概要
Surfsharkは、2018年にリトアニアで設立されたVPNサービスである。(現在の法人所在地はオランダ)
運営会社はSurfshark B.V.であり、2022年にNord Security傘下に入りCyberspace B.V.として統合されている。
100カ国以上に3,200以上のサーバを展開しており、AES-256-GCM暗号化、WireGuard / OpenVPN / IKEv2プロトコルに対応している。
デバイスの同時接続数が無制限であることも大きな特徴の1つである。
対応OSは、Windows、MacOS、Linux、Android、iOS、Amazon Fire TVである。
料金は、月額1.99ドルからである。(2026年時点)
全サーバがRAM-only構成であり (2020年に完全移行)、Deloitte (Big Four) による独立監査でノーログポリシーが検証済みである。(2023年および2025年)
| メリット | デメリット |
|---|---|
| コストパフォーマンスが高い。 | 設立が比較的新しい。(2018年) |
| デバイス接続台数が無制限である。 | Nine Eyes加盟国(オランダ)に所在している。 |
| RAM-onlyサーバを採用している。 | Nord Security傘下であり、独立性への懸念がある。 |
| 第三者機関による監査が実施済みである。 | 一部のサーバでCAPTCHAが頻発するとの報告がある。 |
| 100カ国以上にサーバが展開されている。 | 接続が不安定になるとの報告がある。 |
Surfsharkの主な特徴を以下に示す。
| 特徴 | 説明 |
|---|---|
| ノーログポリシー | Deloitteによる第三者監査でノーログポリシーが検証されている。 |
| RAM-onlyサーバ | 全3,200以上のサーバがRAM (揮発性メモリ) のみで動作する。 再起動時にデータが物理的に消去される。 |
| 無制限デバイス接続 | 1つのアカウントで接続台数の制限なく使用できる。 |
| AES-256-GCM暗号化 | 米国政府および軍事機関でも採用されている最高レベルの暗号化技術を使用している。 |
| MultiHop機能 | 2つのVPNサーバを経由する二重VPN接続が可能である。 |
ノーログポリシーの実態
SurfsharkはノーログVPNを標榜しており、RAM-onlyサーバおよびDeloitteによる第三者監査を根拠として、ユーザデータを記録・保存しないと主張している。
公式ノーログポリシーの内容
Surfsharkの公式プライバシーポリシーでは、以下に示すデータを一切保存しないと明記している。
- IPアドレス (ユーザの本来のIPアドレス)
- 閲覧履歴およびDNSクエリ
- セッション情報 (接続時刻、切断時刻、セッション継続時間)
- 帯域幅使用量
- 通信プロトコルおよびポート番号
- 接続先サーバのIPアドレス
- ネットワークトラフィック
収集・保持されるデータは、以下に示す最小限の情報のみである。
- アカウント情報 (メールアドレス、暗号化されたパスワード)
- 課金および購入履歴
- 一時的な接続メタデータ (ユーザID、IPアドレス、接続タイムスタンプ) --> セッション終了後15分以内に自動削除
なお、アカウントデータはサービス利用期間中および最後のログインから2年間保持される。
第三者監査の実施状況
Surfsharkは、透明性の確保とセキュリティの改善のために、定期的に第三者機関による独立した監査を受けている。
| 年月 | 監査機関 | 対象 | 基準 | 結果 |
|---|---|---|---|---|
| 2023年 | Deloitte | ノーログポリシー | ISAE 3000 | 合格 |
| 2024年 | Cure53 | サーバインフラ / ブラウザ拡張機能 | - | 深刻な問題なし 堅牢と評価 |
| 2025年4月 | SecuRing | Webアプリ / デスクトップアプリ / モバイルアプリ / ブラウザプラグイン | - | 重大な脆弱性なし |
| 2025年6月 | Deloitte | ノーログポリシー (2回目) | ISAE 3000 | 合格 |
全ての監査報告書はSurfsharkのTrust Centerで公開されている。
捜査機関への対応事例
Surfsharkのノーログポリシーに関する捜査機関への対応状況は以下の通りである。
- 令状カナリー (2025年12月15日時点)
- 国家安全保障文書: 0件
- 緘黙命令: 0件
- 政府機関からの令状: 0件
- 2024年4月〜6月の政府機関からの問い合わせ
- 政府機関から45件の問い合わせを受けたが、いずれもユーザデータの開示には至っていない。
全期間を通じて、ユーザデータの捜査機関への提出事例はゼロである。
ノーログ + RAM-onlyの構成により、要求があっても提供できるデータが物理的に存在しない。
なお、2024年8月に令状カナリーページの更新で一時的に懸念が発生した。
Surfsharkはシステム不具合と説明しており、その後、透明性レポート制度に移行している。
裁判所でノーログポリシーが正式に検証された事例は確認されていない。(監査による検証のみ)
技術的なプライバシー保護
Surfsharkは、ユーザのプライバシーを保護するために、以下に示す技術的な仕組みを採用している。
| 特徴 | 説明 |
|---|---|
| RAM-onlyサーバ | 全3,200以上のサーバがRAMのみで動作する。(2020年に完全移行) 電源オフまたは再起動時にデータが物理的に消去される。 2024年に全サーバを10Gbps速度にアップグレードしている。 |
| プロトコルのカスタマイズ | WireGuardとOpenVPNをカスタマイズして、セッション後のファイル作成を排除している。 |
| 暗号化 | AES-256-GCMを採用しており、米国政府および軍事機関でも採用されている暗号化技術である。 |
| セッションキー | セッション中のみメモリに存在しており、セッション終了時に破棄される。 |
| Port Shadow攻撃への耐性 | Port Shadow攻撃への耐性が確認済みである。 |
管轄法域に関する考慮事項
