見出し画像

クラウドサービスにも読めない暗号化を弁護革命に搭載している理由

山本了宣

こんにちは、弁護革命開発者の山本了宣です。

今日のテーマは、「クラウドサービスにも読めない暗号化」です。

弁護革命には、クラウドサービスにもデータが読めない暗号化機能というものが搭載されています。機能の名称としては「上乗せロック」という名前です。
これはやや「珍しい」機能なのですが、それを搭載したのは、クラウドサービスが根本的に抱えるリスクに対処しようとしたという背景があります。

クラウドサービスにも読めない、とは果たしてどういうことか、クラウドサービスが読めることに対する防御がなぜ欲しくなるかなど、かみ砕いて説明していきます。
ほとんど一般的な話なので、弁護革命を無視してもお読みいただけると思います。

クラウドサービスの潜在的なリスク

まずクラウドサービスというのは、例えばOneDriveやGoogleドライブ、Dropboxなどといった、ファイルを保存できるようなクラウドストレージサービスを想定しています。

そもそも論として、クラウドサービスにPDFファイルなり何なりを預けるということは、当該サービス側は、その気になればデータを読める状態になっています。

読むというのは、機械的に何か解析して意味を引き出されてしまうという場合と、人間が読んでしまうという場合があります。

もちろん、普通のビジネスの契約であれば、サービス側の規約に、勝手に読みませんよ、変なことに使いませんよという意味のことが書いてあることが多いです。しかしエンジニアが開発したりサポートしたりする過程で、データが目に触れることはありえますし、本当に不正があってデータが不適切に扱われるという可能性も、ゼロではありません。そうしたリスクは潜在的にあります。

弁護士は守秘義務を負っている職業ですので、通常のビジネスでは事実上無視できるリスクであっても、気にする場合はあります。

以上の、「読めますよ」を基本リスクとしつつ、更に以下のような派生リスクがあります。

(1) 規約
まず、規約が実はきちんとしていないというパターンです。

規約の問題は非常に注意がいるのですが、大雑把な目安として、世の中には個人向けの規約とビジネス向けの規約という、大きく性格の違うものが2つ存在しています。

今話題のチャットGPTの規約はご存じでしょうか。チャットGPTの一般個人向けの規約(アプリのChatGPT)では、ChatGPTに送信したデータはすべてAIの学習に利用されるということになっています(履歴オフでのオプトアウトは可能)。
つまり、この規約のもとで、ChatGPTに送った情報はすべて永久に保存できるし、人間がそれを読んでも良いし、AIがその内容を覚えて別のユーザーに向かって吐き出すこともあり得るのだということです。

こういうのが典型的な個人向け規約のパターンです。
何を言っているかというと、「安くとかお買い得に利用させてあげます。その代わり、あなたの入れた情報は、私の企業の利益に使用しますからね。いいですね」というものです。これはご存じのない方も多いですし、うっかりあてはまることがあるので、よくよく注意した方が良いかと思います。

その一方で、ビジネス向けの規約というのもあります。ビジネス向けというのは、クラウドサービスであれば、ビジネスプランなどと呼ばれるものに、しばしば適用されるものです。
このビジネス向けの規約は、個人向けの規約と違って、マナーが良いものが多いです。というのは、お互いのビジネス同士の関係ですので、「あなたのところのデータは、うちでは大切に預かります。余計なことには一切使いません」というふうに規約に書いていることが多いのです。

というわけで、個人向けの規約とビジネス向けの規約で言っていることが全く違うというのは、世の中では珍しくなく、個人向けの規約が適用されていると、そのデータの行く末はかなり心配になるということです。

そして、有名どころのサービスで、かつ、有料プランであっても、個人アカウントだと、あやうい規約になっていることがあるのです。この場合、そのクラウドに預けたデータは、期待しているのとは違うやり方、つまり、プライバシーや情報保護に関して、かなりいい加減なやり方で取り扱われる恐れが、規約上もあるということになります。

もう少し言うと、「規約変更リスク」もあります。従来は問題無いと思っていた規約がのちに変更されてしまう可能性もあるということです。

もし「クラウドサービス側に読めない」状態を自助努力で作ってあれば、規約に振り回されることがなくなり、ずいぶん安心になります。

(2) クラウド側情報漏えい
2つ目に、クラウドサービス提供者側の情報漏洩リスクが存在します。
このリスクは実際には、極めて大手の信頼性の高いプロバイダーを利用している限りは、相当低いものと考えて良いと思います。
しかし、現代ではサイバー攻撃が盛んであり、プロバイダー側からたとえ一部であったとしても、不意に情報が漏えいする可能性がゼロとは言えません。この点について追加の防御壁をもし設けられるならば、なお安心ではあります。

