「ZK」タグの記事が 7 件 件あります

Standard Chartered（スタンダードチャータード銀行）は、2028 年までに米国の銀行から最大 5,000 億ドルの預金がステーブルコインに流出すると予測しています。5 つの地方銀行は、ただ手をこまねいて見守るつもりはないと決断しました。

2026 年 3 月、Huntington Bancshares、First Horizon、M&T Bank、KeyCorp、および Old National Bancorp は、Cari Network を発表しました。これは、通常の銀行預金を、金融機関間で 24 時間 365 日、即時決済可能なプログラマブルなデジタル・トークンに変換する、共有型のブロックチェーン・ベースのプラットフォームです。Circle や Tether のようなステーブルコイン発行体にとっての脅威は、Cari 上のすべてのドルが、FDIC（連邦預金保険公社）の保険とバランスシート上の取り扱いを備えた、完全に規制された銀行預金のままであるという点です。これは、ステーブルコインには決して真似できない利点です。

ジョージア工科大学とパデュー大学の研究チームは最近、1,000 ドル未満の市販の電子機器を使用し、Intel SGX、Intel TDX、AMD SEV-SNP といった市場にある主要な信頼実行環境（TEE）のすべてを突破しました。TEE.Fail 攻撃は、単に暗号鍵を露出させただけではありません。それは、単一のプライバシー技術だけでブロックチェーンの未来を保護できるという前提を打ち砕きました。

その衝撃的な事実は、極めて重要な時期にもたらされました。2025 年第 3 四半期だけで、機関投資家はプライベート DeFi チャネルを通じて 23 億ドルを動かしました。完全準同型暗号（FHE）は、2025 年 12 月 30 日の Zama のメインネットローンチにより、学術的な好奇心の対象から実用段階へと移行しました。そして、ゼロ知識証明ロールアップは現在、イーサリアムのレイヤー 2 トランザクションの 60% 以上を処理しています。ブロックチェーン・プライバシーの 3 つの柱である ZK、FHE、TEE は、それぞれが同時に重要な転換点に達しており、5 年前には誰も予測できなかった収束へと業界を突き動かしています。

イーサリアム最大のゼロ知識ロールアップが、ビットコインの実行レイヤーになりたいと世界に宣言しました。2025 年 3 月、STARKs をベースに構築され、長らくイーサリアムのスケーリングに関連付けられてきたチェーンである Starknet は、ビットコインとイーサリアムの両方で決済（セトルメント）を行う意向を正式に表明し、デュアルチェーン・セトルメントを追求する初のレイヤー 2 となりました。それから 1 年足らずで、1,700 BTC 以上が Starknet のコンセンサスにステークされ、そのドル換算価値はネットワーク独自の STRK トークンのステーク残高を上回っています。もはや、Starknet がビットコインに対して本気かどうかという問いではありません。問題は、1.8 兆ドル規模の資産に眠る DeFi の可能性を解き放つ競争において、Babylon、Stacks、Rootstock を追い抜くことができるかどうかです。

Zcash が 2025 年後半に 700% 以上急騰し、7 年ぶりの高値を記録したとき、市場は単なる暗号資産の価格上昇を祝っていたわけではありません。それは、ブロックチェーンが抱える最も困難な対立、すなわち「ユーザーのプライバシー」と「規制への準拠」のバランスの取り方に大きな変化が生じていることを示唆していました。長年、プライバシー・インフラは二極化した世界に存在していました。規制当局からマネーロンダリングの道具と見なされる「いかなる犠牲を払ってもプライバシーを守る」システムを構築するか、あるいは当局をなだめるために匿名性を完全に放棄するかです。しかし 2026 年、第 3 の道が存在することが証明されつつあります。Zcash、Aztec Network、Railgun といったプライバシーの先駆者たちが、ゼロ知識暗号、選択的開示、そして業界関係者が「実用的なプライバシー（プラグマティック・プライバシー）」と呼ぶ概念を組み合わせて切り拓いている道です。

数字がその物語を物語っています。日本や韓国が国内取引所での取り扱いを禁止したにもかかわらず、2025 年を通じてプライバシーコインは暗号資産市場全体を 80% 上回るパフォーマンスを記録しました。ガートナーは、2026 年までにブロックチェーンベースの取引の 50% にプライバシー機能が組み込まれるようになると予測しています。

2026 年 1 月、SEC（米証券取引委員会）は Zcash に対する 3 年間にわたる調査を、法執行措置を講じることなく終了しました。これは、明確な基準を求めるこの業界において、稀に見る規制上のゴーサインとなりました。一方、Aztec の Ignition Chain は 2025 年 11 月に Ethereum 初の分散型プライバシー・レイヤー 2 としてローンチされ、最初の数ヶ月で 185 のオペレーターと 3,400 以上のシーケンサーを引き付けました。

これは、サイファーパンク時代の敵対的なプライバシーではありません。これは、ブロックチェーンをトラストレスなものにした暗号学的保証を犠牲にすることなく、本人確認（KYC）義務、税務報告、およびマネーロンダリング防止（AML）基準を満たす、機関投資家グレードの機密性です。

旧体制：プライバシーが「戦争」を意味した時代​

この実用的な転換を理解するには、それ以前に何があったかを知る必要があります。Monero、Dash、そして初期の Zcash といったプライバシーコインは、根本的に敵対的な立場から誕生しました。つまり、金融監視は人間の自由に対する本質的な脅威であり、ブロックチェーンの検閲耐性の約束には絶対的な匿名性が必要であるという考え方です。これらのシステムは、ユーザーを保護するだけでなく、正当な法執行を必要とする規制当局であっても取引の追跡を暗号学的に不可能にするために、リング署名、ステルスアドレス、およびゼロ知識証明を使用していました。

その反発は迅速かつ過酷なものでした。2023 年から 2025 年にかけて、米国（FinCEN および SEC 経由）と欧州（MiCA および FATF 経由）の規制当局は、サービスプロバイダーに詳細な取引データの収集を求める厳格な AML ルールを施行しました。Coinbase、Kraken、Binance などの主要な取引所は、規制上の罰則を避けるためにプライバシーコインを完全に上場廃止にしました。日本と韓国は、KYC への懸念を理由にプライバシー資産を事実上禁止しました。「プライバシー技術は犯罪者のためのものであり、それを構築する者は誰であれマネーロンダリングや脱税などに加担している」という物語が定着してしまったのです。

しかし、その物語は重要な現実を見落としていました。銀行、資産運用会社、企業などの機関投資家は、悪意のある目的のためではなく、競争上の生き残りのために取引のプライバシーを痛切に「必要」としています。

数十億ドル規模の取引戦略を実行するヘッジファンドは、競合他社やフロントランナーが情報を利用できるパブリック・ブロックチェーン上ですべての動きを公開するわけにはいきません。サプライチェーンの支払いを交渉している企業は、サプライヤーに自社のキャッシュリザーブを見られたくないと考えています。

プライバシーは単なるリバタリアンの理想ではなく、プロフェッショナルな金融における基本的な要件でした。問題は、プライバシーがオンチェーンに「属するかどうか」ではなく、犯罪インフラを作らずに「いかにして」構築するかだったのです。

実用的なピボット：説明責任を伴うプライバシー​

「実用的なプライバシー（プラグマティック・プライバシー）」という言葉が登場しました。これは、暗号学的な機密性を提供しつつ、監査人、税務当局、および法執行機関のためのコンプライアンス・フックを維持するシステムを表す言葉として、2025 年後半に注目を集めました。その核心的な洞察は、ゼロ知識証明は単に情報を隠すだけでなく、基礎となるデータを明らかにすることなくコンプライアンスを「証明」できるということです。制裁リストに載っていないこと、正しく納税したこと、資金が犯罪収益ではないことなどを、取引の詳細をパブリック・ブロックチェーンやほとんどの規制当局にさらすことなく証明できるのです。

これが、2026 年に産業化されつつあるアーキテクチャです。Cointelegraph Magazine によれば、「2026 年は、Aztec から Nightfall、Railgun、COTI など、複数のソリューションがテストネットからメインネットへと移行し、プライバシーがオンチェーンで産業化され始める年である」とのことです。この変化は、技術的であると同時に文化的でもあります。初期のプライバシー支持者が規制当局に対して対抗的な姿勢をとっていたのに対し、新しい波は規制の枠組みの「中」にプライバシーを位置づけています。目標は監視を逃れることではなく、一律の監視を標的を絞った暗号学的なコンプライアンス証明に置き換えることで、より効率的に規制要件を満たすことです。

市場はこれに反応しました。プライバシーコインは、他のすべてが下落する中で 2025 年に 288% 急騰し、機関投資家の関心の高まりとともに市場全体を上回るパフォーマンスを見せました。米国の毎日の証券取引数兆ドルを処理する清算機関である DTCC は、トークン化された米国債のために Canton Network を試行しており、決済の相互運用性を維持しながら、取引の詳細を取引相手にのみ公開する許可型プライバシー・ドメインを使用しています。これは DeFi の「無法地帯」ではなく、ウォール街の未来のインフラなのです。

コンプライアンスに配慮したプライバシーの3つの柱​

3つのプロジェクトが実用的なプライバシーという提言を体現しており、それぞれが異なる角度からこの課題に取り組んでいます。

Zcash：コンプライアンス ツールとしての選択的開示​

元祖プライバシー コインの1つである Zcash は、哲学的な進化を遂げてきました。当初は zk-SNARKs（ゼロ知識簡潔非対話型知識引合）を介した絶対的な匿名性を目指して設計されていましたが、現在の Zcash は「選択的開示」を重視しています。これは、デフォルトで取引のプライバシーを維持しつつ、必要に応じて特定の詳細を明らかにできる機能です。Invezz によれば、「Zcash はユーザーに機能的なプライバシーを提供し、情報を選択的に開示することでコンプライアンスを達成する能力を備えています」とのことです。

これが重要なのは、プライバシーを「全か無か」の提案から、設定可能なツールへと変えるからです。Zcash を利用する企業は、競合他社に対して取引を非公開に保ちながら、税務当局に対しては正しく納税したことを証明できます。ユーザーは、取引履歴全体を明かすことなく、自分の資金が制裁対象ではないことを示すことができます。3年間のレビューを経て、SEC（米証券取引委員会）が2026年1月に Zcash に対して法的執行を行わないと決定したことは、コンプライアンス機能を備えたプライバシー システムに対する規制当局の受け入れが進んでいることを示唆しています。

2025年における Zcash の600%以上の急騰は、投機によるものではありませんでした。それは、選択的開示が「競合他社に機密情報を漏らすことなく、パブリック ブロックチェーン上でいかに活動するか」という現実の課題を解決するという機関投資家レベルの認識によるものでした。分散型コンプライアンス プラットフォームである Veriscope は、2025年第1四半期に Privacy Coin Reporting Suite を展開し、Zcash の自動コンプライアンス レポートを可能にしました。この「プライバシー ＋ 監査可能性」というインフラこそが、機関投資家による導入を可能にしているのです。

Aztec：プライベート スマート コントラクトと税務当局の融合​

Zcash がプライベートな支払いに焦点を当てているのに対し、Aztec Network はより困難な課題である「プライベートな計算」に取り組んでいます。2025年11月にローンチされた Aztec の Ignition Chain は、Ethereum 上で最初の完全に分散化されたプライバシー Layer 2 であり、ゼロ知識ロールアップを使用して機密性の高いスマート コントラクトを可能にします。すべての取引、ローン、清算が公開される透明な DeFi とは異なり、Aztec のコントラクトは正当性を証明しつつ、ロジックを非公開に保つことができます。

コンプライアンスにおける革新：Aztec のアーキテクチャにより、企業は独自のデータを公開することなく、規制遵守を証明できます。Aztec を使用する企業は、競合他社に取引を伏せたまま、税務当局には適切な納税額を証明できるため、規制遵守が不可欠な機関投資家による導入に適しています。Aztec のツールは「現実世界のアイデンティティをブロックチェーンに接続」すると同時に、ユーザーが年齢や国籍などの情報を選択的に開示できるようにします。これは、個人情報を晒す（doxxing）ことなく本人確認（KYC）を行うために不可欠です。

ローンチ以来、5大陸にわたる185のオペレーターと3,400以上のシーケンサーというネットワークの急速な拡大は、プログラム可能なプライバシーへの需要を証明しています。次のマイルストーンは、2026年第1四半期に予定されている完全なプライベート スマート コントラクトのための Alpha Network です。これが成功すれば、Aztec は機密性の高い DeFi のインフラ層となり、Ethereum のセキュリティ保証を損なうことなく、プライベートなレンディング、ダークプール、機関投資家の取引を可能にする可能性があります。

Railgun：スクリーニング機能を内蔵したミドルウェア プライバシー​

Railgun は第3のアプローチを取っています。独自のブロックチェーンや Layer 2 を構築するのではなく、既存の DeFi アプリケーションに直接統合されるプライバシー ミドルウェアとして機能します。現在、Ethereum、BNB Chain、Arbitrum、Polygon に展開されている Railgun は、zk-SNARKs を使用してスワップ、イールドファーミング、流動性提供を匿名化します。これにより、ユーザーはウォレット残高や取引履歴を公開することなく DeFi プロトコルを利用できます。

コンプライアンスにおける突破口：Railgun の「Private Proofs of Innocence（プライベートな潔白証明）」スクリーニング システムです。資金の出所を無差別に隠すミキサーとは異なり、Railgun は入金を既知の不正アドレスと照合してスクリーニングします。トークンが不審であるとフラグが立てられた場合、プライバシー プールへの進入がブロックされ、元の元のアドレスにしか引き出せなくなります。Railgun が zKLend 攻撃者による盗難資金の洗浄を阻止した際、ヴィタリック・ブテリン氏でさえこのシステムを称賛しました。これは、プライバシー技術が通常直面する規制当局からの敵対心とは対照的です。

また、Railgun は選択的開示のためのビューキーと税務報告ツールを統合しており、全体的なプライバシーを損なうことなく、監査人に特定の取引へのアクセス権を付与することができます。この「デフォルトでプライバシーを維持し、必要に応じて透明性を確保する」というアーキテクチャが、マネーロンダリング防止（AML）要件を遵守する必要がある機関投資家にとって Railgun を実用的なものにしています。

コンプライアンスを可能にする技術：架け橋としてのゼロ知識証明​

プラグマティックなプライバシーの技術的基盤は、初期のアカデミックな起源から劇的な進化を遂げたゼロ知識証明（ZK）技術です。ゼロ知識証明により、機関は機密性の高い基礎データを公開ブロックチェーンに明かすことなく、ユーザーが制裁対象の法域出身ではないことや適格基準を満たしていることなどのコンプライアンスを証明できます。

これは単純な暗号化よりも洗練されています。ZK 証明を使用すると、データ自体を明かさずにデータの 属性 を証明できます。「どのアドレスと取引したか」を明かさずに「自分の取引に制裁対象アドレスは含まれていない」ことを証明できます。「財務履歴全体」を明かさずに「一定額の税金を支払った」ことを証明できます。「生年月日」を明かさずに「18 歳以上である」ことを証明できます。各証明は暗号学的に検証可能で、非対話型であり、オンチェーンで実行できるほど計算効率が優れています。

コンプライアンスへの影響は深刻です。従来の AML/KYC は一括データ収集に依存しています。取引所は包括的なユーザー情報を収集し、それを中央で保存し、セキュリティが維持されることを願います。これはハッカーにとってのハニーポット（標的）となり、ユーザーにとっては監視のリスクを生み出します。ZK ベースのコンプライアンスはこのモデルを逆転させます。ユーザーはコンプライアンスを 選択的 に証明し、各やり取りに必要な情報のみを開示します。取引所は、ユーザーの完全な身元を知ることなく、そのユーザーが制裁対象でないことを確認します。税務当局は、ウォレットにアクセスすることなく支払いを追跡します。プライバシーがデフォルトとなり、透明性が例外となりますが、その両方が暗号学的に保証されます。

