Zama 機密性ブロックチェーン・プロトコル ライトペーパー

ブロックチェーンの機密性のジレンマ

なぜブロックチェーンが必要なのでしょうか？この問いは、分散型アプリケーション（dApps）の構築を議論するときにしばしば出てきます。結局のところ、私たちが今日使っているものの大半はブロックチェーンを前提としておらず、それでも十分に機能しています。とはいえ、第三者を盲目的に信頼して誤るコストがあまりに高い用途もあります。たとえば金融資産、アイデンティティ、ガバナンスを扱う場合です。そうした場面では、消費者や企業は提供されるサービスが正しく実行されるという強固な保証を求め、サービス提供者はユーザーが主張する資産やデータを使用する正当な権利を持つことを確かめたいと考えます。

ブロックチェーンは、リクエストがあらかじめ定められたロジックに従って実行され、システム全体の結果としての状態が正しいことを、誰もが公開的に検証できるようにすることで、この問題を解決します。トランザクションの完全性はブロックチェーン自体によって保証されるため、サービス提供者とその顧客は互いを信頼する必要がなくなります。

しかし、公開検証可能性には大きな問題がひとつあります。それは、検証可能性を成り立たせるために、すべてのトランザクションやデータを誰に対しても開示する必要がある、ということです。機密性の欠如は、ブロックチェーンの世界的な普及を大きく妨げてきました。というのも、本来ブロックチェーンが扱うべきデータ（お金、アイデンティティなど）は、その性質上きわめてセンシティブだからです。機密性がなければ、ブロックチェーンは大規模な普及には到達できません。

Zama 機密性ブロックチェーン・プロトコル

Zama機密性ブロックチェーン・プロトコル（または単にZamaプロトコル）は、既存のパブリックブロックチェーン上で、資産の発行・管理・取引を機密性を保ったまま可能にします。これは現時点で最も先進的な機密性プロトコルであり、次の特徴を提供します。

• トランザクション入力と状態のエンドツーエンド暗号化：ノードオペレーターでさえデータを見ることはできません。

• 機密性コントラクト間、ならびに非機密コントラクトとのコンポーザビリティ。開発者は他のコントラクト、トークン、dAppsの上に構築できます。

• プログラマブルな機密性：スマートコントラクトが「誰が何を復号できるか」を定義するため、開発者はアプリケーション内の機密性ルールを完全に制御できます。

Zamaプロトコルは新しいL1やL2ではなく、既存チェーンの上に位置するクロスチェーンの機密性レイヤーです。そのため、ユーザーは新しいチェーンへブリッジする必要がなく、任意の場所から機密性dAppsとやり取りできます。

このプロトコルはZamaの最先端の完全準同型暗号（FHE）技術を活用しており、暗号化されたデータ上で直接計算を可能にします。FHEは、オンチェーンでもオフチェーンでもあらゆるアプリケーションにエンドツーエンド暗号化をもたらすことから、長らく暗号分野の「聖杯」と見なされてきました。私たちは、インターネットが HTTPによる暗号化ゼロから、HTTPSによる転送中データの暗号化へ進化したのと同様に、次の自然なステップは FHEを用いてすべてのアプリケーションでデフォルトのエンドツーエンド暗号化を実現することだと考えています。これを私たちは HTTPZと呼びます。

しかしごく最近まで、FHEはあまりに遅く、対応できるアプリケーションの範囲も限定的で、開発者にとって扱いづらいものでした。これは、私たち Zamaのチームが過去5年間取り組んできた課題です。現在、私たちは Solidityや Pythonといった一般的なプログラミング言語を用いてあらゆる種類のアプリケーションをサポートでき、5年前と比べて100倍以上高速な、高効率の FHE技術を有しています。重要なのは、Zamaの FHE技術はすでにポスト量子暗号（耐量子性）であり、これを破る既知の量子アルゴリズムは存在しないという点です。

Zamaプロトコルで用いられる中核技術は FHEですが、他の機密性ソリューションの欠点に対処するために、マルチパーティ計算（MPC）およびゼロ知識証明（ZK）も活用しています。

• FHEは、完全な公開検証可能性を保ちながら機密性を実現します（誰でも FHE演算を再計算して検証できます）。GPUの活用により、まもなく毎秒100件超のトランザクションへスケール可能になり、さらに専用ハードウェアアクセラレータ（FPGAおよび ASIC）により、毎秒数千トランザクションまで拡張できます。

• MPCはグローバルネットワーク鍵を分散化し、単一の当事者がそれにアクセスできないようにします。鍵生成とユーザー向けのデータ復号にのみ MPCを用いることで、レイテンシと通信を最小化し、プライベート計算そのものに MPCを用いる場合と比べて、はるかにスケーラブルかつ分散的になります。

• ZKは、ユーザーが提供する暗号化入力が実際に正しく暗号化されていることを保証します。この特定の目的にのみ ZKを用いることで、ZK証明は軽量になり、ブラウザやモバイルアプリでも低コストで生成できます。

以下の表は、機密性ブロックチェーン・プロトコルで用いられる他技術と比べた場合の、Zamaプロトコルの優位性をまとめたものです。

ロードマップ

Zamaプロトコルは、Zamaで行われてきた長年の研究開発の成果を活用しています。テストネットはすでに稼働しており、メインネットは2025年、TGEは年末に予定されています。タイムラインは次のとおりです。

