
Web2と比較して、FHEはなぜWeb3においてより良い応用展望を持つのでしょうか?
TechFlow厳選深潮セレクト

Web2と比較して、FHEはなぜWeb3においてより良い応用展望を持つのでしょうか?
技術の継続的な発展と革新に伴い、FHEは将来のプライバシー保護およびセキュアコンピューティング分野で重要な役割を果たすことが期待されている。
執筆:IOSG Ventures
プライバシーは個人および組織にとって基本的な権利です。個人にとっては、第三者に共有したくない情報を明かすことなく自由に自己表現できるように支援します。現代の多くの組織にとって、データは主要な商品と見なされており、その保護のためにデータ・プライバシーが極めて重要です。サイファーパンク運動とデータの商品化は、暗号学的プリミティブの研究と発展を加速させました。
暗号学は非常に広範な分野ですが、計算の文脈で捉えると、ゼロ知識証明、準同型暗号、シークレットシェアリングなど、1960年代以降継続的に改善されてきたさまざまなスキームが存在することがわかります。これらのスキームはプライベートな計算方法を解き放つ上で不可欠です(データが主要商品である理由は、そこからインサイトを生成できるためです)。今日まで、マルチパーティ計算(MPC)やゼロ知識証明(ZK)においてプライベート計算分野は著しい進展を見せましたが、入力データ自体のプライバシー問題は依然として残っています。
最も重要な商品が公開されている状態では、法的合意なしにデータ所有者がその計算処理を外部に委託することは極めて困難です。現在、誰もがHIPAA(医療データ向け)やGDPR(欧州地域のデータ・プライバシー専用)といったデータ・プライバシーのコンプライアンス基準に依存しています。
ブロックチェーン分野では、規制当局よりも技術そのものの整合性を信じます。許可不要かつ所有権最大化を信奉する者として、ユーザーがデータの未来を所有すると信じるのであれば、それらのデータに対して信頼不要な計算方法が必要です。2009年にCraig Gentryの研究が登場するまで、暗号化されたデータ上で計算を行うという概念には突破口がありませんでした。彼が初めて、暗号文(つまり暗号化されたデータ)上で加算および乗算といった計算を実行することに成功したのです。
1. 完全準同型暗号 (FHE) の仕組み
では、入力内容を知ることなく計算を実行できるこの「魔法のような数学」とは何なのでしょうか?
完全準同型暗号(FHE)とは、データを復号せずに暗号化されたデータ(暗号文)上で計算を可能にする一連の暗号方式であり、プライバシーやデータ保護における幅広いユースケースを開きます。
FHEのプロセスでは、データを暗号化する際に「ノイズ」と呼ばれる余分なデータが元のデータに付加されます。これが暗号化の本質です。
各準同型計算(加算または乗算)を実行するたびに、さらにノイズが追加されます。計算が複雑になりすぎると、毎回ノイズが蓄積され、最終的に暗号文を復号することが非常に困難になります(計算負荷が非常に高くなる)。このプロセスはノイズが線形に増加する加算には適していますが、乗算ではノイズが指数関数的に増加するため、複雑な多項式乗算を行うと出力を復号することが極めて難しくなります。
もしノイズが主な課題であり、その増大によってFHEが使いにくくなってしまうなら、これを制御する必要があります。そこで「ブートストラップ(Bootstrapping)」という新たなプロセスが生まれました。ブートストラップとは、新しい鍵を使って暗号化されたデータを再び暗号化し、暗号化されたまま復号するプロセスです。これは非常に重要で、計算コストと最終出力の復号コストを大幅に削減できます。ただし、ブートストラップは最終的な復号コストを減らす一方で、プロセス中に大量の演算オーバーヘッドを生じます。これは高価であり、時間もかかります。

現在の主なFHE方式には、BFV、BGV、CKKS、FHEW、TFHEがあります。TFHEを除き、これらはすべて論文著者の名前に由来する略称です。
これらを一つの国の中で話される異なる言語だと考えてください。それぞれが異なる最適化を目的としています。理想はこの国を統一すること、つまりすべての言語を同じマシンが理解できるようにすることです。多くのFHEワーキンググループが、こうした異なる方式間の相互運用性(コンポーザビリティ)の実現を目指して取り組んでいます。SEAL(BFVとCKKSを組み合わせる)やHElib(BGV+近似数CKKS)などのライブラリは、FHE方式や異なる計算の組み合わせを実現するのに役立ちます。例えばZamaのConcreteライブラリは、TFHE向けのRustコンパイラです。