これが、2026 年にプライベートステーブルコインが主要な決済インフラとして台頭すると予想されている理由です。これらはデフォルトで設定可能なプライバシーを備え、基本的な機密性を犠牲にすることなくコンプライアンスを可能にする統合されたポリシー制御機能を持ちます。これらのシステムは規制の外側に存在するのではなく、プロトコルレベルで規制を統合するのです。

機関投資家による採用：プライバシーがインフラになる時​

プラグマティックなプライバシーが到来したことを示す最も明白な兆候は、機関投資家による採用です。DTCC（国際銀行間通信協会）による Canton Network を使用したトライアル（トークン化された米国財務省証券に許可型プライバシードメインを使用）は、ウォール街がプライバシーを、単なる付加機能ではなく不可欠なインフラとして見ていることを示しています。Canton の設計では、決済時のみ接続される並列のプライバシードメインが可能であり、機密性と相互運用性を同時に提供します。

機関投資家は、戦略のフロントランニングを防ぐために機密性を必要としていますが、同時に厳格な AML/KYC の義務を満たさなければなりません。ZK 証明はこの難題を解決します。ファンドは非公開で取引を実行し、規制当局に対して（選択的開示を通じて）、すべての取引相手が KYC 済みであり、制裁対象の主体が含まれていないことを証明できます。これらすべてを、競合他社や一般に取引戦略をさらすことなく実現できるのです。

コンプライアンスツールも急速に成熟しています。Veriscope の自動レポートスイートに加え、Aztec によるプライバシー保護アイデンティティソリューション、監査人アクセスのための Railgun のビューキー、そして iExec のコンフィデンシャルコンピューティングのようなエンタープライズ向けのプライバシーレイヤーが登場しています。これらは理論上の話ではなく、実際の機関投資家の資金フローを処理している本番システムです。

2026 年までにブロックチェーン取引の 50% にプライバシー機能が含まれるという Gartner の予測は、単なる願望ではありません。メインストリームでの採用にはプライバシーが 不可欠 であるという認識の現れです。すべての取引、残高、取引相手が競合他社に筒抜けであれば、企業がパブリックブロックチェーンに移行することはありません。プラグマティックなプライバシー（コンプライアンス機能を備えた暗号学的機密性）が、その障壁を取り除きます。

2026 年：プライバシーの転換点​

2025 年がプライバシーインフラが 700% の成長と機関投資家の試用によって市場適合性を証明した年であったとするなら、2026 年はそれが産業化する年です。Q1 には、完全なプライベートスマートコントラクトのための Aztec の Alpha Network がローンチされます。Nightfall から COTI、エンタープライズレイヤーに至るまで、複数のプライバシーソリューションがテストネットから本番環境へと移行しています。規制の明確化も進んでいます。SEC による Zcash の決定、MiCA（暗号資産市場規制）のコンプライアンス枠組み、そして FATF（金融活動作業部会）の更新されたガイダンスはすべて、プライバシーとコンプライアンスが共存できることを認めています。

「あらゆる犠牲を払ってでもプライバシーを守る」から「プラグマティック（実用的）なプライバシー」への移行は、妥協ではなく進化です。阻止不可能な匿名性というサイファーパンクのビジョンには目的がありました。それは暗号学的なプライバシーが可能であることを証明し、規制当局にプライバシー技術と真剣に向き合うよう強いたことです。しかし、そのビジョンは、機密性と説明責任が共存しなければならない機関投資家向け金融にはスケールできませんでした。新しい世代（Zcash の選択的開示、Aztec のプライベートスマートコントラクト、Railgun の審査済み匿名性）は、暗号学的な保証を維持しつつ、コンプライアンスインターフェースを追加しています。

これはクリプトの世界を超えた重要性を持ちます。パブリックブロックチェーンが、何兆ドルもの決済、取引、清算を処理するグローバルな金融インフラになるためには、個人と機関の両方にとって機能するプライバシーが必要です。監視を逃れるためのプライバシーではなく、現代の金融を支配する法的枠組みと互換性があり、説明責任を果たせ、監査可能なプライバシーです。技術は存在します。規制の道筋は明確になりつつあります。市場の準備は整っています。

2026 年は、プライバシーとコンプライアンスが対立するものではなく、トラストレスでありながら信頼され、透明でありながら機密性が守られ、オープンでありながら説明責任を果たす金融システムを構築するための補完的なツールであることを証明しています。それは矛盾ではありません。それこそが、プラグマティック（実用的）なのです。

---

BlockEden.xyz は、強化されたプライバシーとセキュリティ機能を備えたエンタープライズグレードのブロックチェーンインフラを提供します。API マーケットプレイスを探索して、Aztec のようなプライバシー重視のチェーンや、機関投資家の導入向けに設計されたコンプライアンス対応ネットワークでの開発を始めましょう。

Ethereum のヴィタリック・ブテリン (Vitalik Buterin) 氏はかつて、プライバシーをブロックチェーンにおける「最大の未解決の問題」と呼びました。3 年が経過した今、その言葉は時代遅れに感じられます。それはプライバシーが解決されたからではなく、それが単一の問題ではなく、3 つの問題であるということを私たちが理解したからです。

ゼロ知識証明 (ZK) は、データを明かすことなく計算を証明することに長けています。完全準同型暗号 (FHE) は、暗号化されたデータ上での計算を可能にします。信頼実行環境 (TEE) は、ハードウェアで保護されたプライベートな計算を提供します。それぞれがプライバシーを約束しますが、そのアプローチは根本的に異なるアーキテクチャであり、相容れないトレードオフを抱えています。

DeFi にはプライバシーに加えて監査可能性が必要です。決済には監視を伴わない規制遵守が求められます。AI はトレーニングデータを公開することなく検証可能な計算を必要とします。単一のプライバシー技術ですべてのユースケースを解決できるものはなく、2026 年までに業界はそうでないふりをするのをやめました。

これがプライバシーのトリレンマです。パフォーマンス、分散化、および監査可能性を同時に最大化することはできません。 どの技術がどの戦いに勝利するかを理解することが、今後 10 年間のブロックチェーン インフラストラクチャを決定づけるでしょう。

3 つのアプローチを理解する​

ゼロ知識証明：明かさずに証明する​

ZK は検証方法を証明します。ゼロ知識証明は、基礎となるデータを明かすことなく、何かが真であることを証明する方法です。

現在、主に 2 つの実装が主流となっています。

• ZK-SNARKs (Succinct Non-Interactive Arguments of Knowledge) — 検証が高速でコンパクトな証明ですが、トラステッド セットアップの儀式が必要です。
• ZK-STARKs (Scalable Transparent Arguments of Knowledge) — トラステッド セットアップが不要で、量子耐性がありますが、証明サイズが大きくなります。

ZK-SNARKs は現在、プライバシーに焦点を当てたブロックチェーン プロジェクトの 75% で利用されており、ZK-STARKs は最近 55% の採用増加を記録しています。主な技術的な違いとして、SNARKs は簡潔で非対話的な証明を生成するのに対し、STARKs はスケーラブルで透明性の高い証明を生成します。

2026 年における実世界のアプリケーション:

• Aztec — プライバシー重視の Ethereum レイヤー 2
• ZKsync — Prividium プライバシー エンジンを搭載した汎用 ZK ロールアップ
• Starknet — プライバシー ロードマップを統合した STARK ベースの L2
• Umbra — Ethereum および Solana 上のステルス アドレス システム

完全準同型暗号：秘密のまま計算する​

FHE は暗号化の方法を強調します。完全準同型暗号 (FHE) は、最初に復号することなく、暗号化されたデータ上での計算を可能にします。

究極の目標は、機密データ（財務モデル、医療記録、AI トレーニング セットなど）がエンドツーエンドで暗号化されたまま、複雑な計算を実行することです。復号ステップがないということは、攻撃者に対する露出ウィンドウがないことを意味します。

欠点: FHE の計算は平文よりも数桁遅いため、2026 年の時点でもほとんどのリアルタイムの暗号資産ユースケースにおいて経済的ではありません。

FHE は強力な暗号化を提供しますが、ほとんどの Web3 アプリにとっては依然として低速で計算負荷が高すぎます。COTI の Garbled Circuits (ガーブル回路) 技術は FHE よりも最大 3,000 倍高速で 250 倍軽量に動作し、パフォーマンスのギャップを埋めるための一つのアプローチとなっています。

2026 年の進展:

• Zama — ブロックチェーン向けの実用的な FHE の先駆者であり、提案されている FHE ロールアップを含む zk + FHE ハイブリッド モデルのブループリントを公開
• Fhenix — Ethereum 上の FHE 搭載スマート コントラクト
• COTI — 高パフォーマンスなプライバシーのための FHE の代替手段としての Garbled Circuits

信頼実行環境：ハードウェアによるプライバシー​

TEE はハードウェアベースです。信頼実行環境 (TEE) は CPU 内部のセキュアな「ボックス」であり、コードはセキュア エンクレイブ内でプライベートに実行されます。

これはプロセッサ内部の安全な部屋のようなもので、機密性の高い計算が施錠されたドアの向こう側で行われます。オペレーティング システム、他のアプリケーション、さらにはハードウェアの所有者でさえも、その中を覗くことはできません。

パフォーマンスの利点: TEE はネイティブに近い速度を実現し、大きなオーバーヘッドなしにリアルタイムの金融アプリケーションを処理できる唯一のプライバシー技術となっています。

分散化の問題: TEE は信頼できるハードウェア メーカー (Intel SGX、AMD SEV、ARM TrustZone) に依存しています。これにより、単一障害点やサプライチェーン攻撃に対する脆弱性が生じる可能性があります。

2026 年における実世界のアプリケーション:

• Phala Network — マルチプルーフ ZK および TEE ハイブリッド インフラストラクチャ
• MagicBlock — Solana 上の低遅延・高スループットなプライバシーのための TEE ベースの Ephemeral Rollups (エフェメラル ロールアップ)
• Arcium — MPC、FHE、ZKP と TEE 統合を組み合わせた分散型プライバシー コンピューティング ネットワーク

パフォーマンス・スペクトラム：速度 vs. セキュリティ​

ZK：検証は高速だが、証明にはコストがかかる​

ゼロ知識証明（ZK）は、最高の検証パフォーマンスを提供します。一度証明が生成されると、バリデーターは数ミリ秒でその正当性を確認できます。これは、数千のノードが状態について合意しなければならないブロックチェーンのコンセンサスにとって非常に重要です。

しかし、証明の生成には依然として多大な計算コストがかかります。複雑なトランザクションに対して ZK-SNARK を生成する場合、回路の複雑さに応じて数秒から数分かかることがあります。

2026 年の効率向上：

2025 年 11 月にメインネットへの統合に成功した Starknet の S-two プルーバーは、以前のモデルと比較して 100 倍の効率向上を実現しました。イーサリアムの共同創設者であるヴィタリック・ブテリン（Vitalik Buterin）氏は、ZK 証明の効率向上に後押しされ、10 年来の立場を公に翻し、今では ZK-SNARK を安全で分散型の自己検証を可能にする「魔法の薬」と呼んでいます。

FHE：長期的な賭け​

FHE（完全準同型暗号）は、暗号化されたデータに対して直接計算を行うことを可能にし、長期的なプライバシーのフロンティアを象徴しています。2025 年には暗号化されたスマートコントラクト実行の実証を通じて進歩が加速しました。

しかし、ほとんどのアプリケーションにおいて計算のオーバーヘッドは依然として非常に高いままです。FHE で暗号化されたデータに対する単純な加算操作は、平文よりも 1,000 倍遅くなる可能性があります。乗算の場合は 10,000 倍遅くなります。

2026 年における FHE の強み：

• 暗号化された AI モデルの推論 — モデルやデータを公開することなく、暗号化された入力に対して予測を実行
• プライバシーを保護したオークション — 入札額はオークションプロセス全体を通じて暗号化されたまま
• 機密性の高い DeFi プリミティブ — 個別の注文を明かすことのないオーダーブック・マッチング

これらのユースケースでは、絶対的な機密性と引き換えにレイテンシを許容できるため、FHE のパフォーマンスのトレードオフが受け入れられます。

TEE：信頼と引き換えのスピード​

MagicBlock は、Solana 上で低遅延かつ高スループットなプライバシーを実現するために TEE ベースの Ephemeral Rollups を使用しており、複雑な ZK 証明なしでネイティブに近いパフォーマンスを提供しています。

TEE のパフォーマンス上の利点は他に類を見ません。アプリケーションはネイティブ速度の 90～95% で動作します。これは、高頻度取引、リアルタイムゲーム、即時決済に十分な速さです。

欠点は、このスピードがハードウェアメーカーへの信頼に基づいていることです。Intel、AMD、または ARM のセキュア・エンクレーブが侵害された場合、セキュリティモデル全体が崩壊します。

分散化の問い：誰を信頼するか？​

ZK：設計からしてトラストレス（ほとんどの場合）​

ゼロ知識証明は、暗号学的にトラストレスです。誰でも証明者を信頼することなく、証明の正当性を検証できます。

ZK-SNARK のトラステッド・セットアップ・セレモニーを除いては。 ほとんどの SNARK ベースのシステムでは、秘密のランダム性を安全に破棄しなければならない初期パラメータ生成プロセスが必要です。この儀式から生じる「有毒廃棄物（toxic waste）」が保持されている場合、システム全体が侵害されます。

ZK-STARK はトラステッド・セットアップに依存しないため、量子耐性があり、潜在的な脅威の影響を受けにくくなっています。これが、StarkNet やその他の STARK ベースのシステムが最大限の分散化のためにますます好まれている理由です。

FHE：トラストレスな計算、中央集権的なインフラ​

FHE の数学はトラストレスです。暗号化スキームは第三者を信頼する必要がありません。

しかし、2026 年時点でも、FHE を大規模に導入することは依然として中央集権的です。ほとんどの FHE アプリケーションは、専用のハードウェア・アクセラレータと膨大な計算リソースを必要とします。これにより、FHE の計算は一握りのプロバイダーが管理するデータセンターに集中します。

Zama は実用的なブロックチェーン向け FHE の先駆者であり、FHE で暗号化された状態を ZK-SNARK 経由で検証する FHE ロールアップの提案を含む、ZK+FHE ハイブリッドモデルのブループリントを公開しています。これらのハイブリッドアプローチは、FHE のプライバシー保証と ZK の検証効率のバランスを取ろうとしています。

TEE：信頼されたハードウェア、分散型ネットワーク​

TEE は、最も中央集権的なプライバシー技術を代表しています。TEE は信頼されたハードウェアに依存しており、中央集権化のリスクを生じさせます。

信頼の前提：Intel、AMD、または ARM がセキュア・エンクレーブを正しく設計し、バックドアが存在しないと信じる必要があります。一部のアプリケーション（エンタープライズ向け DeFi、規制された決済）では、これは許容可能です。しかし、検閲耐性のある通貨やパーミッションレスな計算にとっては、それは致命的な問題となります。

緩和戦略：

ZK 証明を構築し、MPC や FHE プロトコルに参加するための実行環境として TEE を使用することで、ほぼゼロのコストでセキュリティを向上させることができます。シークレットはアクティブな計算中のみ TEE 内に留まり、その後破棄されます。

ZK+FHE の階層型アーキテクチャを通じてシステムのセキュリティを向上させることで、たとえ FHE が侵害されたとしても、強制防止（anti-coercion）以外のすべてのプライバシー属性を保持できます。