• パブリックテストネット（開催中）。このテストネットにより、誰でも機密性 dAppsをデプロイしてテストでき、ノードオペレーターが連携し、運用に慣れることができます。

• Ethereumメインネット（2025年第4四半期）。Ethereumに機密性をもたらす初の公式メインネットとなります。

• その他のEVMチェーン（2026年上半期）。クロスチェーンの機密性資産とアプリケーションを実現するため、Zamaプロトコルにさらに多くのEVMチェーンを追加します。

• Solanaサポート（2026年下半期）。当初のEVMのみ対応フェーズの後、Zamaプロトコルを Solana上に展開し、機密性SVMアプリケーションを可能にします。

ユースケース

機密性スマートコントラクトは、ブロックチェーンアプリケーションに新たな設計の可能性を切り開きます。特に金融、アイデンティティ、ガバナンスに適用した場合に顕著です。Web2を見れば、ほとんどのアプリケーションはすべてのデータを公開で共有していないのは明らかであり、機密性がもはや障害ではなくなった今、ブロックチェーンアプリケーションの大多数はこれから構築されていく可能性が高いと言えます。

以下にいくつかのユースケース例を示します。

ファイナンス

• 機密性ペイメント。ステーブルコインはブロックチェーンにおける最も成功したユースケースの一つで、年間取引高は数兆規模に上ります。クレジットカード決済から給与、送金、バンキングレールに至るまで、あらゆるものがいまオンチェーンへ移行しつつあります。しかし、絶対的に重要な要件の一つが機密性とコンプライアンスです。FHEとZamaプロトコルのおかげで、これらはすでに実現可能です：残高と送金額はエンドツーエンドで暗号化されたまま保たれ、支払い事業者はコンプライアンス機能をトークンコントラクトに直接組み込むことができます。機密性かつコンプライアンス準拠の決済についての詳細はこちらをご覧ください。

• トークン化と RWA。金融資産のトークン化は、大手機関によるブロックチェーン採用の主要な原動力の一つです。ファンド持分から株式、債券、デリバティブに至るまで、最大で100兆ドル規模の資産がオンチェーンへ移行し得ます。しかし機密性とコンプライアンスの問題により、TradFi（伝統的金融機関）はプライベートブロックチェーンに依存せざるを得ず、機関間の相互運用性を確保することが難しくなっていました。Zamaプロトコルを用いれば、EthereumやSolanaといった既存のパブリックブロックチェーンを使って資産をトークン化・取引しつつ、活動や投資家のアイデンティティを機密に保てます。また、センシティブな情報を他者に開示することなく、KYC/AMLチェックをスマートコントラクト内で直接実施できます。このユースケースの詳細は、Zamaの技術を用いて PoCを構築したJP Morgan - Kynexisのレポートをご覧ください。

• 機密性 DeFi。DeFiは、誰もが参加して利回りを得られるようにすることで金融を再定義しましたが、2つの大きな問題を抱えています。人々は自分の保有額を共有したがらないこと、そしてボットによるフロントラン（先回り）によって、エンドユーザーがオンチェーンで資産をスワップするコストが高くなることです。FHEは、数量や（場合によっては）資産自体を常に非公開に保つエンドツーエンド暗号化スワップを可能にすることで、これら両方の問題を解決できます。その他のユースケースとしては、機密性レンディング、オンチェーン信用スコアリング、オプション価格付けなどがあります。

トークン

• 封印入札オークション。NFTやトークンといった資産を、オンチェーンの封印入札オークションで販売します。各参加者は暗号化された入札額をオンチェーンに提出します。オークション終了時、入札を明らかにすることなく、最高入札者がアイテムを獲得します。これは価格発見を改善するだけでなく、メンプールを監視してオークションを横取りするボットも防ぎます。パブリックなトークンセールに特に有効な方法です。

• 機密性配布。現在のトークン配布では、各アドレスが受け取る数量を公開する必要があります。エアドロップ、助成金、投資家、開発者向けの配布いずれの場合でも、配布量を非公開に保つことはオンチェーンのプライバシーとセキュリティにとって最重要です。FHEを用いれば、プロトコルはトークンを機密性を保って配布し、暗号化されたトークン上でベスティングを実行し、機密性ステーキングを可能にするなど、さまざまなことが実現できます。

アイデンティティとガバナンス

• コンポーザブルなオンチェーン・アイデンティティ。オフチェーンでは、オンラインでの商品の購入から航空券の予約に至るまで、私たちは常にアイデンティティを使っています。これをオンチェーンで行うと、氏名、住所、社会保障番号などの機微情報が漏えいしてしまいます。しかし FHEを用いれば、オンチェーン上に完全なDID(分散型ID) + VC*(検証可能なクレデンシャル)システムを構築でき、アイデンティティを暗号化したまま、分散型アプリケーション（dApps）と完全にコンポーザブルにできます。アカウント抽象化と同様に、いまやアイデンティティ抽象化も実現できます。これは、スマートコントラクトが主張を分散的かつプライベートな方法で検証できるため、オンチェーン決済やトークン化におけるコンプライアンスにとっても不可欠です。

