Surfsharkは、ユーザーのセキュリティを重視した製品開発に注力しています。
ここでは、すべてのサービスと製品、お客様にとってのすべてのメリットに必要な最高のセキュリティ基準を保つ取り組みを紹介します。
100%RAMのみのインフラサーバー
Surfsharkは、VPN業界の中でサーバーをRAMのみのインフラに変えた最初の企業の一つです。これは、サーバーがハードドライブストレージの代わりにRAMメモリのみを使用して起動していることを意味します。
Surfsharkのトラストセンターへようこそ!
-
当社が沿っているセキュリティ基準
-
当社のサーバーインフラの技術的な側面
-
当社の認証、特許と監査
-
当社の価値観とプライバシー関連の取り組み
セキュリティ
お客様がSurfsharkを使用してセキュリティを確保できるように、非常に厳重なセキュリティ対策を講じています。当社のセキュリティの実装、テスト評価や、サービスとお客様の安全性を維持するためにSurfsharkと製品に導入している方法をご覧ください。
最も安全なプロトコルの実装
SurfsharkではWireGuard、OpenVPN、IKEv2 VPNのプロトコルを実装し、強力なAES-256-GCM暗号化方式を用いています。AES-256暗号化方式に加え、SurfsharkはWireGuardプロトコル向けのChaCha20暗号化方式を用いています。さらにSurfsharkでは、RSA(発明者のリベスト、シャミア、エーデルマンの頭文字)暗号鍵の2048ビットを用いています。
外部のバグバウンティ
Surfsharkでは外部のバグバウンティに応じています。信頼できる企業に依頼し、当社のソフトウェアのバグやシステムの脆弱性を発見してもらう仕組みを構築しています。これにより、ごくごく小さなセキュリティ上の欠陥もより的確に特定して修正でき、お客様と当社の事業を守ることができます。
ペネトレーションテスト
頻繁にシステムのペネトレーションテストを実施することで、悪用の恐れのある脆弱性を確認し、ソフトウェアを評価しています。社内外のペネトレーションテストを定期的に実施することで、当社のサービスの製品を徹底的に評価します。
安全な設計と開発
当社の設計プロセスには、セキュリティとプライバシーの脅威モデリングが含まれます。静的アプリケーション・セキュリティ・テスト(SAST)とそのほかの方法を用いて、セキュリティの欠陥、脅威および脆弱性を発見。十分な対策を講じることで、潜む危険を減らしたり、なくしたりします。
セキュリティ対策
Surfsharkでは、お客様向けのアプリケーションおよび社内業務に、あらゆる形式のセキュリティ対策を使用。ログイン手順のセキュリティ対策を強化し、総当たり攻撃などの特定の攻撃を防ぎ、システムやデータへのアクセスを権限者のみに制限します。
特権アクセス管理(PAM)
当社では、特権アクセス管理(PAM)システムを使用して、ITネットワークへのアクセスを厳密に管理・監視しています。このシステムでは、承認されたスタッフのみに必要なアクセス権が提供され、すべての活動を追跡する詳細な監査機能が搭載。セキュリティの向上および業界基準への準拠を実現します。
セキュリティの監視
Surfsharkは、サービスの不審な動きや違法行為がないか絶え間なく監視して、状態を常に確認。24時間年中無休で監視しており、すべてが自動で処理されます。
ゼロ知識性に対応したパスワードストレージ
Surfsharkのデータベースにあるユーザーのログイン情報は暗号化されているため、保存されているログイン情報は誰も復号できないようになっています。サーバーのデータが漏洩した場合でも、保存されているユーザーのログイン情報は誰も復号することができません。
自動パッチ
Surfsharkは、製品環境が確実にソフトウェアの要件を満たすように、自動パッチによる更新を使用しています。
サイバー脅威インテリジェンス
システムを自動で監視し、インシデント、評価と脅威アクターに関する知識、専門性と経験に基づいて、世界中の最新の脅威を当社に通知する仕組みを講じることで、Surfsharkは常に最新の状態を保っています。
最小権限の原則(PoLP)
当社は最小権限の原則(PoLP、別名PoMP)を遵守しています。これは、従業員が各自の業務に必要なツール、リソースやオペレーションシステムのみにしかアクセスできないという仕組みです。当社のカスタマーサポートは、この必要最小限のアクセスで業務を行っています。
サーバー