規制コンプライアンス：プライバシーとポリシーの融合​

2026 年のコンプライアンス環境​

プライバシーは現在、不透明なポリシーではなく明確な規制によって制限されており、EU の AML 規則により、金融機関や暗号資産プロバイダーが「匿名性を高めた」資産を取り扱うことが禁止されています。その目的は、KYC と取引追跡のコンプライアンスを強制しながら、完全に匿名な決済を排除することにあります。

この規制の明確化により、プライバシー インフラストラクチャの優先順位が再編されました。

ZK：コンプライアンスのための選択的開示​

ゼロ知識証明は、最も柔軟なコンプライアンス アーキテクチャを可能にします。それは、**「すべての詳細を明かすことなく、要件を満たしていることを証明する」**ことです。

例：

• 信用スコアリング — 正確なスコアや財務履歴を開示することなく、信用スコアが 700 を超えていることを証明する
• 年齢確認 — 生年月日を明かすことなく、18 歳以上であることを証明する
• 制裁スクリーニング — 本人の身元をさらすことなく、制裁リストに載っていないことを証明する

AI との統合により、安全な信用スコアリングや検証可能なアイデンティティ システムなどの革新的なユースケースが生まれ、EU の MiCA や米国の GENIUS 法などの規制枠組みも ZKP の採用を明示的に支持しています。

Entry は、規制対象の機関向け DeFi に AI パワード コンプライアンスとゼロ知識プライバシーを融合させるため、100 万ドルを調達しました。これは、「匿名による回避ではなく、検証可能なコンプライアンスのための ZK」という新たなパターンを象徴しています。

Umbra は、Ethereum と Solana 上でステルス アドレス システムを提供し、取引を隠しながらもコンプライアンスのための監査可能なプライバシーを可能にします。その SDK により、ウォレットや dApp への統合も容易です。

FHE：暗号化された処理と監査可能な結果​

FHE は異なるコンプライアンス モデルを提供します。それは、**「機密データを公開せずに計算し、必要に応じて結果のみを公開する」**というものです。

ユースケース：暗号化された取引モニタリング。金融機関は、暗号化された取引データに対して AML チェックを実行できます。不審な活動が検出された場合のみ、承認されたコンプライアンス担当者のために暗号化された結果が復号されます。

これにより、日常的な業務におけるユーザーのプライバシーを保護しつつ、必要な時の規制監督機能を維持できます。

TEE：ハードウェアによって強制されるポリシー​

TEE の中央集権性は、コンプライアンスにおいて利点となります。規制ポリシーをセキュア エンクレーブにハードコードすることで、改ざん不可能なコンプライアンス強制力を生み出すことができます。

例：TEE ベースの決済プロセッサは、ハードウェア レベルで制裁スクリーニングを強制できます。これにより、たとえアプリケーションの運営者が望んだとしても、制裁対象エンティティへの決済処理を暗号学的に不可能にできます。

規制対象の機関にとって、このハードウェア強制型のコンプライアンスは、法的責任と運用の複雑さを軽減します。

ユースケースの勝者：DeFi、決済、AI​

DeFi：ZK が主流、パフォーマンスには TEE​

DeFi で ZK が勝つ理由：

• 透明性のある監査可能性 — 準備金証明（Proof of Reserves）、ソルベンシー（支払い能力）の検証、プロトコルの整合性を公に証明できる
• 選択的開示 — ユーザーは残高や取引履歴を明かすことなく、コンプライアンスを証明できる
• コンポーザビリティ（構成可能性） — ZK 証明はプロトコル間で連鎖させることができ、プライバシーを保護した DeFi のコンポーザビリティを可能にする

PeerDAS のデータ処理能力と ZK-EVM の暗号学的精度を融合させることで、Ethereum は実際の機能コードを用いて「ブロックチェーンのトリレンマ」を解決しました。Ethereum の 2026 年のロードマップでは、機関投資家グレードのプライバシー標準が優先されています。

TEE のニッチ領域： トラストレス（信頼不要）であることよりも低遅延が重視される高頻度 DeFi 戦略。アービトラージ ボット、MEV 保護、リアルタイムの清算エンジンは、TEE のネイティブに近いスピードの恩恵を受けます。

FHE の未来： 絶対的な機密性が計算オーバーヘッドを正当化する、暗号化されたオーダーブックやプライベート オークション。

決済：スピードの TEE、コンプライアンスの ZK​

決済インフラの要件：

• 1 秒未満のファイナリティ
• 規制コンプライアンス
• 低い取引コスト
• 高いスループット

プライバシーは、スタンドアロンの機能として宣伝されるのではなく、目に見えないインフラとして組み込まれることが増えています。機関投資家向けの給与支払いや決済をターゲットとした暗号化ステーブルコインが、この変化を際立たせています。プライバシーは、投機的なプライバシー コインとしてではなく、ユーザー保護と機関の要件を一致させる金融インフラの基盤層として、プロダクト マーケット フィット（PMF）を達成しました。

コンシューマー決済では TEE が勝利： スピードの優位性は譲れません。インスタント チェックアウトや加盟店へのリアルタイム決済には、TEE のパフォーマンスが必要です。

B2B 決済では ZK が勝利： 企業間決済では、ミリ秒単位の遅延よりも監査可能性とコンプライアンスが優先されます。ZK の選択的開示は、規制報告のための監査証跡を維持しつつ、プライバシーを可能にします。

AI：トレーニングには FHE、推論には TEE、検証には ZK​

2026 年の AI プライバシー スタック：

• モデル トレーニングのための FHE — 機密データを公開することなく、暗号化されたデータセットで AI モデルをトレーニング
• モデル 推論のための TEE — セキュア エンクレイブ内で予測を実行し、モデルの IP とユーザー入力の両方を保護
• 検証のための ZK — モデルのパラメータやトレーニング データを明らかにすることなく、モデルの出力が正しいことを証明

Arcium は、MPC、FHE、および ZKP を組み合わせた分散型プライバシー コンピューティング ネットワークであり、AI および金融向けの完全暗号化された共同計算を可能にします。

AI との統合は、安全なクレジット スコアリングや検証可能なアイデンティティ システムのような革新的なユースケースを生み出します。プライバシー技術の組み合わせにより、監査可能で信頼性を維持しながら機密性を保持する AI システムが可能になります。

ハイブリッド アプローチ：なぜ 2026 年は「組み合わせ」が重要なのか​

2026 年 1 月までに、ほとんどのハイブリッド システムはプロトタイプの段階に留まります。採用はイデオロギーよりも実用主義によって推進され、エンジニアはパフォーマンス、セキュリティ、および信頼性の検討事項をバランスよく満たす組み合わせを選択します。

2026 年における成功したハイブリッド アーキテクチャ：

ZK + TEE：検証可能性を備えたスピード​

ZK 証明を構築し、MPC および FHE プロトコルに参加するための実行環境として TEE を使用することで、ほぼゼロのコストでセキュリティを向上させます。

ワークフロー：

1. TEE 内部でプライベート計算を実行（高速）
2. 正しい実行の ZK 証明を生成（検証可能）
3. 計算後に秘密情報を破棄（エフェメラル）

結果：ZK のトラストレスな検証を備えた TEE のパフォーマンス。

ZK + FHE：検証と暗号化の融合​

Zama は、FHE で暗号化された状態を zk-SNARKs 経由で検証する、提案された FHE ロールアップを含む zk + FHE ハイブリッド モデルのブループリントを公開しました。

ワークフロー：

1. FHE で暗号化されたデータに対して計算を実行
2. FHE 計算が正しく実行されたという ZK 証明を生成
3. 入力や出力を明らかにすることなくオンチェーンで証明を検証

結果：ZK の効率的な検証を備えた FHE の機密性。

FHE + TEE：ハードウェア加速された暗号化​

TEE 環境内で FHE 計算を実行することで、ハードウェア レベルのセキュリティ分離を追加しながらパフォーマンスを加速させます。

ワークフロー：

1. TEE がセキュアな実行環境を提供
2. ハードウェア加速を使用して TEE 内部で FHE 計算を実行
3. 結果はエンドツーエンドで暗号化されたまま

結果：暗号化の保証を損なうことなく向上した FHE パフォーマンス。

10 年間のロードマップ：次は何か？​

2026-2028：本番環境への対応​

Aztec、Nightfall、Railgun、COTI などを含む、複数のプライバシー ソリューションがテストネットから本番環境へと移行しています。

主要なマイルストーン：

• ZKsync の 2026 年戦略 — ZKsync は 2026 年のロードマップを発表し、その「Prividium」プライバシー エンジンを銀行グレードのインフラへと進化させることを優先しています
• Starknet のプライバシー統合 — Starknet はプライバシー重視のエコシステムを積極的に構築しており、最終的には 2026 年にプライバシーをプロトコル レベルに近づけるという野望を持っています
• FHE ハードウェア加速 — FHE 計算用の専用チップが量産に入り、オーバーヘッドが 10,000 倍から 100 倍に削減されます

2028-2031：メインストリームでの採用​

オプトインではなく、デフォルトとしてのプライバシー：

• すべてのトランザクションに ZK プライバシーが組み込まれたウォレット
• デフォルトで機密残高を備えたステーブルコイン
• 標準としてプライバシー保護スマート コントラクトを備えた DeFi プロトコル

規制の枠組みの成熟：

• プライバシー保護コンプライアンスのグローバル スタンダード
• 金融サービスにおいて、監査可能なプライバシーが法的に受け入れられるようになる
• プライバシーを保護する AML / KYC ソリューションが、監視ベースのアプローチに取って代わる

2031-2036：ポスト量子への移行​

ZK-STARKs は信頼できるセットアップ（Trusted Setup）に依存しないため、量子耐性があり、潜在的な脅威の影響を受けにくくなります。

量子コンピューティングが進歩するにつれて、プライバシー インフラは適応する必要があります：

• STARK ベースのシステムが標準に — 量子耐性が交渉の余地のない必須事項になる
• ポスト量子 FHE スキームの成熟 — FHE はすでに量子安全ですが、効率の向上が必要
• TEE ハードウェアの進化 — 次世代プロセッサにおける量子耐性セキュア エンクレイブ

適切なプライバシー技術の選択​

プライバシーのトリレンマに万能な勝者は存在しません。適切な選択は、アプリケーションの優先順位に依存します：

以下が必要な場合は ZK を選択してください：

• 公開検証可能性
• トラストレスな実行
• コンプライアンスのための選択的開示
• 長期的な量子耐性（STARKs）

以下が必要な場合は FHE を選択してください：

• 復号なしの暗号化計算
• 絶対的な機密性
• 今日の量子耐性
• 計算オーバーヘッドの許容

以下が必要な場合は TEE を選択してください：

• ネイティブに近いパフォーマンス
• リアルタイム アプリケーション
• ハードウェアにおける許容可能な信頼の前提
• 実装の複雑さの軽減

以下が必要な場合はハイブリッド アプローチを選択してください：

• TEE のスピードと ZK の検証
• FHE の暗号化と ZK の効率
• TEE 環境における FHE のハードウェア加速

目に見えないインフラストラクチャ​

プライバシーは、投機的なプライバシーコインとしてではなく、ユーザー保護と機関投資家の要件を一致させる金融インフラの基盤レイヤーとして、プロダクトマーケットフィット（ PMF ）を達成しました 。

2026 年までに、プライバシー戦争はどの技術が支配的になるかではなく、どの組み合わせが各ユースケースを最も効果的に解決するかという段階に移行しています。 DeFi は監査可能性のために ZK を活用し、決済はスピードのために TEE を利用します。 AI は、計算パイプラインの異なる段階で FHE 、 TEE 、 ZK を組み合わせて使用します。

プライバシーのトリレンマは解決されるものではありません。それは管理されるものです。エンジニアは各アプリケーションに対して適切なトレードオフを選択し、規制当局はユーザーの権利を保護するコンプライアンスの境界を定義し、ユーザーは自身の脅威モデルに適合するシステムを選択することになります。

プライバシーがブロックチェーンにおける最大の未解決問題であるというヴィタリック（ Vitalik ）の指摘は正解でした。しかし、その答えは単一の技術ではありません。それぞれの技術をいつ使用すべきかを知ることにあります。

---

情報源​

• Web3 プライバシーソリューションの比較： GC vs FHE vs TEE vs MPC vs ZK 証明 - COTI News
• FHE vs ZK vs MPC：その違いとは？ - Bitget
• ビジョン 2026 ：今日のプライバシー技術の突破口がいかに明日のキラー DApp を動かすか - COTI Medium
• 2026 年のプライバシーに関する 4 つの予測 - insights4.vc
• BitMart リサーチ：プライバシーセクターのシフト — 匿名ツールから金融インフラへ - Visionary Financial
• Entry 、 AI を活用したコンプライアンスと ZK プライバシーを規制下の DeFi にもたらすため 100 万ドルを調達 - Coinpedia
• イーサリアムが 8 兆ドルの経済圏を支え、ブロックチェーンのトリレンマを解決する - NFT Evening
• 2026 年のトップ ZK プロジェクトは？ - BingX
• 2025 年の Starknet 振り返り - Starknet
• ZKsync の最新ニュース - CoinMarketCap
• zk-SNARK 、 zk-STARK 、および Bulletproof の評価 - MDPI
• ヴィタリック： ZK は信頼できる当事者、 MPC 、 FHE 、または TEE と共に使用されるべきである - MEXC
• マルチプルーフ ZK と TEE - Phala Network

「トリレンマは解決されました。机上の空論ではなく、実際に稼働するコードによってです。」

2026 年 1 月 3 日のヴィタリック・ブテリンによるこの言葉は、ブロックチェーンの歴史における重大な転換点となりました。10 年近くの間、ブロックチェーンのトリレンマ（スケーラビリティ、セキュリティ、分散性を同時に実現するという、一見不可能に思える課題）は、あらゆる真剣なプロトコル設計者を悩ませてきました。現在、メインネットで稼働する PeerDAS と、プロダクション・グレードのパフォーマンスに達した zkEVM により、Ethereum は多くの人々が不可能だと考えていたことを成し遂げたと主張しています。

では、具体的に何が変わったのでしょうか？ そして、これは 2026 年に向かう開発者、ユーザー、そして広範な暗号資産エコシステムにとって何を意味するのでしょうか？

---

フサカ・アップグレード：マージ以来、Ethereum 最大の飛躍​

2025 年 12 月 3 日、スロット 13,164,544（21:49:11 UTC）において、Ethereum はフサカ（Fusaka）ネットワーク・アップグレードを有効化しました。これはその年で 2 回目の大規模なコード変更であり、おそらくマージ（Merge）以来、最も重要な変更と言えるでしょう。このアップグレードにより、Ethereum のデータ処理方法を根本的に変革するネットワーキング・プロトコルである PeerDAS（ピア・データ・アベイラビリティ・サンプリング）が導入されました。

フサカ以前、すべての Ethereum ノードはすべての blob データをダウンロードして保存する必要がありました。blob とは、ロールアップがトランザクション・バッチをレイヤー 1 に投稿するために使用する一時的なデータ・パケットのことです。この要件がボトルネックとなっていました。データ・スループットを向上させることは、すべてのノード・オペレーターにより多くの負荷を強いることを意味し、分散性を脅かしていました。

PeerDAS は、この方程式を完全に変えました。現在、各ノードは ** 全 blob データの 1/8** のみを担当します。ネットワークは消失訂正符号（エラジャーコーディング）を使用しており、データの断片の 50% があれば、データセット全体を再構成できるようになっています。以前は 1 日あたり 750 MB の blob データをダウンロードしていたバリデーターは、現在では約 112 MB のみを必要とするようになり、帯域幅の要件が **85% 削減 ** されました。