• 機密性ガバナンス。DAO、企業、政府のいずれであっても、オンチェーン投票のアイデアはブロックチェーンの誕生以来ずっと模索されてきました。しかし投票をオンチェーンで公開すると、バイアス、脅迫、買収につながり得ます。FHEを使えば、投票（およびステークされたトークン数）を非公開に保ち、公開されるのは最終的な集計結果のみで、個々の投票内容は明かされません。

その他の例

• オンチェーン企業。機密性の担保がなければ、オンチェーンで企業を運営することは不可能でしょう。実際、資本構成表、財務情報、取締役会の投票、顧客情報、従業員名簿といった情報は公開すべきではありません。FHEを用いれば、こうした情報をすべてオンチェーンに保持しつつ、スマートコントラクトで日々の会社運営の多くを自動化できます。

• 予測市場。予測市場は「集合知」の考え方に基づき、多数の人々の平均的な予測が正解に近づく傾向を利用します。ただし、参加者が先行する予測に影響されない場合にのみうまく機能します。Zamaプロトコルは、予測が定期的に開示されるまで暗号化されたままの予測市場を実現し、結果の精度向上につなげます。

• AI向けデータ・マーケットプレイス。AIはデータを糧とします。FHEを使えば、ユーザーは学習を望む企業に対して自分のデータを選択的に共有・販売できます。さらに、モデルを暗号化状態のまま学習し、結果だけを復号することも潜在的に可能になり、データを一度だけ売って永遠に使われるのではなく、ユーザーが継続的な収益を得られるようにできます。

これらは、今日すでに実現可能な例のほんの一部にすぎません。私たちは、Zamaのプロトコルを通じて FHEが前例のない流動性をもたらし、ユーザーや企業がオンチェーンへ移行できるようになると考えています。時間の経過とスケールに伴い、金融・アイデンティティ基盤、選挙、通貨、税、土地・自動車・企業の登記を含む、企業、都市、さらには国家全体をオンチェーンで運営することさえ可能になるでしょう。機密性ブロックチェーンはプログラマブルなマネーを可能にするだけではありません。プログラマブルな公共インフラを可能にします。

機密性アプリケーションの構築

既存ソリューションで機密性dAppを構築するには、多くの場合、新しい（ニッチな）プログラミング言語の学習、専用（しかも多くの場合制限の多い）開発ツールの使用、そして高度な暗号の概念の習得が必要です。

一方、Zamaプロトコルなら、暗号の知識が一切なくてもSolidityだけで機密性dAppを直接作成できます。開発者は単に当社のライブラリ（FHEVMと呼ばれます）をインポートし、提供される演算子を使ってロジックを書くだけです。こちらの開発者ドキュメントを参照すれば、今日から無料で始めることができます。

以下は、Ethereumなどのサポート対象チェーンならどれにでもデプロイできる、機密性トークンコントラクトの例を示しています。

整数演算を FHEの同等演算に置き換え、続いて誰が残高を復号できるかを指定するだけです。もちろん、開発者は AMMやレンディングなど、より複雑なアプリケーションも構築できます。スマートコントラクト・ライブラリに加えて、クライアント側での暗号化・復号を簡素化する JavaScript SDKも提供しており、エンドユーザーからはほとんど見えません。

Zamaプロトコルで用いられるアクセス制御システムは非常に強力です。コントラクトが内部のどの値を誰が復号できるかを定義できるようにすることで、機密性（およびコンプライアンス）を完全にプログラマブルにします。プロトコルレベルやユーザーレベルでの前提は一切なく、すべてはアプリケーションロジック自体にエンコードされています。これにより、企業はエンドツーエンド暗号化（＝誰も何も見られない。dAppを構築する企業でさえデータを見ない）か、オンチェーン暗号化（＝Web2型モデル。ユーザーとサービス提供者だけがデータを見られ、オンチェーン上の他者は見られない）かを選択できます。

Zamaプロトコルで使用される FHEVMライブラリは、以下の暗号化データ型と演算をサポートしています：

dAppのデプロイを容易にするため、「Zama Standard Library」も構築しています：一般的なユースケース向けに監査済みで高性能に最適化されたスマートコントラクト群です。例えば次のような用途に対応します：

• 機密性トークンとRWA

• 機密性NFT

• 機密性資産と従来資産をブリッジするためのラッパー

• オンチェーンで DID/VCを可能にする機密性アイデンティティ・スタック

• UniV2スタイルの機密性 AMM

• 機密性ベスティング

• 機密性エアドロップ

• 封印入札方式オークション

• 機密性ガバナンス

新たなユースケースの出現に応じて、今後も追加していきます。

技術詳細

ブロックチェーンは通常、限られた計算のみをサポートしているため、Ethereumやその他のL1/L2でFHEをネイティブに実行することは不可能です。この問題に対処するために、シンボリック実行と閾値復号化という2つのコアアイデアに基づいてZamaプロトコルを設計しました。

シンボリック実行

シンボリック実行の考え方はこうです。機密性dAppがデプロイされているホストチェーン（L1/L2）上で、コントラクトが ZamaのFHEVM Solidityライブラリを呼び出して FHE演算を実行しようとするたびに、ホストチェーン自体は実際の FHE計算を一切行いません。代わりに、結果へのポインタを生成し、実際の FHE計算を担うコプロセッサのネットワークに通知するイベントを発行します。これには多くの利点があります：

