信頼できるVPNへの取り組み
ExpressVPNは、ユーザーのプライバシーを第一に考える企業です。 ハードウェア、ソフトウェア、そして業界を牽引するプライバシー保護は、ユーザーから高い信頼を得ています。 信頼に応えるための弊社の取り組みをご紹介します。
信頼への4つのキー戦略
システムとユーザーの保護に向けた、主要な取り組みをご紹介します。
1. システムを危険から防衛する
2. 潜在リスクを最小限に抑える
4. セキュリティ管理体制を内外から検証
革新的な取り組み
弊社は業界のセキュリティ基準を満たし、上回るように努めています。製品とユーザーのプライバシーを保護するために、新しい方法を絶え間なく追及し、継続的な革新も試みています。 ここでは、ExpressVPNが構築した2つの画期的なテクノロジーをご紹介します。
Lightway:最高のVPN体験を提供するプロトコル
Lightwayは、ExpressVPNが構築した最高のVPNプロトコルです。VPNプロトコルは、デバイスをVPNサーバーに接続する方法です。 VPNプロトコルは、デバイスをVPNサーバーに接続する方法です。 大抵のプロバイダは同じ既製のプロトコルを使用しますが、弊社は、より速く、より信頼性が高く、より安全なVPN体験を提供する優れた性能を持つVPNを開発しました。
Lightwayは、FIPS 140-2基準も含め、確立された暗号化ライブラリがサードパーティによって広範に精査されたwolfSSLを使用しています
Lightwayは、定期的に消去・再生成される動的暗号化キーで、perfect forward secrecy も維持します
Lightwayのコアライブラリはオープンソース 化されているため、透明性が高く、広く安全性を評価することができます
Lightwayにはポスト量子サポートがあります。攻撃者による古典コンピュータと量子コンピュータの両方へのアクセスにおいて、ユーザーを保護します。 ExpressVPNはポスト量子保護を導入した初のVPNプロバイダのひとつで、量子コンピュータの進歩に直面しても安全性を維持するために、ユーザーをサポートします。
ぜひLightwayに関する詳細をご確認ください。また、ExpressVPNソフトウェア開発者のLightwayの仕組みや長所などに関する技術的な洞察に関しては、開発者ブログをお読みください。
TrustedServer:再起動のたびにすべてのデータを消去
TrustedServerは、ユーザーにより優れたセキュリティを届けるために製作されたVPNサーバーテクノロジーです。
TrustedServerは、揮発性メモリまたはRAM上だけで実行されます。 オペレーティングシステムとアプリはハードドライブに一切書き込みをしません。これは、ハードドライブが、削除または上書きするまですべてのデータを保持するからです。 RAMは、データ保存に動力を必要とするので、電源をオン・オフするたびにサーバー上のすべての情報は消去され、データと潜在的な侵入者のどちらもマシンに残ることがありません。
TrustedServerは、一貫性を向上させます。 TrustedServerを使用すると、すべてのExpressVPNサーバーは必要に応じて異なるタイミングで更新を受けるのではなく、常に最新のソフトウェアを実行します。 つまり、ExpressVPNは、どのサーバーでも何が実行されているのかを正確に理解しているということです。脆弱性のリスクや、不適当な構成を最低限に抑え、劇的にVPNセキュリティを改善します。
TrustedServerテクノロジーはPwCによって監査 されています。
TrustedServerがユーザーを保護する多くの方法の詳細を知るには、 システムを設計したエンジニアが執筆した、技術について深く掘り下げた記事をお読みください。
ExpressVPN Keys:弊社の内蔵パスワードマネージャー
KeysはExpressVPNが開発した多機能のパスワードマネージャーです。 弊社のVPNと同様に、Keysは設計の段階でセキュリティが確保されており、ユーザーが自分のデータを管理できます。 Keysの設計とインフラストラクチャについて詳細に解説したセキュリティホワイトペーパーを公開し、透明性を確保しています。
Keysは、ユーザーが無制限のパスワードを生成、保管、入力できるようにし、セキュリティへの脅威やデータ漏洩を警告します。 Keysに保存されているすべてのデータはゼロ知識暗号化により保護されており、ExpressVPNを含め誰もユーザーが保存する情報を解読することはできません。 KeysはiOSおよびAndroid向けExpressVPNアプリに直接組み込まれており、コンピュータ上ではブラウザ拡張機能として利用できます。 Keysについてさらに詳しく知る
ExpressVPNの固定IP:比類のないプライバシー保護を可能にする固定IPアドレス
ExpressVPNの固定IPサービスは、固有のIPアドレスを特定のユーザーに専属で割り当て、一貫性のあるオンラインアイデンティティを提供しながらプライバシーを確保します。
従来のVPNでは、多くのユーザーが同じIPアドレスを共有し、これがVPNの匿名化プロセスの重要な要素となっていました。 単一のユーザーに割り当てられる固定IPに関しては、匿名性が確保されるよう特別な措置が講じられています。
現在のソリューションでは、ユーザーの真のIPアドレスが露呈する可能性のあるセキュリティとプライバシーの脆弱性を抱えている中で、弊社はユーザーの匿名性を維持するための追加の予防措置を講じており、この点については技術ホワイトペーパーで解説しています。
弊社では、ブラインドトークンベースのシステムを使用しており、お支払情報と弊社がユーザーに割り当てるIPは切り離されています。 これにより、固定IPからユーザーを追跡することが不可能になることを保証しています。
独立セキュリティ監査
弊社は、頻繁に当社製品について詳細なサードパーティ監査を委託することに責任を負っています。 年代順の外部監査統合リストは以下の通りです。
