最終レビュー:2024年8月6日

個人のデジタルセキュリティの向上を支援するツールを提供する企業やウェブサイトは数多くありますが、自分に合ったツールをどのように選択すればよいのでしょうか？

私たちは、あなたを確実に防御できるツールの完全なリストは持っていません（ただし、ツールガイドには一般的な選択肢がいくつか掲載されています）。しかし、保護したいもの、保護したい対象が明確に決まっている場合は、このガイドの基本的なガイドラインを参考にして、適切なツールを選択することができます。

セキュリティは、使用するツールやダウンロードするソフトウェアの問題ではありません。まず、自分が直面している固有の脅威と、その脅威に対抗する方法を理解することから始まります。詳細については、セキュリティ計画ガイドをご覧ください。

セキュリティはプロセスであり、製品を購入するだけのものではありません

使用しているソフトウェアを変更したり、新しいツールを購入したりする前に、まず覚えておくべきことは、あらゆる状況において、あらゆる監視から絶対的な保護を提供するツールやソフトウェアは存在しないということです。したがって、デジタルセキュリティの実践について、包括的に考えることが重要です。たとえば、携帯電話で安全なツールを使用しても、コンピュータにパスワードを設定していない場合、携帯電話のツールはあまり役に立ちません。誰かがあなたの情報を入手したいと思った場合、その情報は最も入手しやすい方法で入手しようとするでしょう。

あらゆる種類のトリックや攻撃者から身を守ることは不可能です。そのため、あなたのデータを欲しがる人物、その人物がデータから何を得たいのか、そしてその人物がデータをどのように入手しようとしているのかに焦点を当てる必要があります。あなたの最大の脅威が、インターネット監視ツールを利用できない私立探偵による物理的な監視であるならば、「NSA 対策」を謳う高価な暗号化電話システムを購入する必要はありません。あるいは、暗号化ツールを使用しただけで反体制派を日常的に投獄している政府にさらされている場合は、ノートパソコンに暗号化ソフトウェアを使用している証拠を残すリスクを冒すよりも、無害に見える、あらかじめ決められたコードを使ってメッセージを伝えるなど、より単純な手段を採用するほうが賢明かもしれません。防御すべき攻撃のシナリオを事前に想定しておくことを、脅威モデリングといいます。

以上のことを踏まえ、ツールをダウンロード、購入、または使用する前に確認すべき疑問点をいくつかご紹介します。

透明性はどの程度あるか？

セキュリティ研究者の間では、オープン性と透明性がより安全なツールにつながるという強い信念があります。

デジタルセキュリティコミュニティが使用および推奨するソフトウェアの多くは、オープンソースです。つまり、その動作を定義するコードは、他の人が検査、変更、共有できる形で公開されています。プログラムの動作を透明化することで、これらのツールの制作者は、他の人にセキュリティ上の欠陥を見つけ出してもらい、プログラムの改善に協力してもらうことができます。

オープンソースソフトウェアは、セキュリティの向上につながる可能性がありますが、それを保証するものではありません。オープンソースの利点は、一部には、実際にコードをチェックする技術者のコミュニティに依存しています。しかし、小規模なプロジェクト（そして人気のある複雑なプロジェクトでも）では、これを実現することは難しい場合があります。

ツールを検討する際には、そのソースコードが利用可能かどうか、およびセキュリティの品質を確認するための独立したセキュリティ監査が実施されているかどうかを確認してください。少なくとも、ソフトウェアまたはハードウェアには、他の専門家が検査できる、その機能に関する詳細な技術説明が記載されている必要があります。

その作成者は、その長所と短所についてどの程度明確に説明しているか？

完全に安全なソフトウェアやハードウェアは存在しません。製品の限界について正直に説明している作成者または販売者が提供するツールを探してください。

「軍事（または銀行）グレード」や「NSA対策済み」といった包括的な主張は注意が必要です。これらの主張は、開発者が過信しているか、製品における潜在的な欠陥を考慮していないことを示しています。

攻撃者はツールのセキュリティを突破する新しい方法を模索しているため、ソフトウェアやハードウェアは脆弱性を修正するためのアップデートが必要です。開発者が、悪評を懸念したり、アップデートを行うためのインフラを構築していないなどの理由で、アップデートを行う意思がない場合は、深刻な問題になる可能性があります。アップデートをリリースし、その理由について正直かつ明確に説明している開発者を探してください。

ツール作成者が将来どのように行動するかを予測する良い指標は、過去の活動です。ツールのウェブサイトに、これまでの問題や定期的な更新情報、ソフトウェアの最終更新日から経過した具体的な期間などのリンクが掲載されている場合、そのツールが今後もこのサービスを継続して提供していく可能性が高いと考えられます。多くの場合、公式アプリストア、Apple の App Store または Google Play、GitHub、開発者のウェブサイトなどで、アップデートの履歴を確認することができます。これだけでも、開発者が定期的にソフトウェアの開発に取り組んでいることがわかりますが、各アップデートの内容について詳細な説明が記載されている場合は、さらに良い指標となります。

