Surfsharkは、ユーザーのセキュリティを重視した製品開発に注力しています。
ここでは、すべてのサービスと製品、お客様にとってのすべてのメリットに必要な最高のセキュリティ基準を保つ取り組みを紹介します。
100%RAMのみのインフラサーバー
Surfsharkは、VPN業界の中でサーバーをRAMのみのインフラに変えた最初の企業の一つです。これは、サーバーがハードドライブストレージの代わりにRAMメモリのみを使用して起動していることを意味します。
Surfsharkのトラストセンターへようこそ!
-
当社が沿っているセキュリティ基準
-
当社のサーバーインフラの技術的な側面
-
当社の認証、特許と監査
-
当社の価値観とプライバシー関連の取り組み
セキュリティ機能
お客様がSurfsharkを使用してセキュリティを確保できるように、非常に厳重なセキュリティ対策を講じています。当社のセキュリティの実装、テスト評価や、サービスとお客様の安全性を維持するためにSurfsharkと製品に導入している方法をご覧ください。
最も安全なプロトコルの実装
SurfsharkではWireGuard、OpenVPN、IKEv2 VPN のプロトコルを実装し、強力なAES-256-GCM暗号化方式を用いています。AES-256暗号化方式に加え、SurfsharkはWireGuardプロトコル向けのChaCha20暗号化方式を用いています。さらにSurfsharkでは、RSA(発明者のリベスト、シャミア、エーデルマンの頭文字)暗号鍵の2048ビットを用いています。
外部のバグバウンティ
Surfsharkでは外部のバグバウンティに応じています。信頼できる企業に依頼し、当社のソフトウェアのバグやシステムの脆弱性を発見してもらう仕組みを構築しています。これにより、ごくごく小さなセキュリティ上の欠陥もより的確に特定して修正でき、お客様と当社の事業を守ることができます。
ペネトレーションテスト
頻繁にシステムのペネトレーションテストを実施することで、悪用の恐れのある脆弱性を確認し、ソフトウェアを評価しています。社内外のペネトレーションテストを定期的に実施することで、当社のサービスの製品を徹底的に評価します。
安全な設計と開発
当社の設計プロセスには、セキュリティとプライバシーの脅威モデリングが含まれます。静的アプリケーション・セキュリティ・テスト(SAST)とそのほかの方法を用いてセキュリティの欠陥と、脅威と脆弱性を発見し、十分な対策を講じることで潜む危険を減らしたり、なくしたりしています。
セキュリティ対策
Surfsharkでは、ログインプロセスのセキュリティを強化し、ブルートフォース攻撃などの特定の攻撃を防ぎ、システムとデータへのアクセスを権限あるスタッフに限定するために、アプリケーションや社内業務に様々な形式のセキュリティ対策を講じています。
特権アクセス管理(PAM)
当社は、特権アクセス管理(PAM)を使用して、ITネットワークのアクセスを厳格に管理・監視しています。このシステムでは、許可されたスタッフのみが必要なアクセス権を持つことができ、すべてのアクティビティを保存す詳しい監査証跡が含まれるため、当社のセキュリティを向上させ、業界基準を満たすことができます。
セキュリティの監視
Surfsharkは、不審なアクティビティ、悪意のあるアクティビティや潜在的な攻撃からITインフラを監視しています。24時間年中無休で監視しており、すべてが自動で処理されます。
ゼロ知識性に対応したパスワードストレージ
Surfsharkのデータベースにあるユーザーのログイン情報は暗号化されているため、保存されているログイン情報は誰も復号することができません。サーバーのデータが漏洩した場合でも、保存されているユーザーのログイン情報は誰も復号することができません。
自動パッチ
Surfsharkは、製品環境が確実にソフトウェアの要件を満たすように、自動パッチによる更新を使用しています。
サイバー脅威インテリジェンス
システムを自動で監視し、インシデント、評価と脅威アクターに関する知識、専門性と経験に基づいて、世界中の最新の脅威を当社に通知する仕組みを講じることで、Surfsharkは常に最新の状態を保っています。
最小権限の原則(PoLP)
当社は最小権限の原則(PoLP、別名PoMP)を遵守しています。これは、従業員が各自の業務に必要なツール、リソースやオペレーションシステムのみにしかアクセスできないという仕組みです。当社のカスタマーサポートは、この必要最小限のアクセスで業務を行っています。
サーバー
Surfsharkは、ユーザーのより高いプライバシーとセキュリティレベルを追求し、出来るかぎり最高の環境を提供することに努めています。サーバー数を増やしてRAMのみのサーバーに変えることは、VPN市場では、プライバシーと透明性の向上に欠かせないステップです。
10Gbpsのサーバー速度
サーバーの速度を1Gbpsから10Gbpsに変えることで、Surfshark VPNの接続が速くなり、新しいサーバーの処理能力が高まります。つまり、データの大きな塊をより速く転送できるということです。データの処理が速くなるので、より多くの人がサーバーを利用でき、速度がさらに安定します。また、サーバーの混雑具合が解消されます。
世界中で4,500台以上のサーバー
4,500台以上のサーバーが、100か国に配置されています。SurfsharkはVPNの使用が制限されている多くの州にも対応しており、サーバーの実際にある場所と異なるバーチャルな場所が表示されます。VPNのサーバーの性能が高ければ高いほど、サーバーの速度が速くなり、混雑しません。
自動再構築
当社のVPNサーバーのほとんどが定期的に消去され、再構築されています。このようにして、システムの脆弱性の窓を減らしています。
性能