その即時的な結果は明らかです：

• レイヤー 2 のトランザクション手数料は、最初の 1 ヶ月で **40-60% 低下 ** しました。
• blob のターゲット数は、1 ブロックあたり 6 から 10 に増加しました（2026 年 1 月には 21 になる予定です）。
• L2 エコシステムは、理論上 **100,000 TPS 以上 ** を処理できるようになりました。これは Visa の平均である 65,000 を上回る数値です。

---

PeerDAS の仕組み：ダウンロードなしのデータ・アベイラビリティ​

PeerDAS の秀逸な点は「サンプリング」にあります。すべてのデータをダウンロードする代わりに、ノードはランダムな部分をリクエストすることで、データが存在することを確認します。技術的な内訳は以下の通りです。

拡張された blob データは、** カラムと呼ばれる 128 個の断片 ** に分割されます。各通常ノードは、ランダムに選ばれた少なくとも 8 つのカラム・サブネットに参加します。データは配布前に消失訂正符号を使用して拡張されているため、128 カラムのうち 8 つ（データの約 12.5%）を受け取るだけで、すべてのデータが利用可能になったことを証明するのに数学的に十分です。

これはジグソーパズルの確認に似ています。パズルの箱から半分が欠けていないかを確認するために、すべてのピースを組み立てる必要はありません。慎重に選ばれたサンプルが、必要な情報を教えてくれます。

この設計は驚くべきことを達成しました。ノード・オペレーターのハードウェア要件を増やすことなく、以前の「全員がすべてをダウンロードする」モデルと比較して、** 理論上 8 倍のスケーリング ** を実現したのです。自宅でバリデーター・ノードを運営するソロステーカーも、引き続き参加可能です。つまり、分散性が維持されたのです。

このアップグレードには、blob のベース手数料を L1 のガス需要に結びつける EIP-7918 も含まれています。これにより、手数料が意味のない 1-wei レベルまで低下することを防ぎ、バリデーターの報酬を安定させ、手数料市場を悪用するロールアップからのスパムを削減します。

---

zkEVM：理論から「プロダクション・クオリティのパフォーマンス」へ​

PeerDAS がデータ・アベイラビリティを処理する一方で、Ethereum のトリレンマ解決の後半を担うのが zkEVM です。これは、再実行ではなく暗号学的な証明を使用してブロックを検証することを可能にする、ゼロ知識証明 Ethereum 仮想マシンです。

ここでの進歩は驚異的でした。2025 年 7 月、Ethereum 財団は「L1 zkEVM の出荷 #1：リアルタイム証明（Shipping an L1 zkEVM #1: Realtime Proving）」を公開し、ZK ベースの検証のロードマップを正式に提示しました。その 9 ヶ月後、エコシステムは目標を大幅に上回りました。

• ** 証明のレイテンシ **：16 分から 16 秒に短縮
• ** 証明のコスト **：45 分の 1 に激減
• ** ブロック・カバレッジ **：すべての Ethereum ブロックの 99% が、対象ハードウェア上で 10 秒以内に証明可能に

これらの数字は根本的な変化を象徴しています。主な参加チーム（SP1 Turbo (Succinct Labs)、Pico (Brevis)、RISC Zero、ZisK、Airbender (zkSync)、OpenVM (Axiom)、Jolt (a16z)）は、リアルタイム証明が単に可能であるだけでなく、実用的であることを共同で実証しました。

究極の目標は、ヴィタリックが「実行ではなく検証（Validate instead of Execute）」と呼ぶものです。バリデーターはすべてのトランザクションを再計算するのではなく、小さな暗号学的証明を検証するようになります。これにより、セキュリティが計算強度から切り離され、セキュリティの保証を維持（あるいは向上）させながら、ネットワークがはるかに多くのスループットを処理できるようになります。

---

zkEVM タイプ・システム：トレードオフの理解​

すべての zkEVM が同じように作られているわけではありません。ヴィタリックが 2022 年に提唱した分類システムは、設計空間を理解する上で今なお不可欠です。

** タイプ 1（完全な Ethereum 等価性）**：これらはバイトコード・レベルで Ethereum と同一です。これは「聖杯」ですが、証明の生成は最も遅くなります。既存のアプリやツールは、修正なしでそのまま動作します。Taiko がこのアプローチを象徴しています。

** タイプ 2（完全な EVM 互換性）**：これらは EVM 等価性を優先しつつ、証明生成を改善するために軽微な修正を加えます。Ethereum の Keccak ベースのメルクル・パトリシア・ツリーを、Poseidon のような ZK フレンドリーなハッシュ関数に置き換える場合があります。Scroll と Linea がこの道を選んでいます。

** タイプ 2.5（準互換性）**：大幅なパフォーマンス向上の代わりに、ガス代やプリコンパイルにわずかな変更を加えます。Polygon zkEVM や Kakarot がここで動作しています。

** タイプ 3（部分的互換性）**：開発と証明生成を容易にするため、厳格な EVM 互換性からさらに逸脱します。ほとんどの Ethereum アプリケーションは動作しますが、一部書き換えが必要な場合があります。

2025 年 12 月の Ethereum 財団からの発表では、明確なマイルストーンが設定されました。各チームは 2026 年末までに **128 ビットの証明可能なセキュリティ ** を達成しなければなりません。現在、パフォーマンスだけでなく、セキュリティが zkEVM の広範な採用を決定づける要因となっています。

---

2026 年〜2030 年のロードマップ：次に来るもの​

ビタリック・ブテリン（Vitalik Buterin）の 2026 年 1 月の投稿では、イーサリアムの継続的な進化に向けた詳細なロードマップが概説されました。

2026 年のマイレーストーン:

• BALs（Block Auction Limits）および ePBS（enshrined Proposer-Builder Separation）によって可能になる、zkEVM に依存しない大幅なガスリミットの引き上げ
• zkEVM ノードを運用する最初の機会
• ガスリミットを 60M から 80M に引き上げる BPO2 フォーク（2026 年 1 月）
• 1 ブロックあたりの最大 Blob 数が 21 に到達

2026 年〜2028 年のフェーズ:

• 実際の計算コストをより適切に反映させるためのガスの価格再設定（Repricing）
• ステート構造の変更
• 実行ペイロードの Blob への移行
• 高いガスリミットを安全に維持するためのその他の調整

2027 年〜2030 年のフェーズ:

• zkEVM が主要な検証方法になる
• レイヤー 2 ロールアップにおける、標準的な EVM と並行した zkEVM の初期運用
• レイヤー 1 ブロックのデフォルトバリデータとしての zkEVM への進化の可能性
• 既存のすべてのアプリケーションに対する完全な後方互換性の維持

2026 年から 2035 年にわたる「Lean Ethereum Plan（無駄のないイーサリアム計画）」は、ベースレイヤーでの 耐量子計算機（Quantum Resistance）と持続的な 10,000+ TPS を目指しており、レイヤー 2 が全体の集約スループットをさらに押し上げます。

---

これが開発者とユーザーに意味すること​

イーサリアム上で構築を行う開発者にとって、その影響は非常に大きなものです。

コストの低下: Fusaka アップグレード後に L2 手数料が 40 〜 60% 低下し、2026 年に Blob 数が拡大することで 90% 以上の削減 が見込まれるため、以前は採算が合わなかったアプリケーションも実現可能になります。マイクロトランザクション、頻繁なステート更新、複雑なスマートコントラクトの相互作用など、すべてが恩恵を受けます。

既存ツールの維持: EVM 等価性（EVM equivalence）に焦点を当てているため、既存の開発スタックは引き続き有効です。Solidity、Hardhat、Foundry といった開発者が使い慣れたツールは、zkEVM の採用が進んでも引き続き機能します。

新しい検証モデル: zkEVM が成熟するにつれ、アプリケーションはこれまで不可能だったユースケースに暗号学的証明を活用できるようになります。トラストレスなブリッジ、検証可能なオフチェーン計算、プライバシーを保護するロジックなどが、より実用的になります。

ユーザーにとっても、そのメリットはより直接的です。

ファイナリティの高速化: ZK 証明はチャレンジ期間を待たずに暗号学的なファイナリティ（確実性）を提供できるため、クロスチェーン操作の決済時間を短縮できます。

手数料の低下: データ可用性のスケーリングと実行効率の向上の組み合わせは、トランザクションコストの削減を通じてエンドユーザーに直接還元されます。

同一のセキュリティモデル: 重要なのは、これらの改善のどれもが新しい第三者を信頼する必要がないことです。セキュリティは、新しいバリデータセットや委員会の前提条件ではなく、数学（暗号学的証明と消失訂正符号の保証）に基づいています。

---

残された課題​

勝利を宣言するような構成ではありますが、やるべきことはまだ多く残っています。ブテリン自身も zkEVM にとって「安全性が残された課題である」と認めています。イーサリアム財団のセキュリティを重視した 2026 年のロードマップはこの現実を反映しています。

セキュリティの証明: すべての zkEVM 実装において 128 ビットの証明可能なセキュリティを実現するには、厳格な暗号学的監査と形式検証が必要です。これらのシステムの複雑さは、実質的な攻撃対象領域（Attack Surface）を生み出します。

プルーバーの中央集権化: 現在、ZK 証明（Proving）は計算負荷が高く、特化した事業体のみが経済的に証明を生成できる状態です。分散型プルーバーネットワークの開発が進んでいますが、時期尚早な zkEVM の導入は新たな中央集権化の要因となるリスクがあります。

ステートの肥大化: 実行効率の改善が進んでも、イーサリアムのステート（状態）は成長し続けています。ロードマップにはステート失効（State Expiry）や Verkle Trees（2026 年後半の Hegota アップグレードで計画）が含まれていますが、これらは既存のアプリケーションを混乱させる可能性のある複雑な変更です。

調整の複雑さ: PeerDAS、zkEVM、BALs、ePBS、Blob パラメータの調整、ガスの価格再設定など、多くの要素が同時進行しているため、調整が課題となります。退行（デグレード）を避けるために、各アップグレードを慎重に順序立てる必要があります。

---

結論：イーサリアムの新時代​

ブロックチェーンのトリレンマは、過去 10 年間のプロトコル設計を定義してきました。それはビットコインの保守的なアプローチを形作り、数え切れないほどの「イーサリアム・キラー」を正当化し、代替 L1 への数十億ドルの投資を促しました。現在、メインネット上でライブコードが実行されている中、イーサリアムは根本的な妥協ではなく、独創的なエンジニアリングによってトリレンマを克服したと主張しています。

PeerDAS と zkEVM の組み合わせは、真に新しいものを象徴しています。ノードがダウンロードするデータを減らしながらより多くのデータを検証でき、実行を再計算するのではなく証明でき、スケーラビリティの向上が中央集権化ではなく分散化を強化するシステムです。

これは現実世界での普及のストレスに耐えられるでしょうか？ zkEVM のセキュリティは L1 統合に十分な堅牢性を証明できるでしょうか？ 2026 年〜2030 年のロードマップにおける調整の課題は解決されるでしょうか？ これらの疑問は依然として残っています。

しかし初めて、現在のイーサリアムから真にスケーラブルで安全かつ分散化されたネットワークへの道筋が、理論的なホワイトペーパーではなく、実装されたテクノロジーを通じて示されています。この違い（ライブコード対学術論文）は、プルーフ・オブ・ステーク（Proof-of-Stake）の発明以来、ブロックチェーン史上最も重要な転換点となるかもしれません。

トリレンマは、ついにその対戦相手に出会ったようです。

---

参考文献​

• Vitalik Buterin Claims ZK-EVMs And PeerDAS Have Solved Blockchain Trilemma
• Ethereum Nears Breakthrough With PeerDAS and zkEVMs Live
• PeerDAS | ethereum.org
• EIP-7594: PeerDAS - Peer Data Availability Sampling
• What Is the Fusaka Upgrade | CoinGecko
• Fusaka Mainnet Announcement | Ethereum Foundation Blog
• Ethereum Activates Fusaka Upgrade | CoinDesk
• The different types of ZK-EVMs | Vitalik.ca
• Shipping an L1 zkEVM #2: The Security Foundations | Ethereum Foundation Blog
• zkEVM - Scaling Ethereum Without Compromise

パブリックブロックチェーンは、プライバシーを犠牲にすることで透明性と完全性を提供します。つまり、すべてのトランザクションとコントラクトの状態が全参加者に公開されます。この公開性は、MEV (マイナー抽出可能価値) 攻撃、コピートレーディング、機密性の高いビジネスロジックの漏洩といった問題を引き起こします。プログラマブルプライバシーは、データ自体を明らかにすることなくプライベートデータに対する計算を可能にすることで、これらの問題を解決することを目指しています。これを可能にしているのが、2つの新しい暗号技術パラダイム、完全準同型暗号仮想マシン (FHE-VM) と ゼロ知識 (ZK) コプロセッサです。これらのアプローチは、オフチェーンまたは暗号化された計算とオンチェーン検証を可能にし、トラストレスな正当性を維持しながら機密性を保護します。本レポートでは、FHE-VM と ZK コプロセッサのアーキテクチャを深く掘り下げ、それらのトレードオフを比較し、金融、アイデンティティ、ヘルスケア、データ市場、分散型機械学習にわたるユースケースを探ります。

完全準同型暗号仮想マシン (FHE-VM)​

完全準同型暗号 (FHE) は、暗号化されたデータを一度も復号することなく、その上で任意の計算を行うことを可能にします。FHE 仮想マシンは、この機能をブロックチェーンのスマートコントラクトに統合し、暗号化されたコントラクトの状態とロジックを可能にします。FHE 対応のブロックチェーン (EVM 互換の設計ではしばしば fhEVM と呼ばれます) では、すべての入力、コントラクトのストレージ、および出力が実行中ずっと暗号化されたままです。これは、バリデーターが機密性の高い値を一切知ることなくトランザクションを処理し、状態を更新できることを意味し、データ機密性を伴うオンチェーン実行を実現します。

FHE-VM のアーキテクチャと設計​

典型的な FHE-VM は、標準的なスマートコントラクトのランタイム (イーサリアム仮想マシンのような) を拡張し、暗号化データ型と操作のネイティブサポートを追加します。例えば、Zama の FHEVM は、暗号化された整数 (euint8, euint32 など)、暗号化されたブール値 (ebool)、さらには暗号化された配列を第一級の型として導入します。Solidity のようなスマートコントラクト言語は、ライブラリや新しいオペコードを介して拡張され、開発者は算術演算 (add, mul など)、論理演算、比較を暗号文上で直接実行できます。内部では、これらの操作は FHE プリミティブ (例えば TFHE ライブラリを使用) を呼び出し、暗号化されたビットを操作して暗号化された結果を生成します。

暗号化された状態ストレージがサポートされているため、コントラクト変数はブロックチェーンの状態で暗号化されたままです。実行フローは通常次のようになります：

1. クライアントサイドでの暗号化: ユーザーはトランザクションを送信する前に、公開 FHE 鍵を使用してローカルで入力を暗号化します。暗号化鍵は公開 (暗号化と評価用) ですが、復号鍵は秘密のままです。一部の設計では、各ユーザーが自身の鍵を管理しますが、他の設計では、単一のグローバル FHE 鍵が使用されます (後述)。
2. オンチェーンでの準同型計算: マイナー/バリデーターは、暗号化されたオペコードでコントラクトを実行します。彼らは暗号文に対して同じ決定論的な準同型操作を実行するため、暗号化された新しい状態についてコンセンサスに達することができます。重要なのは、バリデーターは平文データを一切見ないことです。彼らは「意味不明な」暗号文を見るだけですが、それでも一貫して処理できます。
3. 復号 (任意): 結果を公開したりオフチェーンで使用したりする必要がある場合、秘密鍵を持つ承認された当事者が出力の暗号文を復号できます。それ以外の場合、結果は暗号化されたままであり、後続のトランザクションの入力として使用できます (永続的な暗号化状態での連続計算を可能にします)。

