## 暗号化 安全のため、[[Obsidian Syncの紹介|Obsidian Sync]]は[[ローカルとリモートの保管庫|リモート保管庫]]とObsidianサーバーとのすべての通信を暗号化します。 新しいリモート保管庫を作成する際、2つのオプションがあります： - **エンドツーエンド暗号化（デフォルト）**は最も強力なセキュリティを提供しますが、暗号化パスワードを安全に保管する必要があります。これにより、Obsidianチームを含め、誰もあなたのノートにアクセスできないことが保証されます。 - **標準の暗号化**は、Obsidianが管理する暗号化キーを使用して、転送中およびサーバー上でデータを保護します。 すべてのユーザーにエンドツーエンド暗号化をお勧めします。これが最もプライベートで安全なオプションです。ただし、暗号化パスワードを忘れたり紛失したりすると、データは永久に暗号化されたまま使用不能になりますのでご注意ください。パスワードや暗号化されたデータを復元することはできません。 この選択はリモート保管庫にのみ影響します。Obsidianはローカル保管庫を暗号化しません。 ### エンドツーエンド暗号化とは何ですか？ エンドツーエンド暗号化とは、データがデバイスから離れた瞬間に暗号化され、あなたのデバイスに戻ったときにのみ暗号化キーを使って復号できることを意味します。 私たちはあなたのデータを読むことができません。インターネットサービスプロバイダーなどの潜在的な盗聴者も同様です。 万が一サーバーが完全に侵害された場合でも、あなたのデータは暗号化されたままです。パスワードを知らない限り、誰もファイルを復号できません。 ### 標準の暗号化を使用するリスクは何ですか？ 標準の暗号化はエンドツーエンド暗号化よりも根本的にセキュリティが低いですが、同期するデータが完全にプライベートである必要がない場合には便利なオプションです。例えば、同期する保管庫がこのヘルプサイトのように[[Obsidian Publishの概要|公開]]されている場合、エンドツーエンド暗号化は必要ありません。 標準の暗号化は、Google Docs、Dropbox、iCloud（高度なデータ保護なし）などのクラウドストレージ企業やSaaSプラットフォームが使用しているのと同じ暗号化方式です。暗号化キーはアプリによって生成され、転送中およびサーバー上でデータを保護するために使用されます。暗号化キーは企業のサーバーに保存されるため、例えば企業が捜査令状の対象となった場合や、Webブラウザ経由でデータにアクセスしたい場合に、データの復号に使用される可能性があります。 エンドツーエンド暗号化は、Obsidianがあなたのデータにアクセスできないことを保証するものであり、完全にプライベートで安全に保ちたいデータの同期には常にエンドツーエンド暗号化を使用すべきです。 ### どのような暗号化を使用していますか？ データセキュリティのため、業界標準の暗号化プロトコルを実装しています。具体的には、オンラインバンキングなどのコンテキストで広く使用されている最強の暗号化標準である[AES-256](https://www.nist.gov/publications/advanced-encryption-standard-aes-0)を使用しています。暗号化プロセスには以下の技術的な詳細が含まれます： - **鍵導出関数：** ソルト付き[scrypt](https://en.wikipedia.org/wiki/Scrypt) - **暗号化アルゴリズム：** [Galois/Counter Mode (GCM)](https://en.wikipedia.org/wiki/Galois/Counter_Mode)を使用したAES-256 ### データがエンドツーエンド暗号化されていることを確認できますか？ はい。ガイド「[Obsidian Syncのエンドツーエンド暗号化を検証する方法](https://obsidian.md/ja/blog/verify-obsidian-sync-encryption/)」をご覧ください。このガイドでは、Syncサーバーを介してデータが送受信される際のエンドツーエンド暗号化を、信頼に依存せずに検証するための手順を説明しています。 ### Obsidianは第三者によるセキュリティ監査を受けていますか？ はい。Obsidianは独立した監査を受けています。監査レポートを確認するには、[セキュリティページ](https://obsidian.md/ja/security)をご覧ください。第三者のセキュリティ企業による定期的な監査により、Obsidianのコードと手順が最高のセキュリティ基準を満たしていることが保証されています。 ### 暗号化パスワードを忘れた場合はどうなりますか？ 暗号化パスワードを紛失または忘れた場合、追加の保管庫をリモート保管庫に接続できなくなります。暗号化パスワードはどこにも保存されていないため、永久に失われます。 ただし、データは通常、各デバイスのローカルに安全に保存されています。 Obsidian Syncを引き続き使用するには、新しいデバイスをSyncシステムに追加できるように完全な再セットアップを行うことをお勧めします： 1. 