メインコンテンツまでスキップ

「暗号技術」タグの記事が 25 件 件あります

暗号プロトコルと技術

すべてのタグを見る

耐量子ブロックチェーン:量子耐性のある暗号資産の構築を競う 8 つのプロジェクト

· 約 14 分
Dora Noda
Dora Noda
Software Engineer

2026 年 1 月に Coinbase がポスト量子諮問委員会を設立したことは、セキュリティ研究者が長年警告してきたことを裏付けました。それは、量子コンピュータが現在のブロックチェーン暗号を打破し、量子耐性を持つクリプト(暗号資産)への競争が始まったということです。QRL の XMSS 署名、StarkWare のハッシュベースの STARKs、そしてイーサリアムの 200 万ドルの研究賞金は、2026 年の市場リーダーシップを狙うプロジェクトの最前線を表しています。問題は、ブロックチェーンに量子耐性が必要かどうかではなく、「Q-Day」が到来したときにどの技術的アプローチが支配的になるかです。

ポスト量子ブロックチェーン分野は 2 つのカテゴリに分かれます。既存のチェーン(Bitcoin、Ethereum)の改修と、ネイティブな量子耐性プロトコル(QRL、Quantum1)です。それぞれが異なる課題に直面しています。改修の場合は、後方互換性を維持し、分散化されたアップグレードを調整し、公開された公開鍵を管理する必要があります。ネイティブプロトコルは量子耐性暗号を用いてゼロからスタートしますが、ネットワーク効果に欠けています。どちらのアプローチも必要です。レガシーチェーンは保護されるべき数兆ドルの価値を保持しており、新しいチェーンはジェネシス(創設)時から量子耐性を最適化できるからです。

QRL:先駆的な量子耐性ブロックチェーン

Quantum Resistant Ledger (QRL) は、最初からポスト量子暗号を実装した最初のブロックチェーンとして 2018 年にローンチされました。このプロジェクトは、数論ではなくハッシュ関数を通じて量子耐性を提供するハッシュベースの署名アルゴリズムである XMSS (eXtended Merkle Signature Scheme) を採用しました。

なぜ XMSS なのか? SHA-256 のようなハッシュ関数は、量子コンピュータがハッシュ衝突を大幅に加速させないため(グローバーのアルゴリズムは 2 次の加速を提供しますが、ECDSA に対するショアのアルゴリズムのような指数関数的な加速は提供しません)、量子耐性があると考えられています。XMSS はこの特性を活用し、ハッシュ値のメルクルツリーから署名を構築します。

トレードオフ: XMSS 署名はサイズが大きく(ECDSA の 65 バイトに対し約 2,500 バイト)、トランザクションコストが高くなります。各アドレスの署名能力には制限があり、N 個の署名を生成した後、ツリーを再生成する必要があります。このステートフルな性質により、慎重な鍵管理が求められます。

市場の地位: QRL は、Bitcoin や Ethereum と比較してトランザクション量が少なく、ニッチな存在に留まっています。しかし、量子耐性を持つブロックチェーンが技術的に実行可能であることを証明しています。Q-Day が近づくにつれ、QRL は実戦で鍛えられた選択肢として注目を集める可能性があります。

今後の見通し: 量子の脅威が予想よりも早く現実化した場合、QRL の先行者利益が重要になります。このプロトコルには、ポスト量子署名を用いた長年の運用実績があります。量子セーフな資産保持を求める機関投資家は、「量子保険」として QRL に割り当てを行うかもしれません。

STARKs:量子耐性を備えたゼロ知識証明

StarkWare の STARK (Scalable Transparent Argument of Knowledge) 技術は、そのゼロ知識証明アーキテクチャの副次的なメリットとして量子耐性を提供します。STARKs はハッシュ関数と多項式を使用しており、ショアのアルゴリズムに対して脆弱な楕円曲線暗号を回避しています。

なぜ STARKs が重要なのか: (信頼できるセットアップを必要とし、楕円曲線を使用する)SNARKs とは異なり、STARKs は透明(信頼できるセットアップが不要)であり、量子耐性があります。これにより、スケーリングソリューション (StarkNet) やポスト量子への移行に理想的です。

現在の用途: StarkNet は、Ethereum の L2 スケーリングとしてトランザクションを処理しています。量子耐性は潜在的なものであり、現時点では主要な機能ではありませんが、量子の脅威が増大するにつれて貴重な特性となります。

統合パス: イーサリアムは、移行期間中に ECDSA との後方互換性を維持しながら、ポスト量子セキュリティのために STARK ベースの署名を統合する可能性があります。このハイブリッドアプローチにより、段階的な移行が可能になります。

課題: STARK 証明はサイズが大きく(数百キロバイト)、圧縮技術は向上しているものの、依然として課題です。検証は高速ですが、証明の生成には高い計算コストがかかります。これらのトレードオフにより、高頻度アプリケーションのスループットが制限されます。

展望: STARKs は、直接的な署名スキームとして、あるいはレガシーアドレスを移行するためのラッパーとして、イーサリアムのポスト量子ソリューションの一部になる可能性が高いです。StarkWare の本番環境での実績とイーサリアムへの統合により、この道筋は有力視されています。

イーサリアム財団の 200 万ドルの研究賞金:ハッシュベースの署名

イーサリアム財団が 2026 年 1 月にポスト量子暗号を「最優先の戦略的課題」に指定した際、実用的な移行ソリューションに対して 200 万ドルの研究賞金が授与されました。焦点は、ハッシュベースの署名 (SPHINCS+, XMSS) と格子ベースの暗号 (Dilithium) です。

SPHINCS+: NIST によって標準化されたステートレスなハッシュベースの署名スキームです。XMSS とは異なり、SPHINCS+ は状態管理を必要としません。つまり、1 つの鍵で無制限にメッセージを署名できます。署名サイズは大きくなりますが(約 16~40KB)、ステートレスな特性により統合が簡素化されます。

Dilithium: ハッシュベースの代替案よりも署名サイズが小さく(約 2.5KB)、検証が高速な格子ベースの署名スキームです。セキュリティは、量子耐性があると信じられている格子問題に依存しています。

イーサリアムの課題: イーサリアムの移行には、過去のトランザクションから露出した公開鍵への対処、移行中の後方互換性の維持、および L2 の経済性を損なわないための署名サイズの肥大化の最小化が必要です。

研究の優先事項: 200 万ドルの賞金は、実用的な移行パスを対象としています。ネットワークをどのようにフォークするか、アドレス形式をどのように移行するか、レガシーキーをどのように処理するか、そして数年にわたる移行期間中のセキュリティをどのように維持するかといった点です。

タイムライン: イーサリアムの開発者は、研究から本番環境へのデプロイまで 3~5 年かかると見積もっています。これは、Q-Day がそれより早く到来しないと仮定すれば、メインネットでのポスト量子アクティベーションは 2029 年から 2031 年頃になることを示唆しています。

ビットコイン BIP:耐量子移行への保守的なアプローチ

耐量子計算機暗号を議論する Bitcoin Improvement Proposals(BIPs)はドラフト段階にありますが、コンセンサス形成は緩やかです。ビットコインの保守的な文化は、未検証の暗号技術を拒み、十分に実戦で鍛えられたソリューションを好みます。

有力なアプローチ:保守的なセキュリティプロファイルを持つハッシュベース署名(SPHINCS+)が検討されています。ビットコインは効率性よりもセキュリティを優先し、リスクを低減するために署名サイズが大きくなることを許容します。

Taproot の統合:ビットコインの Taproot アップグレードにより、ハードフォークなしで耐量子署名に対応できるスクリプトの柔軟性が実現しました。Taproot スクリプトには、ECDSA と並行して耐量子署名の検証を組み込むことができ、ユーザーが任意で移行(オプトイン)できるようになります。

課題:公開されたアドレスに存在する 665 万 BTC です。ビットコインは、強制的な移行(紛失したコインのバーン)、自発的な移行(量子攻撃による盗難リスク)、あるいは損失を許容するハイブリッドアプローチのいずれかを選択しなければなりません。

タイムライン:ビットコインの動きはイーサリアムよりも低速です。BIP が 2026 年から 2027 年にコンセンサスを得たとしても、メインネットでのアクティベーションは 2032 年から 2035 年までかかる可能性があります。このタイムラインは、Q-Day(量子計算機が暗号を打破する日)が差し迫っていないことを前提としています。

コミュニティの分裂:一部のビットコインマキシマリストは量子の緊急性を否定し、遠い脅威と見なしています。一方で、即時の行動を主張する者もいます。この緊張関係がコンセンサス形成を遅らせています。

Quantum1:ネイティブな耐量子スマートコントラクトプラットフォーム

Quantum1(新興プロジェクトの仮の例)は、ジェネシス段階から耐量子設計がなされたブロックチェーンの新しい波を象徴しています。QRL(単純な決済)とは異なり、これらのプラットフォームは耐量子セキュリティを備えたスマートコントラクト機能を提供します。

アーキテクチャ:格子ベース署名(Dilithium)、ハッシュベースのコミットメント、およびゼロ知識証明を組み合わせ、プライバシーを保護した耐量子スマートコントラクトを実現します。

価値提案:10 年以上の長期的なスパンを持つアプリケーションを構築する開発者は、後付けで対策を講じるチェーンよりも、ネイティブな耐量子プラットフォームを好む可能性があります。2030 年に移行するためだけに、なぜ今日イーサリアム上で構築するのでしょうか。

課題:ネットワーク効果は既存のチェーンに有利に働きます。ビットコインとイーサリアムには流動性、ユーザー、開発者、そしてアプリケーションが存在します。新しいチェーンは、技術的な優位性に関わらず、普及に苦戦します。

潜在的な起爆剤:主要なチェーンに対する量子攻撃が発生すれば、耐量子代替案への資金逃避が起こるでしょう。Quantum1 型のプロジェクトは、既存チェーンの失敗に対する保険のような存在です。

Coinbase 諮問委員会:機関レベルの連携

Coinbase による耐量子諮問委員会の設立は、量子の備えに対する機関投資家レベルの関心を示しています。受託者責任を負う上場企業として、Coinbase は顧客資産に対するリスクを無視することはできません。

諮問委員会の役割:量子脅威の評価、移行戦略の推奨、プロトコル開発者との調整、および Coinbase のインフラが耐量子移行に対応できる状態にあることの確認。

機関投資家の影響力:Coinbase は数十億ドル相当の顧客資産を保有しています。Coinbase が特定の耐量子標準に向けてプロトコルを後押しすれば、その影響力は無視できません。取引所の参加は採用を加速させます。取引所が耐量子アドレスのみをサポートするようになれば、ユーザーの移行は早まります。

タイムラインの圧力:Coinbase の公的な関与は、機関投資家のタイムラインがコミュニティで語られているものよりも短いことを示唆しています。上場企業は 30 年先のリスクのために諮問委員会を設立したりはしません。

リーダーシップを狙う 8 つのプロジェクト

競争環境の要約:

  1. QRL:先駆者であり、実用的な XMSS 実装を持つニッチ市場のリーダー
  2. StarkWare / StarkNet:STARK ベースの耐量子性、イーサリアムとの統合
  3. Ethereum Foundation:200 万ドルの研究賞金、SPHINCS+ / Dilithium に注力
  4. Bitcoin Core:BIP 提案、Taproot を活用したオプトイン移行
  5. Quantum1 型プラットフォーム:ネイティブな耐量子スマートコントラクトチェーン
  6. Algorand:将来のアップグレードに向けた耐量子計算機暗号の探求
  7. Cardano:格子ベース暗号の統合に関する研究
  8. IOTA:Tangle アーキテクチャにおける耐量子ハッシュ関数