主要な設計上の考慮事項は鍵管理です。一つのアプローチはユーザーごとの鍵で、各ユーザーが自身の秘密鍵を保持し、自分に関連する出力のみを復号できます。これはプライバシーを最大化しますが (他の誰もあなたのデータを復号できません)、複雑なマルチキープロトコルなしでは、異なる鍵で暗号化されたデータを準同型操作で混合することはできません。Zama の FHEVM で使用されている別のアプローチは、グローバル FHE 鍵です。単一の公開鍵がすべてのコントラクトデータを暗号化し、分散されたバリデーターのセットが閾値復号鍵のシェアを保持します。公開の暗号化鍵と評価鍵はオンチェーンで公開されるため、誰でもネットワークにデータを暗号化できます。秘密鍵はバリデーター間で分割され、閾値スキームの下で必要に応じて集合的に復号できます。バリデーターの共謀によるプライバシー侵害を防ぐため、Zama は「ノイズフラッディング」を伴う閾値 FHE プロトコル (彼らの Noah’s Ark 研究に基づく) を採用し、部分的な復号を安全にしています。十分な数のバリデーターが協力した場合にのみ、例えば読み取りリクエストに応えるために平文を回復できます。しかし、通常の操作では、単一のノードが平文を見ることは決してありません。データは常にオンチェーンで暗号化されたままです。

アクセス制御も重要な要素です。FHE-VM の実装には、誰が (もしいるなら) 復号をトリガーしたり、特定の暗号化フィールドにアクセスしたりできるかを管理するためのきめ細かい制御が含まれています。例えば、Cypher の fhEVM は暗号文に対するアクセス制御リストをサポートしており、開発者はどのアドレスやコントラクトが特定のデータと対話したり、再暗号化したりできるかを指定できます。一部のフレームワークは再暗号化をサポートしています。これは、平文を公開することなく、暗号化された値をあるユーザーの鍵から別のユーザーの鍵へ転送する機能です。これはデータマーケットプレイスのようなものに便利で、データ所有者は自分の鍵でデータセットを暗号化し、購入時に購入者の鍵に再暗号化することができます。これらすべてがオンチェーンで行われ、公に復号されることはありません。

正当性とプライバシーの確保​

すべてのデータが暗号化されている場合、どのようにしてコントラクトロジックの正当性を強制するのか、と疑問に思うかもしれません。チェーンが値を「見ることができない」場合、どのようにして無効な操作を防ぐのでしょうか？ FHE 自体は正当性の証明を提供しません。バリデーターは準同型ステップを実行できますが、ユーザーの暗号化された入力が有効であったか、条件分岐が取られるべきであったかなどを、復号なしでは本質的に判断できません。ゼロ知識証明 (ZKP) は、このギャップを埋めるために FHE を補完することができます。FHE-VM では、通常、ユーザーは必要に応じて特定の平文条件を証明する ZK 証明を提供する必要があります。例えば、Zama の設計では、各暗号化入力に 平文知識の ZK 証明 (ZKPoK) を添付します。これにより、ユーザーが自身の暗号文に対応する平文を知っており、それが期待される基準を満たしていることを、平文自体を明らかにすることなく証明します。このような**「認証済み暗号文」**は、悪意のあるユーザーが不正な形式の暗号化や範囲外の値を送信するのを防ぎます。同様に、決定が必要な操作 (例: 口座残高 ≥ 引き出し額を確認) の場合、ユーザーは暗号化された操作が実行される前に、この条件が平文で真であることを示す ZK 証明を提供できます。このようにして、チェーンは値を復号したり見たりすることはありませんが、暗号化されたトランザクションがルールに従っているという確信を得ることができます。

FHE ロールアップにおける別のアプローチは、ZKP を用いたオフチェーン検証です。Fhenix (FHE を使用する L2 ロールアップ) は、Threshold Service Network と呼ばれる別のネットワークコンポーネントが暗号化された結果を復号または検証できるオプティミスティックモデルを採用しており、不正な計算は不正証明によって異議を申し立てることができます。一般的に、FHE と ZK または不正証明を組み合わせることで、暗号化された実行が トラストレス であり続けることが保証されます。バリデーターは、承認された場合にのみ集合的に復号するか、各暗号化された状態遷移が平文を見る必要なく有効であったことを証明する証明を検証します。

パフォーマンスに関する考慮事項: FHE 操作は計算負荷が非常に高く、通常の算術演算よりも何桁も遅いです。例えば、イーサリアムでの単純な 64 ビット加算は約 3 ガスかかりますが、Zama の FHEVM で暗号化された 64 ビット整数 (euint64) の加算は約 188,000 ガスかかります。8 ビットの加算でさえ約 94,000 ガスかかることがあります。この莫大なオーバーヘッドは、既存のノードでの単純な実装が非現実的に遅く、高コストになることを意味します。FHE-VM プロジェクトは、最適化された暗号ライブラリ (Zama のバイナリゲートブートストラップ用の TFHE-rs ライブラリなど) やパフォーマンス向上のためのカスタム EVM 修正によってこれに取り組んでいます。例えば、Cypher の修正された Geth クライアントは、新しいオペコードを追加し、C++/アセンブリで準同型命令の実行を最適化してオーバーヘッドを最小限に抑えています。それでも、実用的なスループットを達成するには高速化が必要です。現在進行中の研究には、GPU、FPGA、さらには特殊なフォトニックチップを使用して FHE 計算を高速化することが含まれます。Zama は、2024 年以降、FHE のパフォーマンスが 100 倍向上し、GPU/FPGA の高速化により数千 TPS を目指していると報告しています。専用の FHE コプロセッササーバー (Optalysys の LightLocker Node など) は、バリデーターノードに接続して暗号化操作をハードウェアにオフロードし、ノードあたり毎秒 100 以上の暗号化 ERC-20 転送をサポートできます。ハードウェアとアルゴリズムが改善されるにつれて、FHE と平文計算の間のギャップは狭まり、プライベートコントラクトがより実用的な速度に近づくことが可能になります。

互換性: FHE-VM 設計の重要な目標は、既存の開発ワークフローとの互換性を維持することです。Cypher と Zama の fhEVM 実装では、開発者は最小限の変更で Solidity でコントラクトを書くことができます。ライブラリを使用して暗号化された型と操作を宣言するだけです。イーサリアムのツールチェーン (Remix, Hardhat など) の残りの部分は、基盤となる変更が主にクライアント/ノードレベルであるため、引き続き使用できます。これにより、参入障壁が低くなります。開発者は機密性の高いスマートコントラクトを書くために暗号技術の専門家である必要はありません。例えば、2 つの数値の単純な加算は euint32 c = a + b; と書くことができ、FHEVM が暗号化固有の詳細を裏で処理します。コントラクトは通常のコントラクトと相互運用することもできます。例えば、暗号化されたコントラクトが、必要に応じて復号された結果を標準のコントラクトに出力し、1 つのエコシステム内でプライベート部分とパブリック部分を混在させることができます。

現在の FHE-VM プロジェクト: いくつかのプロジェクトがこの分野を開拓しています。Zama (パリを拠点とする FHE スタートアップ) は、中核となる FHEVM のコンセプトとライブラリ (TFHE-rs と fhevm-solidity ライブラリ) を開発しました。彼らは独自のチェーンを立ち上げるつもりはなく、むしろ他の人にインフラを提供することを目指しています。Inco は、Zama の FHEVM を統合してモジュラーな機密チェーンを作成した L1 ブロックチェーン (Cosmos SDK と Evmos 上に構築) です。彼らのテストネット (Gentry と Paillier という名前) は、暗号化された ERC-20 転送やその他のプライベート DeFi プリミティブを実証しています。Fhenix は、プライバシーのために FHE を使用するイーサリアムのレイヤー 2 オプティミスティックロールアップです。FHE と ZK をすべてのブロックで一緒に行うコストが高いため、ZK ロールアップではなくオプティミスティック (不正証明) アプローチを決定しました。Fhenix は同じ TFHE-rs ライブラリ (いくつかの変更あり) を使用し、分散型の方法で復号を処理するための Threshold Service Network を導入しています。また、Fhenix (現在はリブランド) のような独立したチームや、MPC + FHE ハイブリッドを模索するスタートアップも存在します。さらに、Cypher (by Z1 Labs) は、AI とプライバシーに焦点を当てたレイヤー 3 ネットワークを構築しており、シークレットストアや連合学習サポートなどの機能を備えた fhEVM を使用しています。エコシステムはまだ初期段階ですが、多額の資金調達に支えられて急速に成長しています。例えば、Zama は 2025 年までに 1 億 3000 万ドル以上を調達し、「ユニコーン」企業となり、FHE 技術の進歩を推進しています。

要約すると、FHE-VM は、すべてのロジックをオンチェーンの暗号化データ上で実行することにより、プライバシーを保護するスマートコントラクトを可能にします。このパラダイムは最大限の機密性を保証し (機密性の高いものはトランザクションや状態で公開されることはありません)、既存のブロックチェーンコンセンサスを完全性のために活用します。その代償は、バリデーターの計算負荷の増加と、鍵管理および証明の統合における複雑さです。次に、計算を完全にオフチェーンにオフロードし、チェーンを検証にのみ使用する代替パラダイム、ゼロ知識コプロセッサを探ります。

ゼロ知識コプロセッサ (ZK-Coprocessors)​

ZK コプロセッサは、高コストな計算をオフチェーンで実行し、その正当性の簡潔なゼロ知識証明をオンチェーンで検証する新しいブロックチェーンアーキテクチャパターンです。これにより、スマートコントラクトは、トラストレス性を犠牲にすることなく、オンチェーン実行で許容されるよりもはるかに大きな計算能力とデータを活用できます。_コプロセッサ_という用語は、CPU のために特殊なタスクを処理するハードウェアコプロセッサ (数学コプロセッサや GPU など) との類推から使用されています。ここでは、ブロックチェーンの「CPU」(EVM のようなネイティブ VM) が、特定のタスクを暗号コプロセッサとして機能するゼロ知識証明システムに委任します。ZK コプロセッサは、結果 と その結果が正しく計算されたことの証明を返し、オンチェーンのコントラクトはそれを検証して使用できます。

アーキテクチャとワークフロー​

典型的な設定では、dApp 開発者は、アプリケーションロジックの中でオンチェーン実行にはコストがかかりすぎる、または複雑すぎる部分 (例えば、履歴データに対する大規模な計算、重いアルゴリズム、ML モデルの推論など) を特定します。彼らはそれらの部分を、その実行のゼロ知識証明を生成できるオフチェーンプログラム (高水準言語またはサーキット DSL で) として実装します。オンチェーンコンポーネントは、証明をチェックし、結果をシステムの他の部分で利用可能にする検証者スマートコントラクトです。このフローは次のように要約できます：

1. リクエスト – オンチェーンコントラクトが、特定の計算をオフチェーンで行うようリクエストをトリガーします。これは、ユーザートランザクションによって開始されるか、あるコントラクトが ZK コプロセッサのインターフェースを呼び出すことによって行われます。例えば、DeFi コントラクトが “proveInterestRate(currentState)” を呼び出したり、ユーザーが “queryHistoricalData(query)” を呼び出したりします。
2. オフチェーン実行と証明 – オフチェーンサービス (分散型証明者ネットワークまたは信頼されたサービス、設計による) がリクエストを受け取ります。必要なデータ (オンチェーンの状態、オフチェーンの入力など) を収集し、特別な ZK 仮想マシン (ZKVM) またはサーキットで計算を実行します。実行中に、証明トレースが生成されます。最後に、サービスは 「入力 X に対して関数 F を計算すると出力 Y が得られる」 ことを証明する簡潔な証明 (例: SNARK または STARK) を生成し、任意でデータの完全性も証明します (詳細は後述)。
3. オンチェーン検証 – 証明と結果はブロックチェーンに返されます (多くの場合、コールバック関数を介して)。検証者コントラクトは、効率的な暗号検証 (ペアリングチェックなど) を使用して証明の有効性をチェックします。有効であれば、コントラクトは出力 Y を正しいものとして信頼できます。結果は状態に保存されたり、イベントとして発行されたり、さらなるコントラクトロジックに供給されたりします。証明が無効であるか、一定時間内に提供されない場合、リクエストは失敗したと見なされ (潜在的に何らかのフォールバックまたはタイムアウトロジックがトリガーされます)、処理されます。

図 1: ZK コプロセッサのアーキテクチャ (RISC Zero Bonsai の例)。オフチェーンでは、スマートコントラクトの呼び出しからの入力で ZKVM 上でプログラムが実行されます。実行の証明はリレーコントラクトを介してオンチェーンに返され、検証済みの結果とともにコールバックを呼び出します。

重要なのは、検証のためのオンチェーンのガス費用は、オフチェーンの計算がどれほど複雑であっても一定 (または非常にゆっくりと増加する) であることです。簡潔な証明の検証には数十万ガス (イーサリアムブロックの数分の一) かかるかもしれませんが、その証明はオフチェーンで行われた 数百万 の計算ステップを表すことができます。ある開発者が言ったように、「1 つのデジタル署名を証明したいですか？ 約 15 ドルです。100 万の署名を証明したいですか？ それも約 15 ドルです。」。このスケーラビリティは大きな利点です。dApp は、ブロックチェーンを詰まらせることなく、複雑な機能 (ビッグデータ分析、精巧な金融モデルなど) を提供できます。

ZK コプロセッサシステムの主なコンポーネントは次のとおりです：

• 証明生成環境: これは、汎用の ZKVM (任意のプログラムを実行可能) または特定の計算に合わせたカスタムサーキットにすることができます。アプローチは様々です：

  • 一部のプロジェクトは、サポートされている各クエリまたは関数に対して手作りのサーキットを使用します (その関数の効率を最大化します)。
  • 他のプロジェクトは、開発者がオフチェーンロジックを記述するために使用するドメイン固有言語 (DSL) または埋め込み DSL を提供し、それがサーキットにコンパイルされます (使いやすさとパフォーマンスのバランスを取ります)。
  • 最も柔軟なアプローチは zkVM です。これは、(多くの場合 RISC アーキテクチャに基づく) 仮想マシンで、プログラムを標準言語 (Rust, C など) で記述し、自動的に証明することができます。これはパフォーマンスを犠牲にしますが (サーキットで CPU をシミュレートするとオーバーヘッドが追加されます)、_開発者体験を最大化_します。

• データアクセスと完全性: 特有の課題は、オフチェーン計算に正しいデータを供給することです。特にそのデータがブロックチェーン上 (過去のブロック、コントラクトの状態など) に存在する場合です。単純な解決策は、証明者にアーカイブノードから読み取らせてそれを 信頼 させることですが、これは信頼の仮定を導入します。ZK コプロセッサは代わりに、マークル証明や状態コミットメントにリンクすることで、使用されたオンチェーンデータが確かに本物であったことを証明します。例えば、クエリプログラムはブロック番号とストレージスロットまたはトランザクションのマークル証明を受け取り、サーキットはその証明を既知のブロックヘッダーハッシュに対して検証します。3 つのパターンが存在します：

  1. インラインデータ: 必要なデータをオンチェーンに (検証者への入力として) 置くことで、直接チェックできるようにします。これは大規模なデータには非常にコストがかかり、全体の目的を損ないます。
  2. オラクルを信頼する: オラクルサービスにデータを証明に供給させ、それを保証させます。これはよりシンプルですが、第三者への信頼を再導入します。
  3. ZK を介してデータの包含を証明する: ゼロ知識サーキット自体の中に、チェーンの履歴におけるデータの包含証明を組み込みます。これは、各イーサリアムブロックヘッダーが (ステートルートを介して) 以前の全状態とトランザクション履歴にコミットしているという事実を活用します。サーキット内でデータのマークルパトリシア証明を検証することにより、出力証明はコントラクトに 「この計算はブロック N からの本物のブロックチェーンデータを使用した」 ことを、追加の信頼なしで保証します。

