Folioでさえあなたの書類を見ることができない理由

書類を保管するあらゆるアプリについて、ぜひ考えてみてほしい質問があります：その会社はあなたのファイルを見ることができるでしょうか？ほとんどのクラウドサービスにおいて、正直な答えは「はい」です。彼らはサーバー上でデータを暗号化していますが、その鍵は彼らが握っています。もし彼らがあなたのファイルを見ようと思えば、それは可能なのです。

Folioは違います。私たちは「エンドツーエンド暗号化」を採用しています。これは、書類があなたのスマートフォン上で暗号化され、その後にのみ私たちのサーバーへ送られることを意味します。書類のロックを解除する鍵はあなたのデバイスにのみ存在し、あなただけが知っている秘密――デバイスに安全に保存されたPasskey（パスキー）、またはアプリの設定時に保存したリカバリーコード――によって保護されています。

あなたの秘密がすべてを解く鍵

Folioの設定時、アプリはあなたのデバイス上で暗号鍵を生成します。この鍵が、実際に書類の暗号化と復号（ロックの解除）を行います。しかし、ここが重要なポイントですが、これらの鍵自体も、あなただけが管理する「秘密」によって保護されています。

Passkey（パスキー）は、現代的でシームレスな選択肢です。これはデバイスの安全な領域（セキュアエンクレーブ）に保存された暗号化クレデンシャルであり、Face ID、Touch ID、またはデバイスのパスコードによって保護されています。顔認証や指紋認証を行うと、デバイスがパスキーのロックを解除し、それによって暗号鍵が解除されます。パスキーがデバイスから離れることはありません。AppleやGoogleのセキュアなクラウドキーチェーンを通じて、自身の所有する他のデバイス間で同期することも可能です。

リカバリーコードは、アカウント作成時に生成される24個の単語からなるフレーズです。これは、紙に書かれたマスターキーのようなものだと考えてください。万が一、すべてのデバイスへのアクセスを失った場合、このコードが書類を復元する唯一の方法となります。これがないと、あなたのデータは数学的に復元不可能です。

どちらの方法でも、秘密はあなたの手元に留まります。Folioがそれを見ることはありませんし、保存することもありません。万が一あなたが秘密を紛失しても、私たちがそれを復元する方法はありません。

実際には何を意味するのか

あなたの秘密だけが暗号鍵を解除できるということは、以下のことが成立することを意味します：

私たちはあなたの書類を読むことができません。 私たちのサーバーには暗号化されたファイルが保存されていますが、私たちにはランダムなデータの羅列にしか見えません。あなたのパスキーやリカバリーコードがなければ、復号する方法はありません。たとえデータベースへのフルアクセス権を持つFolioの従業員であっても、意味のない暗号化されたデータの塊しか見ることができません。

ハッカーはあなたの書類を読むことができません。 もし誰かが私たちのサーバーに侵入したとしても、手に入るのは暗号化されたデータです。あなたの秘密がなければ、そのデータは役に立ちません。現代の暗号を解読するには、現在のテクノロジーでは宇宙の年齢よりも長い時間が必要になります。

私たちはあなたの書類を引き渡すことができません。 もし当局からデータの開示を求められたとしても、私たちは暗号化されたファイルしか提供できません。私たちには秘密がないため、物理的に復号することが不可能なのです。

私たちはあなたのアクセス権をリセットできません。 ほとんどのサービスでは、暗号化をサービス側が管理しているため、忘れたパスワードのリセットが可能です。しかし、私たちはそれができません。もしパスキーとリカバリーコードの両方を紛失した場合、あなたの書類は永遠に失われます。これは制限ではなく、暗号化が本物であることを証明する「機能」なのです。

なぜこれが重要なのか

デジタルウォレットには、パスポートのスキャン、身分証明書、医療記録、財務書類など、極めて機密性の高い情報が含まれています。これらのデータが流出すれば、なりすまし犯罪を招く恐れがあります。また、あなたに不利益な形で利用される可能性もあります。これらは、従業員やハッカーがアクセスできる企業のサーバーに、無防備な状態で置いておくべき情報ではありません。

エンドツーエンド暗号化は、信頼のモデルを変えます。Folioのセキュリティ対策を信じて「情報漏洩が起きないこと」を願うのではなく、暗号の数学的な強度を信頼し、自分の秘密を守るだけで済むようになります。たとえ私たちがミスを犯したとしても、あるいはサーバーが攻撃を受けたとしても、あなたの書類は守られ続けるのです。

本物のエンドツーエンド暗号化を見分ける方法

多くのアプリが「暗号化されている」と主張していますが、本当の意味でのエンドツーエンド保護を提供していないこともあります。見分けるためのチェックポイントは以下の通りです：

パスワードをリセットできますか？ パスワードを忘れた後にサービス側がデータへのアクセスを復元できる場合、そのサービスが暗号鍵を保持していることを意味します。つまり、彼らはあなたのデータを読むことができるのです。本当のエンドツーエンド暗号化では、「秘密を失うこと」は「データを失うこと」を意味します。

リカバリーキーやフレーズの説明はありますか？ 本物のE2EEを採用しているサービスでは、通常、リカバリーキーの保存が求められます。それがないと、サービス側でもデータを復元できないからです。あなたが自身で管理する復元メカズムがない場合は、注意が必要です。

プレビューを表示できますか？ 秘密を入力する前に、ウェブ版のサービスなどで書類のサムネイルやプレビューが表示される場合、そのデータは本当の意味でエンドツーエンド暗号化されていません。サーバー側でプレビューを生成するために、ファイルを復号する必要があるからです。

あなたの書類には、単なる「セキュリティの約束」以上の価値があります。必要なのは数学的な保証です。エンドツーエンド暗号化において、あなたの秘密は唯一無三の鍵です。それを安全に保つことで、あなたの書類のプライバシーは、たとえ私たちに対してであっても守られ続けるのです。

Folio Walletをダウンロード

iOSとAndroidで無料利用可能