作成者が攻撃を受けた場合はどうなるのか？

セキュリティツール作成者がソフトウェアやハードウェアを開発する際は、あなたと同様に明確なセキュリティ計画が必要です。優れた開発者は、製品がどの種類の脅威から保護できるかをドキュメントで明示しています。

しかし、多くの作成者が考えないようにしている攻撃者がいます。それは「自分たち自身」です。彼らが攻撃を受けたり、自社のユーザーを攻撃することを決定した場合はどうなるでしょうか？たとえば、裁判所や政府は、企業に個人データの引き渡しを強制したり、ツールが提供するすべての保護機能を削除する「バックドア」の作成を強制したりする場合があります。したがって、開発者が拠点を置く司法管轄区域を考慮してください。たとえば、イラン政府からの保護を懸念している場合、米国に拠点を置く企業は、米国の命令に従わなければならない場合でも、イランの裁判所の命令には従う必要はありません。

開発者が政府の圧力に抵抗できたとしても、攻撃者は、そのツールの作成者のシステムに侵入して、そのカスタマーを攻撃しようとする可能性があります。

最も回復力の高いツールは、このような攻撃の可能性を考慮し、それを防御するように設計されているものです。開発者が個人データにアクセスしないことを約束する文言ではなく、開発者が個人データにアクセスできないことを明記した文言を探してください。同様に、ツールのウェブサイトやプライバシーポリシーで、データ暗号化、データ保持ポリシー、第三者への販売、および企業が法執行機関の要請にどのように対応するかに関する詳細情報を検索してください。ワシントン・ポスト紙のこのガイドには、企業が保存または共有する可能性のある情報について把握するのに役立つ、企業のプライバシーポリシーを読む際のヒントがいくつか掲載されています。

オンラインでリコールや批判はされていないか？

製品を販売する企業や、最新のソフトウェアを宣伝する愛好家は、誤解を招く、誤解を与える、あるいはまったくの嘘をついている場合もあります。もともと安全だった製品も、将来、重大な欠陥が発見される可能性があります。使用するツールに関する最新ニュースを常に把握しておくようにしましょう。

1 人でツールに関する最新ニュースをすべて把握し続けるのは大変な作業です。特定の製品やサービスを使用している仲間がいる場合は、彼らと協力して情報を入手しましょう。

どの携帯電話を購入すべきか？どのコンピュータを購入すべきか？

セキュリティトレーナーは、「Android デバイスと iPhone のどちらを購入すべきでしょうか？」、「PC と Mac のどちらを使用すべきでしょうか？」、「どのオペレーティング・システムを使用すべきでしょうか？」といった質問をよく受けます。これらの質問に対する簡単な答えはありません。ソフトウェアやデバイスの相対的な安全性は、研究者が新しい欠陥や古いバグを発見するにつれて、絶えず変化しています。企業は、より優れたセキュリティを提供するために互いに競争したり、政府からの圧力によりセキュリティを弱体化させたりする場合もあります。

ただし、ほとんどの場合に当てはまる一般的なアドバイスもあります。デバイスやオペレーティング・システムを購入したら、ソフトウェアのアップデートで常に最新の状態に保ってください。アップデートでは、攻撃に悪用される可能性のある古いコードのセキュリティ上の問題が修正される場合が多いです。一部の古い携帯電話やオペレーティング・システムは、セキュリティ・アップデートのサポートが終了している場合もありますので注意してください。

携帯電話の場合、2 つのオペレーティング・システムにはいくつかの重要な違いがあります。Android はオープンソースであり、CalyxOS や GrapheneOS など、プライバシーとセキュリティに特に重点を置いたいくつかのバージョンがあります。iPhone のオペレーティング・システムである iOS はオープンソースではありませんが、フォレンジック・ツールに対して強いことが実証されています。他のセキュリティ・ツールと同様、誰にとっても普遍的に優れたツールは存在しません。

自分が直面する脅威を検討し、デジタルセキュリティツールに求める要件を把握したところで、自分の状況に最も適したツールをより自信を持って選択することができるでしょう。

監視自己防衛(SSD)のサイトで言及されている製品

SSD で言及されているソフトウェアおよびハードウェアは、上記の基準に準拠していることを確認するよう努めています。私たちは、以下の条件を満たす製品のみを掲載するよう誠実な努力を払っています。

• デジタルセキュリティに関する現在の知識に基づいて、確固たる基盤を持っている
• その動作（および欠点）について一般的に透明性がある
• 作成者自身が侵害される可能性に対する防御策が講じられている
• 現在、技術的に知識のある大規模なユーザーベースによって、欠陥の有無が検証され、メンテナンスが行われている

私たちは、これらの製品のセキュリティを検証したり、独立して保証したりするリソースを有していないことをご理解ください。私たちは、これらの製品を推奨するものではなく、完全なセキュリティを保証するものではありません。

https：//ssd.eff.org/module/choosing-your-tools