各プロジェクトは、セキュリティ対効率性、後方互換性対クリーンステート、NIST 標準アルゴリズム対実験的アルゴリズムなど、異なるトレードオフを最適化しています。

開発者と投資家にとっての意味

開発者にとって:10 年以上の展望を持つアプリケーションを構築する場合、耐量子移行を考慮すべきです。イーサリアム上のアプリケーションはいずれ耐量子アドレス形式をサポートする必要があります。今計画を立てることで、将来の技術的負債を軽減できます。

投資家にとって:耐量子チェーンとレガシーチェーンの両方に分散投資することは、量子リスクに対するヘッジとなります。QRL や同様のプロジェクトは投機的ですが、量子脅威が予想よりも早く現実化した場合、非対称なアップサイド(大きな利益)を提供します。

機関にとって:耐量子の備えは投機ではなくリスク管理です。顧客資産を預かるカストディアンは、移行戦略を策定し、プロトコル開発者と連携し、インフラが耐量子署名をサポートできるようにする必要があります。

プロトコルにとって:移行の窓口は閉まりつつあります。2026 年に耐量子研究を開始するプロジェクトは、2029 年から 2031 年までデプロイできません。Q-Day が 2035 年に到来する場合、耐量子セキュリティを確立するための時間は 5 年から 10 年しか残されていません。開始が遅れると、時間が不足するリスクがあります。

リソース

量子移行の問題: 1回の取引後にビットコインアドレスが安全ではなくなる理由

· 約 16 分
Dora Noda
Dora Noda
Software Engineer

ビットコインのトランザクションに署名すると、公開鍵がブロックチェーン上に恒久的に公開されます。これまでの 15 年間、これは問題ではありませんでした。ビットコインを保護する ECDSA 暗号は、古典的なコンピュータでは計算上解読が不可能だからです。しかし、量子コンピュータがすべてを変えます。十分に強力な量子コンピュータ(Q-Day)が登場すると、公開された公開鍵から秘密鍵を数時間で再構築し、アドレスから資産を流出させることが可能になります。あまり認識されていない Q-Day の問題は、単なる「暗号のアップグレード」ではありません。署名済みのトランザクションを持つアドレスにある 665 万 BTC がすでに脆弱な状態にあり、その移行は企業の IT システムのアップグレードよりも指数関数的に困難であるということです。

イーサリアム財団による 200 万ドルの耐量子計算機研究賞と、2026 年 1 月の専用 PQ チームの結成は、「最優先の戦略的課題」となったことを示しています。これは将来の計画ではなく、緊急の準備です。Project Eleven は、耐量子暗号セキュリティに特化して 2,000 万ドルを調達しました。Coinbase は耐量子アドバイザリーボードを設立しました。Q-Day への競争はすでに始まっており、ブロックチェーンは、不変の履歴、分散型の調整、公開鍵が露出したアドレスに眠る 665 万 BTC といった、従来のシステムにはない独自の課題に直面しています。

公開鍵露出問題:なぜ署名後にアドレスが脆弱になるのか

ビットコインのセキュリティは、根本的な非対称性に依存しています。秘密鍵から公開鍵を導出するのは簡単ですが、その逆は計算上不可能です。ビットコインアドレスは公開鍵のハッシュであり、さらなる保護レイヤーを提供しています。公開鍵が隠されている限り、攻撃者は特定の鍵を標的にすることはできません。

しかし、トランザクションに署名した瞬間、公開鍵はブロックチェーン上で可視化されます。これは避けられないことです。署名の検証には公開鍵が必要だからです。資金を受け取るにはアドレス(公開鍵のハッシュ)で十分ですが、資金を使うには鍵を明かす必要があります。

古典的なコンピュータはこの露出を悪用できません。ECDSA-256(ビットコインの署名方式)を破るには離散対数問題を解く必要があり、それには 2^128 回の演算が必要と推定されています。これは、スーパーコンピュータが数千年稼働しても不可能です。

量子コンピュータはこの前提を崩します。十分な量子ビットと誤り訂正を備えた量子コンピュータ上で動作するショアのアルゴリズムは、多項式時間で離散対数問題を解くことができます。推定では、約 1,500 個の論理量子ビットを持つ量子コンピュータがあれば、数時間で ECDSA-256 を解読できるとされています。

これにより、重大な脆弱性の窓(ウィンドウ)が生じます。一度アドレスからトランザクションに署名すると、公開鍵はオンチェーンで永久に公開されます。後に量子コンピュータが登場すると、過去に公開されたすべての鍵が脆弱になります。署名済みのトランザクションを持つアドレスに保持されている 665 万 BTC は、公開鍵が恒久的に露出した状態で Q-Day を待っていることになります。

トランザクション履歴のない新しいアドレスは、公開鍵が露出していないため、最初に使用するまで安全です。しかし、レガシーアドレス(サトシのコイン、初期採用者の保有分、署名履歴のある取引所のコールドストレージなど)は、時限爆弾のような状態です。

なぜブロックチェーンの移行は従来の暗号アップグレードよりも困難なのか

従来の IT システムも量子脅威に直面しています。銀行、政府、企業は、量子攻撃に脆弱な暗号を使用しています。しかし、彼らの移行パスは明確です。暗号アルゴリズムをアップグレードし、鍵を更新(ローテーション)し、データを再暗号化することです。費用がかかり複雑ではありますが、技術的には可能です。

ブロックチェーンの移行は、独自の課題に直面しています。

不変性: ブロックチェーンの履歴は永続的です。過去のトランザクションを遡って変更し、露出した公開鍵を隠すことはできません。一度公開されれば、数千のノードにわたって永遠に公開されたままになります。

分散型の調整: ブロックチェーンにはアップグレードを強制する中央当局がありません。ビットコインのコンセンサスには、マイナー、ノード、ユーザーの間での多数派の合意が必要です。耐量子移行のためのハードフォークを調整することは、政治的および技術的に複雑です。

後方互換性: 移行期間中、新しい耐量子アドレスはレガシーアドレスと共存する必要があります。これにより、2 つの署名方式、二重のアドレス形式、混合モードのトランザクション検証といったプロトコルの複雑さが生じます。

紛失した鍵と非アクティブなユーザー: 数百万 BTC が、鍵を紛失した人、亡くなった人、あるいは数年前に暗号資産を放棄した人が所有するアドレスに眠っています。これらのコインは自発的に移行することができません。これらを脆弱なままにしておくのか、それともプロトコルが強制的に移行させ、アクセス権を失わせるリスクを取るのかという問題があります。

トランザクションサイズとコスト: 耐量子署名は ECDSA よりも大幅に大きくなります。署名サイズは、方式によって 65 バイトから 2,500 バイト以上に増加する可能性があります。これによりトランザクションデータが膨張し、手数料の上昇やスループットの制限を招きます。

コンセンサスによるアルゴリズムの選択: どの耐量子アルゴリズムを採用すべきか。NIST はいくつかを標準化しましたが、それぞれにトレードオフがあります。選択を誤れば、後に再移行が必要になるかもしれません。ブロックチェーンは、数十年にわたって安全性を維持できるアルゴリズムに賭ける必要があります。

イーサリアム財団の 200 万ドルの研究賞は、まさにこれらの問題を対象としています。ネットワークを壊さず、後方互換性を失わず、また署名の肥大化によってブロックチェーンが使用不能になることなしに、どのようにイーサリアムを耐量子暗号へと移行させるかという課題です。

665 万 BTC 問題:公開済みのアドレスに何が起きるのか?

2026 年時点で、少なくとも 1 回はトランザクションに署名したことがある、つまり公開鍵が露出しているアドレスには、約 665 万 BTC が保管されています。これはビットコインの総供給量の約 30 % に相当し、以下が含まれます:

サトシのコイン:ビットコインの創設者によってマイニングされた約 100 万 BTC は移動されないまま残っています。これらのアドレスの多くはトランザクションに署名したことがありませんが、初期のトランザクションによって鍵が露出しているものもあります。

初期アダプターの保有資産:1 コイン数セントの時代に蓄積した初期のマイナーやアダプターが保有する数千 BTC。多くのアドレスは休眠状態ですが、過去のトランザクション署名が存在します。

取引所のコールドストレージ:取引所は数百万 BTC をコールドストレージに保管しています。ベストプラクティスではアドレスをローテーションしますが、レガシーなコールドウォレットには、過去の集約トランザクションによって公開鍵が露出しているものがよくあります。

紛失したコイン:推定 300 万 〜 400 万 BTC が紛失しています(所有者の死亡、鍵の紛失、ハードドライブの廃棄など)。これらのアドレスの多くでも鍵が露出しています。

Q-Day(量子コンピュータが既存の暗号を破る日)に、これらのコインはどうなるのでしょうか?いくつかのシナリオが考えられます:

シナリオ 1 - 強制的な移行:ハードフォークによって、期限内に古いアドレスから新しい耐量子アドレスへコインを移動することを義務付けます。移行されなかったコインは使用不能になります。これにより紛失したコインは「バーン(焼却)」されますが、ネットワークを量子攻撃による資産流出から守ることができます。

シナリオ 2 - 自発的な移行:ユーザーは自発的に移行しますが、公開済みの旧アドレスも有効なまま残ります。リスク:所有者が移行する前に、量子攻撃者が脆弱なアドレスから資金を盗み出す可能性があります。これにより「移行への競争」というパニックが引き起こされます。

シナリオ 3 - ハイブリッドアプローチ:耐量子アドレスを導入しつつ、後方互換性を無期限に維持します。脆弱なアドレスが Q-Day 以降に最終的に盗まれることを受け入れ、それを「自然淘汰」として扱います。

シナリオ 4 - 緊急凍結:量子攻撃を検知した時点で、緊急ハードフォークを介して脆弱なアドレスタイプを凍結します。移行の時間を稼ぐことができますが、ビットコインが拒絶する中央集権的な意思決定が必要になります。

どれも理想的ではありません。シナリオ 1 は正当に紛失した鍵を破壊します。シナリオ 2 は量子盗難を許容します。シナリオ 3 は数十億ドルの損失を受け入れます。シナリオ 4 はビットコインの不変性を損ないます。イーサリアム財団とビットコインの研究者たちは、遠い未来ではなく、今このトレードオフに取り組んでいます。

耐量子アルゴリズム:技術的ソリューション

いくつかの耐量子暗号アルゴリズムが、量子攻撃への耐性を提供します:

ハッシュベース署名(XMSS, SPHINCS+):ハッシュ関数に依存するセキュリティで、量子耐性があると考えられています。利点:理解が進んでおり、保守的なセキュリティ前提に基づいています。欠点:署名サイズが大きく(2,500 バイト以上)、トランザクションコストが高くなります。

格子暗号(Dilithium, Kyber):量子コンピュータにとって困難な格子問題に基づいています。利点:署名サイズが比較的小さく(約 2,500 バイト)、検証が効率的です。欠点:ハッシュベースの手法に比べて新しく、十分に検証されていません。

STARKs(Scalable Transparent Arguments of Knowledge):数論ではなくハッシュ関数に依存するため、量子攻撃に耐性があるゼロ知識証明です。利点:透明性(信頼できるセットアップが不要)、量子耐性、スケーラビリティ。欠点:証明サイズが大きく、計算負荷が高いです。

多変数公衆鍵暗号(Multivariate cryptography):多変数多項式方程式の解法の困難さに依存します。利点:署名生成が高速です。欠点:公開鍵のサイズが大きく、未成熟です。

コードベース暗号:誤り訂正符号に基づいています。利点:高速で、研究が進んでいます。欠点:鍵サイズが非常に大きく、ブロックチェーンでの利用には不向きです。

イーサリアム財団は、ブロックチェーンへの統合に最も有望なものとして、ハッシュベースと格子ベースの署名を調査しています。QRL(Quantum Resistant Ledger)は 2018 年に XMSS 実装を先駆けて行い、実現可能性を示しましたが、トランザクションサイズとスループットのトレードオフを受け入れています。

ビットコインは、その保守的なセキュリティ哲学から、ハッシュベース署名(SPHINCS+ または類似のもの)を選択する可能性が高いでしょう。イーサリアムは、サイズのオーバーヘッドを最小限に抑えるために格子ベース(Dilithium)を選択するかもしれません。どちらも同じ課題に直面しています。ECDSA よりも 10 〜 40 倍大きな署名は、ブロックチェーンのサイズとトランザクションコストを急増させます。

タイムライン:Q-Day まであとどのくらいか?