Cure53による、ExpressVPNブラウザ拡張機能に関する2回目の監査 (2024年6月)
KPMGによる、弊社のプライバシーポリシーの主張を評価するための監査(2023年12月)
Cure53による、弊社のVPNプロトコルLightwayの第2回監査(2022年11月)
Cure53による、ExpressVPN Keysブラウザ拡張機能関する監査 (2022年10月)
Cure53による、ExpressVPNブラウザ拡張機能に関する監査 (2022年10月)
KPMGによる、弊社のノーログポリシーに関する監査 (2022年9月)
Cure53による、弊社のiOS版アプリのセキュリティ査定 (2022年9月
Cure53による、弊社のAndroid版アプリのセキュリティ査定 (2022年8月)
Cure53による、弊社のLinux版アプリのセキュリティ査定 (2022年8月)
Cure53による、弊社のmacOS版アプリのセキュリティ査定 (2022年7月)
Cure53による、弊社のAircoveルーターのセキュリティ査定 (2022年7月)
F-Secureによる、弊社のWindows v12アプリのセキュリティ監査 (2022年4月)
F-Secureによる、弊社のWindows v10アプリのセキュリティ監査 (2022年3月)
PwC Switzerlandによる、弊社のビルド検証プロセスの保証業務 (2020年6月)
PwC Switzerlandによる、弊社のプライバシーポリシー順守と社内テクノロジーであるTrustedServerの監査 (2019年6月)
Cure53による、弊社のVPNブラウザ拡張機能のセキュリティ査定 (2018年11月)
透明性レポート
半年ごとに発行している透明性レポートでは、弊社の法務部が受け取ったユーザーデータリクエストに関する情報を提供しています。
このようなリクエストは定期的に受け取りますが、弊社のノーログポリシーにより、共有できるデータは何もありません。 オンライン活動や個人情報、閲覧履歴、トラフィックの宛先やメタデータ、DNSクエリ、VPN接続時に割り当てられるIPアドレスを含め、弊社はログを保持していませんし、今後も保持することは決してありません。
そのため提供できる顧客データは存在しません。 受け取った要求に関する追加情報を公開することにより、ユーザーを保護する方法についてさらなる透明性を提供することを目指しています。
ユーザーデータに関する要求
日付範囲:2024年1月〜6月
| タイプ | 受け取ったリクエスト |
| 政府、法執行機関、民事によるリクエスト | 170 |
| DMCAリクエスト | 259,561 |
| あらゆる政府機関からの令状 | 2 |
| 口止め令状 | 0 |
| 国家安全保障書簡 | 0 |
日付範囲:2023年7月〜12月
| タイプ | 受け取ったリクエスト |
| 政府、法執行機関、民事によるリクエスト | 194 |
| DMCAリクエスト | 152,653 |
| あらゆる政府機関からの令状 | 0 |
| 口止め令状 | 0 |
| 国家安全保障書簡 | 0 |
バグバウンティ報奨金
バグバウンティ(脆弱性)報奨金プログラムを通じて、弊社はセキュリティ研究者を招待し、弊社のシステムについてテストを受け、見つかった問題に対して金銭報酬を提供しています。 このプログラムを通して、弊社のインフラやアプリケーションは定期的に多数のセキュリティに関する検査を受けています。 発見された問題は検証・修正され、確実に弊社製品の安全性を高めています。
このプログラムの範囲には、弊社のVPNサーバー、アプリ、ブラウザ拡張機能、ウェブサイトなどの脆弱性が含まれます。 バグを報告した方には、セキュリティリサーチ分野における世界的なベストプラクティスに従ったセーフハーバーが完全に適応されます。
弊社の脆弱性報酬金プログラムは、Budcrowdにより管理されています。 詳しくは、バグ報告に関する詳細をご確認ください。
業界のリーダーシップ
弊社は厳しい基準を設定していますが、よりプライベートで安全なインターネット構築を目指す弊社の取り組みは、とどまることはありません。だからこそ、弊社はVPN業界全体と協働して基準を底上げして、ユーザーをより確実に保護します。
弊社は、インターネットインフラ連合(i2 Coalition)とその他一部の業界主力企業と一緒に、VPN Trust Initiative (VTI) を共同設立して、議長を務めています。 継続的な啓発活動やアドボカシー活動に加え、グループはVTI原則を立ち上げました。これは、セキュリティ、プライバシー、透明性などの分野で責任があるVPNプロバイダ向けの共有ガイドです。 これは、Center for Democracy and Technologyと提携した、ExpressVPNの以前の透明性イニシアチブ活動に基づくものです。
弊社が開拓した一部のイノベーションは、VPN業界の推進を後押ししてきました。 弊社が初めてTrustedServerを製作し、その後、他社は弊社の先導に従って、同じようなテクノロジーの提供を開始しました。 Lightwayは、ゼロから構築したテクノロジーの実例です。オープンソースにすることで、全体としてVPN業界に影響を与えることを期待しています。
注目すべきプライバシーイニシアチブ
業界をリードするイニシアチブに積極的に取り組んでいます。
ioXT認証
ExpressVPNは、セキュリティ基準がioXt Allianceによって認証された数少ないVPNアプリのひとつであり、ユーザーは自信を持って弊社のサービスを利用できます。
アプリ内プライバシー機能
弊社は、Android版アプリで「保護概要」という機能を導入しています。実用的なガイドラインでユーザーが自分のプライバシーを保護するのに役立ちます。
デジタルセキュリティラボ
弊社はデジタルセキュリティラボを立ち上げ、実世界のプライバシーの問題を深く探求しています。 VPNのセキュリティを検証するのに役立つ、漏洩テストツールをご覧ください。