2. FHE方式の比較
以下は、Charles Gentry、Dimitris Mouris、Nektarios Georgios Tsoutsosによる論文『SoK: New Insights into Fully Homomorphic Encryption Libraries via Standardized Benchmark』(2022年)における、異なるライブラリのパフォーマンス比較です。

Web3 ユースケース
今日、我々がブロックチェーンやアプリケーションを利用する際、すべてのデータは公開されており、誰でも閲覧可能です。これは多くのユースケースに有利ですが、デフォルトでプライバシーまたはデータ機密性が必要なユースケース(例:機械学習モデル、医療データベース、ゲノミクス、プライベート金融、改ざん防止ゲームなど)は大きく制限されています。FHE対応のブロックチェーンや仮想マシンは、チェーン全体の状態を初めから暗号化することを可能にし、暗号化されたデータ上で任意の計算を実行しながらプライバシーを確保します。FHE対応ネットワーク上で保存・処理されるすべてのデータは本質的に安全です。ZamaはfhEVMというスキームを持っており、完全準同型環境でのEVM計算を可能にします。これにより、このライブラリを使って構築されたL1/L2プロジェクトは実行レイヤーでプライバシーを確保できます。プライバシー・チェーンは確かに優れた技術ですが、採用率やトークンのパフォーマンスは顕著に向上していません。
汎用計算の外部委託に関して、FHE自体はZKやMPCを置き換えるものではなく、むしろ互いに補完し合い、信頼不要なプライベート計算の巨大プラットフォームを創出します。例えば、Sunscreenは「プライバシー・エンジン」の構築を目指しており、任意のブロックチェーンアプリケーションがFHE計算環境に計算を委託し、結果をフィードバックできるようにします。得られた計算結果はZK証明によって検証可能です。Octraも同様のことを目指していますが、hFHEと呼ばれる別のタイプの暗号方式を使用しています。
ZK証明は、データを開示せずに何かを証明するのに優れていますが、証明者はある時点でデータにアクセスできてしまいます。ZK証明はプライベートデータの計算には使えず、特定の計算が正しく行われたかどうかを検証するだけです。
MPCは、暗号化されたデータの計算を複数のマシンに分散し、並列に処理を行い、最終的な結果を統合します。計算を行うマシンの過半数が誠実であれば、元のデータは復元できませんが、これは依然として信頼前提です。MPCでは参加者間の継続的な通信が必要(データの分割、計算、再結合が繰り返される)ため、ハードウェアによるスケーリングが困難です。
一方、FHEではすべての計算が暗号化されたデータ上で行われ、データを復号する必要はなく、単一サーバー上でも実行可能です。FHEのパフォーマンスは、より良いハードウェア、より多くの計算資源、ハードウェアアクセラレーションによって拡張できます。
現在、ブロックチェーン分野におけるFHEの最適なユースケースは、内蔵FHE L1/L2の構築よりもむしろ、汎用計算の外部委託にあります。以下はFHEが開く可能性のある興味深いユースケースです:
-
第一世代(暗号ネイティブ):オンチェーンDID、カジノ、ベッティング、投票、ゲーム、Private DeFi、プライベートトークン、ダークプール、2段階認証(2FA)、バックアップ、パスワード管理。
-
第二世代(モジュラー):「プライバシー・チェーン」(Chainlink for privacy)、プライベート計算の外部委託、ブロックチェーンおよび契約間のエンドツーエンド暗号化、暗号化されたデータ可用性、検証可能な安全なデータストレージ。
-
第三世代(エンタープライズ級):複雑な消費者向けアプリ、暗号化・分散型LLM、人工知能(AI)、ウェアラブルデバイス、通信、軍事、医療、プライバシー保護型決済ソリューション、Private P2P支払い。
FHEベースの現在の業界プロジェクト
完全準同型暗号(FHE)の発展は、データのプライバシーとセキュリティを強化する革新的なブロックチェーンプロジェクトを多数生み出しました。本セクションでは、Inco、Fhenix、Zamaといった注目すべきプロジェクトの技術的詳細と独自のアプローチについて深掘りします。