• ホストチェーンは何も変更する必要がなく、高価なFHE演算を走らせたり特定のハードウェアを使ったりする必要がありません。

• ホストチェーンはFHEによって遅くならないため、非FHEトランザクションは従来どおりの速度で実行できます。

• FHE演算は逐次ではなく並列に実行できるため、スループットが劇的に向上します。

ホストチェーン上のすべての暗号文は単なるポインタ（実データはコプロセッサが保持）にすぎないため、FHE演算は通常の演算と同様に連鎖させることができ、前の演算の完了を待つ必要がありません。暗号文の計算完了を待つ必要があるのは、復号しなければならないときだけです。

セキュリティの観点では、コプロセッサが行うすべては公開検証可能であり、誰でも暗号文を再計算して結果を検証できます。初期段階では複数のコプロセッサによる過半数合意を用いますが、長期的には正しさを証明するために ZK-FHEを活用しつつ、誰もが FHE演算の実行に参加して競争できるようにすることを目標としています。

閾値復号化

オンチェーンでのコンポーザビリティを維持するため、すべての暗号文は同一の公開鍵で暗号化される必要があります。これは、復号のための秘密鍵を不正な復号が起きないように保護しなければならないことを意味します。Zamaプロトコルは、秘密鍵を複数の当事者間で分割し、専用の閾値MPCプロトコルをキー管理サービス（KMS）として用いることで、これを解決します。

ユーザーまたはコントラクトが値を復号するには、まずホストチェーン上でその値を生成したコントラクトから明示的に復号を許可されている必要があります。その後の復号は、プロトコルのオーケストレーターとして機能し、リクエストを KMSの当事者へ転送する Zama Gatewayに対する単純なリクエストとなります。

これにより、すべての復号リクエストが公開で可視化され、スマートコントラクトで定義されたアクセス制御ロジックに一致しているかを誰でも検証できます。

コンポーネント

Zamaプロトコルは、いくつかのコアコンポーネントから構成されます：

• ホストチェーン:Zamaプロトコルでサポートされ、開発者が機密dappsをデプロイするL1とL2。

• FHEVMライブラリ:開発者が機密スマートコントラクトを作成するために使用するライブラリ。

• FHEVM Executor:ホストチェーンでFHE操作を実行するためにdappsによって呼び出されるコントラクト。コントラクトがFHE操作を使用するたびに、Executorは自動的にイベントを発行してコプロセッサに計算を通知します。

• アクセス制御リスト(ACL):各ホストチェーンにデプロイされたスマートコントラクトで、誰が何を復号化できるかを追跡します。ACLはZamaプロトコルの操作の中心であり、コントラクトが暗号化された値に対して計算することが許可されていることと、アドレスがそれを復号化することが許可されていることの両方を検証するために使用されます。コントラクトがアドレスに暗号文の使用を許可するたびに、イベントが発行され、コプロセッサによってGatewayに中継され、すべてのホストチェーンACLをKMSが復号化リクエストを認証するために使用する単一のGateway ACLに集約できるようにします

• $ZAMAトークン:Zamaプロトコルのネイティブトークンで、手数料の支払い、ステーキング、ガバナンスに使用されます。

• Gateway:Zamaプロトコルをオーケストレートし、ユーザーが暗号化された入力の検証、暗号文の復号化、ホストチェーン間の暗号化資産のブリッジをリクエストできるようにするために使用される一連のスマートコントラクト。これらの操作のそれぞれは、Gatewayコントラクトへのトランザクションであり、$ZAMAトークンで少額の手数料を支払う必要があります。Gatewayコントラクトは任意のL1またはL2にデプロイできますが、最大限のパフォーマンスとコスト効率を確保するために、Zamaプロトコル専用のArbitrum*ロールアップを実行することを選択しました。私たちのロールアップはZamaプロトコルのみにサービスを提供し、サードパーティのコントラクトをデプロイすることはできないことに注意してください。

• コプロセッサ:1. ユーザーからの暗号化された入力を検証し、2. 実際のFHE計算を実行して結果の暗号文を保存し、3. ACLイベントをGatewayに中継する責任を持つノードのセット。Zamaプロトコルは複数のコプロセッサを使用し、それぞれがGatewayに結果をコミットし、Gatewayは多数決コンセンサスを実行します。コプロセッサが実行するすべてのタスクは公開検証可能です。コプロセッサは、さまざまな機密dappsのスループット要件に基づいて、垂直および水平にスケーリングできます。

• 鍵管理サービス(KMS):鍵生成、CRS*生成、閾値復号化のためのさまざまなマルチパーティ計算(MPC)プロトコルを実行するノードのセット。KMSは、単一の当事者が復号化鍵にアクセスできないようにします。KMSノードはGatewayによってオーケストレートされ、すべての操作が公開可能であることを保証します。さらに、すべてのKMSノードはAWS Nitro Enclave内でMPCソフトウェアを実行する必要があり、オペレーターがシェアを漏洩することを困難にし、MPC計算の整合性のレベルを提供します。最終的に、私たちの目標は、ハードウェアの仮定なしで検証可能性を可能にするためにZK-MPCを使用することです。

