暗号化という幻想
2026年版に更新済み
2022年12月、LastPassはユーザーに侵害を知らせました。メッセージは安心感を与えるものでした:パスワードは「暗号化済み」、ボルトの内容は「保護済み」とのことでした。
2025年までに、LastPassユーザーから4億3800万ドル以上が盗まれました。その盗難は、いわゆる「安全な」ボルトから直接行われました。
どうして? LastPassが鍵を持っていたからです。
クラウドツールを選ぶ前に、あなたのセキュリティチームはこれを理解する必要があります。これは、PII匿名化プラットフォームを含む、機密ファイルを扱うすべてのツールに当てはまります。
サーバー側暗号化とゼロ知識アーキテクチャの違い
ほとんどのクラウドツールは「あなたのファイルを暗号化する」と言います。しかし、実際にはサーバー側暗号化(SSE)を使用しています。これが意味することを説明します:
| 特性 | サーバー側暗号化 | ゼロ知識アーキテクチャ |
|---|---|---|
| 暗号化が行われる場所 | ベンダーのサーバー上 | あなたのデバイス(ブラウザ/デスクトップ) |
| 鍵を持つのは誰か | ベンダー | あなただけ |
| ベンダーはコンテンツを読める | はい | いいえ |
| サーバー侵害でファイルが露出 | はい | いいえ(暗号文のみ) |
| ベンダーは開示を強制される可能性 | はい | いいえ(持っていないから) |
| 法執行機関のアクセス | ベンダー経由 | あなたの鍵なしには不可能 |
LastPassは鍵を持っていました。それが致命的な欠陥でした。攻撃者が侵入し、暗号文とそれを解読するツールの両方を入手しました。彼らはソーシャルエンジニアリング、弱いパスワードへのブルートフォース攻撃、古いアカウントのメタデータを利用しました。
なぜGDPR第25条にとって重要なのか
GDPR第25条(設計によるデータ保護)は明確です。管理者は「適切な技術的・組織的措置」を使用しなければなりません。これらは最初から組み込まれていなければなりません。
欧州データ保護委員会(EDPB)は、これが暗号化によるデータ最小化を含むと明確にしています。システム自体が記録へのアクセスをブロックしなければなりません。アクセス制御だけでは不十分です。
鍵を持つベンダーは、厳密な解釈での第25条を満たすことができません。その理由は次のとおりです:
- システムへの侵害があなたの記録を露出する可能性があります。
- ベンダーへの令状があなたのコンテンツを引き渡す可能性があります。
- 悪意のある従業員があなたのファイルを閲覧できます。
- サプライチェーン攻撃がすべてを露出する可能性があります。
ドイツ連邦データ保護委員(BfDI)はこれについてガイダンスを発行しました。オーストリアデータ保護局(Datenschutzbehörde)も同様です。両者とも、ゼロ知識が高リスク処理のための最善の技術的選択であると述べています。
SaaS侵害の現実
AppOmni / クラウドセキュリティアライアンス2024レポートは、2022年から2024年にかけてSaaS侵害が300%増加したことを発見しました。主なデータ:
- 侵害までの時間:9分(以前は時間単位で測定)
- 侵害における第三者の関与:前年比で倍増(Verizon DBIR 2025)
- Conduent侵害:2590万件の記録が露出(社会保障番号、医療ファイル)
- NHSベンダー侵害:900万人の患者が露出
政策の言葉はもはや十分ではありません。強固なアーキテクチャが最低基準です。これはすべての高リスク処理に当てはまります。
真のゼロ知識アーキテクチャとはどのようなものか
本物のゼロ知識システムには、これらの明確な特性があります:
1. クライアント側の鍵導出 あなたの鍵はパスワードから生成されます。メモリを大量に使用するKDF(Argon2id、bcrypt、またはscrypt)があなたのデバイスで実行されます。鍵はデバイスを離れることはありません。
2. クライアント側の暗号化 あなたのコンテンツは、ブラウザやアプリを離れる前に暗号化されます。サーバーは暗号文のみを受け取ります。鍵なしでは、その暗号文は役に立ちません。
3. サーバー側の鍵保存なし ベンダーは鍵、鍵の断片、鍵のバックアップを一切保存しません。自分の回復フレーズを使ってアクセスを回復します。
4. 暗号化の検証可能性 システムは十分に文書化されていなければなりません。監査に対してオープンでなければなりません。技術的な詳細のない曖昧な「エンドツーエンド暗号化」の主張は危険信号です。
anonym.legalのゼロ知識実装方法
anonym.legalのゼロ知識ログインは次を使用します:
- Argon2idの鍵導出:64MBのメモリ、3回のイテレーション — 高セキュリティアプリのためのOWASP推奨パラメーター
- AES-256-GCM暗号化:コンテンツが送信される前に、ブラウザまたはデスクトップアプリで完全に実行
- 24語のBIP39回復フレーズ:アクセスを回復する唯一の方法 — anonym.legalには保存されていません
- サーバー側の鍵アクセスなし:anonym.legalのサーバーは復号化できないAES-256-GCM暗号文のみを受け取ります
anonym.legalのサーバーが完全に侵害されても、暗号化されたブロブのみが得られます。各ユーザーの鍵なしでは — それはユーザーのデバイスにのみ存在します — これらのブロブは役に立ちません。
詳細については、セキュリティとコンプライアンスの概要およびコンプライアンスドキュメントをご覧ください。
ベンダー評価チェックリスト
機密記録のためにクラウドツールを選ぶ際は、次の質問をしてください:
アーキテクチャの質問:
- 暗号化はどこで行われますか — あなたのデバイス上、またはベンダーのサーバー上ですか?