Q-Day(量子コンピュータが ECDSA を破る日)の予測は推測の域を出ませんが、傾向は明らかです:

楽観的(攻撃者にとって)なタイムライン:10 〜 15 年。IBM、Google、およびスタートアップ企業は、量子ビット数とエラー訂正において急速な進歩を遂げています。この進歩が指数関数的に続けば、2035 年 〜 2040 年までに 1,500 以上の論理量子ビットが登場する可能性があります。

保守的なタイムライン:20 〜 30 年。量子コンピューティングは、エラー訂正、量子ビットのコヒーレンス、スケーリングなど、膨大なエンジニアリング上の課題に直面しています。実用的な攻撃はまだ数十年先だと考える人は多いです。

悲観的(ブロックチェーンにとって)なタイムライン:5 〜 10 年。政府の秘密プログラムや画期的な発見がタイムラインを加速させる可能性があります。慎重な計画を立てるなら、長いタイムラインではなく、短いタイムラインを想定すべきです。

イーサリアム財団が 2026 年 1 月に耐量子移行を「最優先の戦略的課題」として扱っていることは、内部の推測が公開されている議論よりも短いことを示唆しています。30 年後のリスクのために 200 万ドルを割り当て、専用チームを編成することはありません。10 〜 15 年後のリスクであれば、そうするでしょう。

ビットコインの文化は緊急性に抵抗しますが、主要な開発者は問題を認識しています。耐量子ビットコインの提案(BIP 草案段階)は存在しますが、コンセンサスの形成には何年もかかります。もし Q-Day が 2035 年に到来するのであれば、ビットコインは開発、テスト、ネットワーク展開の時間を確保するために、2030 年までに移行を開始する必要があります。

個人ができること

プロトコルレベルの解決策の実現にはまだ数年かかりますが、個人レベルでリスクへの露出を減らすことは可能です。

定期的に新しいアドレスへ移行する: アドレスから資金を支払った後は、残りの資金を新しいアドレスに移動させてください。これにより、公開鍵が公開される時間を最小限に抑えることができます。

マルチシグ(マルチシグネチャ)ウォレットを使用する: 量子コンピュータは複数の署名を同時に突破する必要があるため、難易度が上がります。完全に耐量子性(量子耐性)があるわけではありませんが、時間を稼ぐことができます。

アドレスの再利用を避ける: 一度支払いに使用したアドレスには、決して資金を送らないでください。支払うたびに公開鍵が新たに公開されてしまいます。

動向を監視する: Ethereum Foundation の耐量子(PQ)研究、Coinbase のアドバイザリーボードの更新、および耐量子暗号に関連する Bitcoin 改良提案(BIP)をフォローしてください。

資産を分散する: 量子リスクが懸念される場合は、量子耐性のあるチェーン(QRL)や、比較的影響の少ない資産(プルーフ・オブ・ワークよりも移行が容易なプルーフ・オブ・ステークのチェーンなど)に分散してください。

これらはあくまで応急処置であり、根本的な解決策ではありません。プロトコルレベルでの修正には、数十億ドルの価値と数百万人ものユーザーにわたる、協調的なネットワークのアップグレードが必要です。この課題は単に技術的なものだけでなく、社会的、政治的、そして経済的なものでもあります。

出典

ZKML と FHE の融合:ブロックチェーン上でのプライベート AI をついに実現可能にする暗号技術の統合

· 約 16 分
Dora Noda
Dora Noda
Software Engineer

AI モデルが処理したデータを誰にも見られることなく、正しく実行されたことを証明できるとしたらどうでしょうか? この問いは、長年にわたり暗号学者やブロックチェーンエンジニアを悩ませてきました。2026 年、かつては遅すぎ、高価すぎ、そしてあまりに理論的すぎて実用的ではないと考えられていた 2 つの技術、ゼロ知識機械学習(ZKML)と完全準同型暗号(FHE)の融合により、その答えがついに形を成しつつあります。

個別に見れば、それぞれの技術は問題の半分しか解決しません。ZKML は、AI の計算を再実行することなく、それが正しく行われたことを検証可能にします。FHE は、データを復号することなく、暗号化されたまま計算を行うことを可能にします。これらが組み合わさることで、研究者が AI の「暗号学的シール(封印)」と呼ぶものが生まれます。これは、プライベートなデータがデバイスから離れることなく、その結果がパブリックブロックチェーン上の誰に対しても信頼できるものであると証明できるシステムです。

Mind Network の FHE 駆動 AI エージェント・プライバシーレイヤー:ブロックチェーン脆弱性の 55% が暗号化インテリジェンスを必要とする理由

· 約 18 分
Dora Noda
Dora Noda
Software Engineer

2025 年、AI エージェントによるブロックチェーン脆弱性の悪用率は 2% から 55.88% へと急増しました。これは、悪用による総収益が 5,000 ドルから 460 万ドルへと跳ね上がったことを意味します。この一つの統計は、不都合な真実を浮き彫りにしています。それは、ブロックチェーン上で自律型 AI を動かすインフラが、敵対的な環境を想定して設計されていなかったということです。AI エージェントが行うすべてのトランザクション、戦略、データリクエストは、ネットワーク全体に公開されます。スマートコントラクトの脆弱性の半分が現在の AI エージェントによって自律的に実行され得る世界において、この透明性はもはや機能(フィーチャー)ではなく、壊滅的な負債となります。

Mind Network は、コンピュータサイエンスの「聖杯」と呼ばれる暗号技術の画期的進歩、完全準同型暗号(Fully Homomorphic Encryption: FHE)に解決策があると考えています。Binance Labs、Chainlink、そして 2 つのイーサリアム財団の研究助成金から 1,250 万ドルの支援を受け、彼らは暗号化された AI 計算を現実のものにするためのインフラを構築しています。

Project Eleven の 2,000 万ドルの量子シールド:Q-Day 到来前に 3 兆ドルの暗号資産を保護するための競争

· 約 15 分
Dora Noda
Dora Noda
Software Engineer

連邦準備制度理事会(FRB)は 2025 年 9 月、深刻な警告を発表しました。敵対者はすでに今日、暗号化されたブロックチェーンデータを収集しており、それを解読できるほど強力な量子コンピュータが登場するのを待っているというのです。Google の Willow チップが、スーパーコンピュータで 3.2 年かかる計算を 2 時間で完了させ、現在の暗号を破るためのリソース見積もりがわずか 1 年で 20 分の 1 に減少したことで、「Q-Day(Qデー)」へのカウントダウンは理論的な推測から緊急のエンジニアリングの現実へと移行しました。

多くの人が不可能だと考えていたこと、つまり手遅れになる前にブロックチェーンエコシステム全体をポスト量子の世界に備えさせるために、2,000 万ドルを調達したばかりのクリプト・スタートアップ、Project Eleven が登場しました。

プライバシー・スタック戦争:ZK vs FHE vs TEE vs MPC - ブロックチェーンにおける最重要レースを制するのはどの技術か?

· 約 17 分
Dora Noda
Dora Noda
Software Engineer

世界のコンフィデンシャル コンピューティング(機密計算)市場は、2024 年に 133 億ドルと評価されました。2032 年までに、年平均成長率 46.4% で 3,500 億ドルに達すると予測されています。すでに 10 億ドル以上が分散型コンフィデンシャル コンピューティング(DeCC)プロジェクトに特化して投資されており、20 以上のブロックチェーン ネットワークがプライバシー保護技術を促進するために DeCC アライアンスを結成しています。

しかし、どのプライバシー技術を使用するかを決定しようとしているビルダーにとって、その展望は極めて複雑です。ゼロ知識証明(ZK)、完全準同型暗号(FHE)、信頼実行環境(TEE)、マルチパーティ計算(MPC)は、それぞれ根本的に異なる問題を解決します。間違ったものを選択すると、数年間の開発期間と数百万ドルの資金が無駄になります。

このガイドでは、業界が必要としている比較を提供します。実際のパフォーマンス ベンチマーク、正直な信頼モデルの評価、本番環境へのデプロイ状況、そして 2026 年に実際にリリースされるハイブリッドな組み合わせについて解説します。

各技術の実際の役割

比較する前に、これら 4 つの技術は相互に置き換え可能な代替手段ではないことを理解することが不可欠です。これらは異なる問いに答えます。

ゼロ知識証明(ZK) は、「データを明かさずに何かが真実であることをどう証明するか?」という問いに答えます。ZK システムは、入力を開示することなく、計算が正しく実行されたという暗号化された証明を生成します。出力はバイナリであり、ステートメントが有効か無効かのどちらかです。ZK は主に計算ではなく、検証に関するものです。

完全準同型暗号(FHE) は、「データを復号することなく、どうやってそのデータを計算するか?」という問いに答えます。FHE は、暗号化されたデータに対して直接、任意の計算を行うことを可能にします。結果は暗号化されたままであり、キーの所有者のみが復号できます。FHE はプライバシーを保護した計算に関するものです。

信頼実行環境(TEE) は、「隔離されたハードウェア エンクレーブ内で、どうやって機密データを処理するか?」という問いに答えます。TEE は、プロセッサ レベルの分離(Intel SGX、AMD SEV、ARM CCA)を使用して、オペレーティング システムからさえもコードとデータが保護される安全なエンクレーブを作成します。TEE はハードウェアによって強制される機密性に関するものです。

マルチパーティ計算(MPC) は、「個々の入力を明かさずに、複数の当事者がどのように共同で結果を計算するか?」という問いに答えます。MPC は、最終的な出力以外の情報を単一の参加者が知ることができないように、計算を複数の当事者に分散させます。MPC は信頼を必要としない共同計算に関するものです。

パフォーマンス ベンチマーク:重要な数値

ヴィタリック・ブテリン氏は、業界が絶対的な TPS(秒間トランザクション数)指標から「暗号化オーバーヘッド比率」へと移行すべきだと主張しています。これは、プライバシーがある場合とない場合のタスク実行時間を比較するものです。この枠組みにより、各アプローチの真のコストが明らかになります。

FHE:使用不可能なレベルから実用的なレベルへ

FHE は歴史的に、暗号化されていない計算よりも数百万倍遅いものでした。それはもはや真実ではありません。

最初の FHE ユニコーン(1 億 5,000 万ドル以上の資金調達後、評価額 10 億ドル)である Zama は、2022 年以降、2,300 倍を超える速度向上を報告しています。現在の CPU 上のパフォーマンスは、機密性の高い ERC-20 転送で約 20 TPS に達します。GPU 加速により、これは 20 ~ 30 TPS(Inco Network)に向上し、CPU のみの実行と比較して最大 784 倍の改善が見られます。

Zama のロードマップでは、GPU への移行により 2026 年末までにチェーンあたり 500 ~ 1,000 TPS を目標としており、2027 年から 2028 年には ASIC ベースのアクセラレータによって 100,000 TPS 以上を目指しています。

アーキテクチャが重要です。Zama の機密ブロックチェーン プロトコルは、スマート コントラクトが実際の暗号文ではなく軽量な「ハンドル」を操作するシンボリック実行を使用しています。重い FHE 演算はオフチェーンのコプロセッサで非同期に実行され、オンチェーンのガス代を低く抑えます。

