ExpressVPNアプリの作成と維持には、さまざまなシステムで多くの人が関わります。弊社では機密性を維持するため、関係者全員を適切に審査し、セキュリティ対策と訓練をしています。しかし、それだけでは十分ではありません。
社外の人間がそのプロセスに干渉することがないよう厳格な検証手順を導入し、マルウェアの注入など、第三者が私たちのソフトウェアに不正な変更を加えることができないようにしています。
さらに、ExpressVPNはこれらの対策について独立機関から保証を受け、お客様の信頼を得ることが重要だと考えています。蛇口から出る水を信頼できるように、弊社のソフトウェアも、その製作からユーザーの皆様の元に届けるまで、安心してご利用いだくことは私たちの責務です。
混入のリスクを最小化
近年、PCメーカーをはじめとする大手テクノロジー企業が、開発や流通の段階で悪意のあるコードの影響を受け、感染したソフトウェアやハードウェアを顧客に公開する事例が複数見受けられます。
そこでExpressVPNは、悪意ある個人またはマシンが、それとなしにマルウェアをお客様に配布してしまうリスクを大幅に低減する検証システムを開発しました。未承認のコードや悪意のあるコードの侵入を防ぐ堅牢な施策です。
私たちが導入したポリシーと手順の一部をご紹介します。
- すべてのソースコードの変更にExpressVPNが発行するPGP暗号化キーを使用
- すべてのコード変更に、変更を行った個人とは異なる権限のある人物の承認を必須化
- 変更の自動監査、予期せぬ変更に対するアラート設定、そのフォローアップ体制の確立
- バイナリデータの作成は、自動ビルド環境のCircleCIとAzure DevOpsのみを使用
PwCスイスによる保証付きの検証プロセス
私たちのポリシーに関する主張を検証するのは、独立監査法人であるプライスウォーターハウスクーパース(PwC: PricewaterhouseCoopers)スイスです。
PwCスイスは、ExpressVPNがアプリへの不正な改変を防ぐために実施している施策のポリシーと管理体制を検証するため、2020年5月のある時点に、ソースコード、サーバー、ドキュメント、関係者を調査し、独立した保証業務を行いました。
独立保証報告書は、ユーザーの皆様が閲覧することができます。ご覧になりたい方はこちらのリンクからログインしてください。PwCスイスの報告書に関する基準に従い、PwCの利用規約をご確認の上アクセスしてください。
※PwCスイスは、保証結果が文脈から外れて誤解されることがないよう、抜粋して公開することを許可していません。このため、このブログ記事で結果の詳細をお伝えできませんが、ユーザーの皆様には報告書の全文を読んでいただくことをお勧めします。
セキュリティの心配をなくすために
ExpressVPNは、お客様のプライバシーとセキュリティに対する潜在的な脅威を常に調査し、リスクを軽減するための施策に積極的に取り組んでいます。
Cure53による最近のセキュリティ評価、PwCスイスによるプライバシーポリシーの遵守と社内技術TrustedServerの監査など、信頼できる第三者による監査は、弊社がユーザーの皆様に約束するプライバシーとセキュリティに関する誓約について、独立したレビューを提供するものです。
これらの保証やセキュリティ評価の獲得は、オープンソースの漏洩テストツールの提供、セキュリティ対策の詳細の公開、インターネットの安全性に関する一般の人々の認識を高めることを目的としたVPN Trust Initiativeの立ち上げなど、信頼と透明性のための既存の取り組みを補完するものと考えています。
今後もExpressVPNは、テクノロジーと透明性の両方を通じて、VPN業界を前進させるよう努めていきます。
本文中のリンク記事の一部は翻訳されず、元の言語のままであることをご了承ください。