• オペレーター:Zamaプロトコルノードを実行するエンティティのセット。これにはコプロセッサとKMSノードが含まれます。

次の図は、さまざまなコンポーネント間の機密トークン転送のライフサイクルを示しています。

パフォーマンス

Zamaプロトコルは、最先端のTFHE-rsライブラリを活用して、水平方向にスケーラブルになるように設計されています。EVMの順次動作とは対照的に、Zamaプロトコルはfhe操作の計算を並列化します。特定の暗号文が FHE演算の逐次的な連鎖で使われない限り、コプロセッサはサーバーを追加するだけでスループットを向上できます。

Zamaプロトコルへの取り組みを開始して以来、スループットを CPU上で1秒あたり 0.2トランザクションから20トランザクション超へと指数関数的に引き上げてきました。これはEthereum全体を暗号化するのに十分です。

2026 年末までにGPUへ移行し、チェーンあたり 500～1000TPSを見込んでいます。これはすべてのL2とSolanaの大半のユースケースをカバーするのに十分です。

最後に、FHE向けの専用ハードウェアアクセラレータ（ASIC）にも取り組んでおり、単一サーバーでチェーンあたり 100,000以上のTPSを実現し、グローバルな決済を機密性を保ってオンチェーンにもたらすのに十分になります。

ここで重要なのは、FHEはもはや基礎アルゴリズムに制約されておらず、いまや主としてムーアの法則に従っているという点です。ハードウェアが良くなるほど、Zamaプロトコルのスループットも向上します。

セキュリティ

Zamaプロトコルは多層防御のアプローチを採用し、最大限のセキュリティを確保するために複数の技術を組み合わせています。

• すべてのFHE演算で128ビットのセキュリティと p-fail（失敗確率）2^-128を採用しています。これは現在ブロックチェーンで使われる他の FHE方式を大きく上回ります。さらに当社のFHE方式はポスト量子で、量子計算機に対しても安全です。

• すべての FHE演算は公開検証可能で、誰でも結果を再計算して悪意ある FHEノードを特定できます。これは FHE計算におけるオプティミスティック・ロールアップ的セキュリティに相当します。加えて、単一ノードではなく 3 名のオペレーターが各自FHEノードを運用し出力に署名することで、オプティミスティックな安全性と結果への合意を両立します。

• PCプロトコルは13ノードで運用し、2/3多数決ルールを採用しています（多くのプロジェクトは3〜5ノード）。さらに当社のMPCはロバストで、最大1/3の悪意ノードがあっても正しい出力を返します。私たちの知る限り、これは本番環境におけるロバストMPCの初実装です。

• すべてのMPCノードはAWS Nitro Enclaves上で実行され、プロトコル外からFHE秘密鍵シェアへのアクセスを防ぎます。エンクレーブは実行バイナリのアテステーション（バージョン証明）も提供し、プロトコル側でソフトウェア更新を追跡可能にします。MPCとNitro Enclavesの組み合わせにより、シェアを持ち出してプロトコル外で使用するにはAWSおよび複数のMPCノードの共謀が必要になります。

• ジェネシス・オペレーターは、プロフェッショナルなバリデータ、インフラ事業者、企業等からなる高評判の組織で、Zama以外の活動でも多額のステーク（経済的利害）を有しています。全員が身元公開されており、不正があれば誰でも確認可能です。これによりオンチェーンのステークを超える経済的抑止力が働き、Zamaプロトコルでの不正は他の事業にも影響し得ます。

• スラッシングはガバナンスを通じて実行され、オペレーターの不正行為が特定された場合には誰でも救済措置を提案できます。これにより、例外事案を取りこぼさず、ケースバイケースで柔軟に対処できます。

• ZamaプロトコルはTrail of BitsおよびZenithの監査を受けており、これまでに34監査週間以上が投下されています。暗号プロトコルとして最大級の監査の一つです。

コンプライアンス

機密性アプリケーションの構築には、多くの場合、各地域の規制遵守が求められます。たとえば金融機関は、顧客が誰であるかを把握し、特定の金融商品にアクセスする適格性を確認し、ブラックリストに載っていないこと等を検証する必要があります。同様に、トークン発行者はユーザーの残高やトランザクションを閲覧する権限を自らに付与し、現在の従来型金融で使われている既存の AML／コンプライアンスツールを用いてオフチェーンで準拠することもできます。

多くのブロックチェーン機密性プロトコルがコンプライアンスの負担をエンドユーザーに課しているのとは対照的に、Zamaプロトコルはアプリケーションがスマートコントラクト内で自らのコンプライアンス規則を直接定義できるようにします。

「プログラマブル・コンプライアンス」を実現できることはFHEの大きな利点であり、プロトコル自体には「誰がどの暗号化値にアクセスできるか」についての決定権がないことを意味します。アプリケーションに最適な選択を行うのは開発者であり、Zamaプロトコルではありません。

将来の改善

Zamaプロトコルは現時点で最も先進的な機密性プロトコルであり、すでにほとんどのブロックチェーンユースケースに対応するようにスケーリングできます。それにもかかわらず、さらに分散化され、安全で、スケーラブルにするために取り組んでいる改善の領域がいくつかあります。これらは通常、より良いハードウェア、より良いアルゴリズム、そしてすべてをZK化することの組み合わせに依存しています:

