簡潔な回答
プライバシーが最優先で習慣を変える意思がある場合:
- 極端な脅威モデル(ソースを保護するジャーナリスト、敵対的な国の活動家、セキュリティ研究者):日常使用にQubes OS + 一回限りの高リスクセッション用に別のUSBでTails。
- プライバシー重視だが実用的(本国に電話をかけない普通に見えるコンピューターが欲しい):Linux Mint — Ubuntu互換ソフトウェアエコシステム、Canonicalの追加機能を削除、保守的なデフォルト設定。
- プライバシーのための最高の商用OS:Advanced Data Protectionを有効にしたmacOS Sequoia。クローズドソースの注意事項が適用されますが、デフォルト設定はWindowsより良く、デバイスセキュリティは優秀です。
- 仕事でWindowsを使わなければならない:グループポリシー、BitLocker、Firefox、そして真剣な強化パスを使ったWindows 11 Pro(Homeではない)。合理的にプライベートなWindows 11の実行は可能です — 週末を設定に費やすだけで、メジャーアップデートごとに設定が戻ります。
以下は全て、このランキングの背後にある詳細です — 各OSがデフォルトで何をするか、何を変更できるか、何を変更できないか。
Windows 11 — アンチプライバシーベースライン
Windows 11は主流オプションの中で最悪です。悪意があるからではなく、MicrosoftのビジネスモデルがOSをデータ製品として扱っているからです。詳細:
アカウント要件。 Windows 11 Homeはセットアップ中にMicrosoftアカウントを要求します。ローカルアカウントの回避策(OOBE\BYPASSNROコマンド、no@thankyou.comトリック)は累積更新で修正され続けています。Windows 11 Proは「ドメイン参加」パスを選択すれば、セットアップ中にローカルアカウントを許可します。
テレメトリー。 2つの層:「必要な診断データ」(常時オン、設定UIで無効化不可 — グループポリシーで制限できますが、一部のシグナルは流れ続けます)と「オプションの診断データ」(オフにできますがデフォルトでONの完全なブラウジングレベルテレメトリー)。Microsoftはデータ辞書を公開しており、これはほとんどのOSベンダーがしていることより多いですが、ベースラインは「Microsoftがあなたが何をしているか知っている」です。
Copilot + Recall。 Recall(NPU付きCopilot+ PCで)は数秒ごとにスクリーンのスクリーンショットを撮影し、OCRして検索可能なローカルインデックスを構築します。2024年6月のセキュリティ反発後、Microsoftはそれをオプトインにし、データベースを暗号化し、クエリにWindows Hello認証を要求しました。基本的な機能はOSに組み込まれたまま残っています。すべてのメジャーアップデートで「Recallは本当にまだオプトインなのか?」という問題が再開されます。Copilot自体は機能を明示的に無効にしない限り、クエリをAzure OpenAIに送信します。
OneDriveデフォルト。 新規インストールは無言でDocuments、Pictures、Desktopを%OneDrive%\にリダイレクトして同期を開始します。何百万人のユーザーが意識的にアップロードする決定をせずに、個人ファイルをMicrosoftのクラウドに持っています。
Edge + Bing。 デフォルトブラウザはクエリをBingに送信します。Edgeは便利なプライバシー機能(トラッカーブロッキング、InPrivate)を持っていますが、デフォルトの動作にはURLをMicrosoftのDefender SmartScreenに送信することが含まれています。
できること。 Windows 11はオフにするものが非常に多いため、最も強化可能なOSです:
- ローカルアカウントでインストール(ProまたはHomeでレジストリ調整)
- O&O ShutUp10++ — 「推奨」デフォルト設定を持つ100以上のプライバシートグルの精選リスト。更新後も維持されるグループポリシー + レジストリ変更を適用します。
- インストール中にOneDriveセットアップを無効化、未使用なら完全に削除
- EdgeをFirefoxまたはBraveに置き換え、デフォルト検索をDuckDuckGo、Kagi、またはStartpageに変更
- 未使用ならCortana、Teams Consumer、Xboxアプリをアンインストール
- BitLocker(Proのみ)またはVeraCrypt(Home)でFDE