- 誰が鍵を作成しますか?
- 鍵はどこに保存されますか?
- ベンダーは令状に応答してコンテンツのプレーンテキストコピーを渡すことができますか?
- ベンダーが買収された場合、あなたのファイルはどうなりますか?
侵害への耐性の質問:
- ベンダーのシステム全体が侵害された場合、どの記録が露出しますか?
- ベンダーの従業員が悪意を持って行動した場合、どのコンテンツを見ることができますか?
- サプライチェーン攻撃がベンダーを標的にした場合、何が露出しますか?
規制上の質問:
- ベンダーはGDPR第25条のドキュメントを提示できますか?
- 外部監査人がシステムをレビューしましたか?
- 暗号化をカバーするISO 27001またはSOC 2認証がありますか?
侵害に関する質問に「ゼロ — コンテンツはあなたのデバイスを離れる前に暗号化されます」と答えられないベンダーは、サーバー側暗号化を使用しています。詳細な定義についてはFAQおよび用語集をご覧ください。
ユースケース:ドイツの健康保険会社のデューデリジェンス
大規模なドイツの健康保険会社(Krankenkasse)のコンプライアンス担当者は、クラウド匿名化ツールを必要としていました。タスク:保険契約者の苦情ログを処理すること。DPOには4つの要件がありました:
- ベンダーは保険契約者の記録にアクセスできないこと
- ドイツ国外での処理なし
- GDPR第32条の技術的措置が文書化されていること
- DPAへの報告が必要な侵害リスクが最小化されていること
大手米国匿名化SaaSは最初の要件で失敗しました。サポートチームがユーザーのボルトをリセットできました — サーバー側の鍵アクセスの証拠です。2番目のツールは「監査証跡」目的で処理済みテキストを30日間保存していました — これもサーバー側のアクセスです。
anonym.legalはすべての4つの基準を満たしました。DPOは次のように書くことができました:「ベンダーの完全な侵害でさえ、使用可能な保険契約者の記録を生成しません — 鍵は私たちのワークステーションにのみ存在します。」GDPR第32条のドキュメントは4時間で完了しました。
さらなる実世界の例についてはケーススタディをご覧ください。
ICOの執行先例
2025年12月、英国情報コミッショナーズオフィスはLastPass UK法人に**£120万**の罰金を科しました。理由:「適切な技術的・組織的セキュリティ措置の実施の失敗。」
罰金は侵害自体に対するものではありませんでした。侵害を非常に有害にしたアーキテクチャの決定に対するものでした。古いアカウントの不適切なKDF設定、露出したメタデータ、サーバー側の鍵保存がすべて役割を果たしました。
規制当局は今、システムが侵害の影響を制限したかどうかを尋ねています。ゼロ知識アーキテクチャはこれに明確に答えます。それがその意図の最良の証拠です。
ゼロ知識アーキテクチャが適切でない場合
ゼロ知識暗号化にはトレードオフがあります。これらは一部のユースケースで重要です:
回復の複雑さ:ユーザーが鍵を失うと、ファイルは永久に失われます。バックドアはありません。スタッフの離職率が高いか、鍵管理の習慣が悪い場合、これは実際のリスクになります。
コラボレーションの摩擦:暗号化されたコンテンツは、相手が正しい復号化ツールを持っている場合にのみ共有できます。これは標準的なクラウドアプリでのシンプルなリンク共有より遅いです。
規制上のエッジケース:一部の地域では、裁判所命令によって記録への法執行機関のアクセスを要求します。ゼロ知識システムはこれを設計上ブロックします。これは、合法的傍受義務が適用される金融サービスや通信において法的問題を引き起こす可能性があります。
計算上のオーバーヘッド:Argon2idの鍵導出とAES-256-GCM暗号化は両方ともレイテンシを追加します。これはリアルタイムの高ボリューム処理で最も重要です。
1日に何百万もの文書を処理するチームには、ハイブリッドアプローチの方が適している場合があります。最も機密性の高いフィールドのみを暗号化します。メタデータはアクセス可能に保ちます。ボリュームティアについては料金プランをご覧ください。
結論
「あなたのファイルを暗号化します」はセキュリティの保証ではありません。精査が必要なマーケティングフレーズです。
本当の質問はシンプルです。誰が鍵を持っていますか?暗号化はどこで行われますか?ベンダーのシステムが侵害された場合、何が露出しますか?
GDPR、HIPAA、または類似の規則の下で機密記録を処理するチームにとって、これらのアーキテクチャの選択は法的リスクと実際の侵害露出の両方を形成します。
LastPassはユーザーのコンテンツを暗号化していました。ゼロ知識アーキテクチャは2022年の侵害を無イベントにしていたでしょう。ユーザーから盗まれた4億3800万ドルは、アーキテクチャの近道のコストでした。
anonym.legalはPII匿名化にゼロ知識アーキテクチャを使用しています。Argon2idの鍵導出はあなたのブラウザまたはデスクトップアプリで実行されます。AES-256-GCM暗号化は、コンテンツがあなたのデバイスを離れる前に行われます。anonym.legalのサーバーは復号化できない暗号文のみを保存します。アバウトページでさらに詳しく、またはトークンシステムをご覧ください。