100k tpsの達成

• 新しいFHE技術:パフォーマンスを向上させる新しいFHE技術を常に発明しています。過去数年でZKが得たパフォーマンス向上と同様に、今後数年で基本アルゴリズムが10-20倍改善されることを期待しています。

• FHE ASIC:専用ハードウェアでFHEを加速するために、いくつかの企業と協力しています。目標は、ビットコインマイニングやAIが専用ハードウェアで改善されたのと同じように、ASICを使用してFHEを100倍-1000倍高速化することです。最初のアクセラレータは 2027〜2028 年に利用可能になる見込みです。

• ZK-rollup Gateway: ゲートウェイは現在オプティミスティック・ロールアップを使用しています。私たちの目標は ZKロールアップへ移行し、遅延 100ms 未満で毎秒数万件のトランザクションをサポートできる性能へと改善することです。

KMSをさらに堅牢に

• ZK-MPC: 現在、すべての MPCプロトコルは、プロトコルを実行するノードの多数派が正直であるという前提を必要とします。実務上は問題ないものの、理論上は MPCノードが共謀して誤った結果を返すことを可能にしてしまいます。現行設計では、MPCノードが正しいソフトウェアを実行していることを保証するために AWS Nitro Enclaves に依存していますが、これは検証可能性がハードウェアのセキュリティに依存することになり最適ではありません。これに対処するため、MPCプロトコルに ZK証明を追加し、各 MPCノードの個別の貢献が正しいことを誰でも検証できるようにする取り組みを進めています。

• 大規模MPCコミッティ: MPCはスケールが苦手で、参加者が増えるほど遅くなります。その結果、多くの MPCプロトコルは10ノード未満で運用されています。Zamaプロトコルはより多く(13ノード)を使用していますが、さらにロバスト性と分散化を確保するために、その数を100に増やすことが望ましいでしょう。

誰でもオペレーターになれるように

• HSM内でのMPC実行:MPCプロトコルの主な問題は、秘密鍵のシェアを漏洩しないことでノードを信頼する必要があることです。これは通常、TEEと信頼できるノードの委員会を使用して行われます。しかし、悪意のある攻撃者がTEEを破ってその中の秘密にアクセスしようとする可能性があるため、これは許可なしの参加を可能にしません。代替として、銀行やその他の重要なインフラストラクチャで使用されるHSM（ハードウェアセキュリティモジュール）内でMPCを実行する方法を探っています。

• ZK-FHE:FHE計算の正当性を証明することにより、結果が正しいことを証明する限り、誰でもFHE操作を実行するために競争できる、プルーフオブワークスタイルのプロトコルでコプロセッサコンセンサスを置き換えることが可能になります。現時点では、FHEのオーバーヘッドに加えてZKのオーバーヘッドがあるため、これは実用的ではありませんが、私たちのチームは良い進歩を遂げています。

プロトコルを完全にポスト電子暗号へ

• ポスト量子暗号対応のZKPoK: ZamaのFHEおよびMPC技術は、すでに量子コンピュータに対する耐性を備えています。しかし、ZKPoKは(ほとんどのZK-SNARKsと同様に)まだ対応していません。そこで現在、ポスト量子暗号対応の格子ベースのZKスキームへの置き換えに取り組んでいます。

• ポスト量子暗号対応の署名: Zamaプロトコルのコンポーネントをポスト量子暗号対応にすることは可能ですが、ホストチェーンが使用する署名スキームは現在ポスト量子暗号に対応していません。残念ながら、これは私たちの管理下にはなく、Ethereum、Solanaなど各 L1/L2 のコミュニティがポスト量子署名へ移行するかに委ねられています。

運用とガバナンス

Zamaプロトコルは Delegated Proof-of-Stake（委任型 PoS）を採用し、18オペレーターが運用します：初期は13のKMSノードと5つのFHEコプロセッサ（その後時間とともにさらに増加）。選定は次のルールに従います：

• ジェネシスオペレーターは評判、DevOps経験、オフチェーンの価値（株式価値・収益・時価総額など）に基づいて選出されます。評判を通じてセキュリティをブートストラップできますが、Zamaプロトコルで不正が発覚した場合は事業価値の大きいオペレーターほど顧客を失う可能性が高まります。

• 段階的に、誰でも KMS またはコプロセッサのオペレーターになれるようにします。まずテストネットでの安定運用を示し、その後流通中の$ZAMAの0.5%以上をステークする必要があります。各エポック（例：3か月）ごとに、ステーク量上位のKMSとコプロセッサのオペレーターが次エポックの運用者として選出されます。

• 現役オペレーターは役割とステーク量に応じて、$ZAMAトークンでステーキング・リワードを獲得します。

オペレーターの資格を得られないインフラストラクチャ能力が限られているトークン保有者でも、ZAMAトークンをホワイトリストに登録されたオペレーターに委任することで、プロトコルの保護に参加してリワードを獲得できます。委任者にどのようにインセンティブを与えるか、手数料の引き下げや追加の非ZAMAトークンをホワイトリストに登録されたオペレーターに委任することで、プロトコルの保護に参加してリワードを獲得できます。委任者への報酬設計（低手数料や $ZAMA以外の追加リワードなど）は各オペレーターの裁量です。