- グループポリシー:コンピューターの構成 → 管理用テンプレート → Windowsコンポーネント → データ収集
このパス後、Windows 11は未修正のUbuntuとほぼ同程度にプライベートにできます。継続的な税金は全ての機能更新(20H2、22H2、23H2、24H2はそれぞれ一部の動作を再導入)後に設定を再確認することです。
macOS Sequoia 15 — プライバシーのための最高の商用OS
macOS Sequoiaはデフォルトでは劇的にWindows 11より良いですが、「Microsoftより良い」は「プライベート」と同じではありません。
Appleのテレメトリー — Analytics、Device Analytics、iCloud Analytics — はEU(GDPR)での新規インストールではデフォルトでオフ、US では デフォルトでオン(設定 → プライバシーとセキュリティ → 分析と改善で無効化可能)。AppleはプライバシーポリシーPUBし、デバイス上処理について具体的な主張をしますが、OSがクローズドソースのため、これらの主張を独立して検証することはできません。
iCloudデフォルト。 Apple IDでサインインした場合、Photos、Contacts、Calendar、iCloud Driveはデフォルトで同期されます。iCloud内のMessagesは有効化しない限りオフです。Advanced Data Protection(ほとんどのカテゴリ — Photos、Notes、Drive、バックアップのエンドツーエンド暗号化iCloud)はオプトインで、全てのデバイスでiOS 16.2+ / macOS 13+が必要です。Appleは有効化するとAppleがアクセスを失った場合のデータ復旧ができなくなるため、セットアップ中に積極的に軽視します。
Siri + Spotlight。 クエリは解決のためにAppleに送信されます。Appleは匿名化され、Apple IDにリンクされていないと言います。SafariでURL バーの入力がApple サーバーに到達することを停止するために「Appleからの検索提案」を無効化できます。
Apple Intelligence(2024年追加)。小さなモデルには主にデバイス上ですが、一部のクエリはAppleの「Private Cloud Compute」インフラに送信されます。PCCは証明されたハードウェアと公開されたバイナリを使用します — 本当に新しいプライバシーアーキテクチャです。EUではオプトイン、他の場所でもmacOS 15時点でオプトインです。
Gatekeeper + コード署名。 実行する全てのアプリがAppleの公証サービスに対して署名チェックを取得します。初回実行アプリはDeveloper IDハッシュで本国に電話します — Apple は(理論上)全てのMacが何をいつ実行しているかを記録できます。これは(既知の悪意あるアプリをキャッチする)セキュリティ機能ですが、プライバシーコストがあります。sudo spctl --master-disableは署名強制をオフにしますが推奨されません。
強み。
- Apple Silicon + Secure Enclave = 強力なデバイスセキュリティ、ハードウェアに結びついた生体認証ロック解除
- App Storeアプリにはプライバシーラベルがあります(開発者自己証明ですが、それでも情報を表面化)
- 権限モデルは厳格 — アプリはcontacts、calendar、camera、mic、locationを読み取る前に許可を求める必要があります
- FileVault(FDE)は有効化が簡単でSecure Enclaveを使用します
- 強制的なアンチウイルスが本国に電話することはありません
弱み。
- クローズドソース — プライバシー主張はAppleの言葉です
- iCloudオプトアウトは設定パネル全体に散らばっています
- Advanced Data Protectionセットアップは摩擦が重い(Appleは積極的に有効化を困難にします)
- ハードウェアロックイン — プライバシーを十分に気にして検証したければ、監査可能なLinuxを使いたいでしょう
実用的なセットアップ。 新規インストール → オプション分析を拒否 → FileVaultを有効化 → 全てのデバイスがサポートすればAdvanced Data Protectionを有効化 → Firefox をインストール → 同期するカテゴリを正確に決定するまでiCloudにサインインしない。
Ubuntu 24.04 LTS — 人気のLinux
Ubuntuはデスクトップで最も配布されているLinuxディストリビューションで、合理的なプライバシーベースラインです。Canonicalはこのトピックで複雑な歴史を持っています。