結論: FHE のオーバーヘッドは、一般的な操作において 1,000,000 倍から約 100 ~ 1,000 倍に減少しました。現在は機密性の高い DeFi で利用可能であり、2027 年から 2028 年までには主流の DeFi スループットと同等の競争力を持つようになるでしょう。

ZK:成熟しており高性能

現代の ZK プラットフォームは驚異的な効率を達成しています。SP1、Libra、その他の zkVM は、大規模なワークロードにおいて 20% という低い暗号化オーバーヘッドで、ほぼ線形のプルーバー スケーリングを実証しています。単純な支払いの証明生成は、消費者向けハードウェアで 1 秒未満に短縮されました。

ZK エコシステムは 4 つの技術の中で最も成熟しており、ロールアップ(zkSync、Polygon zkEVM、Scroll、Linea)、アイデンティティ(Worldcoin)、プライバシー プロトコル(Aztec、Zcash)にわたって本番環境でのデプロイ実績があります。

結論: 検証タスクにおいて、ZK は最も低いオーバーヘッドを提供します。この技術は本番環境で実証されていますが、汎用的なプライベート計算はサポートしていません。つまり、実行中の計算の機密性ではなく、正確性を証明するものです。

TEE:高速だがハードウェアに依存

TEE はネイティブに近い速度で動作します。分離が暗号演算ではなくハードウェアによって強制されるため、計算オーバーヘッドが最小限に抑えられるからです。これにより、機密計算において圧倒的に最速の選択肢となります。

トレードオフは信頼です。ハードウェア メーカー(Intel、AMD、ARM)を信頼し、サイドチャネルの脆弱性が存在しないことを信頼しなければなりません。2022 年、致命的な SGX の脆弱性により、Secret Network はネットワーク全体のキー更新を余儀なくされました。これは運用上のリスクを示しています。2025 年の実証研究では、現実世界の TEE プロジェクトの 32% がサイドチャネル暴露のリスクを伴うエンクレーブ内での暗号実装を再実施しており、25% が TEE の保証を弱める安全でない慣行を示していることが明らかになりました。

結論: 最速の実行速度と最低のオーバーヘッドを誇りますが、ハードウェアの信頼という前提条件が導入されます。速度が重要であり、ハードウェア侵害のリスクが許容できるアプリケーションに最適です。

MPC: ネットワークに依存するがレジリエント

MPC のパフォーマンスは、計算能力よりも主にネットワーク通信によって制限されます。各参加者はプロトコル中にデータを交換する必要があり、参加者数や参加者間のネットワーク状況に比例したレイテンシが発生します。

Partisia Blockchain の REAL プロトコルは、事前処理の効率を向上させ、リアルタイムの MPC 計算を可能にしました。Nillion の Curl プロトコルは、線形秘密分散法を拡張し、従来の MPC が苦手としていた複雑な演算(除算、平方根、三角関数)を処理できるようにしています。

結論: 強力なプライバシー保証を備えていますが、パフォーマンスは中程度です。「誠実な過半数(honest-majority)」の仮定は、一部の参加者が侵害されてもプライバシーが保たれることを意味しますが、一方で任意のメンバーが計算を検閲できるという、FHE や ZK と比較した際の根本的な制限があります。

信頼モデル: 真の違いはどこにあるか

ほとんどの分析ではパフォーマンスの比較が重視されますが、長期的なアーキテクチャの決定においては、信頼モデルの方が重要です。

技術信頼モデル発生し得る問題
ZK暗号学的(信頼できる第三者は不要)なし — 証明は数学的に健全である
FHE暗号学的 + 鍵管理鍵の漏洩により、すべての暗号化データが公開される
TEEハードウェアベンダー + アテステーションサイドチャネル攻撃、ファームウェアのバックドア
MPCしきい値ベースの誠実な過半数しきい値を超える共謀によりプライバシーが損なわれる。また、任意の当事者が計算を検閲できる

ZK は、証明システムの数学的な健全性以外に信頼を必要としません。これは利用可能な中で最も強力な信頼モデルです。

FHE は理論上、暗号学的に安全ですが、「誰が復号鍵を保持するか」という問題を導入します。Zama は、しきい値 MPC を使用して秘密鍵を複数の当事者に分散させることでこれを解決しています。つまり、実用的な FHE は、鍵管理において MPC に依存することがよくあります。

TEE は、Intel、AMD、または ARM のハードウェアとファームウェアを信頼する必要があります。この信頼は過去に繰り返し裏切られてきました。CCS 2025 で発表された WireTap 攻撃は、DRAM バスの介在を通じて SGX を突破できることを実証しました。これはソフトウェアアップデートでは修正できない物理的な攻撃ベクトルです。

MPC は参加者間で信頼を分散させますが、誠実な過半数が必要です。しきい値を超えると、すべての入力が公開されてしまいます。さらに、単一の参加者が協力を拒否するだけで、事実上計算を検閲することが可能です。

量子耐性 も別の側面です。FHE は格子ベース暗号(lattice-based cryptography)に依存しているため、本質的に量子耐性があります。TEE は量子耐性を提供しません。ZK と MPC の耐性は、使用される特定のスキームに依存します。

誰が何を構築しているか: 2026 年の展望

FHE プロジェクト

Zama(1 億 5,000 万ドル以上を調達、評価額 10 億ドル): ほとんどの FHE ブロックチェーンプロジェクトを支えるインフラストラクチャ層。2025 年 12 月下旬に Ethereum 上でメインネットをローンチ。$ZAMA トークンのオークションは 2026 年 1 月 12 日に開始されました。Confidential Blockchain Protocol と、暗号化されたスマートコントラクトのための fhEVM フレームワークを構築しました。

Fhenix(2,200 万ドルを調達): Zama の TFHE-rs を使用した、FHE 搭載のオプティミスティック・ロールアップ L2 を構築。最初の実用的な FHE コプロセッサ実装として、Arbitrum 上に CoFHE コプロセッサを展開。日本の大手 IT プロバイダーの 1 つである BIPROGY から戦略的投資を受けています。

Inco Network(450 万ドルを調達): Zama の fhEVM を使用して Confidentiality-as-a-service(サービスとしての機密性)を提供。TEE ベースの高速処理と、FHE+MPC による安全な計算モードの両方を提供しています。

Fhenix と Inco はどちらも Zama のコア技術に依存しています。つまり、どの FHE アプリケーションチェーンが覇権を握るかにかかわらず、Zama が価値を享受する構造になっています。

TEE プロジェクト

Oasis Network: 計算(TEE 内)とコンセンサスを分離する ParaTime アーキテクチャを開拓。TEE 内の鍵管理委員会としきい値暗号を使用しており、単一のノードが復号鍵を制御することはありません。

Phala Network: 分散型 AI インフラストラクチャと TEE を組み合わせています。すべての AI 計算と Phat Contracts は、pRuntime を介して Intel SGX エンクレーブ内で実行されます。

Secret Network: すべてのバリデータが Intel SGX TEE を実行します。コントラクトコードと入力はオンチェーンで暗号化され、実行時にエンクレーブ内でのみ復号されます。2022 年の SGX の脆弱性は、この単一の TEE への依存が持つ脆弱性を露呈させました。

MPC プロジェクト

Partisia Blockchain: 2008 年に実用的な MPC プロトコルを開拓したチームによって設立。彼らの REAL プロトコルは、効率的なデータ事前処理を備えた量子耐性のある MPC を可能にします。最近のトッパン・エッジとの提携では、MPC を生体認証デジタル ID に活用し、顔認証データを復号することなく照合を行っています。

Nillion(4,500 万ドル以上を調達): 2025 年 3 月 24 日にメインネットをローンチし、続いて Binance Launchpool に上場。MPC、準同型暗号、ZK 証明を組み合わせています。エンタープライズ・クラスターには、STC Bahrain、Alibaba Cloud の Cloudician、Vodafone の Pairpoint、Deutsche Telekom などが名を連ねています。

ハイブリッド・アプローチ: 真の未来

Aztec の研究チームが述べたように、完璧な単一のソリューションは存在せず、一つの手法がその完璧なソリューションとして台頭する可能性は低いです。未来はハイブリッド・アーキテクチャにあります。

ZK + MPC は、各当事者が証拠(witness)の一部のみを保持する共同証明生成を可能にします。これは、単一のエンティティがすべてのデータを見るべきではない、複数機関にまたがるシナリオ(コンプライアンス・チェック、国境を越えた決済など)において重要です。

MPC + FHE は FHE の鍵管理問題を解決します。Zama のアーキテクチャは、しきい値 MPC を使用して復号鍵を複数の当事者に分割し、単一障害点を排除しながら、暗号化されたデータ上での計算という FHE の能力を維持します。

ZK + FHE は、暗号化されたデータの内容を明かすことなく、暗号化された計算が正しく実行されたことを証明することを可能にします。オーバーヘッドは依然として大きく、Zama の報告によると、1 回の正しいブートストラップ操作の証明生成には大型の AWS インスタンスで 21 分かかりますが、ハードウェアアクセラレーションによってこの差は縮まりつつあります。

TEE + 暗号学的フォールバック は、高速な実行のために TEE を使用し、ハードウェアが侵害された場合のバックアップとして ZK または FHE を使用します。この「多層防御」アプローチは、TEE のパフォーマンス上の利点を受け入れつつ、その信頼に関する前提条件を緩和します。

2026 年における最も高度なプロダクションシステムは、これら 2 つまたは 3 つの技術を組み合わせています。Nillion のアーキテクチャは、計算要件に応じて MPC、準同型暗号、ZK 証明を使い分けています。Inco Network は、TEE による高速モードと FHE+MPC による安全モードの両方を提供しています。この構成的なアプローチが、今後の標準になる可能性が高いでしょう。

適切な技術の選択

2026 年にアーキテクチャの決定を下すビルダーにとって、その選択は次の 3 つの質問に依存します。

何をしようとしていますか?

  • データを公開せずに事実を証明する → ZK
  • 複数の当事者からの暗号化されたデータに対して計算を行う → FHE
  • 機密データを最高速度で処理する → TEE
  • 互いを信頼することなく、複数の当事者が共同で計算を行う → MPC

信頼に関する制約は何ですか?

  • 完全にトラストレスである必要がある → ZK または FHE
  • ハードウェアの信頼性を受け入れられる → TEE
  • しきい値の仮定を受け入れられる → MPC

パフォーマンスの要件は何ですか?