  3 番目のアプローチが最もトラストレスであり、Axiom や Xpansion のような高度な ZK コプロセッサで使用されています (証明コストは増加しますが、セキュリティ上好ましいです)。例えば、Axiom のシステムは、イーサリアムのブロック構造、ステートトライ、トランザクショントライをサーキット内でモデル化しているため、「アカウント X はブロック N で残高 Y を持っていた」 や 「特定のプロパティを持つトランザクションがブロック N で発生した」 のようなステートメントを証明できます。これは、最近の信頼されたブロックハッシュが与えられれば、外部の当事者を信頼することなく、履歴データの包含を再帰的に証明できるという事実を活用しています。

• 検証者コントラクト: このオンチェーンコントラクトには、証明を受け入れるか拒否するための検証鍵とロジックが含まれています。Groth16 や PLONK のような SNARK の場合、検証者はいくつかの楕円曲線ペアリングを行うかもしれません。STARK の場合、いくつかのハッシュ計算を行うかもしれません。集約や再帰のようなパフォーマンス最適化により、オンチェーンの負荷を最小限に抑えることができます。例えば、RISC Zero の Bonsai は STARK-to-SNARK ラッパーを使用します。速度のためにオフチェーンで STARK ベースの VM を実行しますが、その後、STARK の有効性を証明する小さな SNARK 証明を生成します。これにより、証明サイズが数百キロバイトから数百バイトに縮小され、オンチェーンでの検証が実現可能かつ安価になります。Solidity の検証者は、その後 SNARK をチェックするだけです (これは定数時間の操作です)。

デプロイメントに関して、ZK コプロセッサは レイヤー 2 のような ネットワークとして、または純粋なオフチェーンサービスとして機能することができます。Axiom のように、イーサリアム向けの特化サービスとして始まったものもあります (Paradigm の支援を受けて)。開発者は Axiom の証明者ネットワークにクエリを送信し、オンチェーンで証明を取得します。Axiom のキャッチフレーズは、イーサリアムコントラクトに 「すべてのオンチェーンデータへのトラストレスなアクセスと、それに対する任意の表現力豊かな計算」 を提供することでした。これは、答えが信頼ではなく ZKP によって検証されるクエリオラクルとして効果的に機能します。RISC Zero の Bonsai のような他のものは、よりオープンなプラットフォームを提供します。どの開発者でもプログラム (RISC-V 互換の ZKVM にコンパイルされたもの) をアップロードし、リレーコントラクトを介して Bonsai の証明サービスを使用できます。図 1 に示されているリレーパターンは、リクエストとレスポンスを仲介するコントラクトを含みます。dApp コントラクトはリレーを呼び出して証明を要求し、オフチェーンサービスはこれを聞き (例えばイベントや直接呼び出しを介して)、証明を計算し、その後リレーが dApp コントラクトのコールバック関数を結果と証明とともに呼び出します。この非同期モデルは、証明が複雑さによって数秒から数分かかる可能性があるため必要です。これはレイテンシー (および証明者が応答するという活性仮定) を導入しますが、FHE-VM の計算はブロック内で同期的に行われます。この非同期ワークフロー (おそらくオラクルの応答に似ています) を処理するようにアプリケーションを設計することは、ZK コプロセッサを使用する一部です。

注目すべき ZK コプロセッサプロジェクト​

• Axiom: Axiom はイーサリアムに特化した ZK コプロセッサで、当初は 履歴 オンチェーンデータのクエリを証明することに焦点を当てていました。Halo2 証明フレームワーク (Plonk-ish SNARK) を使用して、イーサリアムの暗号構造を組み込んだ証明を作成します。Axiom のシステムでは、開発者は 「ブロック N でのコントラクト X の状態はどうだったか？」 のようなことをクエリしたり、ある範囲のすべてのトランザクションにわたる計算を実行したりできます。内部では、Axiom のサーキットはイーサリアムの状態/トライロジックを実装する必要があり、再帰をサポートするためにサーキット内で楕円曲線演算や SNARK 検証さえも実行していました。Trail of Bits は監査で、Axiom の Halo2 サーキットがブロック全体と状態をモデル化する複雑さを指摘しました。監査後、Axiom はその技術を OpenVM に一般化し、同じ Halo2 ベースのインフラで任意の Rust コードを証明できるようにしました。(これは、ドメイン固有のサーキットからより一般的な ZKVM アプローチへの移行というトレンドを反映しています。) Axiom チームは、イーサリアムがネイティブでは実行できない ZK クエリを実証し、暗号的な完全性を備えたあらゆる履歴データへの ステートレスアクセス を可能にしました。彼らはまた、セキュリティを重視し、制約不足のサーキットバグを捕捉・修正し、健全性を確保しました。Axiom の初期製品はピボット中にシャットダウンされましたが、そのアプローチは ZK コプロセッサにおける画期的なものとして残っています。

• RISC Zero Bonsai: RISC Zero は RISC-V アーキテクチャに基づく ZKVM です。彼らの zkVM は任意のプログラム (Rust, C++ および RISC-V にコンパイルされる他の言語で書かれたもの) を実行し、実行の STARK 証明を生成できます。Bonsai は RISC Zero のクラウドサービスであり、この証明をオンデマンドで提供し、スマートコントラクトのコプロセッサとして機能します。これを使用するには、開発者はプログラム (例えば、複雑な数学計算を実行したり、オフチェーン API の応答を検証したりする関数) を書き、それを Bonsai サービスにアップロードし、対応する検証者コントラクトをデプロイします。コントラクトがその計算を必要とするとき、Bonsai リレーを呼び出し、それが証明生成をトリガーし、コールバックを介して結果を返します。実証されたアプリケーションの一例は、オフチェーンでのガバナンス計算でした。RISC Zero は、DAO が Bonsai を使用して票を集計し、複雑な投票メトリクスをオフチェーンで計算し、その後、オンチェーンの Governor コントラクトが最小限のガス費用で結果を信頼できるように証明を投稿する様子を示しました。RISC Zero の技術は、開発者が使い慣れたプログラミングパラダイムを使用できることを強調しています。例えば、何かを計算するための Rust 関数を書き、サーキット作成の重労働は zkVM が処理します。しかし、証明は大きくなる可能性があるため、前述のように、オンチェーン検証のために SNARK 圧縮を実装しました。2023 年 8 月、彼らはイーサリアムの Sepolia テストネットで RISC Zero の証明を正常に検証し、証明あたり 30 万ガス程度のコストがかかりました。これにより、イーサリアム dApp がスケーリングおよびプライバシーソリューションとして Bonsai を 今日 使用する道が開かれました。(Bonsai はまだアルファ版であり、本番環境には対応しておらず、セレモニーなしの一時的な SNARK セットアップを使用しています。)

• その他: 他にも多数のプレイヤーや研究イニシアチブがあります。Expansion/Xpansion (ブログで言及) は、埋め込み DSL アプローチを使用しており、開発者は特殊な言語でオンチェーンデータに対するクエリを記述でき、内部で証明生成を処理します。StarkWare の Cairo や Polygon の zkEVM はより一般的な ZK ロールアップ VM ですが、その技術は L1 コントラクト内で証明を検証することにより、コプロセッサのような用途に再利用できます。また、ZKML (ZK 機械学習) ドメインのプロジェクトも見られます。これらは、ML モデルの推論やトレーニング結果をオンチェーンで検証するためのコプロセッサとして効果的に機能します。例えば、zkML セットアップは、入力を明らかにしたり、オンチェーンで計算を行ったりすることなく、「プライベート入力に対するニューラルネットワークの推論が分類 X を生成した」 ことを証明できます。これらは、AI に適用されたコプロセッサコンセプトの特殊なケースです。

信頼の仮定: ZK コプロセッサは、暗号証明の健全性に依存しています。証明システムが安全であれば (そして、信頼されたセットアップが正直に行われていれば)、受け入れられた証明は計算が正しかったことを保証します。証明者に対する追加の信頼は不要です。悪意のある証明者でさえ、偽のステートメントを検証者に納得させることはできません。しかし、活性仮定があります。誰かが実際にオフチェーン計算を実行し、証明を生成しなければなりません。実際には、これは分散型ネットワーク (インセンティブや手数料で作業を行う) または単一のサービスオペレーターかもしれません。誰も証明を提供しない場合、オンチェーンのリクエストは未解決のままになる可能性があります。もう一つの微妙な信頼の側面は、ブロックチェーン上にないオフチェーン入力のデータ可用性です。計算が何らかのプライベートまたは外部データに依存する場合、検証者は、追加の措置 (データコミットメントやオラクル署名など) が使用されない限り、そのデータが正直に提供されたかどうかを知ることができません。しかし、純粋にオンチェーンデータの計算については、説明されたメカニズムがチェーン自体と同等のトラストレス性を保証します (Axiom は、彼らの証明が履歴クエリに対して「イーサリアムと暗号的に同等のセキュリティ」を提供すると主張しました)。

プライバシー: ゼロ知識証明は本質的にプライバシーもサポートします。証明者は、それらに関するステートメントを証明しながら、入力を隠しておくことができます。コプロセッサの文脈では、これは、証明がコントラクトにプライベートデータから導出された結果を使用させることを可能にすることを意味します。例えば、証明は、実際のクレジットスコアや生データを明らかにすることなく、「ユーザーのクレジットスコア > 700 なので、ローンを承認する」 ことを示すことができます。Axiom のユースケースは、公に知られているデータ (ブロックチェーンの履歴) に関するものであったため、プライバシーは焦点ではありませんでした。しかし、RISC Zero の zkVM は、ユーザーが提供した秘密データに関するアサーションを証明するために使用できます。データはオフチェーンに留まり、必要な結果のみがオンチェーンに渡されます。FHE とは異なり、ZK 証明は通常、状態の継続的な機密性を提供しないことに注意する価値があります。それは一度きりの証明です。ワークフローがトランザクション間で秘密の状態を維持する必要がある場合、コントラクトに状態への コミットメント を保存させ、各証明が古いコミットメントから新しいコミットメントへの有効な状態遷移を示し、秘密は隠されたままにすることで構築できます。これは本質的に、プライベートトランザクションのための zk-ロールアップ (Aztec や Zcash のような) が機能する方法です。したがって、ZK コプロセッサは完全にプライベートなステートマシンを促進 できます が、実装は簡単ではありません。多くの場合、入力または出力 (あるいはその両方) が必要に応じてプライベートにできる 一度きりの計算 に使用されます。

開発者体験: ZK コプロセッサを使用するには、通常、新しいツールを学ぶ必要があります。カスタムサーキットを書くこと (上記のオプション (1)) は非常に複雑で、通常は狭い目的のためにのみ行われます。DSL や zkVM のような高レベルのオプションは生活を楽にしますが、それでもオーバーヘッドを追加します。開発者はオフチェーンコードを書いてデプロイし、その相互作用を管理しなければなりません。FHE-VM では暗号化がほとんど裏で処理され、開発者は通常のスマートコントラクトコードを書くのに対し、ここでは開発者はロジックを分割し、オフチェーン部分のために異なる言語 (Rust など) で書く必要があるかもしれません。しかし、Noir, Leo, Circom DSL や RISC Zero のアプローチのようなイニシアチブは、アクセシビリティを急速に向上させています。例えば、RISC Zero はテンプレートと Foundry の統合を提供しており、開発者はオフチェーンコードをローカルでシミュレートし (正当性のために)、その後 Bonsai のコールバックを介してシームレスに Solidity のテストにフックすることができます。時間が経つにつれて、ロジックの一部が ZK 証明を介して実行されるかオンチェーンで実行されるかを抽象化する開発フレームワークが期待できます。コンパイラやツールがコストに基づいて決定するかもしれません。

FHE-VM vs ZK-コプロセッサ: 比較​

FHE-VM と ZK コプロセッサはどちらも 「オンチェーンの保証付きでプライベートデータ上で計算する」 という形態を可能にしますが、アーキテクチャが根本的に異なります。以下の表は、主な違いをまとめたものです：