2013年Amazonレンズ。 短期間、Ubuntu UnityのDash検索がショッピング結果「レンズ」のためにAmazonにクエリを送信していました。これはコミュニティで数年間の信頼危機を引き起こしました。機能は16.04で削除され、Canonicalはそれを繰り返していません。長時間LinuxユーザーがUbuntuについてどう感じているかを知る価値があります。
現在のテレメトリー。
- Ubuntu Report — インストール中に送信される一回限りの匿名ハードウェア/ソフトウェア要約。オプトイン; 実行前にプロンプトが表示されます。
- Apport — クラッシュ報告。リリースではデフォルトでオフ; クラッシュごとにオプトインします。
- Livepatch — カーネルホットパッチ。オプトイン; Ubuntu Advantageサブスクリプションが必要です。
- PopCon — パッケージ人気コンテスト。デフォルトでオフ。
- Snap テレメトリー — Canonicalのsnapストアはインストール/更新カウントを収集します。ブラウザテレメトリーより侵襲的ではありませんが、それでも全てのsnapインストールでCanonicalへの呼び出しです。
ubuntu-advantage-tools 迷惑スクリーン。 最近のUbuntuバージョンでは、SSHまたはターミナルを開く際にUbuntu Proを宣伝する「motd」プロンプトが追加されました。迷惑ですがプライバシー問題ではありません(外向きデータなし)。/etc/default/ubuntu-advantage-toolsでENABLED=0を設定して24.04で削除または無音化されました。
Snap vs apt。 Ubuntu 22.04+ はFirefoxをsnapパッケージとして出荷します。snapストアはCanonicalのサーバーと通信; 従来のaptパッケージは設定したミラーと通信します。「Canonical経由の全て」ルーティングが気になれば、ppa:mozillateam/ppa Firefox apt パッケージに切り替えるか、flatpakから直接Firefoxをインストールしてください。
強み。 オープンソース、監査可能、膨大なパッケージ選択、優秀なハードウェアサポート、22.04+でデフォルトでWayland、合理的なプライバシーデフォルト設定のGNOME 46。
弱み。 Canonicalの商業的利益がときどきユーザーデータを指す; snapを使えばSnapテレメトリーは避けられない; 「Ubuntu Advantage」ブランディング迷惑が見える。
実用的なセットアップ。 新規インストール → Ubuntu Reportを拒否 → Apportを無効化 → PopConを無効化 → Snap FirefoxをaAt Firefoxまたはflatpakに置き換え → インストール中にLUKS FDEを有効化 → uBlock Origin付きFirefox。
Fedora 41 — アップストリーム最優先Linux
FedoraはRed Hat(IBM)のコミュニティディストリビューションで、RHELのアップストリームとして使用されます。プライバシー面では、いくつかの違いを持つUbuntuと似ています。
Canonical相当なし。 Red Hat / IBMはデスクトップユーザーに「Advantage」サブスクリプションを宣伝しません; エンタープライズライセンシングはFedoraではなくRHELに存在します。迷惑スクリーンなし、強制的なアップグレードプロンプトなし。
デフォルトテレメトリー。 最小限。Fedora Report(ハードウェアセンサス)が42で導入される予定 — 進行中のコミュニティ議論、現在のステータスはオプトイン。ABRT(クラッシュ報告)はオプトイン; クラッシュが発生すると通知が表示され、提出するかどうかを決めることができます。
デフォルトでSELinux強制。 これはプライバシーそのものではなくセキュリティ機能です — 侵害されたアプリがシステム上の全てを読み取れないように、プロセスレベルのエクスプロイトを封じ込めます。Ubuntuは同じ目的でAppArmorを使用しますが、より許可的なデフォルト姿勢です。SELinuxはより厳格です。
Flatpak + dnf。 Fedoraのパッケージマネージャー。Flathub flatpakはFlathub CDNと通信します(テレメトリーシグナルではなく、単なるダウンロード); dnfはFedoraミラーと通信します。
Waylandファースト。 全てのデスクトップスピン(GNOME、KDE、XFCE等)はWaylandをデフォルトセッションとして出荷し、X11よりもGUIアプリ間で良い分離を持ちます(アプリは互いをスクリーンショット / キーストローク盗聴できません)。
