主張とアーキテクチャのギャップ
機密データを扱うすべてのクラウドベンダーは、同じ主張のバージョンを行います: 「私たちはあなたのデータを暗号化します。」この主張はほぼ常に真実ですが、ほぼ常に不十分です。
2022年のLastPassの侵害は決定的なケーススタディです。LastPassはユーザーのパスワードボールトを暗号化しました。彼らは暗号化を使用しました。この主張は正確でした。しかし、2500万人のユーザーがその暗号化されたボールトを流出され、438百万ドルがその後2025年までの間にLastPassユーザーから暗号通貨の強盗によって盗まれました。これはCoinbase Institutionalの研究によるものです。
英国情報コミッショナー事務所は、2025年12月にLastPassの英国法人に対して「適切な技術的および組織的セキュリティ対策を実施しなかった」として120万ポンドの罰金を科しました。暗号化は存在しましたが、セキュリティ対策は必要な基準を満たしていませんでした。
クラウドプライバシーツールを評価する企業にとって — PII匿名化プラットフォームを含む — LastPassの前例は調達の質問を変えます。質問は「彼らは私たちのデータを暗号化しますか?」ではなく、「彼らは私たちのデータを復号化できますか?」です。
実際に重要な4つのゼロ知識質問
ベンダーのゼロ知識主張を評価する際、4つの質問がアーキテクチャが本物かどうかを判断します:
1. キー導出はどこで行われますか?
真のゼロ知識アーキテクチャでは、暗号化キーの導出はクライアント側 — ブラウザまたはデスクトップアプリケーション — で行われ、データが送信される前に行われます。導出されたキーはデータをローカルで暗号化するために使用されます。暗号化された暗号文のみがベンダーのサーバーに送信されます。
もしベンダーがサーバー上で暗号化キーを導出するなら、彼らはそのキーを保持しています。彼らがキーを保持している場合、彼らは復号化できます。この主張は技術的には正確ですが(「私たちは暗号化します」)、その含意において誤解を招くものです。
2. ベンダーはプレーンテキストにアクセスできますか?
一部のツールはデータを静止状態で暗号化しますが、処理のために復号化します — AIモデルの実行、分析、検索インデックス作成、または監査ログ生成など。処理ウィンドウ中に、プレーンテキストはベンダーのインフラストラクチャ上でアクセス可能です。そのウィンドウ中に侵害が発生すると、データが暗号化されていない形式で露出します。
3. 法的手続きの下で何が起こりますか?
政府機関がベンダーに対して召喚状を出した場合、彼らはどのデータを提供できますか?サーバー側キーを持つベンダーは復号化されたコンテンツを提供するよう強制される可能性があります。ゼロ知識アーキテクチャを持つベンダーは暗号化された暗号文のみを提供できます — 法的強制の下でも、彼らは役立つものを渡すことはできません。
4. 完全なサーバー侵害が露出するものは何ですか?
真のゼロ知識実装では、ベンダーのインフラストラクチャの完全な侵害は暗号化されたブロブのみをもたらします。攻撃者は復号化するためのキーなしで暗号文を受け取ります。ベンダーが管理するキーの実装では、サーバーの侵害はデータと共にキーを露出させます。
LastPassの実装失敗
LastPassの侵害は特定の実装のギャップを明らかにしました: 古いアカウントは、推奨される600,000回の反復ではなく、わずか1回の反復でPBKDF2を使用してキー導出を行っていました。弱いキー導出により、流出したボールトに対するブルートフォース攻撃が計算上実行可能になりました。
これは、ゼロ知識主張を評価する際に実装の詳細を調べる必要がある理由を示しています。ベンダーはゼロ知識設計を使用しながら、弱く実装することができます。正しい質問は、アーキテクチャ(キー導出の場所)と実装の強度(アルゴリズムと反復回数)の両方をカバーします。
Oktaの侵害: 異なる失敗モード
2023年10月、Oktaは60万件以上のカスタマーサポート記録が侵害されたことを開示しました。Oktaはアイデンティティプラットフォームであり、多くの企業が他のクラウドツールへのアクセスを保護するために使用しています。Oktaの侵害はLastPassとは異なる失敗モードでした: ゼロ知識実装の弱点ではなく、顧客データを含むサポートインフラストラクチャの侵害でした。
2024年のSaaS侵害の急増300%(AppOmni/CSA)は、LastPassのようなアーキテクチャの弱点とOktaのようなインフラストラクチャの侵害の両方を反映しています。ゼロ知識アーキテクチャはアーキテクチャの失敗モードに対処します。それはすべての侵害リスクを排除するわけではありませんが、完全なインフラストラクチャの侵害が復号化可能な顧客データを露出しないことを保証します。
真の評価がどのようなものか
ゼロ知識主張を評価する調達チームのための評価チェックリスト:
アーキテクチャレビュー:
- キー導出がどこで行われるかを示す文書を要求する(クライアント側対サーバー側)
- 暗号化アルゴリズム、キーの長さ、反復回数を尋ねる
- プレーンテキストがベンダーサーバーに送信されないことを確認するよう要求する
侵害シナリオテスト:
- ベンダーに完全なサーバー侵害が何を露出するかを説明させる
- 答えが「復号化できない暗号化された暗号文」以外の何かを含む場合、その主張は真のゼロ知識ではありません
法的手続きレビュー:
- ベンダーが顧客のプレーンテキストの生産を要求する召喚状に従うことができるかどうかを尋ねる
- 真のゼロ知識ベンダーは、持っていないものを提供することはできません
コンプライアンス文書:
- ベンダーのGDPR第32条コンプライアンス文書を要求する
- ISO 27001認証(特に附属書Aの暗号制御)は、キー管理の実践に対する外部検証を提供します
120万ポンドのLastPass ICO罰金は、暗号化主張を行うベンダーがその主張が必要な基準を満たしているかどうかの規制評価の対象であることを示しています。規制当局が適用するのと同じ評価フレームワークが、侵害が発生する前に調達チームに利用可能です。
出典: