアクセスで業務を行っています。
サーバー
Surfsharkは、ユーザーのより高いプライバシーとセキュリティレベルを追求し、出来るかぎり最高の環境を提供することに努めています。サーバー数を増やしてRAMのみのサーバーに変えることは、VPN市場では、プライバシーと透明性の向上に欠かせないステップです。
10Gbpsのサーバー速度
サーバーの速度を1Gbpsから10Gbpsに変えることで、Surfshark VPNの接続が速くなり、新しいサーバーの処理能力が高まります。つまり、データの大きな塊をより速く転送できるということです。データの処理が速くなるので、より多くの人がサーバーを利用でき、速度がさらに安定します。また、サーバーの混雑具合が解消されます。
世界中で3,200台以上のサーバー
100 か国にある3,200以上のサーバーから選べます。SurfsharkはVPNの使用が制限されている多くの州にも対応しており、サーバーの実際にある場所と異なるバーチャルな場所が表示されます。VPNのサーバーの性能が高ければ高いほど、サーバーの速度が速くなり、混雑しません。
自動再構築
当社のVPNサーバーのほとんどが定期的に消去され、再構築されています。このようにして、システムの脆弱性の窓を減らしています。
性能
Surfsharkは、性能が当社を支える基盤であり、お客様満足度の重要な要素の一つであることを理解しています。製品の性能を保つために、絶え間なくイノベーションに取り組むと同時に、高性能の基準を証明できるように、頻繁に第三者に評価報告書の発行を依頼したり、特許を取得したり、様々な取り組みを行っています。
コードレビュー
SurfsharkはSASTの協力を得て、定期的にソフトウェアの性能評価を行っています。
24時間年中無休のサポート
サービス品質を保証するために、Surfsharkは24時間年中無休でお客様をサポートします。サポートの担当者には、ライブチャット機能やメールでお問い合わせできます。
従業員のバックグラウンドチェック
Surfsharkは新規採用者の身元調査で評判を確認し、内部脅威のリスクを抑えています。
Surfsharkの監査
ノーログポリシーは、どの安全なVPNでも核となる要素です。4大会計事務所の一つであるデロイトによる報告書では、Surfsharkがノーログポリシーで述べている約束を忠実に守っていることが認められました。これは、現在または今後当社の製品を利用するユーザー様に対して、Surfsharkが高度なプライバシーと性能の要件を遵守しているという明確な証拠になります。
高性能のVPNサービスには、強固で安全なサーバーインフラストラクチャが重要です。だからこそ、当社は独立した監査機関にサービスのセキュリティとソフトウェアの評価を依頼しているのです。ドイツの企業Cure53による徹底的な監査では、当社のインフラストラクチャに重大な懸念事項は見つかりませんでした。
Cure53によるもう一つの監査では、当社のブラウザ拡張機能の強固なセキュリティが証明されました。報告書では、社内のセキュリティ対策でセキュリティリスクが軽減されていることが認められており、製品の安全性が事実であることを証明できます。
正規の証明書
SurfsharkのAndroidアプリは、独立したモバイルアプリ・セキュリティ・アセスメント(MASA)のセキュリティ認証に合格しました。これは、当社のアプリが安全に利用でき、世界で認められたMASAの要件に従ってユーザーデータを取り扱っていることを証明するものです。
Surfsharkの認証結果の詳細はこちらをご覧ください。
イノベーション
当社はサービスの向上と業界標準を超えることを目指し、新しくてより良い機能の開発に絶え間なく取り組んでいます。最新のイノベーションの一つがNexusで、当社のすべてのVPNサーバーを単一のグローバルネットワークに接続する技術です。Nexusは、IPローテーターやDynamic MultiHopなど、画期的な機能を有効化することもできます。
IPローテーター
選択したロケーションのIPアドレスを、VPNからユーザーの接続を切断することなく、5分から10分おきに変更します。
Dynamic MultiHop
ユーザーは、サーバーの既存リストからVPNのエントリーポイントと出口ポイントを選択できます。
特許
Surfsharkは、イノベーション、方法やアイデアでいくつかの特許、すなわち独占権を取得しました。これにより、他者が当社のイノベーション技術を開発、使用または期間限定で販売することは法的に不可能になります。
透明性
サイバーセキュリティ企業として、ユーザー様の信頼を得る上で透明性は欠かせません。そのため、Surfsharkは年報を公開し、政府からの問い合わせや法的な要請に応えることで、内部の取り組みを定期的に公開しています。
透明性の報告
当社は、デジタルサービス法(DSA)など、業界内で高まる透明性の必要性を理解し、受け入れます。サイバーセキュリティ企業として、最高水準を満たすことが義務であると感じ、透明性のあることが義務の一つであります。以前から当社のウェブサイトに記載されていた令状のカナリアに加えて、当社に寄せられた要請の種類と数を記載した透明性の報告書を公開しています。その数は3か月ごとに更新します。
ユーザーデータの要求(2024年7月~9月)*
*ユーザー関連のデータの開示に至った要求はありませんでした。
| 種類 | 寄せられた要請の件数 |
| DMCA申請 | 245444 |
| 政府機関からの問い合わせ | 34 |
| 国家安全保障書簡 | 0 |
| かん口令 | 0 |
| 政府機関からの令状 | 0 |
| DSAに従って寄せられた要請 | 0 |
Surfsharkは、法的な要請と政府からの要請、並びにDSAに従って寄せられた要請を伝えるために、透明性の報告書を定期的に公開し、ユーザー様のプライバシー保護への取り組みを証明しています。政府機関からの問い合わせはすべてVPNサーバーのIPアドレスと、特定の通信日時nい基づくものでした。デロイトによる評価報告書で証明され、当社のRAM専用サーバーで強化されたノーログポリシーに従い、ユーザーのオンラインアクティビティ(IPアドレス、閲覧履歴やネットワークトラフィックなど)に関するいかなる情報も収集していないため、要請に応じて開示する情報は何一つありません。プライバシー保護への取り組みを証明することで、ユーザー様と信頼関係を築くことを目指しています。
更なる業界標準の高さを目指して
Surfsharkは、消費者の安全性とオンラインプライバシーの促進を目的に業界主導で設立されたVPT Trust Initiativeと密に協力しています。当社は、VPNプロバイダーの運営の在り方の基準となるVTI原則を支持し、これに従っています。この原則は、セキュリティ、広告実践、プライバシー、情報開示と透明性、社会的責任が対象になります。
Surfsharkは、デジタル権利とインターネットのガバナンスを監視する組織NetBlocksに協力しています。世界規模のインターネット障害に対する意識を高め、それに関する情報を普及するという同組織の使命と目的は、制限がなく、誰でも利用できるインターネットという当社の価値観と一致します。