強み。 Canonical スタイルの商業パターンなし、SELinux強制、速いアップストリーム追跡(kernel/Mesa/GNOMEは全てUbuntuより新しい)。
弱み。 最先端は「ドライバー回帰で何かが壊れた」を意味することがある; Ubuntu LTSの5年対リリースごと13ヶ月のサポートサイクル。
実用的なセットアップ。 新規インストール → クラッシュ報告を拒否(最初に発火したときにプロンプトが表示されます) → インストール中にLUKSを有効化 → Firefoxは事前インストールされ、Fedora Workstationではflatpakではありません。
Linux Mint 22 — 最高のプライベートデフォルトLinux
Linux MintはUbuntuの長年の解毒です。彼らはアップストリームのUbuntu LTSを取り、Canonicalの追加機能を削除し、デスクトップをCinnamon(またはXfce / MATE)に置き換えて出荷します。得られるもの:
デフォルトでSnapなし。 Mintは明示的にsnapを削除し、aptがsnapデーモンをインストールすることをブロックします。FirefoxはMozilla PPAからの通常のaptパッケージとしてインストールされます。迷惑スクリーンなし。
Ubuntu Report、ubuntu-advantage-toolsなし。 MintはCanonical-commercialビットを無効化またはアンインストールします。
テレメトリーなし。 Mint自体は本国に電話しません。クラッシュ報告はオフ。更新マネージャーは更新のためにMintのミラーと通信します — 標準パッケージマネージャートラフィック — しかし使用量を報告しません。
LMDE フォールバック。 CanonicalフリーバージョンのMintが欲しければ、LMDE(Linux Mint Debian Edition)はDebian Stableをベースとして使用します。同一のデスクトップ体験、異なるアップストリーム。
Cinnamon。 伝統的なWindowsライクデスクトップを優先するGNOMEフォーク。GNOMEより「モダン」でなく、KDEよりキーボード駆動的でないですが、Windowsからスイッチするユーザーにとってアクセス可能です。
強み。 主流ディストロの中で最も保守的なプライバシーデフォルト。巨大なコミュニティ。安定。Ubuntuのベース経由で優秀なハードウェアサポート。
弱み。 新技術の採用が遅い(Mint 22時点でWaylandは依然としてオプトインで、X11をデフォルト)。CinnamonはGNOMEまたはKDEより貢献者が少ない。Ubuntuアップストリームはcanonicalのテレメトリーではなく、Ubuntuのバグを継承することを意味します。
実用的なセットアップ。 新規インストール → インストール中にLUKSを有効化 → 更新 → Firefox(既にある)+ uBlock Origin をインストール → それだけです。Mintは「インストールして使用」でさらなる作業なしに合理的なプライバシー姿勢を与えるディストロです。
Qubes OS 4.2 — 脅威モデルとしての区画化
Qubés は独自のカテゴリです。一つのOSをよりプライベートにしようとする代わりに、Qubésは任意の単一システムが侵害されることを前提とし、仮想化を使用して爆発半径を分離します。
動作方法。 QubésはXenハイパーバイザー経由でベアメタル上で実行されます。全ての「VM」(彼らの用語ではqubeと呼ばれる)は使い捨てLinuxユーザースペース — 通常FedoraまたはDebianテンプレートを実行します。メールの添付ファイルをクリックすると、閉じた後に破棄されるDisposableVMで開きます。銀行業務は銀行にのみネットワークアクセス権を持つ独自のAppVMで発生します。ランダムリンクのブラウジングはTor経由でルーティングするWhonix-Workstation qube で発生します。
UXコスト。 qubes間のコピーペーストには転送を確認する明示的なキーボードショートカット(Ctrl+Shift+V)が必要です。qubes間で移動されるファイルは専用のFileCopyダイアログを通ります。通常OSの「全てが同じデスクトップで単に動作する」前提を失いますが、実際のセキュリティ境界を得ます。
セキュリティプロパティ。
- 作業 qube のブラウザエクスプロイトは個人 qube のファイルに到達できません。
- 侵害されたPDF リーダーは暗号ウォレットを流出させることができません。
