ExpressVPNの保護能力を、独立監査機関のKPMGとCure53が新たに検証

Magnifying glass on a server and document.

今年初め、私たちは、第三者による監査の頻度と量に追加の投資を行うことを約束しました。信頼できる第三者による監査によって、私たちが主張するプライバシーとセキュリティについて独立した評価がなされるため、信頼と透明性を示す重要な証となります。

本日は、その最新の監査内容をご紹介します。私たちは、KPMGとCure53の両社に別々に、弊社システムとサーバーのコア技術に関する独立した監査を依頼しました。弊社に提供された報告書に基づき、ユーザーが弊社サービスに接続しているときに、弊社はユーザーのオンライン活動を知ることはなく、たとえ提供を命じられたとしても、提供できる機密情報を所持していないことを確信していただけます。

データ収集に関する弊社の基本方針は、世界クラスのVPNサービスを大規模に運用するために必要な最小限のデータのみを収集することです。つまり、ユーザーのプライバシーやセキュリティを脅かす可能性のあるデータは一切収集・保存せず、アクティビティログや接続ログ、その他の機密情報も一切収集しません。

その重要な手段の一つが、従来のサーバー管理がもたらすプライバシーやセキュリティのリスクを大幅に低減する革新的な自社VPNサーバー技術、TrustedServerです。TrustedServerは、世界最先端のサーバー技術であり、何重もの管理により、弊社が偶発的にでさえも、いかなるユーザーデータをも記録しないことを保証します。

弊社では、社員が自信を持ってログなしポリシーに沿って運営できるよう、さまざまな管理を定義、実施しています。KPMGは、プライバシーポリシーの主要な側面の達成を支援する管理の設計と実施についてテストを行いました。また、Cure53は、TrustedServerの侵入テストとソースコード監査を実施しました。

KPMGがExpressVPNのログなしポリシーを検証

KPMGの独立監査人は、VPNサーバーがプライバシーポリシーを遵守していることを確認するために、プロセス、システム、統制について、弊社の管理フレームワークに関するテストを実施し、チームメンバーにインタビューを行いました。これには、アクティビティログや接続ログを収集しないという弊社のポリシーや、TrustedServerテクノロジーが、説明どおりに動作しているかどうかのテストが含まれています。

最後に、KPMGが弊社に適正証明書を発行したことを喜んでご報告いたします。

KPMGによる報告書の全文は、KPMGの規約を了承した上でアクセスする限り、どなたでも閲覧することができます。ExpressVPNユーザーは、ログイン後、プライバシー&セキュリティ監査ページにアクセスすることで、報告書の全文を読むこともできます。

監査は、世界的に認められている国際保証業務基準 (ISAE) (UK) 3000 Type 1に基づいて実施されました。

Cure53の監査がTrustedServerのセキュリティをさらに強化

これとは別に、サイバーセキュリティ企業のCure53は、TrustedServerのソースコード監査とホワイトボックス・セキュリティ評価を実施しました。 調査結果は上々で、TrustedServerの強固なセキュリティ体制が浮き彫りになりました(ご参考までに、TrustedServerに対する10万ドルのバグバウンティ・プログラムは、まだ募集中です!)

Cure53による詳細な検査では、「ほとんどが一般的な弱点と小さな欠陥が発見されました。そのほとんどは、修正、解決するのが容易なものであると評価できます。また、実際に確認された4件の脆弱性のうち、深刻度スコアが「高」または「重大」にランクされたものはなく、ExpressVPN TrustedServerのコンポーネントが作る環境が、すでに非常に堅牢であることが明確に示されています」

Cure53による報告書の全文はこちらでご覧いただけます。

信頼性と透明性への取り組み

この2つの新しい監査は、過去の監査とセキュリティ評価のリストに追加されます。

  • Cure53社によるLinuxアプリの監査(2022年8月)
  • Cure53社によるmacOSアプリの監査(2022年7月)
  • Cure53社によるAircoveルーターのセキュリティ監査(2022年7月)
  • F-Secure社によるWindows v12アプリの監査(2022年4月)
  • F-Secure社によるWindows v10アプリのセキュリティ監査(2022年3月)
  • Cure53社による弊社VPNプロトコル「Lightway」のセキュリティ監査(2021年8月)
  • PwCスイス社によるビルド認証プロセスの監査(2020年6月)
  • PwCスイス社によるプライバシーポリシー遵守および自社技術「TrustedServer」の監査(2019年6月)
  • Cure53社によるブラウザ拡張機能のセキュリティ監査(2018年11月)

ExpressVPNのサイバーセキュリティ責任者であるアーロン・エンゲルは、次のように述べています。「KPMGとCure53による弊社のシステムおよびサーバーのコア技術の検証を喜んで受けました。管理体制や内部チームの作業結果の第三者による定期的監査や、バグバウンティプログラムなどその他のセキュリティ活動により、私たちはユーザーを十分に保護しているということに、さらに自信を持つことができています。信頼性と透明性において業界をリードしていることを誇りに思うとともに、今年はさらに多くの監査結果を公表することを楽しみにしています」

本文中のリンク記事の一部は翻訳されず、元の言語のままであることをご了承ください。

Phone protected by ExpressVPN.
プライバシーを守りましょう

30日間返金保証

A phone with a padlock.
私たちはプライバシーに真剣です。まずはお試しください

30日間返金保証

VPNとは?
ExpressVPNはあなたのオンラインセキュリティとプライバシーのためにあります。このアカウントからの投稿は、会社のニュースやセキュリティとプライバシーに関する重要な話題を中心に取り上げます。