「もう、漏らしません」量子コンピュータでも解読できない秘密分散技術って？

遠くない将来実用可能になると想定される量子コンピュータの強大な計算パワーの前に、現在普及している暗号技術はまったく役に立たなくなると予想されている。そんな未来において、情報漏えいのない安全な超長期情報保管の方法として注目されるのが「秘密分散」技術だ。

[土肥正弘，ドキュメント工房]

情報保護は暗号が破られる前提で再考が必要

　現在最も活用されている情報秘匿の方式は、公開鍵暗号基盤（PKI）に用いられているRSA暗号や無線LANで普及しているAES暗号（共通鍵方式）などだが、全ては従来の計算機の計算能力の限界を前提にしている。しかし、これらの方式による暗号を、強大な計算パワーで難なく解読できてしまう可能性のある量子コンピュータは、パスワード運用と暗号鍵の安全な保管を前提にした暗号化の仕組みは再考せざるを得なくなってくる。

量子コンピュータでも解読不能な秘密分散技術による情報保護

　そこで注目されるのが、計算量による情報秘匿ではなく、量子コンピュータでも破れない情報秘匿方式としての「秘密分散」技術である。今回発表されたストレージシステムのプロトタイプは、秘密分散技術の安全性を担保する「真正乱数」発生装置をUSB接続のドングルに収め、PCに導入するドライバーで秘密分散処理を施し、3つのストレージに原本データを分割して保管する。この仕組みであれば、分割されたデータから内容が絶対に推測できなくなる。まさに安全性と利便性を兼ね備えた情報保護システムへのチャレンジだ。

　プロトタイプは株式会社ZenmuTechが研究開発を続けている秘密分散技術（2015年から商品化開始）と、国立研究開発法人情報通信研究機構（NICT）が開発し、株式会社ワイ・デー・ケーがUSBドングルに実装した物理乱数発生装置（ストレージも内蔵）を組み合わせたものだ（図1）。

図1　秘密分散技術を利用した超長期情報保管ストレージシステムのイメージ（資料：ZenmuTech）

　図1中の「PC」では、機密情報を収める仮想ドライブを作成し、機密情報ファイルやフォルダはそのドライブに保存する。このPCには、物理乱数生成機能を持つUSBドングル（物理乱数ドングル）と、もう1つの外部ストレージとしてのUSBドライブを接続しておく。PC内に導入された秘密分散ドライバーは、物理乱数ドングルが生成した、周期性がなく偏りもない1回限りの「真正乱数」を受け取り、その乱数をもとにしてワンタイムパッド方式（後述）で原本データを暗号化する。その暗号化されたデータを3つの分散片に分割し、PC本体内と物理乱数ドングルのストレージ領域、別のUSBメモリにそれぞれの分散片を保存するという仕組みだ。

　原本データは秘密分散ドライバーによって分割された時に消滅し、PC内部には3分割されたデータの1つの分散片しか残らない。分散片は分割される際にまるでシュレッダーにかけた書類のように細かく分断され、1箇所に保管された分散片からは元のデータが一部たりとも復元できない状態になる（「無意味化」）。シュレッダーならカット後の紙を貼り合わせることも可能だが、本方式の分散片にはそれ自体に何の意味もなく、情報を再構成する手掛かりにならない。

　情報を暗号化してそのまま保管する方式では、暗号鍵の安全な保管が重要なポイントになるが、この方式では利用者が管理する暗号鍵が存在しない。ワンタイムパッドで用いた暗号鍵は1回限りの使い捨てであり、原本データと一緒に秘密分散処理され手元には残らない。鍵管理の必要がない点では、運用負荷が低いことになる。

　その一方、いずれか2つのストレージから分散片を集めて計算処理をすれば簡単に元データが復元できる。計算処理はそれほど重いものではなく、ZenmuTechによれば、秘密分散して保管するときにも復元するときにも、アプリケーション利用者がほとんど意識できないような時間しかかからないという。

新開発のプロトタイプと、従来の秘密分散ソリューションとの違いは？

　この図を見ただけでは、例えば「電子割符」システムのような従来商品化されている秘密分散ソリューションとどう違うかが分かりにくいかもしれない。

　今回のプロトタイプの特長は2つある。

　1つは、ファイルそのものや圧縮ファイルなどに対する秘密分散処理をユーザーが意識しなくてもよいことだ。プロトタイプではWindows OS向けにファイルシステムとの一体化を図り、エクスプローラ上での通常のファイル操作により、必要なブロックだけを秘密分散できるようにしている。既存の秘密分散ソリューションではPC側に専用ソフトウェアを導入し、ファイルごとに秘密分散処理する操作が必要だが、その手間をなくして利便性を高めた（秘密分散ドライバーは導入が必要）。

　もう1つは、秘密分散で利用する乱数として物理乱数を利用した点だ。ワンタイムパッドの安全性を担保するためには高品質な乱数が必要になるが、この乱数を物理的な現象を利用して高速に生成することができる物理乱数ドングルから取得する。ドングルを利用することにより秘密分散処理に真正乱数を利用することができるようになり、分散片の安全性が向上した。

図2　秘密分散処理の流れのイメージ（資料：ZenmuTech）

USBドングル内に実装した真正乱数生成機能

　このような利便性の背後にあるもう1つの大きな違いは、「真正乱数」を元データに足しこんで（XORをとり）ワンタイムパッド（バーナム暗号）で暗号化する方式をとる点だ。この方式は情報理論上、セキュアな環境下で予測不可能な真正乱数が利用できることを前提にすれば、絶対に不正な解読ができない方式として学術的に認められている。