- 差し込まれたUSBサムドライブは専用のsys-usb qubeでマウントされます — マルウェアでロードされていれば、dom0(信頼される制御ドメイン)ではなく使い捨てVMにヒットします。
- dom0はインターネットアクセスが全くありません; dom0でブラウザを実行することは文字通りできません。
ハードウェア要件。 16 GB RAM最小(Qubésは16 GB推奨)、32 GB実用的。高速SSD(NVMe推奨)。VT-x + VT-d付きIntel CPU; 特定のラップトップがハードウェア互換性リストにあります(新しいThinkpad、Framework、System76 Oryx Pro)。
Whonix経由のTor統合。 箱から出して、QubésはWhonixテンプレートを出荷します — 一つのVMがTorルーティングを行い、もう一つがブラウザを実行する2VM設定で、完全にエクスプロイトされてもブラウザが実際のIPを学ぶ方法はありません。Tails 以下で最高のTorアーキテクチャ。
強み。 高脅威ユーザーのためのゴールドスタンダードセキュリティモデル。オープンソース。SnowdenとExpo-valueジャーナリストは公然とそれを使用します。
弱み。 急峻な学習曲線(快適になるまで2-4週間)。重いハードウェア要件。限定されたハードウェアサポート — 「最もモダンなハードウェア」ではなく特定のラップトップリスト。商用ソフトウェアなし; Linuxアプリのみです。
実用的なセットアップ。 Qubés 独自のインストールガイドは優秀です。最初のインストールとqubeモデルの学習のために週末を予算してください。互換性のあるラップトップとペアリングしてください(彼らのHCLリストをチェック — ランダムハードウェアを購入しないでください)。
Tails 6.x — USB上の記憶消去セッション
Tails(The Amnesic Incognito Live System)は、USBから起動しシャットダウン時に全てを忘れるDebianベースのライブOSです。全ての外向き接続はTor経由で強制されます — アプリのバグが直接接続を試みようとすれば、漏洩するのではなく失敗します。
使用方法。 ターゲットマシンをTails USBから起動します。使用します。再起動します。マシンのハードドライブは決して触れられません(明示的にオプトインしない限り)。人間の記憶以外のどこにもセッションのトレースは残りません。
永続ストレージ。 オプトイン、同じUSB上、LUKSで暗号化。特定のフォルダ、Torブリッジ設定、そして再起動間で短いアプリリストを保持させます。他の全ては記憶消去のまま残ります。
Torルーティング。 全てのトラフィック。「スプリットトンネル」なし、「ドメインベース例外」なし。Torを使用できないアプリは単に接続できません。これは厳格で時々迷惑です(一部のビデオ会議が壊れ、ほとんどの銀行サイトがTor出口をブロック)が、それがセキュリティプロパティです。
強み。 設計上記憶消去 — 見当たらないUSBはセッションを漏洩させません。デフォルトでTor — 偶然実際のIPを漏洩させる方法はありません。小さな攻撃表面 — 最小限のソフトウェアスタック。非営利によってよく維持されています。
弱み。 日常使いではありません。USBからの起動は遅いです。ソフトウェア選択は意図的に制限されています。Tor遅延は多くの商用サービスを壊します。オプトインしない限り再起動間で永続的なシステム状態はありません。
最適な用途。
- 国境通過(税関前に通常OSに再起動)
- ジャーナリスト源との面会
- 日常のアイデンティティと共混在してはいけない機密トピックの調査
- 「今していることは他の時間の誰であるかにリンク可能であってはならない」任意のセッション
実用的なセットアップ。 tails.net からTailsをダウンロード、署名を確認(重要)、≥ 8 GB USB にフラッシュ、ターゲットマシンをそれから起動(BIOS/UEFI調整が必要かもしれません)。セッション中にsudoコマンドを実行する必要があればadminパスワードを設定。
比較表
| OS | テレメトリー(デフォルト) | アカウント必須 | オープンソース | FDEデフォルト | クラウドデフォルト | プライバシースコア |
|---|---|---|---|---|---|---|
| Windows 11 Home | 常時オン + オプトアウトのみ | はい(Microsoft) | いいえ | 時々(自動デバイス暗号化) | OneDriveオン | ★☆☆☆☆ |
| Windows 11 Pro | グループポリシー経由で削減可能 | いいえ(ドメイン参加オプション) | いいえ | はい(BitLocker) | OneDriveオン | ★★☆☆☆ |