  • リアルタイム、 1 秒未満 → TEE( または検証のみの ZK )
  • 適度なスループット、高いセキュリティ → MPC
  • 大規模なプライバシー保護 DeFi → FHE( 2026 年 〜 2027 年のタイムライン )
  • 最大限の検証効率 → ZK

機密コンピューティング市場は、 2025 年の 240 億ドルから 2032 年までに 3,500 億ドルに成長すると予測されています。 Zama の FHE コプロセッサから Nillion の MPC オーケストレーション、 Oasis の TEE ParaTimes に至るまで、今日構築されているブロックチェーン プライバシー インフラストラクチャは、その 3,500 億ドルの市場でどのアプリケーションが存在でき、どのアプリケーションが存在できないかを決定することになります。

プライバシーは単なる機能ではありません。それは、規制に準拠した DeFi 、機密 AI 、およびエンタープライズ ブロックチェーンの採用を可能にするインフラストラクチャ レイヤーです。勝利するテクノロジーは、最速のものでも理論的に最もエレガントなものでもありません。開発者が実際に構築できる、本番環境に対応したコンポーザブルなプリミティブを提供するテクノロジーです。

現在の軌道に基づくと、答えはおそらく 4 つすべてです。

BlockEden.xyz は、プライバシー重視のブロックチェーン ネットワークや機密コンピューティング アプリケーションをサポートするマルチチェーン RPC インフラストラクチャを提供しています。プライバシー保護プロトコルが研究段階から本番環境へと成熟するにつれ、信頼性の高いノード インフラストラクチャは、あらゆる暗号化されたトランザクションの基盤となります。エンタープライズ グレードのブロックチェーン アクセスについては、 API マーケットプレイスを探索 してください。

プライバシー技術のランドスケープを読み解く:ブロックチェーンにおける FHE、ZK、および TEE

· 約 17 分
Dora Noda
Dora Noda
Software Engineer

2025 年 6 月に Zama が最初の完全準同型暗号ユニコーン(評価額 10 億ドル以上)となったことは、単一の企業の成功以上のものを象徴していました。ブロックチェーン業界はついに根本的な真実を受け入れたのです。それは、プライバシーはオプションではなく、インフラであるということです。

しかし、開発者が直面している不都合な現実は、唯一の「最適な」プライバシー技術は存在しないということです。完全準同型暗号(FHE)、ゼロ知識証明(ZK)、高信頼実行環境(TEE)は、それぞれ異なるトレードオフを持ち、異なる問題を解決します。選択を誤れば、単にパフォーマンスに影響するだけでなく、構築しようとしているものの根幹を根本的に損なう可能性があります。

このガイドでは、各技術をいつ使用すべきか、実際に何をトレードオフにしているのか、そしてなぜ将来的にこれら 3 つすべてが連携して機能することになるのかを詳しく解説します。

2026 年におけるプライバシー技術の展望

ブロックチェーンのプライバシー市場は、ニッチな実験段階から本格的なインフラへと進化しました。ZK ベースのロールアップは現在、280 億ドル以上の預かり資産(TVL)を保護しています。ゼロ知識 KYC 市場だけでも、2025 年の 8,360 万ドルから 2032 年までに 9 億 350 万ドルへと、年平均成長率(CAGR)40.5% で成長すると予測されています。

しかし、市場規模は技術の選択には役立ちません。各アプローチが実際に何を行うかを理解することが出発点です。

ゼロ知識証明:明かさずに証明する

ZK 証明(ゼロ知識証明)を使用すると、一方の当事者が、コンテンツ自体に関する情報を一切明かすことなく、ある声明が真実であることを証明できます。誕生石を明かさずに 18 歳以上であることを証明したり、金額を公開せずに取引が有効であることを証明したりできます。

仕組み: 証明者は、計算が正しく実行されたことを示す暗号学的な証明を生成します。検証者は、計算を再実行したり基礎となるデータを見たりすることなく、この証明を迅速にチェックできます。

課題: ZK は、すでに保持しているデータに関する証明には優れていますが、共有された状態(共有ステート)の処理には苦労します。自分の残高が取引に十分であることを証明することはできますが、追加のインフラなしに「チェーン全体で何件の不正事例が発生したか?」や「この封印入札オークションで誰が勝ったか?」といった質問に答えることは容易ではありません。

主要プロジェクト: Aztec は、ユーザーが取引を公開するかどうかを選択できるハイブリッドなパブリック / プライベート・スマートコントラクトを可能にします。zkSync は主にスケーラビリティに焦点を当てており、許可型プライバシーのためのエンタープライズ向け「Prividiums」を提供しています。Railgun と Nocturne は、シールド(秘匿)トランザクションプールを提供しています。

完全準同型暗号:暗号化されたデータ上での計算

FHE(完全準同型暗号)は、暗号化されたデータを一度も復号することなく計算できるため、暗号化の「聖杯」としばしば呼ばれます。データは処理中も暗号化されたままであり、結果も暗号化されたままです。許可された当事者のみが出力を復号できます。

仕組み: 数学的な演算が暗号文に対して直接実行されます。暗号化された値に対する加算や乗算は暗号化された結果を生成し、それを復号すると、プレーンテキスト(平文)で操作したときと同じ結果が得られます。

課題: 計算のオーバーヘッドが膨大です。最近の最適化が進んでも、Inco Network 上の FHE ベースのスマートコントラクトはハードウェアに応じて 10 〜 30 TPS(秒間トランザクション数)しか達成できず、プレーンテキストでの実行よりも桁違いに低速です。

主要プロジェクト: Zama は、FHEVM(完全準同型 EVM)で基礎となるインフラを提供しています。Fhenix は Zama の技術を使用してアプリケーション層のソリューションを構築しており、Arbitrum に CoFHE コプロセッサをデプロイしました。これは競合するアプローチよりも最大 50 倍速い復号速度を実現しています。

高信頼実行環境:ハードウェアベースの分離

TEE(高信頼実行環境)は、プロセッサ内に計算が隔離された状態で実行されるセキュア・エンクレーブを作成します。システム全体が侵害されたとしても、エンクレーブ内のデータは保護されたままです。暗号学的なアプローチとは異なり、TEE は数学的な複雑さではなくハードウェアに依存します。

仕組み: 特殊なハードウェア(Intel SGX、AMD SEV)が隔離されたメモリ領域を作成します。エンクレーブ内のコードとデータは暗号化され、OS、ハイパーバイザ、またはその他のプロセスからは、たとえルート権限があってもアクセスできません。

課題: ハードウェアメーカーを信頼することになります。たった一つのエンクレーブが侵害されるだけで、参加ノードの数に関わらずプレーンテキストが漏洩する可能性があります。2022 年には、重大な SGX の脆弱性により Secret Network 全体で調整されたキー更新を余儀なくされ、ハードウェア依存のセキュリティにおける運用上の複雑さが浮き彫りになりました。

主要プロジェクト: Secret Network は、Intel SGX を使用してプライベート・スマートコントラクトの先駆けとなりました。Oasis Network の Sapphire は、本番環境で最初の機密 EVM であり、最大 10,000 TPS を処理します。Phala Network は、機密 AI ワークロードのために 1,000 以上の TEE ノードを運営しています。

トレードオフ・マトリックス:パフォーマンス、セキュリティ、信頼

根本的なトレードオフを理解することは、ユースケースに技術を適合させるのに役立ちます。

パフォーマンス

技術スループットレイテンシコスト
TEEネイティブに近い (10,000+ TPS)低い運用コスト
ZK中程度 (実装により異なる)高め (証明生成)
FHE低 (現在は 10-30 TPS)非常に高い運用コスト

TEE は保護されたメモリ内で実質的にネイティブコードを実行するため、生のパフォーマンスで勝利します。ZK は証明生成のオーバーヘッドを導入しますが、検証は高速です。FHE は現在、実用的なスループットを制限する集中的な計算を必要とします。

セキュリティ・モデル

テクノロジー信頼の前提条件耐量子性障害モード
TEEハードウェア製造業者非対応単一のエンクレーブの侵害によりすべてのデータが漏洩
ZK暗号学的(多くの場合、トラステッド・セットアップ)スキームにより異なる証明システムのバグが表面化しない可能性がある
FHE暗号学的(格子ベース)対応悪用には膨大な計算リソースが必要

TEE は、Intel や AMD、またはハードウェアを製造する企業の信頼、さらにはファームウェアに脆弱性が存在しないことへの信頼を必要とします。ZK システムは、多くの場合「トラステッド・セットアップ」のセレモニーを必要としますが、新しいスキームではこれが不要になっています。FHE の格子ベース暗号は量子耐性があると考えられており、長期的なセキュリティにおいて最も強力な選択肢となります。

プログラマビリティ

テクノロジーコンポーザビリティステートのプライバシー柔軟性
TEE完全ハードウェアの可用性による制限
ZK制限ありローカル(クライアント側)検証において高い
FHE完全グローバルパフォーマンスによる制限

ZK は、入力内容を保護するローカルなプライバシーには優れていますが、ユーザー間でのステート共有には苦労します。FHE は、暗号化されたステートに対して、内容を明かすことなく誰でも計算を実行できるため、完全なコンポーザビリティを維持できます。TEE は高いプログラマビリティを提供しますが、互換性のあるハードウェアを備えた環境に限定されます。

適切なテクノロジーの選択:ユースケース分析

アプリケーションによって、求められるトレードオフは異なります。主要なプロジェクトがどのようにこれらの選択を行っているかを以下に示します。

DeFi:MEV 保護とプライベート・トレーディング

課題:可視化されたメンプールを悪用するフロントランニングやサンドイッチ攻撃により、DeFi ユーザーから数十億ドルが搾取されています。

FHE による解決策:Zama の機密ブロックチェーンは、ブロックに含まれるまでパラメータが暗号化されたままのトランザクションを可能にします。フロントランニングは数学的に不可能になり、悪用できる可視データは存在しません。2025年12月のメインネット・ローンチには、cUSDT を使用した初の機密ステーブルコイン送金が含まれていました。

TEE による解決策:Oasis Network の Sapphire は、ダークプールやプライベート・オーダーマッチングのための機密スマートコントラクトを可能にします。低レイテンシであるため、FHE の計算オーバーヘッドが許容できない高頻度取引のシナリオに適しています。

選択基準:最強の暗号学的保証とグローバルなステート・プライバシーを必要とするアプリケーションには FHE を選択してください。パフォーマンス要件が FHE の限界を超え、ハードウェアの信頼が許容できる場合は TEE を選択します。

アイデンティティとクレデンシャル:プライバシーを保護する KYC

課題:ドキュメントを公開することなく、アイデンティティ属性(年齢、市民権、認定状況など)を証明すること。

ZK による解決策:ゼロ知識証明によるクレデンシャルは、基になるドキュメントを明かすことなく、ユーザーが「KYC 合格済み」であることを証明できるようにします。これにより、規制圧力が高まる中で極めて重要となる、コンプライアンス要件の充足とユーザーのプライバシー保護を両立させます。

ZK がここで選ばれる理由:本人確認の本質は、個人データに関する記述を証明することにあります。ZK はそのために専用に設計されており、内容を明かさずに検証できるコンパクトな証明を提供します。検証速度はリアルタイムでの利用に十分な速さです。

機密 AI と機密性の高い計算

課題:オペレーターに公開することなく、機密データ(医療データ、財務モデルなど)を処理すること。

TEE による解決策:Phala Network の TEE ベースのクラウドは、プラットフォームが入力を参照することなく LLM クエリを処理します。GPU TEE(NVIDIA H100 / H200)のサポートにより、機密 AI ワークロードが実用的な速度で動作します。

FHE の可能性:パフォーマンスが向上すれば、FHE はハードウェアの運用者ですらデータにアクセスできない計算を可能にし、信頼の前提条件を完全に排除できます。現在の制限により、これは単純な計算に限定されています。

ハイブリッド・アプローチ:速度のために初期のデータ処理を TEE で実行し、最も機密性の高い操作に FHE を使用し、結果を検証するために ZK 証明を生成します。

脆弱性の現実

それぞれのテクノロジーには、本番環境での失敗例があります。障害モードを理解することは不可欠です。

TEE の失敗例

2022年、重大な SGX の脆弱性が複数のブロックチェーン・プロジェクトに影響を与えました。Secret Network、Phala、Crust、IntegriTEE は、協調的なパッチ適用を必要としました。Oasis は、コア・システムが(影響を受けない)古い SGX v1 で動作しており、資金の安全性についてエンクレーブの機密性に依存していないため、難を逃れました。

教訓:TEE のセキュリティは、自身で制御できないハードウェアに依存します。多層防御(キーローテーション、閾値暗号、最小限の信頼の前提条件)が不可欠です。

ZK の失敗例

2025年4月16日、Solana は機密送金機能のゼロデイ脆弱性を修正しました。このバグは、トークンの無制限なミントを可能にする恐れがありました。ZK の失敗における危険な側面は、証明が失敗したときに、それが目に見えない形で発生することです。存在すべきでないものを見つけることはできません。