Zamaプロトコルのアップデートは、オペレーター過半数の採択が必要です（ソフトウェア更新、手数料変更、新規ホストチェーン追加など）。唯一の例外は緊急時の一時停止とスパマーのブラックリスト化で、これは任意のオペレーターが実行可能です（ただし再開／ブラックリスト解除には複数コプロセッサの関与が必要）。不正時はオペレーターがスラッシングされます。これにより、重大問題へ迅速に対処しつつ、誠実な運用を促すインセンティブが働きます。

$ZAMAトークン

$ZAMAトークンは Zamaプロトコルのネイティブトークンです。プロトコル手数料およびステーキングに使用されます。これはバーン＆ミントモデルに従っており、手数料の100%がバーンされ、オペレーターへのリワードのためにトークンがミントされます。

手数料モデル

サポート対象チェーンへの機密性アプリのデプロイは無料かつパーミッションレスです。さらに、Zamaプロトコルは FHE 計算そのものには課金せず、代わりに以下に課金します：

• ZKPoKの検証。 ユーザーが暗号化入力をトランザクションに含めるたびに、その検証のための手数料をZamaプロトコルに支払う必要があります。

• 暗号文の復号化。ユーザーが暗号文を復号したい場合、Zamaプロトコルに手数料を支払う必要があります。

• 暗号文のブリッジ。ユーザーが暗号化値をあるチェーンから別のチェーンへブリッジしたい場合、Zamaプロトコルにリクエストし、手数料を支払う必要があります。

プロトコル手数料はエンドユーザー、フロントエンドアプリ、またはリレイヤーが支払うことができます。したがって、開発者はユーザーに$ZAMAトークンを直接保有させることなくアプリケーションを提供できます。

プロトコル手数料の支払いは $ZAMAトークンで行いますが、料金は米ドルで価格設定されます。価格オラクルがゲートウェイ上の $ZAMA/USD価格を定期的に更新し、各プロトコル機能に支払う$ZAMAトークン数量を更新します。これにはいくつかの利点があります：

• プロトコル手数料が投機ではなく利用量に比例するようにできます。

• ユーザー・開発者・リレイヤーに予見可能性を与え、変動し得るトークンではなくUSDでコストを見積もれるようにします。

加えて、Zamaプロトコルは出来高連動の料金モデルを採用しています：プロトコルの利用が多いほど、1オペレーションあたりの手数料が低くなります。ゲートウェイ上のスマートコントラクトは、直近30日間に各アドレスが検証／復号／ブリッジしたビット数を追跡し、出来高に応じてディスカウントを適用します。

初期の料金体系は次のとおりです。これはネットワーク性能、運用コスト、トークン保有者から提起されたその他の理由に基づくソーシャルコンセンサスによって変更可能です：

• ZKPoK検証:$0.5から$0.005

• ブリッジ:$1から$0.01

• 復号化:$0.1から$0.001

機密性トークン転送を例に取ると：

• 金額と残高は暗号化されています

• トランザクションごとに通常3回の復号化があり、送信者と受信者の残高それぞれに1回、転送が失敗した場合は0に設定される最終転送金額に1回です。

• したがって、総コストは割引に応じて次のようになります:

• 暗号化金額のZKPoK検証:[$0.005 - $0.5]

• 2つの残高+金額の復号化:3 * [$0.001 - $0.1] = [$0.003 - $0.3]

• 総コスト:$0.008から$0.8

このモデルは、市場環境や価格変動にかかわらず、大口ユーザーにとっては手頃で、オペレーターにとっては収益性が出るよう設計されています。例：機密性アプリを月に1度だけ利用するユーザーは1トランザクションあたり1ドル未満の支払いで済み、高頻度のアプリ（機密性ステーブルコイン決済アプリやウォレットなど）を利用するユーザーでも1トランザクションあたり1セント未満で済みます。

この手数料構造では、ホストチェーン上の3 tpsごとに、Zamaプロトコルで年間平均100万ドルの手数料が発生します。ステーブルコイン決済とオンチェーン金融の成長を考慮すると、近い将来、世界中で1秒あたり10万トランザクション以上が期待できます。それらのトランザクションの10%がZamaを機密性のために使用する場合、プロトコルに対して年間30億ドルの手数料が発生する計算です。

ステーキングリワード

オペレーターは、プロトコルの運用に参加して対応するステーキング・リワードを受け取るために、$ZAMAトークンをステークする必要があります。ステーキング・リワードとして配布されるトークンはインフレ率（当初5%）に従ってミントされ、この率はガバナンスで変更可能です。

リワードの分配時には、まず役割（シーケンサー、コプロセッサ、KMSノード）ごとに分け、次に各グループ内で各オペレーターのステークの平方根に比例して按分します。各オペレーターはその後、デリゲータとのリワード配分方法を自ら決定します。

この分配方式により、各オペレーターは遂行した役割に応じたリワードを受け取れ、同時に少数のオペレーターだけにリワードが集中するのを防げます。

以下の表は、各グループに配分されるリワードの割合と、想定されるオペレーターのインフラコストをまとめています。

配布

詳細については英語版ライトペーパーをご参照ください。

企業としてのZema

Zamaプロトコルは、ブロックチェーンとAI向けに最先端の完全準同型暗号（FHE）ソリューションを構築する、オープンソースの暗号技術企業Zamaからスピンアウトしたプロジェクトです。