(3) データの外部提供
3つ目に、データが外部に提供されることが考えられます。

特に裁判所の令状がある場合が想定されますが、クラウドサービスなどのプロバイダーに対して、特定のデータの提出を命じたり、一定の条件でデータを検索して提供するように命じることが、法的に可能になっています。したがって、弁護士が預けているデータであっても、裁判所の令状があれば、クラウドサービスプロバイダーはそれをそのまま提供してしまう可能性もあります。弁護士事務所に対する捜索差押えが行われた例もありますから、机上の空論とは言えないと思います。

また、「これが弁護士のデータである」ということを、裁判所もサービスプロバイダーも知らずに提供されるパターンもありえると思います(たまたま検索条件に合致してしまったなど)。

この懸念に対しては、外に漏れても大丈夫なようにできないか?と考えることになります。

(4) アカウント停止
4つ目に、アカウント停止リスクというものがあります。
これはそこまで珍しくない事例ですが、当該ストレージ上に一般に不適切と考えられるコンテンツ、あるいはそうしたコンテンツと誤解されるようなものを載せると、アカウントの停止などの処分がなされることがあります。

典型的なのは児童ポルノです。もし児童ポルノを載せたとすると、クラウドサービスはその画像を機械的に検知します。そして、違法な利用であるとみなして、アカウントを停止する場合があります。アカウントを停止されると、そのアカウントで持っていたデータは全て引き出せなくなりますので、いきなりデータを喪失するという結果になります。解除してもらえる保証は全くありません。

ビジネスアカウントの場合には、自分以外のメンバーも同一組織にぶらさがります。最悪の場合、全員のアカウントが凍結される危険もあると思います。

弁護士の場合には事件の証拠として、何らかの違法性があるとみなさるデータを取り扱う可能性があります。あるいは、厳密には違法コンテンツでないとしても、クラウドサービス側がやや広めにチェックをかけると、違法コンテンツの恐れありとみなされるかもしれません。

こういったコンテンツは、弁護士がたくさん持っている記録の中に、知らずに紛れ込んでいる可能性もあります
しかし、少なくとも暗号化してデータを預けているのであれば、こういった危険を回避することができます。

なお、今私が述べたことは、本当に正当な理由無く違法コンテンツを所持するために故意に使うこともできてしまいますが、そういうことを奨励しているわけではありませんので、どうぞ誤解のないようにお願いします(弁護革命に固有の問題でなく、ZIPファイルを暗号化するだけでも同じ結果は達成されます)。
ここまで潜在的なリスクの説明をしました。

たとえ可能性が低かろうが、潜在的なリスクを回避したいときがある

さて、散々をおどすようなことを言っておいてなんですが、通常のクラウドサービスの利用においては、この程度のリスクは一般的に無視をしても良いと考えられています(規約が完全にずるずるの個人向けサービスを使うのだけはダメです、念のため)。クラウドサービスは危なくてとても使えないなどという意味ではありませんから、その点一応誤解がないようにということを申し上げます。

しかし、弁護士がクラウドサービスを利用するという場面においては、こういったことも真剣に考えたくなる場面というのはやはり存在するわけです。
弁護士は守秘義務を負っているため、ある種究極的な、理想的な秘密管理を視野に入れたいことがあります。常に完璧に近い守秘をしたいという方も当然いらっしゃると思います。

また、普段は良いとしても、特定の事件に関してだけは、念には念を入れたいことも起こり得ます。
例えば、極めて社会的に大きな注目を集めている事件であるとか、政治が関係する事件などです。あるいは一般的な民間の事件でも、非常に内容がセンシティブだということもあります。
こういった事件であれば、上記のような、大勢としては薄いリスクであるとしても、「なお万全を期す方法はないものか?」と弁護士が考えるのは自然です。私自身、上記のように「万全」を期したいと感じたことのある事件がこれまでにいくつか存在します。