側面	FHE-VM (暗号化されたオンチェーン実行)	ZK-コプロセッサ (オフチェーンでの証明)
計算が行われる場所	直接オンチェーン (すべてのノードが暗号文に対して準同型操作を実行)。	オフチェーン (証明者またはネットワークがプログラムを実行し、証明のみがオンチェーンで検証される)。
データ機密性	完全な暗号化: データはオンチェーンで常に暗号化されたまま。バリデーターは平文を見ることがない。復号鍵の所有者のみが出力を復号できる。	ゼロ知識: 証明者のプライベート入力はオンチェーンで公開されない。証明は公開出力に含まれるもの以外の秘密を明かさない。ただし、オンチェーンの状態に影響を与える必要のある計算で使用されるデータは、出力またはコミットメントにエンコードする必要がある。秘密はデフォルトでオフチェーンに留まる。
信頼モデル	コンセンサス実行と暗号技術への信頼: バリデーターの大多数がプロトコルに従えば、暗号化された実行は決定論的で正しい。計算の正当性に外部の信頼は不要 (すべてのノードが再計算するため)。プライバシーのためには FHE スキームのセキュリティ (通常は格子困難性に基づく) を信頼する必要がある。一部の設計では、十分な数のバリデーターが共謀して閾値鍵を悪用しないことも信頼する必要がある。	証明システムのセキュリティ (SNARK/STARK の健全性) への信頼。証明が検証されれば、結果は暗号的な確実性をもって正しい。オフチェーンの証明者は数学をごまかすことはできない。証明者が実際に作業を行うという活性仮定がある。信頼されたセットアップ (例: SNARK SRS) を使用する場合、それが正直に生成されたことを信頼するか、透明/セットアップ不要のシステムを使用する必要がある。
オンチェーンコストとスケーラビリティ	トランザクションあたりのコストが高い: 準同型操作は計算コストが非常に高く、すべてのノードが実行する必要がある。ガス費用は高い (例: 8 ビット加算 1 回で 10 万ガス以上)。複雑なコントラクトは、すべてのバリデーターが 1 ブロックで計算できる範囲に制限される。スループットは、特殊なハードウェアが採用されない限り、通常のスマートコントラクトよりもはるかに低い。スケーラビリティは、より高速な暗号技術とハードウェアアクセラレーションによって向上するが、基本的には各操作がチェーンのワークロードを増加させる。	検証コストが低い: 簡潔な証明の検証は効率的でサイズが一定であるため、オンチェーンのガスは控えめ (どんなサイズの計算でも数十万ガス)。これにより、複雑さがオンチェーンのリソース制限から切り離される。大規模な計算でもオンチェーンの追加コストはない。したがって、オンチェーンの負荷という点で スケール する。オフチェーンでは、証明時間はかなり長くなる可能性があり (巨大なタスクでは数分以上)、強力なマシンが必要になるかもしれないが、これはブロックチェーンを直接遅くするものではない。証明が時間内に生成できる限り (並列証明者ネットワークの可能性)、全体的なスループットは高くなる可能性がある。
レイテンシー	計算が実行中に行われるため、結果は同じトランザクション/ブロックですぐに利用可能。追加のラウンドトリップは不要 – 同期操作。ただし、FHE 操作が遅い場合、ブロック処理時間が長くなり、ブロックチェーンのレイテンシーが増加する可能性がある。	本質的に非同期。通常、リクエストのための 1 つのトランザクションと、後で証明/結果を提供するためのトランザクション (またはコールバック) が必要。これにより遅延が発生する (証明の複雑さと証明ハードウェアによっては数秒から数時間)。単一トランザクションの即時ファイナリティには適していない – むしろ 非同期ジョブ モデルに近い。
プライバシー保証	強力: すべて (入力、出力、中間状態) がオンチェーンで暗号化されたままにできる。複数のトランザクションがそれを明らかにすることなく更新する、長期間存続する暗号化状態を持つことができる。承認された復号アクション (もしあれば) のみが結果を明らかにし、それらは鍵/ACL を介して制御できる。ただし、ガス使用量やイベントログのようなサイドチャネルの考慮事項は、パターンが漏洩しないように管理する必要がある (fhEVM 設計は、漏洩を避けるためにデータ非依存の実行と操作のための定数ガスを目指している)。	選択的: 証明は、公開出力にあるもの、または検証に必要なもの (例: 初期状態へのコミットメント) を明らかにする。設計者は、意図した結果のみが明らかにされ、他のすべての入力がゼロ知識で隠されたままであることを保証できる。しかし、FHE とは異なり、ブロックチェーンは通常 隠された 状態を保存しない – プライバシーはデータを完全にオフチェーンに保つことによって達成される。永続的なプライベート状態が必要な場合、コントラクトはそれに対する暗号コミットメントを保存することがある (そのため、状態更新は毎回新しいコミットメントを明らかにする)。プライバシーは証明することを選択したものによって制限される。例えば、正確な値を明らかにすることなく閾値が満たされたことを証明する柔軟性がある。
完全性の強制	設計上、すべてのバリデーターは次の状態を準同型的に再計算するため、悪意のあるアクターが間違った暗号文の結果を提供した場合、他のバリデーターは不一致を検出し、全員が同じ結果を得ない限りコンセンサスは失敗する。したがって、完全性は冗長な実行によって強制される (通常のブロックチェーンと同様、ただし暗号化データ上)。バリデーターは平文の条件を直接チェックできないため、ビジネスルール (例: ユーザーが制約に違反できなかった) を強制するために追加の ZK 証明がしばしば使用される。	完全性は、ZK 証明をチェックする検証者コントラクトによって強制される。証明が検証される限り、結果はオフチェーンプログラムの何らかの有効な実行と一致することが保証される。正当性のために正直な多数派の仮定は不要 – 単一の正直な検証者 (コントラクトコード自体) で十分。オンチェーンコントラクトは、不正な証明や欠落した証明を単に拒否する (無効な署名を拒否するのと同様)。考慮事項: 証明者が中止または遅延した場合、コントラクトにはフォールバックロジックが必要になるかもしれないが (またはユーザーが後で再試行する必要があるかもしれないが)、不正な結果は受け入れない。
開発者体験	長所: 拡張機能を使えば、使い慣れたスマートコントラクト言語 (Solidity など) をほぼ使用できる。機密性はプラットフォームによって処理される – 開発者は主に何を暗号化し、誰が鍵を持つかを心配する。暗号化されたコントラクトと通常のコントラクトの構成が可能で、DeFi の構成可能性を維持する (ただし暗号化された変数を使用)。短所: FHE の制限を理解する必要がある – 例: 特別な処理なしでは秘密データに対する直接の条件分岐はできない、サーキットの深さが限られる (ただし TFHE のブートストラップは時間と引き換えに任意の長さの計算を可能にする)。暗号化されたロジックのデバッグは、鍵なしではランタイム値を簡単に内省できないため、トリッキーになる可能性がある。また、鍵管理と権限設定はコントラクト設計に複雑さを加える。	長所: オフチェーン部分には任意のプログラミング言語を使用できる可能性がある (特に zkVM を使用する場合)。オフチェーンプログラムで既存のコード/ライブラリを活用できる (ZK 互換性の注意点あり)。汎用 ZKVM を使用する場合、開発者によるカスタム暗号技術は不要 – 通常のコードを書き、証明を得る。また、重い計算は、オンチェーンでは決して実行できないライブラリ (例: 機械学習コード) を使用できる。短所: 開発者はオフチェーンインフラを調整するか、証明サービスを使用する必要がある。非同期ワークフローの処理とオンチェーンロジックとの統合には、より多くの設計作業が必要 (例: 保留中の状態の保存、コールバックの待機)。効率的なサーキットや zkVM コードを書くには、新しい制約を学ぶ必要があるかもしれない (例: 浮動小数点数なし、固定小数点または特殊プリミティブを使用、証明時間を爆発させる重い分岐を避ける、制約数に最適化する)。また、証明の失敗やタイムアウトなどに対処する負担もあり、これらは通常の Solidity では懸念事項ではない。ツールのエコシステムは成長しているが、多くの人にとって新しいパラダイムである。

両アプローチは積極的に改善されており、収束も見られます。前述のように、ZKPs は FHE-VM 内部 で特定のチェックに使用され、逆に一部の研究者は ZK で証明者の入力をプライベートに保つために FHE を使用することを提案しています (クラウド証明者があなたの秘密データを見ないように)。将来のシステムがこれらを組み合わせることは考えられます。例えば、オフチェーンで FHE を実行し、その正当性をチェーンに証明したり、オンチェーンで FHE を使用し、暗号化操作が正しく行われたことをライトクライアントに ZK 証明したりするなどです。各技術には強みがあります。FHE-VM は重い計算を犠牲にして 継続的なプライバシーとリアルタイムの相互作用 を提供し、ZK コプロセッサはレイテンシーと複雑さを犠牲にして スケーラビリティと柔軟性 を提供します。

ユースケースと影響​

プログラマブルプライバシーの出現は、業界全体で新しいブロックチェーンアプリケーションの富を解き放ちます。以下では、FHE-VM と ZK コプロセッサ (またはハイブリッド) が、プライバシーを保護するスマートコントラクトと安全なデータエコノミーを可能にすることで、さまざまなドメインをどのように強化できるかを探ります。

機密 DeFi と金融​

分散型金融において、プライバシーはフロントランニングを軽減し、取引戦略を保護し、必要な場合には透明性を犠牲にすることなくコンプライアンスを満たすことができます。機密 DeFi は、ユーザーが自分のポジションを世界に公開することなくプロトコルと対話することを可能にします。

• プライベートトランザクションと隠蔽残高: FHE を使用すると、機密トークン転送 (暗号化された ERC-20 残高とトランザクション) やブロックチェーン L1 上のシールドプールを実装できます。観察者はあなたがどのトークンをどれだけ保有しているか、または転送したかを見ることができず、保有量に基づく標的型攻撃のリスクを排除します。ZK 証明は、残高が同期を保ち、二重支払いが発生しないことを保証できます (Zcash に似ていますが、スマートコントラクトプラットフォーム上です)。一例として、プールリザーブと取引がオンチェーンで暗号化される機密 AMM (自動マーケットメーカー) があります。裁定取引者やフロントランナーは、取引が決済されるまで価格の滑りを見ることができないため、プールを悪用できません。MEV を削減します。一定の遅延後、またはアクセス制御されたメカニズムを介してのみ、監査のために一部のデータが公開される場合があります。

• MEV 耐性のあるオークションと取引: マイナーやボットは、トランザクションの透明性を利用して取引をフロントランします。暗号化を使用すると、注文が暗号文で送信される暗号化メンプールやバッチオークションを持つことができます。オークションがクリアされた後にのみ、取引が復号されます。このコンセプトは、公正な注文フロー とも呼ばれ、閾値復号 (複数のバリデーターが集合的にバッチを復号) や、個々の入札を明らかにすることなく ZK を介してオークションの結果を証明することで達成できます。例えば、ZK コプロセッサは、オフチェーンで封印された入札のバッチを受け取り、オークションのクリア価格を計算し、その価格と勝者だけを証明付きで出力することができます。これにより、敗者の入札の公平性とプライバシーが保護されます。

• 機密レンディングとデリバティブ: DeFi レンディングでは、ユーザーはローンや担保の規模を公開したくない場合があります (市場心理に影響を与えたり、悪用を招いたりする可能性があるため)。FHE-VM は、各ローンの詳細が暗号化された暗号化されたローンブックを維持できます。スマートコントラクトロジックは、暗号化された健全性係数上で操作することにより、清算条件のようなルールを引き続き強制できます。ローンの担保比率が閾値を下回った場合、コントラクトは (ZK 証明の助けを借りて) 正確な値を公開することなく清算のためにフラグを立てることができます。平文でイエス/ノーのフラグを生成するだけかもしれません。同様に、秘密のデリバティブやオプションポジションをオンチェーンで管理し、集計されたリスクメトリクスのみを公開することができます。これにより、コピートレーディングを防ぎ、独自の戦略を保護し、より多くの機関投資家の参加を促すことができます。

• コンプライアンスを遵守したプライバシー: すべての金融コンテキストが完全な匿名性を望んでいるわけではありません。規制のために 選択的開示 が必要な場合があります。これらのツールを使用すると、規制されたプライバシーを実現できます。例えば、取引は一般にはプライベートですが、規制された取引所は特定のプロパティについて復号したり、証明を受け取ったりできます。ZK を介して、「この取引はブラックリストに載っているアドレスを含まず、両当事者は KYC 認証済みである」 ことを、チェーンに身元を明かすことなく証明できます。このバランスは、他のすべての人に対してユーザーの身元とポジションを機密に保ちながら、マネーロンダリング対策 (AML) ルールを満たすことができます。FHE は、オンチェーンのコンプライアンスオフィサーコントラクトが、リスクシグナルのために暗号化されたトランザクションをスキャンすることを可能にします (例えば、裁判所命令の下でのみアクセス可能な復号鍵を使用して)。

デジタルアイデンティティと個人データ​

アイデンティティシステムは、オンチェーンのプライバシー技術から大きな利益を得ることができます。現在、個人の資格情報や属性を公開台帳に載せることは、プライバシー法やユーザーの抵抗のために非現実的です。FHE と ZK を使用すると、自己主権型アイデンティティをプライバシーを保護する方法で実現できます：

• ゼロ知識クレデンシャル: ZK 証明 (一部のアイデンティティプロジェクトではすでに一般的) を使用すると、ユーザーは他の個人情報を一切明かすことなく、「私は 18 歳以上です」、「有効な運転免許証を持っています」、または 「(信用スコアリングのために) 5 万ドル以上の収入があります」 のようなステートメントを証明できます。ZK コプロセッサは、オフチェーンでより複雑なチェックを処理することでこれを強化できます。例えば、Axiom のような方法でプライベートな信用データベースをクエリし、ユーザーのクレジットスコアが閾値以上であることを証明し、ブロックチェーンにはイエス/ノーのみを出力します。

• DeFi における機密 KYC: 法律によりユーザーが KYC 認証済みであることを確認しなければならない DeFi プロトコルを想像してみてください。FHE-VM を使用すると、ユーザーの資格情報をオンチェーンで暗号化して保存 (または DID を介して参照) し、スマートコントラクトが FHE 計算を実行して KYC 情報が要件を満たしていることを検証できます。例えば、コントラクトは、暗号化されたユーザープロファイルの 名前 と SSN が、制裁対象ユーザーリスト (これも暗号化) と一致するか、またはユーザーの国が制限されていないかを準同型的にチェックできます。コントラクトは暗号化された「合格/不合格」のみを取得し、これはネットワークバリデーターによってブール値フラグに閾値復号できます。ユーザーが許可されているかどうかの事実のみが明らかにされ、PII の機密性を保護し、GDPR の原則に沿っています。この選択的開示は、コンプライアンスとプライバシーを保証します。

• 属性ベースのアクセスと選択的開示: ユーザーは、検証可能な資格情報 (年齢、市民権、スキルなど) の束を暗号化された属性として保持できます。彼らは、すべてを開示することなく、特定の dApp がそれらに対して計算を実行することを許可できます。例えば、分散型採用 dApp は、(FHE を使用して) 暗号化された履歴書で検索を実行し (例: 経験年数を数える、資格を確認する)、一致が見つかった場合にのみ、オフチェーンで候補者に連絡することができます。候補者のプライベートな詳細は、彼らが公開を選択しない限り暗号化されたままです。ZK 証明はまた、ユーザーが属性の組み合わせ (例: 21 歳以上 かつ 特定の郵便番号内) を持っていることを、実際の値を明らかにすることなく選択的に証明することを可能にします。

• 多者間本人確認: 時には、ユーザーの身元が複数の当事者によって審査される必要があります (例えば、会社 A による身元調査、会社 B による信用調査)。準同型および ZK ツールを使用すると、各検証者は暗号化されたスコアまたは承認を提供でき、スマートコントラクトはこれらを集計して最終決定を下すことができます。個々の貢献を公開することなく。例えば、3 つの機関が暗号化された「合格/不合格」ビットを提供し、3 つすべてが合格であればコントラクトが承認を出力します。ユーザーまたは依拠当事者は最終結果のみを見ることができ、どの特定の機関が不合格にしたかはわからず、各機関でのユーザーの記録のプライバシーを保護します。これにより、例えば、1 つの不合格が特定の問題を明らかにするという偏見や汚名を減らすことができます。

ヘルスケアと機密データ共有​

ヘルスケアデータは非常に機密性が高く、規制されていますが、複数のソースからのデータを組み合わせることで、(研究、保険、個別化医療のために) 大きな価値を生み出すことができます。プライバシーが解決されれば、ブロックチェーンはデータ交換のための信頼層を提供できます。機密スマートコントラクトは、新しい健康データエコシステムを可能にする可能性があります：

• 安全な医療データ交換: 患者は、自分の医療記録への参照を暗号化された形式でオンチェーンに保存できます。FHE 対応のコントラクトにより、研究機関は患者データのコホートに対して、それを復号することなく 分析を実行できます。例えば、コントラクトは、暗号化された患者の転帰にわたる薬剤の平均有効性を計算できます。集計された統計結果のみが復号されて出力され (そしておそらく、再識別を防ぐために最小数の患者が含まれている場合にのみ)、出力されます。患者は、自分のプライバシーが保護されていることを知っているため、暗号化されたデータを研究に提供することでマイクロペイメントを受け取ることができます。ブロックチェーンや研究者でさえ、暗号文または集計証明しか見ないためです。これは、プライバシーを尊重するヘルスケア向けデータマーケットプレイスを育成します。

• プライバシーを保護する保険金請求: 健康保険の請求処理は、保険会社にデータを公開することなく医療データの条件を検証するスマートコントラクトを介して自動化できます。請求には、暗号化された診断コードと暗号化された治療費が含まれる場合があります。コントラクトは、FHE を使用して、その暗号化されたデータに対してポリシールール (例: 補償範囲、免責金額) をチェックします。保険会社のブロックチェーンに実際の診断を明らかにすることなく、承認と支払額を出力できます (患者と医師のみが鍵を持っていました)。ZK 証明は、患者のデータが認定病院の記録から来たことを示すために使用されるかもしれません (Axiom のようなものを使用して病院の署名や記録の包含を検証する)、記録自体を明らかにすることなく。これにより、不正を防ぎながら患者のプライバシーを確保します。

• ゲノムおよび個人データ計算: ゲノムデータは非常に機密性が高いです (文字通り、個人の DNA の青写真です)。しかし、ゲノムを分析することで、貴重な健康上の洞察を得ることができます。企業は FHE-VM を使用して、ユーザーがアップロードした暗号化されたゲノムに対して計算を実行できます。例えば、スマートコントラクトは、暗号化されたゲノムデータと暗号化された環境データ (おそらくウェアラブルから) に対して遺伝子-環境リスクモデルを実行し、ユーザーのみが復号できるリスクスコアを出力できます。ロジック (多遺伝子リスクスコアアルゴリズムなど) はコントラクトにコーディングされ、準同型的に実行されるため、ゲノムデータは平文で現れることはありません。このようにして、ユーザーは企業に生の DNA データを与えることなく洞察を得ることができます。プライバシーとデータ所有権の両方の懸念を軽減します。