Zama は、Multicoin、Pantera、Blockchange、Protocol Labsなど著名なブロックチェーン投資家に加え、Juan Benet（IPFS／Filecoin）、Gavin Wood（Ethereum／Polkadot）、Anatoly Yakovenko（Solana）、Sandeep Nailwal（Polygon）といった主要プロトコルの創業者から出資を受け、評価額10億ドルで1億 5,000 万ドル超を調達しています。

チーム

Zama は世界各地で事業を展開する暗号技術企業です。2020年にDr.Rand Hindi（CEO）と Dr.Pascal Paillier（CTO）によって設立され、Prof Nigel Smart（Chief Academic Officer）やDr.Marc Joye（Chief Scientist）といった著名研究者が会社を牽引しています。Zamaには90名超が在籍し、そのうち約半数が博士号を保有しており、ZamaはFHE分野で最大の研究チームとなっています。

創設者について:

• Randは起業家でありディープテック投資家です。ZamaのCEOであると同時に Unit.vc のパートナーとして、暗号技術、AI、バイオテックの分野で100社超に投資してきました。Rand は競技的バイオハッカーでもあり、Rejuvenation Olympics において老化率0.68で上位 5%にランクインしています。10歳でコーディングを始め、14歳でソーシャルネットワークを創業、21歳で博士課程を開始しました。その後、Sonosに買収された機密AIスタートアップSnipsを創設しました。彼は以前、フランスデジタル評議会のメンバーであり、AIとプライバシーの問題について政府に助言し、パリのScience Po大学で講師を務め、いくつかのバイオテク、AI、防衛企業の顧問を務めていました。彼はUniversity College London(UCL)でコンピュータサイエンスの学士号とバイオインフォマティクスの博士号を取得しています。

• PascalはFHEと暗号学のパイオニアであり、ZamaのCTOです。彼は、今日でも広く使用されている最初の加法準同型スキームの1つ(Paillier暗号化スキーム)を発明しました。Pascalは数十の論文を発表しており、FHE、スマートカードなどを含むさまざまな暗号ドメイン全体で大きな貢献をしています。Zamaの前は、Gemaltoで暗号イノベーションチームを率い、主要な暗号コンサルティング会社CryptoExpertsを設立しました。Pascalは2025年のIACRフェローであり、研究に対していくつかの賞を受賞し、暗号のための複数のISO標準を主導しました。彼はTelecom Parisで暗号学の博士号を取得しています。

製品とサービス

私たちの取り組むすべてはデュアルライセンスモデルの下でオープンソースです。非商用利用、プロトタイピング、研究、個人プロジェクトは無料ですが、商用利用には、エンタープライズライセンスの取得、もしくはそれを既に有するプロトコル上で構築する必要があります。

私たちは次の製品とサービスを提供しています：

• AIとブロックチェーン用のFHEライブラリ。これにはTFHE-rs、FHEVM、Concrete ML、TKMSが含まれます。これらは非商用利用には無料ですが、商用利用にはエンタープライズライセンスが必要です。

• 暗号化/復号化リレイヤーや復号化オラクルなどのホステッドサービス。これにより、アプリ開発者がZama機密ブロックチェーンプロトコルやFHEVM技術に基づく他のプロトコルを簡単に使用できるようになります。

• FHEアプリケーションの構築と管理に支援が必要な企業や開発者向けのプレミアムサポート。

私たちのライブラリは 5,000人超の開発者に利用されており、市場シェアは 70%に達します。さらに、私たちの技術は L1、L2、金融、AIを含む数十社にライセンスされています。FHEを用いる分散型プロトコルのほぼすべてが、舞台裏でZamaの技術を使用しています。

追加参照リンク

• Zama Protocol docs

• FHEVM whitepaper

• TFHE-rs handbook

• MPC protocol spec (近日公開予定)

• Audit report (近日公開予定)

• Zama GitHub

• Discord

• X

• Zama blog

免責事項

本ライトペーパーおよび随伴するその他の文書（「ドキュメント」）は、Zamaプロトコルおよび $ZAMAトークンに関する教育資料のみを提供するものです。Zamaプロトコルおよび $ZAMAトークンは現在積極的に開発中であり、変更される可能性があります。Zama は、単独の裁量で予告なくいつでも本ドキュメントを変更することができます。

いかなる文書も情報提供のみを目的としており、いかなる種類の目論見書、重要情報文書またはこれに類する文書を構成しません。目論見書、重要情報文書またはこれに類する文書はいかなる時点でも提供されません。提供される文書の完全性については保証されません。本ドキュメントおよび随伴文書に記載された数値や将来見通しに関する記述は、単なる推定／示唆を反映したものです。これらは保証されるものではなく、大幅に変更される可能性があります。

提供されたドキュメントの完全性と正確性、およびそのようなドキュメントへの依存から生じる損害に対するZAMA Switzerland AGおよび/または関連する法人または個人のすべての責任は、適用される法律で許可される最大限の範囲に制限されます。

本ドキュメント内および随伴文書内で提供される情報に関連する、または生じる紛争は、スイスの抵触法規則を除き、スイスのツーク州の管轄裁判所の専属管轄権に提出されるものとします。

本免責事項、本ドキュメントおよび随伴文書は、スイスの実体法に準拠し、スイスの抵触法規則の適用を除外して解釈されます。