教訓:ZK システムには、広範な形式検証と監査が必要です。証明システムの複雑さは、推論が困難な攻撃対象領域を生み出します。

FHE の考慮事項

FHE は導入の初期段階にあるため、まだ大きな本番環境での失敗を経験していません。リスクプロファイルは異なり、FHE は攻撃に膨大な計算が必要ですが、複雑な暗号ライブラリの実装バグが潜在的な脆弱性を引き起こす可能性があります。

教訓:新しい技術であるということは、実戦での検証が少ないことを意味します。暗号学的保証は強力ですが、実装レイヤーには継続的な精査が必要です。

ハイブリッド・アーキテクチャ:未来は「どちらか一方」ではない

最も洗練されたプライバシー・システムは、複数の技術を組み合わせ、それぞれの長所を活かしています。

ZK + FHE の統合

ユーザーのステート(残高、設定など)を FHE(完全準同型暗号)で暗号化して保存します。ZK Proof(ゼロ知識証明)は、暗号化された値を公開することなく、有効なステート遷移を検証します。これにより、スケーラブルな L2 環境内でのプライベートな実行が可能になります。これは、FHE によるグローバルなステートのプライバシーと、ZK による効率的な検証を組み合わせたものです。

TEE + ZK の組み合わせ

TEE(信頼実行環境)は、機密性の高い計算をネイティブに近い速度で処理します。ZK Proof は TEE の出力が正しいことを検証し、単一のオペレーターに対する信頼の前提を排除します。万が一 TEE が侵害されたとしても、不正な出力は ZK 検証に失敗します。

いつ何を使うべきか

実践的な意思決定フレームワーク:

TEE を選択する場合:

  • パフォーマンスが極めて重要(高頻度取引、リアルタイム・アプリケーション)
  • ハードウェアの信頼が脅威モデルにおいて許容できる
  • 大量のデータを迅速に処理する必要がある

ZK を選択する場合:

  • クライアント側で保持されているデータに関するステートメントを証明する
  • 検証が高速かつ低コストである必要がある
  • グローバルなステートのプライバシーを必要としない

FHE を選択する場合:

  • グローバルなステートを暗号化したままにする必要がある
  • 耐量子セキュリティが要求される
  • 計算の複雑さがユースケースにおいて許容範囲内である

ハイブリッドを選択する場合:

  • コンポーネントごとに異なるセキュリティ要件がある
  • パフォーマンスとセキュリティ保証のバランスをとる必要がある
  • 規制コンプライアンスにより、実証可能なプライバシーが求められる

次に来るもの

Vitalik Buterin 氏は最近、暗号化計算時間とプレーンテキスト実行を比較する、標準化された「効率比率(efficiency ratios)」を提唱しました。これは業界の成熟を反映しており、「動作するかどうか」から「どれだけ効率的に動作するか」へと焦点が移っています。

FHE のパフォーマンスは向上し続けています。Zama の 2025 年 12 月のメインネット稼働は、シンプルなスマートコントラクトにおけるプロダクション環境での準備が整ったことを証明しています。ハードウェア・アクセラレーション(GPU 最適化、カスタム ASIC)が進化するにつれ、TEE とのスループットの差は縮まっていくでしょう。

ZK システムの表現力は向上しています。Aztec の言語である Noir は、数年前には非現実的だった複雑なプライベート・ロジックを可能にします。標準規格が徐々に収束し、クロスチェーンでの ZK クレデンシャル検証が可能になりつつあります。

TEE の多様性は Intel SGX を超えて拡大しています。AMD SEV、ARM TrustZone、RISC-V の実装により、単一のメーカーへの依存が軽減されています。複数の TEE ベンダーをまたぐ閾値暗号(Threshold cryptography)は、単一障害点(SPOF)の懸念に対処できる可能性があります。

プライバシー・インフラの構築は今、現在進行形で行われています。プライバシーに配慮したアプリケーションを構築する開発者にとって、選択すべきは「完璧な技術」を見つけることではなく、トレードオフを十分に理解し、それらを賢明に組み合わせることです。

ブロックチェーン上でプライバシー保護アプリケーションを構築していますか?BlockEden.xyz は、プライバシー重視のチェーンを含む 30 以上のネットワークで高性能な RPC エンドポイントを提供しています。API マーケットプレイスを探索して、機密性の高いアプリケーションに必要なインフラストラクチャにアクセスしてください。

量子コンピューティング vs ビットコイン: タイムライン、脅威、そしてホルダーが知っておくべきこと

· 約 14 分
Dora Noda
Dora Noda
Software Engineer

Google の Willow 量子チップは、古典的なスーパーコンピュータで 10 𥝱(じょ)年かかる計算をわずか 5 分で解くことができます。一方で、理論上は量子コンピュータが解読可能なアドレスに、7,180 億ドル相当のビットコインが眠っています。パニックになるべきでしょうか? まだその必要はありませんが、時計の針は進んでいます。

ビットコインに対する量子脅威は、「もし起こったら」ではなく「いつ起こるか」の問題です。2026 年を迎えるにあたり、議論は冷ややかな懐疑論から本格的な準備へと移行しました。ここでは、すべてのビットコイン保有者が理解しておくべきタイムライン、実際の脆弱性、そしてすでに開発が進められている解決策について解説します。

量子脅威:数学的な分析

ビットコインのセキュリティは、2 つの暗号化の柱に基づいています。取引の署名に使われる楕円曲線デジタル署名アルゴリズム(ECDSA)と、マイニングやアドレスのハッシュ化に使われる SHA-256 です。これらはそれぞれ、異なるレベルの量子リスクに直面しています。

**ショアのアルゴリズム(Shor's algorithm)**は、十分に強力な量子コンピュータ上で実行されると、公開鍵から秘密鍵を導き出すことができます。これは、公開鍵が公開されているすべてのビットコインアドレスの鍵を実質的にこじ開けることができることを意味します。これが存亡に関わる脅威です。

**グローバーのアルゴリズム(Grover's algorithm)**は、ハッシュ関数に対する総当たり攻撃を二次関数的に高速化し、SHA-256 の実効強度を 256 ビットから 128 ビットに低下させます。これは懸念事項ではありますが、直ちに壊滅的な状況を招くものではありません。128 ビットのセキュリティは依然として非常に強固だからです。

重要な問いは、「ビットコインの ECDSA を破るためにショアのアルゴリズムを実行するには、何量子ビット(qubits)が必要か?」ということです。

見積もりは大きく異なります:

  • 保守的な予測: 2,330 個の安定した論理量子ビットで理論上 ECDSA を破ることが可能
  • 現実的な予測: 誤り訂正の必要性から、100 万〜1,300 万個の物理量子ビットが必要
  • サセックス大学の見積もり: 1,300 万個の量子ビットがあれば、1 日でビットコインの暗号を解読可能
  • 最も過激な見積もり: 3 億 1,700 万個の物理量子ビットがあれば、1 時間以内に 256 ビットの ECDSA キーを解読可能

Google の Willow チップは 105 量子ビットです。105 と 1,300 万の間の大きな隔たりが、専門家がまだパニックになっていない理由です。

現在地:2026 年の現状確認

2026 年初頭の量子コンピューティングの状況は以下の通りです。

現在の量子コンピュータは 1,500 物理量子ビットの閾値を超えつつありますが、エラー率は依然として高いままです。わずか 1 つの安定した論理量子ビットを作成するために、約 1,000 個の物理量子ビットが必要になります。AI を活用した最適化が進んだとしても、12 ヶ月で 1,500 個から数百万個の量子ビットに飛躍することは物理的に不可能です。

専門家によるタイムライン予測:

情報源予測
Adam Back(Blockstream CEO)20 〜 40 年
Michele Mosca(ウォータールー大学)2026 年までに根本的な暗号解読が起こる確率は 7 分の 1
業界のコンセンサスビットコイン解読能力の獲得まで 10 〜 30 年
米連邦政府の指令2035 年までに ECDSA を段階的に廃止
IBM のロードマップ2029 年までに 500 〜 1,000 個の論理量子ビットを実現

2026 年のコンセンサス:今年は量子による終末は訪れません。しかし、あるアナリストが述べたように、「2026 年に量子技術が暗号資産セキュリティ意識におけるトップクラスのリスク要因になる可能性は高い」のです。

7,180 億ドルの脆弱性:どのビットコインが危険か?

すべてのビットコインアドレスが等しく量子リスクにさらされているわけではありません。脆弱性は、公開鍵がブロックチェーン上に公開されているかどうかに完全に依存します。

高リスクなアドレス(P2PK - Pay to Public Key):

  • 公開鍵がオンチェーンで直接確認できる
  • ビットコインの初期(2009 〜 2010 年)のすべてのアドレスが含まれる
  • サトシ・ナカモトが保有すると推定される 110 万 BTC はこのカテゴリーに該当
  • 総露出額:約 400 万 BTC(供給量の 20%)

低リスクなアドレス(P2PKH、P2SH、SegWit、Taproot):

  • 公開鍵はハッシュ化されており、使用(送金)時にのみ公開される
  • 送金後にアドレスを再利用しない限り、公開鍵は隠されたままになる
  • 現代のウォレットのベストプラクティスは、自然に一定の量子耐性を提供している

重要な洞察:一度も送金に使ったことがないアドレスであれば、公開鍵は公開されていません。しかし、一度送金を行い、そのアドレスを再利用した瞬間、脆弱になります。

サトシのコインは独特のジレンマを突きつけています。 P2PK アドレスにある 110 万 BTC は、より安全な形式に移動することができません。移動させるには秘密鍵で署名する必要がありますが、サトシがそれを行うことができる、あるいは行うという証拠はありません。量子コンピュータが十分な能力に達した場合、それらのコインは世界最大の暗号資産の懸賞金となるでしょう。

「今収穫し、後で解読する」:影の脅威

たとえ量子コンピュータが今日ビットコインを破ることができなくても、敵対者はすでに明日に向けて準備を進めている可能性があります。

「今収穫し、後で解読する(Harvest Now, Decrypt Later)」戦略とは、現在ブロックチェーンから露出している公開鍵を収集して保存しておき、量子コンピュータが成熟するのを待つというものです。Q-デイ(Q-Day)が到来したとき、公開鍵のアーカイブを持つ攻撃者は、脆弱なウォレットから即座に資金を流出させることができます。

国家レベルの主体や高度な犯罪組織は、おそらくすでにこの戦略を実行しています。今日オンチェーンで公開されたすべての公開鍵は、5 〜 15 年後の潜在的な標的となります。

これは不都合な現実を突きつけています。公開されたすべての公開鍵のセキュリティ・タイマーは、すでに作動し始めているのかもしれません。

開発中のソリューション:BIP 360 と耐量子コンピューティング暗号 (PQC)

ビットコインの開発者コミュニティは Q-Day をただ待っているわけではありません。複数のソリューションが開発と標準化に向けて進展しています。

BIP 360:Pay to Quantum Resistant Hash (P2TSH)

BIP 360 は、量子耐性を持つビットコインへの重要な「第一歩」として、量子耐性のあるタップスクリプトネイティブ(tapscript-native)なアウトプットタイプを提案しています。この提案では 3 つの量子耐性署名手法の概要が示されており、ネットワークの効率を損なうことなく段階的な移行を可能にします。

2026 年までに、支持者たちは P2TSH の広範な採用を期待しており、ユーザーがプロアクティブに資金を量子安全なアドレスに移行できるようにすることを目指しています。

NIST 標準の耐量子アルゴリズム

2025 年現在、NIST(米国国立標準技術研究所)は 3 つの耐量子コンピューティング暗号標準を最終決定しました。

  • FIPS 203 (ML-KEM):鍵カプセル化メカニズム
  • FIPS 204 (ML-DSA/Dilithium):デジタル署名(格子ベース)
  • FIPS 205 (SLH-DSA/SPHINCS+):ハッシュベース署名