Inco

Incoは、FHEとブロックチェーンの統合において先駆的な存在であり、データ計算を安全かつ私的に行えるプラットフォームを構築しています。Incoは格子ベース(lattice-based)の暗号技術を用いてFHEスキームを実装し、暗号文(暗号化されたデータ)に対する操作を平文を露出させることなく可能にします。このプラットフォームはプライバシー保護型スマートコントラクトをサポートし、ブロックチェーン上で直接暗号化データを処理できます。
-
格子ベースFHE:Incoは後方量子安全性を持つことで知られる格子ベース暗号をFHE実装に利用し、将来の量子攻撃に対しても耐性を持つよう保証します。
-
プライバシー保護スマートコントラクト:Incoのスマートコントラクトは暗号化された入力に対して任意の関数を実行でき、コントラクト自体や実行ノードが平文データにアクセスできないことを保証します。
-
ノイズ管理とブートストラップ:準同型操作中のノイズ増加に対処するため、Incoは効率的なブートストラップ技術を導入し、複雑な計算中でも復号性を維持しつつ暗号文を「リフレッシュ」します。
Fhenix

Fhenixは、プライバシー保護アプリケーション向けの堅牢なインフラを提供することに焦点を当てており、FHEを利用してユーザーのデータを守るエンドツーエンド暗号化ソリューションを提供します。Fhenixのプラットフォームは、安全なメッセージングからプライベート金融取引まで幅広い用途をサポートし、すべての計算プロセスを通じてデータのプライバシーを確保します。
-
エンドツーエンド暗号化:Fhenixは、入力から処理・保存に至るまでデータが常に暗号化された状態を維持します。これはFHEと安全なマルチパーティ計算(SMPC)技術の組み合わせによって実現されています。
-
効率的な鍵管理:Fhenixは高度な鍵管理システムを統合し、安全な鍵の配布とローテーションを容易にします。これはFHE環境下での長期的なセキュリティ維持に不可欠です。
-
スケーラビリティ:プラットフォームは最適化された準同型操作と並列処理を用いて大規模計算を効率的に処理し、FHEの主要な課題の一つに対応します。
-
コプロセッサ:Fhenixはまた、FHE計算を高速化する専用コプロセッサの開発を先導しています。これらのコプロセッサはFHEに必要な重い数学演算を専門に処理し、プライバシー保護アプリケーションのパフォーマンスとスケーラビリティを大幅に向上させます。
Zama
ZamaはFHE分野のリーディングカンパニーであり、fhEVMスキームの開発で知られています。このスキームにより、完全準同型環境でEVM計算を実行でき、このライブラリを使って構築されたL1/L2プロジェクトが実行レイヤーでプライバシーを確保できます。
-
fhEVMスキーム:ZamaのfhEVMはFHEをイーサリアム仮想マシン(EVM)と統合し、暗号化されたスマートコントラクトの実行を可能にします。これにより、イーサリアムエコシステム内で機密性のある取引と計算が可能になります。
-
Concreteライブラリ:ZamaのConcreteライブラリは、TFHE(FHEの一種)向けのRustコンパイラです。このライブラリは準同型暗号スキームの高性能な実装を提供し、暗号化計算をより効率的にします。
-
相互運用性:Zamaは既存のブロックチェーンインフラとシームレスに連携できるソリューションの構築を目指しています。これにはさまざまな暗号プリミティブやプロトコルのサポートが含まれ、広範な互換性と容易な統合を保証します。
3. FHEがCryptoおよびAIインフラ・アプリケーションにおいて果たすキーロール
今日、暗号学と人工知能(AI)の交差点は急速に活発化しています。この交差点に深入りはしませんが、新モデルやデータセットの革新は複数の参加者によるオープンソース協力によって推進されることに留意すべきです。計算だけでなく、最終的に最も重要なのはデータそのものです。この協力パイプラインにおいてデータが最も重要な要素です。AIアプリケーションやモデルの有用性は、基礎モデル、ファインチューニングモデル、AIエージェント whichever にせよ、訓練に使われたデータに依存します。こうしたデータの安全性と機密性を保つことで、オープンソース協力のための巨大な設計空間が開かれ、同時にデータ所有者が訓練済みモデルや最終アプリから継続的に収益を得られるようになります。もしデータが本質的に公開されていれば、貨幣化は困難(誰でも価値あるデータセットにアクセスできるため)となり、データは厳重に保護されがちです。