弁護革命は、もともと刑事事件の事件記録を安全に扱えなければならないという、スタート地点がありました。ですので、上記のようなリスクは、一般的には無視できるものだとしてもやはり対応したいと思いました。
別に刑事事件に限らずの話で、弁護士が望むならば、リスクをがっちり押さえ込めるほうが望ましいのです。

どうやるとリスクを消せるか

さて、どうやれば、このようなリスクを消せるでしょうか。

答えはある意味では非常に単純です。クラウドにアップする前にデータを暗号化してしまえば良いのです。

極めて原始的で素朴な例を挙げます。
ここに1個PDFがあるとします。このPDFにパスワードを付けます。それをOneDriveにアップしてください。
いま、パスワードを知っているのは私だけです。そしてOneDrive=マイクロソフト社はこのPDFのパスワードを知りません。したがって、マイクロソフト社がこのデータの中身を読むことはできなくなります。
外部にこのデータが提供されてしまった場合でも話は同じです。パスワードを十分に複雑で長くしておけば、力ずくで破ることもできません。したがって、このデータがもし外部に漏れたとしても、それを誰も読むことはできません。これが基本的な発想です。

では共有するときにはどうしたらよいか。相手の方に、OneDriveを経由せずに、電話なりチャットなりでパスワードを伝えます。
つまり、私はパスワードを知っている、相手もパスワードを知っている。しかし、中間にいるマイクロソフトはパスワードを知らないのです。このように真ん中にいるデータを運ぶ人は、パスワード(暗号鍵)を知らないために、そのデータを読み取ることができないというのを実現すれば良いことになります。

実は、このような暗号化のやり方には名前がついています。エンドツーエンド暗号化という名前です。エンドというのは端っこですので、PCやスマホなどの端末を指します。PCからPCの間、スマホからスマホの間が暗号化されるというイメージです。

エンドツーエンド暗号化は、通信やデータ転送の秘密を確保するための、基本的な枠組みの一つとなっています。

エンドツーエンド暗号化が適用されているサービスの有名な例では、Signal、Telegram、WhatsAppといったサービスが挙げられます。これらのサービスは、データが送信される際に暗号化され、相手のスマホ上で復号されるため、中間でデータを読むことができない、だから通信の秘密・プライバシーが確保されるという仕組みになっています。

実はLINEでもエンドツーエンド暗号化が利用されています。これは「Letter Sealing」という名前です。
Line社に対して通信内容を照会しても、通信内容が分からないので回答できないと言う返事が返ってきます。これは、エンドツーエンド暗号化を適用しているのが理由です。本当に中身を読めないのです。

なお、クラウドサービスが、「保存するデータは暗号化しています」と記載している場合があります。これはエンドツーエンド暗号化ではないことがほとんどです。この記載は、クラウドサービス自身が、データをディスクに書き込む際に暗号化しているという意味なのですが、クラウドサービス自身が鍵を知った上でデータを暗号化しているので、クラウドサービス側はいつでもそれを元に戻せる訳です。別に嘘が書いてあるわけではないですし、望ましいことなのですが、今ここで期待しているような、中間で読めない暗号化とは別物です。

弁護革命の解決:「上乗せロック」(ソフトウェア側による自動エンドツーエンド暗号化)

さて、ここまで説明してきたような理解に基づいて、弁護士が保存するデータをクラウド側のリスクに晒されないように、安全にクラウドに保存して共有したいとします。

要は、クラウドサービスなどにデータを保存する際に、上記のエンドツーエンド暗号化を適用して、データがクラウドサービス側に読めないようにしてしまえばよいわけです。

一番原始的な方法としては、PDFファイルにパスワードをかければよいということを言いました。しかしお分かりの通り、こんなことをいちいち手動でやっていたら、とてもではないですが煩雑で耐えられませんし、パスワードも非常に短い簡単なものになるというのが関の山です。

何らかのソフトウェアを介して自動的に暗号化し、しかもパソコン上で表示する時には、勝手に暗号を解除するという枠組みを取りたいわけです。これを実現したのが、弁護革命の上乗せロック機能ということになります。

もう少し具体的に言うと、以下のような仕組みです。

まず、弁護革命の上乗せロックは案件(プロジェクト)単位で適用されるようになっています。「この案件では、暗号化を適用したい」と思った場合には、その案件のためのパスワード(プロジェクトキー)を一つ決めます。これはもちろん、充分長く複雑なものの方が良いです。