図3　ワンタイムパッド方式で利用されるバーナム暗号の仕組み（資料：ZenmuTech）

　PCでコマンドを打てば出てくるような数学的に作り出される乱数は「疑似乱数」と呼ばれ、偏りや周期性（繰り返しにより同じ乱数が生成される）があるため、推測される可能性がゼロではない。圧倒的な計算能力を持つ量子コンピュータによる解読を想定すると、ほんの少しの解読可能性も許されない。そのためには計算処理で作り出せる以上の高品質な乱数が必要だ。そんな乱数生成のために、予測が極めて困難な物理現象（熱などの影響による半導体チップ内のノイズなど）をモニターして1回限りの乱数を迅速に大量に生成できる物理乱数生成器が注目されている。

　本プロトタイプではNICTとワイ・デー・ケーが共同開発し、小型の可搬媒体であるUSBドングル内に物理乱数生成機能を収容した。真正乱数は今後さまざまな場面・用途で大量に必要とされることが予想されており、コンパクトで安価な物理乱数生成器はオンボード実装を含めて期待されている。利便性の高いUSBドングルでの実証も、本発表の注目ポイントの1つだ。

秘密分散技術の種類と将来

　秘密分散技術そのものは新しいものではく、すでに1979年に発案されている。発案者はRSA暗号の発明者として著名な3人（ロナルド・リベスト、アディ・シャミア、レオナルド・エーデルマン）の1人であるシャミアだ。シャミアが提案したのは「しきい値秘密分散法」と呼ばれるもので、以降、その方式に基づくさまざまな秘密分散法（細かく分ければ数百ともいわれる）が考案されており、そのうち5つは2017年にISO/IEC 19592-2:2017として国際標準化されてもいる。今回のプロトタイプも、しきい値秘密分散法を用いたものだ。その特長だけを簡単に言えば、例えば3つに元データを分散したとき、そのうちの1つが失われても、残りの2つがあれば元データを復元できるというもの。分散数や復元可能になる分散片の数（しきい値）はいかようにも設定できる。ただしあまり分散数が多いと管理上の問題が生じるので、管理可能な数にとどめることが実用上は必要だ。

　しきい値秘密分散法以外の代表的な方式には「AONT（All Or Nothing Transform）と呼ばれる方式もある。これは上記のリベストの考案（1999年）によるもので、しきい値法と同じように暗号鍵不要で堅牢な情報保護になるが、分散数と同じ数の分散片がなければ元データを復元できない方式である。利点としては、秘密分散したデータの分散片の合計サイズがほとんど元のデータサイズのまま（若干大きくはなるが）である点だ。例えば30MBのデータをある既存製品で3つに秘密分散した場合、しきい値分散方式では分散したデータそれぞれが全部30MB以上になる（合計90MB以上。秘密分散方式に依存する）が、AONTの場合は、20MB、９MB、１MBのように、任意の割合で分散可能で元データの30MB（プラスアルファ）のサイズに収まる。ZenmuTechの開発担当者である小川知之氏は「独自開発のAONTエンジンによる秘密分散製品を既に製品化して提供（ZENMU Virtual Desktop)しており、一般的なテレワーク時の持ち出しPCとして多くの企業で利用されている。今回のシステムは、この技術を生かしより高セキュアなストレージを提供するためのプロトタイプとして完成させた」とし、用途に応じた秘密分散方式の使い分けを今後は考慮する必要があると指摘する。

図4　しきい値秘密分散法とAONT法の違いのイメージ（資料：ZenmuTech）

量子暗号システムとの組み合わせ

　なお、量子コンピュータでも破れない情報保護を考えるなら、情報の通信経路も考慮する必要がある。一般的なネットワークでも、秘密分散技術だけで今のところは安全と考えられるが、生体情報など極めて重要な情報の漏えいを防ぐには、通信経路としてやはり情報理論的に安全が保証されているネットワークが必要だ。この10月に、NICT、NEC、ZenmuTechは電子カルテのサンプルデータを量子暗号により伝送そのものを秘匿し、広域ネットワーク経由で秘密分散技術を用いてバックアップを行うシステムの実証に成功している。最高度の機密管理が必要な情報にはこのようなシステムの採用も求められるところだ。

プロトタイプから製品化への道のりは？

　現在のプロトタイプはあくまで技術検証のためのもので、手元のデバイスにデータを分散保管する仕様だが、実用的には広域ネットワーク経由で複数サイトに分散保管することが望ましい。そうなると、例えばリモートワークでの機密情報の取扱いを完全にセキュアにできるだけでなく、PCやサーバ廃棄の場合でもストレージに機密情報が残らないためデータ完全消去の必要がなくなるかもしれない。また複合機への保存データを秘密分散すれば、廃棄時やメンテナンス時の情報漏えいリスクをゼロにできるはずだ。

　ZenmuTechではこれらのユースケースも想定し、プロトタイプを改善して製品化したい考えだが、そのロードマップは未定だ。価格は物理乱数ドングルの開発状況をみながら検討していきたいとのことだ。

　今回紹介した、PCでの利便性を考慮した新しい秘密分散ストレージシステムだが、今後はIoTをはじめ機密を要する情報がさらに増えてくることが予想され、その用途の広がりも十分考えられる。簡便でシンプルでありながら、安全が完璧に担保される秘密分散技術のさらなる発展・普及に期待したい。