このような状況下で、FHEは極めて重要な役割を果たすことができます。理想状態では、基盤となるデータセットを開示せずにモデルを訓練でき、データセットの貨幣化を可能にし、データ所有者間のオープンソース協力を大きく促進するかもしれません。

出典: Bagel Network
FHEがどのようにプライバシー保護機械学習(PPML)を強化するか
-
データプライバシー:FHEを利用することで、医療記録、財務情報、個人識別子といったセンシティブデータをMLモデルへの入力前に暗号化できます。これにより、計算環境が侵害された場合でもデータは機密性を保ちます。
-
安全なモデル訓練:MLモデルの訓練には通常大量のデータが必要です。FHEを使えば、これらのデータを暗号化したまま訓練が可能となり、極めてセンシティブな情報を扱い、厳格なデータ・プライバシー規制に縛られる業界にとって不可欠です。
-
機密推論:訓練に加え、FHEは推論時にも暗号化を可能にします。つまり、モデルの訓練が完了した後でも、暗号化された入力に対して予測を行うことができ、推論プロセス全体でユーザーのデータをプライベートに保てます。
FHEのPPML応用分野:
-
医療:プライバシーを守ったままMLモデルを訓練することで、患者の機微情報を暴露せずに、よりパーソナライズされ効果的な治療につながる可能性があります。
-
金融:金融機関はFHEを使って暗号化された取引データを分析し、不正検出やリスク評価を実行しつつ、顧客のプライバシーを保持できます。
-
IoTおよびスマートデバイス:デバイスはデータを暗号化された形で収集・処理でき、位置情報や使用パターンといったセンシティブ情報を機密に保てます。
FHEの課題:
前述の通り、FHE方式間に「統一」はありません。方式間は相互運用できず、異なる種類の計算には異なるFHE方式を組み合わせる必要があることも多く、同一計算に対して異なる方式を試すプロセスも非常に面倒です。CHIMERAフレームワークの開発が進められており、TFHE、BFV、HEAANといった異なるFHE方式間の切り替えを可能にしようとしていますが、現時点ではまだ実用に遠く及ばない状態です。次に挙げられるのはベンチマークの欠如です。ベンチマークは開発者の技術採用にとって極めて重要であり、多くの開発者の時間を節約できます。計算オーバーヘッド(暗号化、復号、ブートストラップ、鍵生成など)を考慮すると、既存の汎用ハードウェアの多くはあまり適していません。何らかのハードウェアアクセラレーション、あるいはFHEの主流化に向けて専用チップ(FPGAおよび/またはASIC)の作成が必要になるでしょう。こうした課題はZK(ゼロ知識)業界の問題と比較できます。この分野に賢い数学者、応用科学者、エンジニアたちが引き続き関心を持ち続ければ、FHE(プライバシー)とZK(検証可能性)の両分野は今後も成長していくと考えられます。
4. FHEが導く未来とは
いずれか一つのFHE方式がすべてを支配する日が来るでしょうか?業界ではまだ議論が続いています。理想的には統一方式があるのが望ましいものの、異なるアプリケーションの多様なニーズを考えると、特定タスクに最適化された専門スキームの必要性は常にあるかもしれません。方式間の相互運用性こそが最良の解決策でしょうか?相互運用性は実用的なアプローチであり、多様な計算ニーズに柔軟に対応しつつ、各方式の長所を活かせる可能性があります。
FHEはいつ使えるようになるのか?その可用性は、計算オーバーヘッドの削減、ベンチマーク基準の改善、専用ハードウェアの開発進展と密接に関連しています。これらの分野での進展に伴い、FHEはよりアクセスしやすく、実用的になっていくでしょう。
まとめると、FHEはデータプライバシー保護と安全な計算を提供する強力なツールです。現時点では相互運用性、計算オーバーヘッド、ハードウェアサポートといった課題がありますが、ブロックチェーン、プライバシー保護機械学習、より広範なWeb3アプリケーションにおけるFHEの潜在能力は無視できません。技術の継続的な進化と革新とともに、FHEは将来のプライバシー保護と安全な計算の分野で中心的な役割を果たすことが期待されます。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News