弁護革命は、その指定されたパスワードを利用して、そこから暗号鍵を作り出します。
ここで弁護革命にPDFなどのファイルの登録処理を行うと、弁護革命が前記の暗号鍵を利用してファイルを丸ごと全部暗号化してしまいます(AES256bitによる)。そして、この状態でワンドライブやGoogleドライブといったクラウドの上にデータがアップされるようになります。

共有される側はどうでしょうか。弁護革命上では、プロジェクトに「参加」するという操作があります。この参加を行うときに、先ほどのパスワードを入力するように要求されます。正しく入力すれば、暗号化されたファイルを弁護革命が復元して、画面に表示するようになります。しかし、中間に居るマイクロソフト社やGoogleは、このパスワード=暗号鍵を知らないため、データの中身を読むことはどうやってもできません。

プロジェクトキーは一度だけ入力すればよく、何度もパスワードを入力するような手間は必要ありません。

いつ誰におすすめできるか メリットデメリット

まとめると、このような仕組みを実現することで、以下のようなメリットがあります。

  • クラウドサービスの潜在的リスク(データが読まれる、外部提供される、違法コンテンツと誤解されてアカウント停止される等)を全て排除できる

  • 弁護士として守秘を貫徹したい場面に対応できる

  • エンドツーエンド暗号化のメリットを、煩雑な操作無しに、全自動で受けることができる

  • 万が一、ユーザー側のミスでOneDriveなどのアカウントが破られたときにも、クラウド越しにデータを読まれることはない

より正確に言えば、クラウドサービスが持つ「読まれてしまう」系のリスクを消した上で、データ共有ができる、データのバックアップになる、どこからでも利用できる、といったクラウドのメリットを享受できると言えます。

一方、デメリットとして以下が上げられます。

  • データが全部暗号化されるため、クラウドでログインして中身を読むことはできない

  • 万が一プロジェクトキーを忘れた・紛失した場合に、データが復元できなくなる

  • 弁護革命がなければそのデータは読めない

  • クラウドサービス側のコンテンツ検査(たとえばウイルスを除外する)がきかなくなる(ただし、弁護革命はPDFを中心に登録するし、共有範囲は限定的なので、通常は問題にならない)

どんな技術にもメリット・デメリットはあるものですので、上乗せロックにも勿論デメリットはあります。そこはそういうものとしてご理解ください。

以上をまとめると、上乗せロックの利用場面としてお勧めできるのは以下のようなときです。

【原則全案件に適用するタイプ】

  • 守秘義務の貫徹やデータの保護に高い関心があり、原則として弁護士が扱うデータはクラウドサービスプロバイダーに読まれるべきではないと考える場合

  • クラウドサービスのアカウントに不正アクセスを受けた場合への防御も含めて、クラウド上のデータをより完全に保護したいと考える場合

  • 違法コンテンツリスクも気になるし、原則として暗号保護にするほうが、いちいち使い分けも不要だし、安心だと考える場合

【案件によって使い分けるタイプ】

  • 違法コンテンツとみなされる資料が含まれるかもしれない事案

  • 特に機密性の高い事案。例えば非常にセンシティブなプライバシー情報が含まれるような事案、社会的に非常に注目を集めたり政治的な問題が関係したりしている事件

ちなみに開発者としては、「刑事事件には常時適用してもよいのでは?」と考えて作りました。

おわりに

さて、本日は、弁護革命がなぜ徹底的な暗号化機能まで搭載しているのか、またそれが現実に役に立ち得る場面、さらに上乗せロックの大まかなメカニズムについて説明をしました。
実はこういう突っ込んだ話のほうが、書く側としては面白いので、適宜また書いていきたいなと思っています。


以下、お役に立つかも知れないのでご案内ですが、弁護革命についてもし気になった方は、こちらのウェブサイトをご覧ください。
弁護士の実務に合う形で、ここに説明したようながっちりしたデータの保護が便利に実現できるサービスは、私が知る限りでは他にありません。一般サービスで近いものがいくつかありますが、うまくニーズに合わないのです。存在しないから作ったとも言えます。

もし実際に試したい場合には、「弁護革命を無料で使ってみる」から簡単にお試しいただけます。無料版でも暗号化は使えます。

完全保護が必要な場合には、「解析機能オフ」でご利用ください。
セキュリティについて、サイト上の説明はここにあります。


この記事が気に入ったらサポートをしてみませんか?