BTQ Technologies は、ECDSA 署名を置き換えるために ML-DSA を使用したビットコインの実装デモンストレーションをすでに行っています。彼らの Bitcoin Quantum Core Release 0.2 は、移行の技術的実現可能性を証明しています。

トレードオフの課題

Dilithium のような格子ベースの署名は、ECDSA 署名よりも大幅にサイズが大きく、潜在的に 10 〜 50 倍大きくなります。これはブロック容量とトランザクションのスループットに直接影響します。量子耐性を持つビットコインは、1 ブロックあたりのトランザクション処理数が少なくなり、手数料が増加し、小規模なトランザクションがオフチェーンに追いやられる可能性があります。

ビットコインホルダーが今すべきこと

量子脅威は現実のものですが、差し迫ったものではありません。以下は、ホルダーのプロフィールに応じた実践的なフレームワークです。

すべてのホルダー向け:

  1. アドレスの再利用を避ける:一度使用した(送金元となった)アドレスには二度とビットコインを送らないでください。
  2. 最新のアドレス形式を使用する:SegWit (bc1q) または Taproot (bc1p) アドレスは公開鍵をハッシュ化しています。
  3. 情報を常に更新する:BIP 360 の開発状況や Bitcoin Core のリリースをフォローしてください。

多額の保有者(1 BTC 以上)向け:

  1. アドレスを監査する:ブロックエクスプローラーを使用して、保有資産に P2PK 形式のものが含まれていないか確認してください。
  2. コールドストレージの更新を検討する:定期的に資金を新しいアドレスに移動させてください。
  3. 移行計画を文書化する:量子安全なオプションが標準となった際、どのように資金を移動させるかを把握しておいてください。

機関投資家向け:

  1. セキュリティ評価に量子リスクを含める:BlackRock は 2025 年のビットコイン ETF 申請書類に量子コンピューティングに関する警告を追加しました。
  2. NIST 標準と BIP の進展を監視する:将来の移行コストを予算に組み込んでください。
  3. カストディプロバイダーを評価する:量子移行のロードマップを持っているか確認してください。

ガバナンスの課題:ビットコイン特有の脆弱性

イーサリアム財団を通じてより中央集権的なアップグレードパスを持つイーサリアムとは異なり、ビットコインのアップグレードには広範な社会的合意が必要です。耐量子移行を強制する中央当局は存在しません。

これにより、いくつかの課題が生じます。

紛失・放置されたコインは移行できない。 推定 300 万 〜 400 万 BTC が永遠に失われています。これらのコインは無期限に量子脆弱な状態に留まり、量子攻撃が実行可能になった時点で、永続的に盗まれる可能性のあるビットコインのプールとなってしまいます。

サトシのコインが投げかける哲学的な問い。 コミュニティはサトシの P2PK アドレスを予防的に凍結すべきでしょうか? Ava Labs の CEO である Emin Gün Sirer はこれを提案していますが、これはビットコインの不変性の原則に根本から挑むことになります。特定のアドレスを凍結するためのハードフォークは、危険な前例を作ることになります。

調整には時間がかかる。 研究によると、すべての有効なウォレットの移行を含むフルネットワークアップグレードを実行するには、楽観的なシナリオでも少なくとも 76 日間の集中的なオンチェーンの努力が必要であるとされています。実際には、ネットワークの運用を継続しながらの移行には、数ヶ月から数年かかる可能性があります。

サトシ・ナカモトはこの可能性を予見していました。2010 年の BitcoinTalk の投稿で、彼は次のように書いています。「もし SHA-256 が完全に破られたら、トラブルが始まる前の正直なブロックチェーンがどれであったかについて何らかの合意に達し、それをロックして、新しいハッシュ関数でそこから継続することができると思う」

問題は、脅威が現実化する「後」ではなく「前」に、コミュニティがその合意を達成できるかどうかです。

結論:パニックにならず、緊急性を持って対応する

ビットコインを解読できる量子コンピューターが登場するのは、おそらく 10 〜 30 年先のことです。当面の脅威は低いです。しかし、準備不足がもたらす結末は壊滅的であり、移行には時間がかかります。

暗号資産(仮想通貨)業界の対応は、脅威に見合ったものであるべきです。つまり、事後対応的ではなく、慎重で技術的に厳密、かつ先端的であるべきです。

個人のホルダーにとって、やるべきことは明確です。最新のアドレス形式を使用し、再利用を避け、情報を得続けることです。ビットコインのエコシステムにとって、これからの 5 年間は、量子耐性ソリューションが必要になる前に実装し、テストするための極めて重要な時期となります。

量子の時計は刻々と進んでいます。ビットコインには時間がありますが、その時間は無制限ではありません。適応の時が来ています。

BlockEden.xyz は、25 以上のネットワークにわたってエンタープライズグレードのブロックチェーンインフラストラクチャを提供しています。暗号資産(仮想通貨)業界が量子時代に備える中、私たちは長期的なセキュリティを優先するプロトコルをサポートすることにコミットしています。API サービスを探索して、明日の課題に備えるネットワーク上で開発を始めましょう。

Zama Protocol: ブロックチェーンの機密レイヤーを構築する FHE ユニコーン

· 約 20 分
Dora Noda
Dora Noda
Software Engineer

Zama は、ブロックチェーン向け完全準同型暗号(FHE)における絶対的なリーダーとしての地位を確立しました。2025 年 6 月には 1 億 5,000 万ドル以上の資金調達を経て、評価額 10 億ドルの世界初の FHE ユニコーンとなりました。パリを拠点とする同社は、既存のブロックチェーンと競合するのではなく、基礎となるデータを復号することなく暗号化されたスマートコントラクトを処理できる暗号インフラを、あらゆる EVM チェーンに提供しています。2025 年 12 月末の Ethereum メインネット稼働と、2026 年 1 月 12 日に開始される $ZAMA トークンのオークションにより、Zama は理論的な暗号技術の飛躍が実用レベルのデプロイメントへと繋がる重要な転換点に立っています。

その戦略的重要性を過小評価することはできません。ゼロ知識証明(ZKP)が計算の正しさを証明し、信頼された実行環境(TEE)がハードウェアのセキュリティに依存するのに対し、FHE は複数の当事者からの暗号化されたデータに対する計算を独自に可能にします。これにより、透明性、プライバシー、コンプライアンスというブロックチェーンの根本的なトリレンマを解決します。JP Morgan などの金融機関は、Project EPIC を通じてこのアプローチをすでに検証しており、完全な規制遵守を維持しつつ、機密性の高いトークン化資産の取引を実証しました。競合するチェーンではなくインフラとしての Zama のポジショニングは、最終的にどの L1 や L2 が主流になっても、その価値を捕捉できることを意味します。

信頼の前提なしに暗号化された計算を可能にする技術アーキテクチャ

完全準同型暗号(Fully Homomorphic Encryption)は、2009 年から理論的には存在していましたが、最近になってようやく実用的になった暗号技術の画期的な進歩です。「準同型」という用語は、暗号化されたデータに対して実行された操作が、復号された際に元のプレーンテキストに対する操作と同じ結果をもたらすという数学的特性を指します。Zama の実装では TFHE (Torus Fully Homomorphic Encryption) を使用しています。これは、暗号文に蓄積されたノイズをリセットし、無制限の計算深度を可能にする基本的な操作である「ブートストラップ」が高速であるという特徴を持っています。

fhEVM アーキテクチャは、ブロックチェーンのパフォーマンス制約をエレガントに解決するシンボリック実行モデルを導入しています。暗号化された実際のデータをオンチェーンで処理するのではなく、スマートコントラクトは軽量なハンドル(ポインタ)を使用して実行され、実際の FHE 計算は特化型のコプロセッサに非同期でオフロードされます。この設計により、Ethereum のようなホストチェーンは変更を必要とせず、非 FHE トランザクションの速度低下も発生せず、FHE 操作を順次ではなく並列に実行できます。このアーキテクチャは、Solidity 開発者向けの fhEVM ライブラリ、FHE 計算を実行するコプロセッサノード、閾値復号を使用する 13 の MPC ノードによるキー管理サービス(KMS)、プログラム可能なプライバシーのためのアクセス制御リスト(ACL)コントラクト、およびクロスチェーン操作を調整するゲートウェイの 5 つの統合コンポーネントで構成されています。

パフォーマンスのベンチマークは急速な向上を示しています。 FHE の重要な指標であるブートストラップのレイテンシは、当初の 53 ミリ秒から NVIDIA H100 GPU では 1 ミリ秒未満に低下し、スループットは 8 枚の H100 で秒間 189,000 回のブートストラップに達しました。現在のプロトコルのスループットは CPU で 20 TPS 以上であり、現在のすべての暗号化された Ethereum トランザクションに対応するのに十分です。ロードマップでは、2026 年末までに GPU への移行により 500 〜 1,000 TPS を予測しており、2027 年から 2028 年には専用 ASIC によって 100,000 TPS 以上へのスケーリングを目指しています。ハードウェアのサイドチャネル攻撃に脆弱な TEE ソリューションとは異なり、FHE のセキュリティは格子ベースの暗号学的困難性に基づいた耐量子性を備えています。

研究段階からプロダクションレベルへ成熟した開発者ツール

Zama のオープンソースエコシステムは、4 つの相互接続された製品で構成されており、5,000 人以上の開発者を惹きつけ、ブロックチェーン FHE において約 70% の市場シェアを占めています。TFHE-rs ライブラリは、CUDA による GPU 加速、AMD Alveo ハードウェアによる FPGA サポート、および高レベル操作からコアな暗号プリミティブに至るまでのマルチレベル API を備えた純粋な Rust 実装を提供します。このライブラリは、算術演算、比較、条件分岐を含む最大 256 ビットの暗号化整数をサポートしています。

Concrete は、LLVM / MLIR インフラストラクチャ上に構築された TFHE コンパイラとして機能し、標準の Python プログラムを FHE 同等の回路に変換します。開発者は暗号学の専門知識を必要としません。通常の Python コードを記述すれば、Concrete が回路の最適化、鍵生成、暗号文管理の複雑さを処理します。機械学習アプリケーション向けには、Concrete ML が scikit-learn モデルのドロップインの代替を提供し、線形モデル、ツリーベースのアンサンブル、さらには暗号化された LLM のファインチューニングをサポートする FHE 回路に自動的にコンパイルします。バージョン 1.8 では、100,000 個の暗号化トークンを使用して LLAMA 8B モデルを約 70 時間でファインチューニングできることが実証されました。

fhEVM Solidity ライブラリを使用すると、開発者は暗号化された型(euint8 から euint256、ebool、eaddress)を使用して、慣れ親しんだ構文で機密性の高いスマートコントラクトを記述できます。たとえば、暗号化された ERC-20 転送では、TFHE.le() を使用して暗号化された残高を比較し、TFHE.select() を使用して条件付きロジックを実行します。これらはすべて値を公開することなく行われます。2025 年 9 月の OpenZeppelin との提携により、標準化された機密トークンの実装、シールドビード(封印入札)オークションのプリミティブ、およびガバナンスフレームワークが確立され、企業の採用が加速しています。

インフラストラクチャプロバイダーとしての価値を捉えるビジネスモデル

Zama の資金調達の軌跡は、機関投資家の信頼が加速していることを反映しています。2024 年 3 月に Multicoin Capital と Protocol Labs が主導した 7,300 万ドルのシリーズ A に続き、2025 年 6 月には Pantera Capital が主導した 5,700 万ドルのシリーズ B でユニコーンの地位を獲得しました。投資家リストには、Juan Benet(Filecoin 創設者兼取締役)、Gavin Wood(Ethereum および Polkadot 共同創設者)、Anatoly Yakovenko(Solana 共同創設者)、Tarun Chitra(Gauntlet 創設者)といったブロックチェーン界の重鎮たちが名を連ねています。