• 疫学と公衆衛生: パンデミックのような状況では、データ共有は病気の蔓延をモデル化するために不可欠ですが、プライバシー法がデータ共有を妨げる可能性があります。ZK コプロセッサにより、公衆衛生当局は、「地域 X で過去 24 時間に陽性反応を示した人の数」 のようなクエリを、証明を介して病院のデータネットワークに送信できます。各病院は患者の検査記録をオフチェーンに保持しますが、誰であるかを明らかにすることなく、陽性者の数を当局のコントラクトに証明できます。同様に、接触追跡は、暗号化された位置情報の軌跡を照合することで行うことができます。コントラクトは、患者の暗号化された位置情報の履歴の交差点を計算してホットスポットを特定し、ホットスポットの場所のみを出力します (そしておそらく、保健部門のみが復号できる影響を受けた ID の暗号化リストも)。個人の生の位置情報の軌跡はプライベートなままです。

データマーケットプレイスとコラボレーション​

データを明らかにすることなく計算できる能力は、データ共有に関する新しいビジネスモデルを開きます。エンティティは、独自のデータが公開されないことを知っている上で、計算で協力できます：

• 安全なデータマーケットプレイス: 販売者は、ブロックチェーンマーケットプレイスで暗号化された形式でデータを利用可能にすることができます。購入者は、スマートコントラクトを介して暗号化されたデータセットに対して特定の分析や機械学習モデルを実行するためにお金を払い、トレーニング済みのモデルまたは集計された結果のいずれかを取得します。販売者の生データは、購入者や一般に公開されることはありません。購入者はモデルのみを受け取るかもしれません (それでも重みにいくつかの情報が漏れる可能性がありますが、差分プライバシーや出力の粒度を制御するなどの技術でこれを軽減できます)。ZK 証明は、約束されたデータセットに対して計算が正しく行われたことを購入者に保証できます (例えば、販売者は証明がコミットされた暗号化データセットに結びついているため、ダミーデータでモデルを実行してごまかすことはできません)。このシナリオはデータ共有を促進します。例えば、企業は、データを渡すことなく、承認されたアルゴリズムが暗号化の下で実行されることを許可することで、ユーザー行動データを収益化できます。

• 連合学習と分散型 AI: 分散型機械学習では、複数の当事者 (例えば、異なる企業やデバイス) が、互いにデータを共有することなく、結合されたデータで共同でモデルをトレーニングしたいと考えています。FHE-VM はここで優れています。各当事者のモデル更新がコントラクトによって準同型的に集計される連合学習を可能にします。更新は暗号化されているため、参加者は他の人の貢献を知ることはありません。コントラクトは、トレーニングループの一部 (勾配降下ステップなど) をオンチェーンで暗号化の下で実行し、承認された当事者のみが復号できる更新されたモデルを生成することさえできます。ZK は、各当事者の更新がトレーニングアルゴリズムに従って計算されたことを証明することでこれを補完できます (悪意のある参加者がモデルを汚染するのを防ぎます)。これは、グローバルモデルがオンチェーンで完全な監査可能性をもってトレーニングできることを意味しますが、各貢献者のトレーニングデータはプライベートなままです。ユースケースには、銀行間で共同で不正検出モデルをトレーニングしたり、多くのユーザーからのデータを使用して AI アシスタントを改善したりすることが含まれますが、生データは集中化されません。

• 組織横断的な分析: パートナーシップキャンペーンのために、顧客リスト全体を互いに公開することなく、顧客の共通部分を見つけたい 2 つの会社を考えてみましょう。彼らはそれぞれ顧客 ID リストを暗号化し、コミットメントをアップロードできます。FHE 対応のコントラクトは、暗号化されたセット上で共通部分を計算できます (FHE を介したプライベート集合交差のような技術を使用して)。結果は、相互に信頼された第三者 (または顧客自身、何らかのメカニズムを介して) のみが復号できる共通の顧客 ID の暗号化リストになる可能性があります。あるいは、ZK アプローチ: 一方の当事者が他方の当事者にゼロ知識で 「我々は N 人の共通の顧客を持っており、ここにそれらの ID の暗号化がある」 ことを証明し、その暗号化が確かに共通のエントリに対応していることの証明を付けます。このようにして、彼らは完全なリストを平文で交換することなく、それらの N 人の顧客へのキャンペーンを進めることができます。同様のシナリオ: 個々のサプライヤーの詳細を明らかにすることなく競合他社間でサプライチェーンメトリクスを計算したり、完全なクライアントデータを共有することなく銀行が信用情報を照合したりします。

• ブロックチェーン上の安全な多者間計算 (MPC): FHE と ZK は、本質的に MPC の概念をオンチェーンにもたらします。複数の組織にまたがる複雑なビジネスロジックは、各組織の入力が秘密共有または暗号化されるようにスマートコントラクトにエンコードできます。コントラクトは (MPC ファシリテーターとして)、利益分配、コスト計算、または共同リスク評価のような、誰もが信頼できる出力を生成します。例えば、いくつかのエネルギー会社が電力取引の市場を決済したいとします。彼らは暗号化された入札とオファーをスマートコントラクトオークションに供給できます。コントラクトは暗号化された入札でクリア価格と割り当てを計算し、各会社の割り当てとコストをその会社だけに (公開鍵への暗号化を介して) 出力します。どの会社も他社の入札を見ることはなく、競争情報を保護しますが、オークションの結果は公正で検証可能です。この ブロックチェーンの透明性と MPC のプライバシーの組み合わせ は、現在信頼された第三者に依存しているコンソーシアムや企業コンソーシアムを革命的に変える可能性があります。

分散型機械学習 (ZKML と FHE-ML)​

検証可能でプライベートな方法で機械学習をブロックチェーンにもたらすことは、新たなフロンティアです：

• 検証可能な ML 推論: ZK 証明を使用すると、x (プライベートデータの場合) または f の内部動作 (モデルの重みが独自の場合) のいずれも明らかにすることなく、「機械学習モデル f が入力 x を与えられたときに出力 y を生成する」 ことを証明できます。これは、ブロックチェーン上の AI サービスにとって重要です。例えば、予測や分類を提供する分散型 AI オラクルなどです。ZK コプロセッサは、モデルをオフチェーンで実行し (モデルは大きく、評価にコストがかかるため)、結果の証明を投稿できます。例えば、オラクルは、炭素クレジット契約をサポートするために、衛星画像や場合によってはモデルさえも明らかにすることなく、「提供された衛星画像は少なくとも 50% の樹木被覆を示している」 というステートメントを証明できます。これは ZKML として知られており、プロジェクトはサーキットフレンドリーなニューラルネットワークの最適化に取り組んでいます。これにより、スマートコントラクトで使用される AI 出力の完全性が保証され (不正や任意の出力なし)、入力データとモデルパラメータの機密性を保護できます。

• プライバシーと監査可能性を備えたトレーニング: ML モデルのトレーニングはさらに計算集約的ですが、達成可能であれば、ブロックチェーンベースのモデルマーケットプレイスを可能にします。複数のデータプロバイダーが、トレーニングアルゴリズムが暗号化データ上で実行されるように、FHE の下でモデルのトレーニングに貢献できます。結果は、購入者のみが復号できる暗号化されたモデルになる可能性があります。トレーニング中、トレーニングがプロトコルに従っていることを証明するために ZK 証明が定期的に提供される可能性があります (悪意のあるトレーナーがバックドアを挿入するのを防ぐなど)。完全にオンチェーンでの ML トレーニングはコストを考えるとまだ先ですが、ハイブリッドアプローチでは、重要な部分に ZK 証明を使用したオフチェーン計算を使用できます。参加者がプライベートデータセットでモデルをトレーニングし、暗号化されたテストデータでのモデルの精度の ZK 証明を提出して勝者を決定する、分散型の Kaggle のようなコンペティションを想像できます。データセットやテストデータを明らかにすることなく。

• パーソナライズされた AI とデータ所有権: これらの技術により、ユーザーは個人データの所有権を保持し、それでも AI の恩恵を受けることができます。例えば、ユーザーのモバイルデバイスは FHE を使用して使用状況データを暗号化し、それを分析コントラクトに送信して、彼らのためだけのパーソナライズされた AI モデル (推奨モデルなど) を計算できます。モデルは暗号化されており、ユーザーのデバイスのみが復号してローカルで使用できます。プラットフォーム (ソーシャルネットワークなど) は生データやモデルを見ることはありませんが、ユーザーは AI の恩恵を受けます。プラットフォームが集計された洞察を望む場合、個々のデータにアクセスすることなく、コントラクトから特定の集計パターンの ZK 証明を要求できます。

その他の分野​

• ゲーム: オンチェーンゲームは、秘密情報 (隠されたカードの手札、戦略ゲームの戦場の霧など) を隠すのに苦労することがよくあります。FHE は、ゲームロジックが暗号化された状態で実行される隠蔽状態ゲームを可能にします。例えば、ポーカーゲームのコントラクトは、暗号化されたカードをシャッフルして配ることができます。プレイヤーは自分のカードの復号を取得しますが、コントラクトや他の人は暗号文しか見ません。ベッティングロジックは ZK 証明を使用して、プレイヤーがアクションについてブラフをしていないことを保証したり (または、最後に勝利の手札を検証可能な公正な方法で明らかにしたり) できます。同様に、NFT のミンティングやゲームの結果のためのランダムシードは、シードを公開することなく生成され、公正であることが証明できます (操作を防ぎます)。これにより、ブロックチェーンゲームが大幅に強化され、従来のゲームと同じダイナミクスをサポートできるようになります。

• 投票とガバナンス: DAO は、オンチェーンでの秘密投票のためにプライバシー技術を使用し、票の買収や圧力を排除できます。FHE-VM は、暗号化された形式で投じられた票を集計し、最終的な合計のみが復号されます。ZK 証明は、各票が有効であったこと (資格のある有権者からであり、二重投票していない) を、誰が何に投票したかを明らかにすることなく保証できます。これにより、個々の投票を秘密に保ちながら、検証可能性 (誰もが証明と集計を検証できる) を提供します。これは、偏りのないガバナンスにとって重要です。

• 安全なサプライチェーンと IoT: サプライチェーンでは、パートナーは競合他社に完全な詳細を公開することなく、特定のプロパティ (原産地、品質メトリクス) の証明を共有したい場合があります。例えば、食品輸送の IoT センサーは、暗号化された温度データを継続的にブロックチェーンに送信できます。コントラクトは FHE を使用して、輸送中に温度が安全な範囲内にとどまっていたかどうかを確認できます。閾値を超えた場合、アラートやペナルティをトリガーできますが、温度ログ全体を公に公開する必要はありません。証明または 「90 パーセンタイルの温度」 のような集計のみかもしれません。これにより、プロセスデータの機密性を尊重しながら、サプライチェーンオートメーションへの信頼を構築します。

これらのユースケースはそれぞれ、データを明らかにすることなくデータを計算または検証するという中核的な能力を活用しています。この能力は、分散型システムにおける機密情報の扱い方を根本的に変えることができます。これにより、プライベートデータを扱う分野でのブロックチェーンの採用を制限してきた、透明性とプライバシーの間のトレードオフが減少します。

結論​

ブロックチェーン技術は、データ機密性とスマートコントラクト機能が密接に関連する、プログラマブルプライバシーの新時代に突入しています。FHE-VM と ZK コプロセッサのパラダイムは、技術的には異なりますが、どちらも 何を計算できるか と 何を明らかにしなければならないか を切り離すことで、ブロックチェーンアプリケーションの範囲を拡大しようとしています。

完全準同型暗号仮想マシンは、計算をオンチェーンで暗号化されたままにし、分散化と構成可能性を維持しますが、効率の向上を要求します。ゼロ知識コプロセッサは、重い処理をオフチェーンにシフトし、暗号的な保証の下で事実上無制限の計算を可能にし、スケーリングとイーサリアムの強化においてすでにその価値を証明しています。それら (およびそのハイブリッド) の間の選択は、ユースケースに依存します。プライベート状態とのリアルタイムの相互作用が必要な場合は、FHE アプローチがより適しているかもしれません。非常に複雑な計算や既存のコードとの統合が必要な場合は、ZK コプロセッサが適切な方法かもしれません。多くの場合、それらは補完的です。実際、ZK 証明が FHE の完全性を強化し、FHE が証明者のためのプライベートデータを処理することで ZK を助ける可能性があることがわかります。

開発者にとって、これらの技術は新しい設計パターンを導入します。私たちは、dApp アーキテクチャの第一級の要素として、暗号化された変数と証明検証の観点から考えるようになります。ツールは急速に進化しています。高レベルの言語と SDK は、暗号の詳細を抽象化しています (例えば、Zama のライブラリは FHE 型をネイティブ型と同じくらい簡単にし、RISC Zero のテンプレートは証明リクエストを容易にします)。数年後には、機密性の高いスマートコントラクトを書くことは、通常のものを書くのとほとんど同じくらい簡単になり、プライバシーがデフォルトで「組み込まれている」と感じられるようになるかもしれません。

データエコノミーへの影響は甚大です。個人や企業は、その可視性を制御できる場合、データやロジックをオンチェーンに置くことにもっと意欲的になるでしょう。これにより、プライバシーの懸念のために以前は実現不可能だった、組織横断的なコラボレーション、新しい金融商品、AI モデルが解き放たれる可能性があります。規制当局も、暗号的な手段 (例えば、すべてのトランザクションを公開することなく、オンチェーンで税金が正しく支払われたことを証明する) を介してコンプライアンスチェックと監査を可能にするため、これらの技術を受け入れるようになるかもしれません。

私たちはまだ初期段階にいます。現在の FHE-VM プロトタイプにはパフォーマンスの制限があり、ZK 証明は以前よりもはるかに高速になりましたが、非常に複雑なタスクにとっては依然としてボトルネックになる可能性があります。しかし、継続的な研究とエンジニアリングの努力 (Optalysys のような企業が光学 FHE アクセラレーションを推進していることに見られるように、特殊なハードウェアを含む) は、これらの障壁を急速に取り除いています。この分野に注ぎ込まれる資金 (例えば、Zama のユニコーンステータス、Paradigm の Axiom への投資) は、プライバシー機能が Web1/2 にとって透明性がそうであったように、Web3 にとっても基本的になるという強い信念を裏付けています。

結論として、FHE-VM と ZK コプロセッサを介したプログラマブルプライバシーは、トラストレスで、分散化され、機密性の高い新しいクラスの dApp の到来を告げます。詳細を明かさない DeFi 取引から、患者データを保護する健康研究、生データを公開することなく世界中でトレーニングされる機械学習モデルまで、可能性は広大です。これらの技術が成熟するにつれて、ブロックチェーンプラットフォームはもはや実用性とプライバシーの間のトレードオフを強制しなくなり、機密性を必要とする業界でのより広範な採用を可能にします。Web3 の未来は、*ユーザーと組織が、ブロックチェーンが完全性を検証し、彼らの秘密を安全に保つことを知っている上で、機密データをオンチェーンで自信を持って取引し、計算できる世界です*。

出典: このレポートの情報は、この分野の主要プロジェクトの技術文書および最近の研究ブログから引用されています。これには、Cypher と Zama の FHEVM ドキュメント、Trail of Bits による Axiom のサーキットに関する詳細な分析、RISC Zero の開発者ガイドとブログ投稿、および機密ブロックチェーン技術のユースケースを強調する業界記事が含まれます。これらの出典などは、さらなる読書と、説明されたアーキテクチャおよびアプリケーションの証拠を提供するために、全体を通して引用されています。