Surfsharkは、ユーザーのより高いプライバシーとセキュリティレベルを追求し、出来るかぎり最高の環境を提供することに努めています。サーバー数を増やしてRAMのみのサーバーに変えることは、VPN市場では、プライバシーと透明性の向上に欠かせないステップです。
10Gbpsのサーバー速度
サーバーの速度を1Gbpsから10Gbpsに変えることで、Surfshark VPNの接続が速くなり、新しいサーバーの処理能力が向上。データの大きな塊をより速く転送できます。データの処理が速くなるので、より多くの人がサーバーを利用でき、速度がさらに安定。また、サーバーの混雑具合が解消されます。
世界中で3200台以上のサーバー
100か国にある3200以上のサーバーから選べます。SurfsharkはVPNの使用が制限されている多くの州にも対応しており、サーバーの実際にある場所と異なるバーチャルな場所が表示されます。VPNのサーバーの性能が高ければ高いほど、サーバーの速度が速くなり、混雑しません。
自動再構築
当社のVPNサーバーのほとんどが定期的に消去され、再構築されています。これにより、システムの脆弱性の可能性を減らすことができます。
性能
コードレビュー
SurfsharkはSASTの協力を得て、定期的にソフトウェアの性能評価を行っています。
24時間年中無休のサポート
サービス品質を保証するために、Surfsharkは24時間年中無休でお客様をサポートします。サポート担当者には、ライブチャット機能やメールでお問い合わせいただけます。
従業員のバックグラウンドチェック
Surfsharkは新規採用者の身元調査で評判を確認し、内部脅威のリスクを抑えています。
透明性
サイバーセキュリティ企業である当社にとって、透明性はユーザーの信頼を築くために極めて重要です。そのため、当社は年次報告書を定期的に公開し、政府からの問い合わせやその他の法的要請を開示することで、Surfsharkの内部の運営状況を定期的に公開しています。
透明性に関する報告書
当社は、デジタルサービス法(DSA)など、業界内で透明性の必要性が高まっていることを理解しており、歓迎しています。
サイバーセキュリティ企業として、当社は最高の基準を満たすことが義務だと感じており、透明性の確保もその一部です。常に当社のウェブサイトに掲載していたワラントカナリアに加え、受領した要請の種類と数を詳細に示した透明性に関する報告書も公開しています。本報告書のデータは、四半期ごとに更新する予定です。
ユーザーデータの提供要請(2024年4月~6月)*
*いずれの要請も、ユーザー関連データの開示には至りませんでした。
| 種類 | 受領した要請 |
| DMCA要請 | 357269 |
| 政府機関からの問い合わせ | 45 |
| 国家安全保障書簡 | 0 |
| 箝口令 | 0 |
| 政府機関からの令状 | 0 |
| DSAに従って受領した要請 | 0 |
Surfsharkは、法的および政府からの要請、ならびにDSAに従って受領した要請について定期的に透明性に関する報告書を公開し、ユーザーのプライバシーに対する当社の強いコミットメントを示します。政府機関からの問い合わせはすべて、VPNサーバーのIPアドレスおよび特定の接続時刻に関連していました。Deloitteの保証報告書で確認され、RAM専用サーバーの使用によって強化されている当社のノーログポリシーは、オンラインでの行動(IPアドレス、ブラウジング履歴、ネットワークトラフィックなど)に関する情報を一切収集しておらず、要請があった場合でもかかる情報が開示されることはありません。当社は、プライバシー保護に対する当社のコミットメントを証明し、ユーザーとの信頼を確立することを目指しています。
更なる業界標準の高さを目指して
Surfsharkは、消費者の安全性とオンラインプライバシーの促進を目的に業界主導で設立されたVPT Trust Initiativeと密に協力しています。当社は、VPNプロバイダーの運営の在り方の基準となるVTI原則を支持し、これに従っています。この原則は、セキュリティ、広告実践、プライバシー、情報開示と透明性、社会的責任が対象になります。
Surfsharkは、デジタル権利とインターネットのガバナンスを監視する組織NetBlocksに協力しています。世界規模のインターネット障害に対する意識を高め、それに関する情報を普及するという同組織の使命と目的は、制限がなく、誰でも利用できるインターネットという当社の価値観と一致します。