Surfsharkは、性能が当社を支える基盤であり、お客様満足度の重要な要素の一つであることを理解しています。製品の性能を保つために、絶え間なくイノベーションに取り組むと同時に、高性能の基準を証明できるように、頻繁に第三者に評価報告書の発行を依頼したり、特許を取得したり、様々な取り組みを行っています。
コードレビュー
SurfsharkはSASTの協力を得て、定期的にソフトウェアの性能評価を行っています。
24時間年中無休のサポート
サービス品質を保証するために、Surfsharkは24時間年中無休でお客様をサポートします。サポートの担当者には、ライブチャット機能やメールでお問い合わせできます。
従業員のバックグラウンドチェック
Surfsharkは新規採用者の身元調査で評判を確認し、内部脅威のリスクを抑えています。
Surfsharkの監査
ノーログポリシーは、どの安全なVPNでも核となる要素です。4大会計事務所の一つであるデロイトによる報告書では、Surfsharkがノーログポリシーで述べている約束を忠実に守っていることが認められました。これにより、Surfsharkが最高水準のプライバシーおよび品質要件に準拠していることを、ユーザーや潜在的なクライアントに対して具体的に示すことができます。Surfsharkは2023年と2025年に、デロイトによるノーログポリシーの検証を受けています。
ノーログ検証レポートは、Surfsharkユーザー向けにウェブアプリで公開されています。
2025年4月、SecuRingはSurfsharkの製品(ウェブアプリ、デスクトップアプリ、モバイルアプリ、ブラウザプラグインを含む)に対して包括的なセキュリティ評価を実施しました。OWASPフレームワークに基づいてブラックボックス手法およびグレーボックス手法を用いて行われたペネトレーションテストでは、重大な脆弱性は確認されませんでした。
高性能のVPNサービスには、強固で安全なサーバーインフラストラクチャが重要です。これを実現するために、弊社はサービスのセキュリティとソフトウェアを評価するために独立した監査機関を採用しています。
SecuRingによる独立したインフラセキュリティ監査により、弊社のネットワークインフラストラクチャが不正アクセスや業務中断から保護され、現実世界の攻撃に対して耐性を有し、最高のセキュリティ基準に準拠していることが確認されました。
ドイツの企業Cure53による徹底的な監査では、弊社のインフラストラクチャに重大な懸念事項は見つかりませんでした。
Cure53によるもう一つの監査では、当社のブラウザ拡張機能の強固なセキュリティが証明されました。報告書では、社内のセキュリティ対策でセキュリティリスクが軽減されていることが認められており、製品の安全性が事実であることを証明できます。
正規の証明書
SurfsharkのAndroidアプリは独立したMobile App Security Assessment(MASA)認証に継続的に合格しており、国際的に認められたセキュリティ基準を安定してみたし、ユーザーデータを保護していることが確認されています。
Surfsharkの認証結果の詳細はこちらをご覧ください。
イノベーション
当社はサービスの向上と業界標準を超えることを目指し、新しくてより良い機能の開発に絶え間なく取り組んでいます。最新のイノベーションの一つがNexusで、当社のすべてのVPNサーバーを単一のグローバルネットワークに接続する技術です。Nexusは、IPローテーターやDynamic MultiHopなど、画期的な機能を有効化することもできます。
IPローテーター
選択したロケーションのIPアドレスを、VPNからユーザーの接続を切断することなく、5分から10分おきに変更します。
Dynamic MultiHop
ユーザーは、サーバーの既存リストからVPNのエントリーポイントと出口ポイントを選択できます。
特許
Surfsharkは、イノベーション、方法やアイデアでいくつかの特許、すなわち独占権を取得しました。これにより、他者が当社のイノベーション技術を開発、使用または期間限定で販売することは法的に不可能になります。
透明性
サイバーセキュリティ企業として、透明性はユーザーからの信頼を得るうえで欠かせない要素です。そのため、Surfsharkは年報を公開し、政府からの問い合わせや法的な要請に応えることで、内部の取り組みを定期的に公開しています。
透明性レポート
サイバーセキュリティ企業として、当社は最高の基準を守ることが使命だと考えており、その一環として透明性を重視しています。透明性レポートでは受け取ったユーザーデータに関する要請の種類と件数を公表しており、その数字は四半期ごとに更新されます。
DSA透明性レポート
透明性の維持とDSA(Digital Services Act: デジタルサービス法)の遵守への取り組みを継続する一環として、当社はDSA透明性レポートを公開しました。本レポートでは、DSAの遵守を確実にするための取り組みをまとめるとともに、責任ある安全なサービスを維持する姿勢を示しています。
更なる業界標準の高さを目指して
Surfsharkは、消費者の安全性とオンラインプライバシーの促進を目的に業界主導で設立されたVPT Trust Initiativeと密に協力しています。当社は、VPNプロバイダーの運営の在り方の基準となるVTI原則を支持し、これに従っています。この原則は、セキュリティ、広告実践、プライバシー、情報開示と透明性、社会的責任が対象になります。
Surfsharkは、デジタル権利とインターネットのガバナンスを監視する組織NetBlocksに協力しています。世界規模のインターネット障害に対する意識を高め、それに関する情報を普及するという同組織の使命と目的は、制限がなく、誰でも利用できるインターネットという当社の価値観と一致します。