| macOS Sequoia | EUでオプトアウト、USでデフォルトオン | 推奨(Apple ID) | いいえ | いいえ(ユーザーがFileVaultを有効化する必要) | Photosでicloudオン | ★★★☆☆ |
| Ubuntu 24.04 | インストール時オプトインのみ | いいえ | はい | インストール時オプション | なし(snapテレメトリー) | ★★★★☆ |
| Fedora 41 | オプトインクラッシュレポート | いいえ | はい | インストール時オプション | なし | ★★★★☆ |
| Linux Mint 22 | なし | いいえ | はい | インストール時オプション | なし | ★★★★★ |
| Qubes OS 4.2 | なし | いいえ | はい | はい(必須LUKS) | なし | ★★★★★ |
| Tails 6.x | なし | いいえ | はい | 永続ボリュームオプション | なし(Torルーティング) | ★★★★★ |
(星は「テレメトリー負担 + クローズドソースペナルティ + FDEデフォルト + クラウドロックイン」の大まかな複合です。重要な唯一のものではありません — 強化されたWindows 11 Proは雑なUbuntuインストールよりプライベートになり得ます。)
ユースケース別の推奨
1. メインストリームソフトウェア(Adobe、ゲーミング、Office、Zoom等)も必要なプライバシー意識の消費者。 BitLocker + O&O ShutUp10++ + Firefox + ローカルアカウント付きWindows 11 Pro。またはそれを要求するアプリ用のWindows と他の全てにLinux Mintをデュアルブート。
2. ナレッジワーカー、開発者、学生、ライター。 LUKS + Firefox + uBlock Origin付きLinux Mint。Windows/macOSワークフローの90%がMintにきれいにマップされます。ほとんどの文書にLibreOffice、より良いMicrosoft Office互換性が必要ならOnlyOffice。
3. Adobe Creative Cloudを使用するコンテンツクリエーター/デザイナー。 FileVault + Advanced Data Protection + Firefox付きmacOS Sequoia。Adobeサポートはmac OSで実際です; Linuxでは厄介です(Wine/Bottlesは一部のアプリで動作、全部ではない)。ビデオワークでのApple Siliconパフォーマンスは本当に3つの商用オプションの最高です。
4. 機密素材を扱うジャーナリスト/活動家/研究者。 互換ハードウェアで日常作業用Qubes OS + 一回限り高リスクセッション用USB上Tails。可能なら「公的アイデンティティ」対「機密作業アイデンティティ」に別の物理デバイスを使用。
5. 時々の高リスクセッション(国境通過、ソースとの面会、トピック調査)。 清潔なマシンで起動したUSB上Tails、後でシャットダウン。永続ボリュームを消去せずに異なるリスクシナリオ間でUSBを再利用しない。
6. コンピューター使用を学習中の祖父母。 簡潔さのためChromebook上ChromeOS、またはファミリーメンバーが初期セットアップできればLinux Mint Cinnamon。Windows 11 Homeは避ける — Microsoftアカウントセットアップだけで混乱し、清掃作業は軽いユーザーには価値がない。
私たちが実際に実行しているもの
完全開示:ipdrop.ioチームは混合で実行しています — コンテンツ/デザイン/日常作業にmacOS、開発/機密作業に別マシンでLinux Mint、そして年に3-4回使用される引き出しのTails USB。Qubésは尊敬していますが日常使いしません — 摩擦は本当で私たちの脅威モデルはそれを必要としません。
何を選んでも、最も重要なプライバシーの動きはOSではありません — フルディスク暗号化を有効化し、パスワードマネージャーを使用し、日常ブラウザに機密アイデンティティを混在させないことです。OSの選択はフレームです; 習慣が絵です。
関連
- プライバシーチェックリスト — アカウントを監査する20ステップ
- VPNとは? — ネットワークプライバシーのためのOSより上の層
- 暗号化メール — Proton Mail、Tutanota、Mailbox.org比較
- 暗号化ファイルストレージ — Proton Drive、Tresorit、Sync.com比較
- Proton Pass vs Bitwarden — パスワードマネージャー詳細