ゼロ知識とは?

ゼロ知識とは、サービスプロバイダーがユーザーのデータにアクセスできないことを保証する暗号原則です。従来の暗号化方式は、データは通信中および保存時に保護されますが、プロバイダーが暗号化キーにアクセスできることが多く、プロバイダーが侵害された場合、不正アクセスのリスクが高まります。

ゼロ知識アーキテクチャでは、すべての暗号化と復号がユーザーのデバイス上で行われるため、プロバイダー侵害による不正アクセスのリスクを大幅に軽減できます。暗号鍵を保持するのはユーザー本人のみであり、情報を復号できるのも本人だけです。個人・企業を問わず、ゼロ知識は、機密データがエンドユーザー以外の誰にもアクセスできない状態を確保することで、デジタルセキュリティとプライバシーを強化し、データをユーザー自身が管理できる環境を実現します。

ゼロトラストとゼロ知識の違い

ゼロトラストとゼロ知識はしばしば併せて語られますが、それぞれサイバーセキュリティの異なる側面に対処する別個の原則です。簡単に言えば、ゼロトラストは誰がアクセスできるかを制御し、ゼロ知識はアクセスされるデータの機密性を保護します。

ゼロトラストは、ネットワークの内外を問わず、いかなるユーザーやデバイスも自動的に信頼されるべきではないという前提に基づくセキュリティの枠組みです。すべてのリクエストは、正当であると証明されるまで疑わしいものとして扱われ、システム内でのラテラルムーブメントのリスクを低減するために、アクセスは継続的に検証される必要があります。

それとは対照的に、ゼロ知識はエンドユーザーのみが自身の機密データにアクセスして復号できることを保証します。ゼロ知識では、暗号化と復号はユーザーのデバイス上でのみ行われ、プロバイダーのサーバーやクラウド上で平文の状態になることは決してありません。侵害が発生した場合でも、ユーザーのデータは暗号化されたままで、本人の秘密鍵がなければ使用できません。

ゼロ知識の仕組み

ゼロ知識による保護では、機密データの暗号化と復号はすべてクライアント側でのみ行われます。ユーザーがゼロ知識プラットフォームを利用する場合、そのデータはローカルで暗号化されます。すべての暗号化キーはユーザーのデバイス上で生成・保存されるため、ボルトのロックを解除できるのはユーザー本人のみです。これにより、認証情報、シークレット、ファイルは通信中と保存時のいずれでもエンドツーエンドで暗号化された状態に保たれます。

プロバイダーは暗号化キーを復元可能な形式で受信したり保存したりすることは決してないため、送信中または保存中のいかなる段階においても、ユーザーデータが平文の状態で公開されることはありません。プロバイダーのシステムが侵害されたとしても、サイバー犯罪者が目にできるのは暗号化された読み取り不可能なデータだけで、それを復号する方法はありません。

プラットフォームによっては、ZKP (Zero-Knowledge Proofs: ゼロ知識証明) を組み込んでいるものもあります。ZKPは、情報そのものを明かすことなく、自分がその情報を知っていることを相手に証明できる暗号技術の概念です。たとえば、金庫を実際に開けて中身を見せることなく、その金庫の暗証番号を知っていることを証明するようなものだと考えると分かりやすいでしょう。ZKPを使用すると、機密データや認証情報を公開することなく認証または検証できるため、プライバシーとセキュリティをさらに強化できます。

ゼロ知識セキュリティのメリット

データは完全に暗号化され、ユーザーのみがアクセスできるため、ゼロ知識は最高レベルのセキュリティを実現します。ゼロ知識アーキテクチャを採用することで、個人と組織の双方に多くのメリットがもたらされます。主なメリットは次のとおりです。

  • 強固なデータプライバシー: 暗号鍵にアクセスできるのはユーザー本人のみであるため、保存されたデータを読み取ったり復号したりできるのは本人以外にありません。
  • 情報漏洩の影響を最小限に抑制: 侵害が発生した場合でも、サイバー犯罪者がアクセスできるのは暗号化されたデータのみで、暗号化キーがなければ利用することはできません。プロバイダーは暗号化キーにアクセスできないため、たとえシステムが侵害されても、データが読み取られることはありません。
  • 内部脅威からの保護: ゼロ知識では、平文データにアクセスできるのはユーザー本人のみであるため、従業員や管理者からの悪意のある行為や過失など、内部脅威のリスクを抑制できます。
  • コンプライアンスリスクの低減: ゼロ知識プラットフォームは、常にアクセス制御や暗号化を徹底して、GDPRやHIPAAなどのデータ保護基準への準拠を支援し、コンプライアンスリスクの軽減に貢献します。
  • 信頼性の向上: ゼロ知識アーキテクチャでは、いかなる状況においてもデータが公開されることはないため、顧客やパートナーは安心して利用できます。こうした透明性は、ブランドの信頼性を高め、長期的なロイヤルティの向上につながります。

ゼロ知識の一般的な活用事例

ゼロ知識セキュリティは、複数のアプリケーションや環境にわたって、組織が機密データを保護するのに役立ちます。中でも広く採用されている事例がパスワード管理です。ユーザーは、ゼロ知識暗号化を備えたパスワードマネージャーを使用することで、パスワード、パスキー、多要素認証方式、文書などを、本人のみがアクセスできる完全に暗号化されたボルトに保存できます。

特権アクセス管理 (PAM) ソリューションも、特権アカウントを保護し、重要なリソースへの不正アクセスを防ぐためにゼロ知識セキュリティを採用しています。たとえば、KeeperPAM®は特権認証情報をゼロ知識ボルトに保存し、管理者やサービスプロバイダーに認証情報を公開することなく暗号化された接続を確立します。

DevOps環境やマルチクラウド環境では、安全なシークレット管理にゼロ知識が不可欠です。漏洩や不正利用を防ぐために、APIキー、証明書、その他のシークレットを転送中も保存時も暗号化する必要があります。ゼロ知識暗号化を採用したシークレットマネージャーを使用すると、シークレットをハードコーディングしたり攻撃対象領域を拡大させたりすることなく、安全にシークレットにアクセスできます。また、ユーザーと暗号処理の間に厳格な分離を維持することも可能です。

close
ビジネス営業部
サポート
close
今すぐ購入