Surfshark B.V.はオランダに本社を置いている。(2021年にイギリス領バージン諸島から移転)
オランダは9 Eyes情報共有同盟に所属しているが、オランダにはVPNプロバイダに対する強制的なデータ保持義務は存在しない。
また、EU GDPRに準拠しており、忘れられる権利 が全ユーザに適用される。
2022年にNord Security傘下に入りCyberspace B.V.として統合されている。
NordVPN (パナマ本社) と同じ親会社であるが、サービスは独立して運営されている。
Nord Security傘下入り後のデータ共有の証拠は報告されていない。
他のノーログVPNとの比較
| VPN | ノーログ監査 | 監査企業 | サーバ構成 | 設立年 | 管轄法域 | 評価傾向 |
|---|---|---|---|---|---|---|
| Surfshark | あり (2回) | Deloitte, Cure53 | RAM-only | 2018年 | オランダ (9 Eyes) | コスパ優秀だが信頼度はやや低い |
| Mullvad | あり (複数回) | Cure53, X41 D-Sec, Assured Security等 | RAM-only | 2009年 | スウェーデン (14 Eyes) | 最高のプライバシー評価 |
| ProtonVPN | あり | 複数実施 | 非RAM-only | 2014年 | スイス | 法的信頼度が高い |
| ExpressVPN | あり (限定的) | - | RAM-only | 2009年 | イギリス領バージン諸島 | サーバ数多だが透明度への批判あり |
留意点
Surfsharkのノーログポリシーに関する留意点を以下に示す。
- 15分以内に自動削除という実装
- 完全なノーログではなく、接続メタデータについてはセッション終了後15分以内に自動削除される仕組みである。
- 完全にゼロログの構成ではないことに注意する。
- 監査はスナップショットである。
- 監査は特定時点の状態を評価したものであり、継続的な遵守を保証するものではない。
- 実地検証の事例がない。
- 裁判等でノーログポリシーが公式に検証された事例はまだない。(Mullvadは2023年に家宅捜索で実証済み)
- 企業統治の透明性
- Nord Security傘下の企業統治について、出資構造が完全に透明化されていない。
- 設立年が比較的新しい。
- 2018年設立であり、Mullvad (2009年) や ProtonVPN (2014年) と比較して実績が浅い。
- CAPTCHAの問題
- GoogleをはじめとするサービスがSurfsharkの一部サーバをブロックリストに含めており、CAPTCHA認証を頻繁に求められるとの報告がある。
Surfsharkの契約方法
- Surfsharkの公式Webサイトにアクセスして、[Surfsharkを入手する]ボタンを押下する。
- プランを選択する。
- 2026年時点で利用可能なプランは以下の通りである。
- Surfshark Starter
- 基本的なVPN機能とAlternative ID機能を含むプランである。
- 2年契約で月額約1.99ドルから利用可能である。
- Surfshark One
- VPN機能に加えて、複数のセキュリティツールを統合したサイバーセキュリティバンドルである。
- Surfshark One+
- Incogni (データ削除ツール) を含む最上位のプランである。
- メールアドレスを入力して、パスワードを設定する。
または、GoogleアカウントもしくはAppleアカウントで連携することも可能である。 - 支払い方法を選択する。
- 以下に示す支払い方法が利用可能である。
- クレジットカード (VISA、MasterCard、American Express、DISCOVER)
- PayPal
- Google Pay / Apple Pay / Amazon Pay
- 暗号通貨 (ビットコイン、イーサリアム、リップル)
- 支払いを完了すると、アカウントが即座に有効化される。
全プラン共通で、デバイスの同時接続台数は無制限であり、30日間の返金保証が付与されている。
なお、返金を受けるには単なる解約だけでは不十分であり、必ずカスタマーサポート (ライブチャット推奨) へ返金リクエストを提出する必要がある。
App StoreやAmazon等の小売店経由で購入した場合は、返金窓口は購入元となる。
JCBカードには対応していないため注意すること。
VPN over Tor
VPN over Torとは、VPNサーバへの接続にTorネットワークを使用する構成である。
Torネットワークがブリッジとして機能するため、自宅のIPアドレスをVPNプロバイダに公開することなく、VPNに接続できる。
したがって、プライバシー、セキュリティ、匿名性への2重層を提供する。
ただし、SurfsharkはVPN over Torに対応していない。
SurfsharkはSOCKS5プロキシサービスを提供しておらず、OpenVPN設定ファイルを介したTor経由の接続も公式にはサポートしていない。
Tor over VPN
VPNネットワーク経由でTorに接続する方法であり、Torは終了ノードになる。
ISPからTorの使用を隠蔽でき、Torの入口ノードにユーザの実IPアドレスが公開されない。
Surfsharkのソフトウェア または NetworkManager等でVPNに接続した後、Torブラウザを起動するだけで実現できる。
- SurfsharkのソフトウェアまたはNetworkManager等を使用して、VPNに接続する。
- Torブラウザの公式Webサイトにアクセスして、Torブラウザをダウンロードおよびインストールする。
- Torブラウザを起動して、[Connect]ボタンを押下する。
- Torブラウザの設定はデフォルトのままでよい。
なお、ダブルエンクリプションと複数のサーバホップにより、インターネット速度が大幅に低下する可能性がある。
SurfsharkにはMultiHop機能が搭載されており、2つのVPNサーバを経由する二重VPN接続も可能である。
MultiHopを使用することにより、Tor出口ノードへのルーティングに類似したプライバシー保護効果を得ることができる。