「オンデバイス処理」とは何か — プライバシーのゴールドスタンダードである理由
オンデバイス処理はデータを端末内だけで扱い、サーバーもアカウントも不要です。その意味と、なぜ最も強力なプライバシー保証なのかを解説します。
「オンデバイス処理」とは何か
オンデバイス処理とは、写真も生体情報もメッセージも、アプリが扱うデータがすべて端末内だけで処理されることです。アップロードは一切なく、アカウントも不要で、頼んでもいないコピーがどこかのクラウドDBに残ることもありません。
これが厳密な意味です。実際には、この言葉はもっと緩く使われがちです。「計算が端末内で行われる」ことは、「データが端末から一切出ない」ことを自動的には意味しません。この違いは知っておく価値があります。
オンデバイス処理は実際どう機能するか
ハードウェアで隔離された処理
iPhoneでは、処理の多くがSecure Enclaveの中で行われます。これはメインプロセッサから物理的に隔離された専用のハードウェアで、OSの他の部分が侵害されてもセンシティブなデータを守るよう設計されています。Face IDとTouch IDのデータはすべてこの内部で処理され、その生データが外に出ることはなく、そこから導かれる鍵も他のシステムから見えません。
ゼロ知識暗号化はソフトウェア層で同じ考え方を実現します。データは送信される前に端末上で暗号化されるため、バックアップサービスや同期プロバイダーが後でそれを保管しても、復号できる鍵を持つことはありません。PINとFace IDの比較に興味があれば、こちらで詳しく比較しています。
なぜ「端末内で処理」が自動的にプライベートを意味しないのか
ここに注意点があります。オンデバイス処理が「プライベート」と呼べるのは、その結果も端末内にとどまる場合だけです。クライアントサイドスキャンについてのEFFの分析は、その典型的な警告例です。システムがiPhone上で完全に動作していても、その結果(一致、ハッシュ、フラグなど)がサーバーに報告されれば、プライバシーは損なわれます。結果が端末を離れた瞬間、元のファイル自体が送信されたかどうかに関わらず、サーバーはあなたのコンテンツについて何かを知ってしまいます。
なぜこれがプライバシーのゴールドスタンダードなのか
攻撃の集中点がない
端末内だけに存在するデータは、クラウドストレージにつきものリスクにさらされません。侵害される中央データベースも、召喚状を送られる企業も、設定ミスが起きるサーバーもないからです。Appleも同様の主張をしています。ユーザーの端末にのみ存在するデータは、定義上、いかなる攻撃の集中点にもさらされません。
保存時の暗号化も重要ですが、その強さはパスコード次第です。端末を手にした攻撃者は、弱いパスコードを破るための時間を事実上無制限に持っています。だからこそ端末全体の暗号化と実用的なパスコードの組み合わせは、追加の対策ではなく基本です。同じ考え方はバックアップにも当てはまります。GoogleやiCloudを使わずに写真をバックアップする方法もあわせてご覧ください。
クラウドさえもそれを模倣しようとしている
Apple自身のPrivate Cloud Computeは、端末単体では処理しきれないApple Intelligenceのタスク向けに作られたシステムですが、ローカル処理がまだ不可能な場合にオンデバイスの保証を近似することを目的としています。リクエストごとにデータを即座に削除し、外部の研究者が検証できるようサーバーソフトウェアを公開しています。オンデバイス処理はいくつかある選択肢の一つではありません。他のすべてが目指す基準そのものです。
Privaraがこれをどう扱っているか
Privaraは、写真・動画・書類・連絡先というあなたの情報にこの基準をそのまま適用しています。PINでのみ開くAES-256暗号化ボールト一つに、アカウント不要・デフォルトでのアップロードなしですべてを収めます。これは、この種のコンテンツを守る最良の方法です。ここまで説明してきたオンデバイスの保証を、一つの種類だけでなく四つすべてに一度に適用しているからです。
ボールトは普通の電卓の見た目と動作を装っているため、あなたの端末を手にした人に気づかれません。iPhoneの他の保護機能と組み合わせる方法については、盗難デバイス保護が実際にカバーする範囲もご覧ください。Privaraをアプリストアからダウンロードして、写真・動画・書類・連絡先を、端末から一切出ない一つのボールトの中に収めましょう。
よくある質問
「オンデバイス」なら常にプライベートなのですか?
結果も端末内にとどまる場合のみです。アプリがローカルで処理しても、一致・ハッシュ・結果をサーバーに報告すれば、その保証は崩れます。サーバーはあなたのデータについて何かを知ってしまうからです。
オンデバイス処理とゼロ知識暗号化は同じものですか?
関連していますが同じではありません。オンデバイス処理は計算がローカルで行われることを指します。ゼロ知識暗号化は、データが同期・バックアップされる前に端末上で暗号化されていたことを保証するもので、保管する側は復号する鍵を一切持ちません。
なぜAppleは一部のApple Intelligence機能でクラウドを使い続けるのですか?
一部のタスクは端末で処理しきれないほど大きなモデルを必要とします。Private Cloud Computeはそうしたケース向けにオンデバイスと同等の保証を模倣し、リクエストごとにデータを削除し、独立した検証のためにサーバーソフトウェアを公開しています。ただしAppleは、可能な限りオンデバイス処理をより強く単純な保証として扱っています。
アプリが本当にオンデバイスかどうか確認するには何を見ればいいですか?
オフラインで動作するか、アカウントが必要か、プライバシーポリシーにデータが端末を出ないと明記されているかを確認してください。基本機能でサーバーとのやり取りが必要だと分かれば、マーケティング文言の「オンデバイス」は割り引いて見るべきです。
まとめ
オンデバイス処理がプライバシーのゴールドスタンダードである理由はシンプルです。侵害され、召喚状を送られ、設定ミスを起こしうるサーバーが、そもそも関与していないからです。あるアプリのプライバシー主張を評価するとき、大事なのは計算がどこで行われるかだけでなく、その結果が端末から出ることがあるかどうかです。それこそが、本物のオンデバイス保証とマーケティング文句を分ける線です。