万が一に備えて、プライマリデバイスで保管庫の完全なバックアップを作成します。これは保管庫フォルダのコピーを作成するか、保管庫からzipファイルを作成するだけで十分です。 2. 各デバイスでリモート保管庫を切断します。**[[設定]] → 同期 → リモート保管庫を選択 → 接続を切る**から行えます。 3. 同じ設定ページから、プライマリデバイスで[[Obsidian Syncのセットアップ#新しいリモート保管庫の作成|新しいリモート保管庫を作成]]します。オプションとして、どのみちパスワードがわからない以前のリモート保管庫を削除することもできます。（[[よくある質問#リモート保管庫はいくつ持てますか？|保管庫の上限]]に達している場合は、以前のリモート保管庫を削除する必要があるかもしれません） 4. プライマリデバイスが同期するのを待ちます。画面右下の同期インジケーターが緑色のチェックマークを表示するまで確認してください。 5. 各デバイスを同じ新しく作成したリモート保管庫に接続します。接続時に保管庫の統合に関する警告が表示されますが、これは想定通りですので実行してください。次のデバイスに移る前に、各デバイスが完全に同期するのを待ちます。これにより問題が発生する可能性が減ります。 6. これですべてのデバイスが新しいリモート保管庫に接続されたはずです。 ## ホスティング ### Obsidian Syncのサーバーはどこにホスティングされていますか？ [DigitalOcean](https://www.digitalocean.com)を利用したデータセンターは、以下のロケーションで地域別のリモート保管庫ホスティングオプションを提供しています： > [!abstract] Syncリージョン > **自動**：最初のセットアップ時のIPロケーションに基づいてデータセンターが選択されます。 > > **アジア**：シンガポール > **ヨーロッパ**：フランクフルト、ドイツ > **北米**：サンフランシスコ、アメリカ > **オセアニア**：シドニー、オーストラリア ^sync-geo-regions ### 現在のSyncサーバーとそのホスティング場所はどこで確認できますか？ Obsidian Syncサーバーを確認するには、以下の手順に従ってください： 1. **[[設定]]** → **同期** → **デバッグ情報をコピー**に移動します。 2. コピーした情報をノートまたはファイルに貼り付けます。 3. 次のような行を探します：`Host server: wss://sync-xx.obsidian.md` この行は、リモート保管庫がホスティングされているサーバーを示しています。サーバーのロケーションと稼働状況の詳細については、[ステータスページ](https://status.obsidian.md/)をご覧ください。 ## ネットワークとアクセス ### ネットワーク上のObsidian Syncへのアクセス管理 ネットワーク上のObsidian Syncへのアクセスを制御するには、以下のドメインを管理する必要があります： `sync-xx.obsidian.md` この場合の`xx`は`1 - 100`の範囲の数字を表します。 > [!tip] ファイアウォールシステムがサポートしている場合は、サブドメイン番号の継続的な増加に対応するため、`sync-*.obsidian.md`をホワイトリストに登録することをお勧めします。 ## 制限事項 Obsidian Syncはノートをプライベートかつ安全に保つように設計されています。デバイス間で高速かつ信頼性の高い同期と効率的なストレージを提供するため、暗号化の適用方法において意図的なトレードオフを行っています。 ### 決定論的ファイルハッシュ暗号化 ファイルハッシュは決定論的に暗号化されます。同じファイル内容を同じ暗号化キーとソルトで暗号化すると、サーバー上で常に同じ暗号化ハッシュが生成されます。これにより、Syncは重複を検出し、同一データの再アップロードや再保存を回避できるため、帯域幅とリモートストレージを節約できます。特にバージョン履歴や大きなファイルが繰り返される場合に効果的です。 ただし、攻撃者がSyncサーバーを侵害し、ユーザーに任意のファイルをアップロードさせる別の手段を持っている場合、攻撃者はユーザーに特定のファイルをアップロードさせ、そのファイルがユーザーが以前アップロードしたファイルと一致するかどうかを判定できる可能性があります。 ### パスとコンテンツ間の暗号学的バインディングなし 一部のメタデータはエンドツーエンド暗号化されていません。具体的には、どのデバイスがファイルをアップロードまたは削除したか、いつアップロードされたか、そして暗号化されたファイルパスと暗号化されたコンテンツ間の*マッピング*です。このデータはサーバーが変更をルーティングし、ファイルのバージョン履歴を決定し、デバイス間の同期を維持するために、サーバーが読み取れるようになっています。 Syncサーバーが侵害された場合、攻撃者がこのマッピングを改ざんし、ある暗号化ファイルのコンテンツが異なるファイルパスの下で配信される可能性があります。これはプレーンテキストデータを露出するものではなく、データは暗号化されたままです。