収益モデルには BSD3-Clear デュアルライセンス を採用しています。技術は非営利の研究やプロトタイピング向けには無料のままですが、商用展開には特許使用権の購入が必要です。2024 年 3 月までに、Zama は商用化から 6 か月以内に 5,000 万ドルを超える契約額 を締結し、さらに数百の顧客がパイプラインに控えています。トランザクションベースの価格設定がプライベートブロックチェーンの展開に適用され、暗号資産プロジェクトは多くの場合トークンで支払います。間もなく登場する Zama Protocol は、オンチェーン経済を導入します。オペレーターは $ZAMA をステーキングして暗号化および復号化作業の資格を得て、手数料は ZKPoK 検証あたり 0.005 ドル 〜 0.50 ドル、復号化操作あたり 0.001 ドル 〜 0.10 ドルの範囲となります。

チームは世界最大の FHE(完全準同型暗号)専門研究組織を構成しています。26 か国から集まった 96 名以上の従業員 が在籍し、そのうち 37 名が博士号(PhD)を保持 しています(スタッフの約 40%)。共同創設者兼 CTO の Pascal Paillier は、何十億ものスマートカードで使用されている Paillier 暗号方式の発明者であり、2025 年には権威ある IACR フェローを受賞しました。CEO の Rand Hindi は、以前 Sonos に買収された AI 音声プラットフォーム Snips を創設しました。この暗号資産の才能の集中は、強力な知的財産(IP)の堀を築いています。Paillier は、コア・イノベーションを保護する約 25 の特許ファミリーを保有しています。

ブロックチェーン・プライバシーにおける「つるはしとシャベル」戦略としての競争上の位置付け

プライバシー・ソリューションの展望は、それぞれ異なるトレードオフを持つ 3 つの基本的なアプローチに分かれます。Secret Network や Oasis Network が採用している 実行環境(TEE) は、ネイティブに近いパフォーマンスを提供しますが、ハードウェアのセキュリティに依存しており、信頼の閾値は 1 です。つまり、エンクレーブが侵害されると、すべてのプライバシーが崩壊します。2022 年 10 月に公開された Secret Network に影響を与える TEE の脆弱性は、これらのリスクを浮き彫りにしました。Aztec Protocol(a16z からの 1 億ドルのシリーズ B)が採用している ゼロ知識証明(ZK-proofs) は、入力を明かさずに計算の正しさを証明しますが、複数の当事者からの暗号化されたデータに対して計算を行うことはできず、レンディングプールのような共有状態のアプリケーションへの適用が制限されます。

FHE は独自の地位を占めています。数学的に保証されたプライバシー、構成可能な信頼の閾値、ハードウェア依存の排除、そして複数のソースからの暗号化データを処理できる極めて重要な能力を備えています。これにより、他の方策では不可能なユースケースが可能になります。たとえば、流動性プロバイダーからの暗号化されたリザーブに基づいて計算する機密 AMM や、暗号化された担保ポジションを管理するレンディングプロトコルなどです。

FHE の分野において、Zama はインフラストラクチャ層として機能し、他のプロジェクトはその上にチェーンを構築しています。Fhenix(2,200 万ドルを調達)は、パートナーシップを通じて Zama の TFHE-rs を使用したオプティミスティック・ロールアップ L2 を構築しており、Arbitrum 上に最初の実用的な FHE 実装として CoFHE コプロセッサを展開しました。Inco Network(450 万ドルを調達)は、Zama の fhEVM を使用して既存のチェーンに「サービスとしての機密性(Confidentiality-as-a-Service)」を提供し、TEE ベースの高速処理と FHE+MPC による安全な計算の両方を提供しています。どちらのプロジェクトも Zama のコア技術に依存しています。つまり、どの FHE チェーンが覇権を握ろうとも、Zama はその価値を捉えることができます。このインフラストラクチャ上の位置付けは、OpenZeppelin が Ethereum と直接競合することなく、スマートコントラクトの普及から利益を得ている様子に似ています。

DeFi、AI、RWA、およびコンプライアンス準拠の決済に及ぶユースケース

DeFi において、FHE は MEV(最大抽出可能価値)を根本的に解決します。 トランザクション・パラメータはブロックに組み込まれるまで暗号化されたままになるため、フロントランニングやサンドイッチ攻撃は数学的に不可能になります。単純に、悪用できる可視化されたメンプール(mempool)データが存在しないからです。ZamaSwap のリファレンス実装は、完全に暗号化された残高とプールリザーブを備えた、暗号化 AMM スワップを実証しています。MEV 保護にとどまらず、機密レンディングプロトコルは暗号化された担保ポジションと清算閾値を維持でき、プライベートな財務データに基づいて計算されたオンチェーン・クレジットスコアリングを可能にします。

AI および機械学習 については、Concrete ML がヘルスケア(暗号化された医療診断)、金融(暗号化されたトランザクションによる不正検知)、バイオメトリクス(身元を明かさない認証)におけるプライバシー保護計算を可能にします。このフレームワークは、暗号化された状態を維持したまま機密データで言語モデルをトレーニングする、暗号化 LLM ファインチューニングをサポートしています。AI エージェントが Web3 インフラ全体に普及するにつれ、FHE は実用性を損なうことなくデータプライバシーを確保する機密計算レイヤーを提供します。

現実資産(RWA)のトークン化 は、おそらく最大の機会を象徴しています。JP Morgan Kinexys の Project EPIC コンセプト実証は、暗号化された入札額、隠された投資家保有分、暗号化データに対する KYC/AML チェックを備えた、機関レベルの資産トークン化を実証し、完全な規制遵守を維持しました。これは、伝統的金融がパブリックブロックチェーンを使用する際の根本的な障壁、すなわち 取引戦略やポジションを競合他社から隠すことができない という問題に対処するものです。トークン化された RWA は 100 兆ドルを超える到達可能市場(TAM)になると予測されており、FHE はプライベートブロックチェーンでは対応できない機関投資家の参加を解禁します。

決済とステーブルコインのプライバシー が全体像を完成させます。2025 年 12 月のメインネットローンチには、cUSDT を使用した最初の機密ステーブルコイン送金が含まれていました。ミキシングベースのアプローチ(Tornado Cash)とは異なり、FHE はプログラム可能なコンプライアンスを可能にします。開発者は誰が何を復号化できるかを決定するアクセス制御ルールを定義でき、絶対的な匿名性ではなく、規制に準拠したプライバシーを実現できます。権限を与えられた監査人や規制当局は、一般的な取引のプライバシーを損なうことなく、適切なアクセス権を受け取ることができます。

規制環境は、コンプライアンスを遵守したプライバシーにとって追い風となっています

2024年12月30日から全面的に施行された EU の MiCA フレームワークは、コンプライアンスを維持しながらプライバシーを確保するソリューションに対する強い需要を生み出しています。トラベルルール(Travel Rule)は、暗号資産サービスプロバイダーに対し、すべての送金において送金者と受取人のデータを共有することを求めており、免除規定(de minimis threshold)もありません。これにより、ミキシングのような「デフォルトでプライバシーを保護する」アプローチは実用的ではなくなっています。FHE の選択的開示メカニズムは、この要件に正確に合致しています。つまり、取引は一般的な監視からは暗号化されたままですが、権限を持つ当事者は必要な情報にアクセスできるのです。

米国では、2025年7月に GENIUS Act が署名され、初の包括的な連邦ステーブルコインフレームワークが確立されました。これは、規制回避よりもコンプライアンスを重視したプライバシーソリューションを支持する、規制の成熟を告げるものです。アジア太平洋地域でも進歩的なフレームワークの整備が進んでおり、香港のステーブルコイン規制体制は 2025年8月に施行され、シンガポールは暗号資産ライセンスの分野でリーダーシップを維持しています。どの法域においても、プライバシーと規制コンプライアンスの両立を可能にするソリューションが好まれる傾向にあり、これこそが Zama の価値提案そのものです。

2025年、法執行の重点が事後的な訴追からプロアクティブなフレームワークへと移行することは、FHE 採用の機会を創出します。コンプライアンスを後付けするのではなく、当初からコンプライアンスを遵守したプライバシーアーキテクチャで構築されたプロジェクトは、機関投資家による採用や規制当局の承認への道がより容易になるでしょう。

技術的および市場的な課題には、慎重な対応が必要です

パフォーマンスが依然として最大の障壁ですが、その軌跡は明確です。現在、FHE の演算はプレーンテキスト(平文)での演算に比べて約 100倍遅く、低頻度で高価値の取引には許容できますが、高スループットのアプリケーションには制約となります。スケーリングのロードマップはハードウェアの加速に依存しています。2026年の GPU への移行、FPGA の最適化、そして最終的には専用の ASIC です。Intel、Duality、SRI、Niobium に FHE アクセラレータ開発のための資金を提供している DARPA の DPRIVE プログラムは、このタイムラインを加速させる政府の大規模な投資を象徴しています。

キー管理も独自の複雑さをもたらします。 閾値復号のための現在の 13ノードの MPC 委員会は、誠実な過半数の存在を前提としています。閾値ノード間での共謀は、他の参加者が検知できない「サイレントアタック」を可能にする恐れがあります。ロードマップでは、HSM の統合と耐量子 ZK 証明を備えた 100ノード以上への拡張を目指しており、これらの保証を強化する予定です。

TEE や ZK といった代替手段との競争も軽視すべきではありません。Secret Network や Oasis は、現在において大幅に優れたパフォーマンスを持つ、実用段階のコンフィデンシャルコンピューティングを提供しています。1億ドルの支援を受け、主流の ZK-SNARK 構成である PLONK を発明したチームを擁する Aztec は、プライバシー保護ロールアップの分野で強力な競合相手となります。ハードウェアのセキュリティが FHE の加速よりも早く向上すれば、TEE のパフォーマンス上の優位性は持続する可能性があります。ただし、ハードウェアに対する信頼の前提は、ZK や FHE のソリューションにはない根本的な限界(シーリング)を生み出します。

結論:インフラとしてのポジショニングがエコシステムの成長を通じて価値を取り込む

Zama の戦略的な巧みさは、競合するチェーンではなく、インフラストラクチャとしてのポジショニングにあります。主要な FHE ブロックチェーン実装である Fhenix と Inco は、いずれも Zama の TFHE-rs および fhEVM 技術を採用して構築されています。これは、どのプロトコルが普及したとしても、Zama がライセンス収益を得ることを意味します。デュアルライセンスモデルにより、オープンソース開発者による採用が商用エンタープライズの需要を牽引し、2026年1月にローンチされる $ZAMA トークンは、オペレーターのインセンティブをネットワークの成長と一致させるオンチェーン経済を生み出します。

Zama の最終的な成功は、3つの要因によって決まります。現在の 20 TPS から ASIC による 100,000 TPS 以上への 「パフォーマンスロードマップの実行」、JP Morgan による検証に続く 「機関投資家による採用」、そして現在の 5,000人の開発者から主流の Web3 浸透へと至る 「開発者エコシステムの成長」 です。規制環境はコンプライアンスを遵守したプライバシーへと決定的にシフトしており、暗号化されたマルチパーティ計算を可能にする FHE 独自の能力は、ZK でも TEE でも対応できないユースケースに対処します。

Web3 のリサーチャーや投資家にとって、Zama はブロックチェーンプライバシーにおける典型的な「ツルハシとシャベル(picks and shovels)」の機会を象徴しています。つまり、DeFi、AI、RWA、そして機関投資家による採用を通じてコンフィデンシャルコンピューティング層が成熟するにつれて、その価値を取り込むインフラストラクチャです。10億ドルの時価評価には大きな実行リスクが織り込まれていますが、技術ロードマップを成功裏に達成できれば、Zama は次の 10年のブロックチェーン開発における不可欠なインフラとしての地位を確立する可能性があります。