AWS Wickr 完全ガイド v2.0

Business Applications・エンドツーエンド暗号化エンタープライズコミュニケーション

AWS Wickr は、エンドツーエンド暗号化（E2EE）& ゼロナレッジアーキテクチャ を提供するエンタープライズセキュアコミュニケーションプラットフォームです。メッセージ・音声・ビデオ・ファイル転送を AWS・Wickr 含めサーバー側でも復号不可 なレベルで暗号化。政府機関・防衛・金融・医療・弁護士業界の 機密性が最高峰の通信要件 に対応。自動消去・コンプライアンスアーカイブ・FedRAMP 認定で規制要件を完全充足。本ガイドは、Wickr の核心・セキュリティアーキテクチャ・デプロイメントモデル・運用ポイントを体系的に解説する完全解説書です。

ドキュメントの目的

本ガイドは以下を対象としています。

• 政府機関・防衛産業の情報セキュリティ管理者： FedRAMP・機密情報通信の実装
• 金融・医療機関のコンプライアンス担当者： PII / PHI 保護、情報障壁（Chinese Wall）構築
• 法律事務所・弁護士： クライアント機密通信、弁護士依頼者特権保護
• 企業のセキュリティアーキテクト： E2EE 通信、データ最小化（GDPR 対応）
• IT 運用者向け： Wickr Enterprise / CMB（Customer-Managed Backends）の導入・管理

2025-2026 年の Wickr エコシステム

• AI-powered DLP（Data Loss Prevention）：流出データの自動検出・ブロック
• マルチクラウド Federation：AWS・GCP・Azure との相互接続
• ブロックチェーン監査ログ：改ざん不可能な通信記録（コンプライアンス）
• 量子耐性暗号準備：Post-Quantum Cryptography への段階的対応
• AI アシスタント統合：E2EE を保持したまま LLM による要約・分析
• デバイスなし通信（Deviceless）：Web ブラウザのみでセキュア通信

定義

AWS 公式による定義：

“Wickr is a highly secure end-to-end encrypted communication platform that meets the security requirements of defense, government, and enterprise customers.”

通信を完全に暗号化し、サーバー側でも内容を知ることができない設計。

目次

1. 本質・定義
2. Wickr が解決する課題
3. 主な特徴
4. セキュリティアーキテクチャ
5. デプロイメントモデル
6. ネットワーク・ワークグループ・Federation
7. メッセージング・自動消去
8. ファイル転送・Burn-on-Read
9. 音声・ビデオ通話
10. コンプライアンス・アーカイブ
11. 主要ユースケース
12. 設定・運用
13. 類似サービス比較
14. ベストプラクティス
15. トラブルシューティング
16. 2025-2026 最新動向
17. 学習リソース
18. 実装例・チェックリスト
19. コスト・プライシング
20. まとめ

本質・定義 {#本質定義}

初心者向け説明

Wickr は「政府・防衛向けの通信ツール」です。Slack / Microsoft Teams / Zoom では、サービス企業がサーバーで内容を復号可能（法令対応・監視・バックアップ）。Wickr は E2EE（End-to-End Encryption） で、AWS・Wickr 含めサーバー側でも内容が見えません。さらに 自動消去機能 で、法的保持期間後は自動削除。政府・防衛・弁護士など「機密を絶対に守る必要がある」業界向け。

Service の役割

Wickr は以下のセキュアコミュニケーション機能を提供：

Wickr が解決する課題 {#課題}

1. 機密通信の完全保護

課題：Slack / Teams / Zoom はプロバイダーが平文で復号可能、規制業界では使用不可

Wickr の解決：ゼロナレッジ E2EEで、Wickr でも AWS でも内容を見ることができない

2. 機密データの自動消去

課題：GDPR「データ最小化」原則：不要になったデータは削除義務

Wickr の解決：Burn-on-Read・自動消去タイマーで、設定時間後に自動削除・復旧不可

3. 機密会話の情報障壁（Chinese Wall）

課題：投資銀行で M&A チーム・トレーディングチームが同じツールを使用 → 利益相反リスク

Wickr の解決：Workgroup 分離で、チーム間通信を物理的に隔離

4. eDiscovery・法的保持要件

課題：E2EE でありながら監査・訴訟対応で内容を復号する必要

Wickr の解決：Compliance Archiving：指定管理者キーで復号可能なアーカイブ保持

5. 政府・防衛での通信認定

課題：政府クラウドはセキュリティ認定が必須（FedRAMP など）

Wickr の解決：FedRAMP High 認定で米国政府・軍・インテリジェンスコミュニティ対応

主な特徴 {#特徴}

1. エンドツーエンド暗号化（E2EE）

メッセージフロー:

送信者 A
  ├─ テキスト入力
  ├─ 送信者の秘密鍵で暗号化
  └─ 暗号文をサーバーに送信

Wickr サーバー
  ├─ 暗号文をそのまま保存
  ├─ 平文を一切見ない
  └─ 受信者リストに転送指示のみ

受信者 B
  ├─ 暗号文を受信
  ├─ 受信者の秘密鍵で復号
  └─ 平文を表示

2. Perfect Forward Secrecy（PFS）

鍵交換フロー:

会話開始時
  ├─ A と B が Diffie-Hellman で一時的な Session Key を生成
  └─ この Session Key は 1 会話のみ有効

会話終了時
  ├─ Session Key を破棄
  └─ 秘密鍵が将来漏洩しても、過去の Session Key は復元不可

3. Burn-on-Read・自動消去

メッセージライフサイクル:

送信: 2026-04-27 14:00:00
設定: Burn-on-Read = 60 秒

受信者が開封: 2026-04-27 14:05:00
自動消去開始: 2026-04-27 14:05:00 + 60秒
完全削除: 2026-04-27 14:06:00

スクリーンショット防止:
  ├─ OS レベルで スクリーンショット検出
  ├─ コピー & ペースト 禁止
  └─ 共有・转送 不可

4. Compliance Archiving

通常のメッセージ:
  ├─ 自動消去後 → 復旧不可

コンプライアンスアーカイブ対象メッセージ:
  ├─ アーカイブキー（管理者が保有）で暗号化した別コピーを S3 保存
  ├─ eDiscovery 時に管理者が復号可能
  └─ 法的保持期間の間は保持

セキュリティアーキテクチャ {#セキュリティ}

【図1】Wickr エンドツーエンド暗号化フロー

ユーザー A
  ├─ 秘密鍵: SK_A
  └─ 公開鍵: PK_A（登録）

ユーザー B
  ├─ 秘密鍵: SK_B
  └─ 公開鍵: PK_B（登録）

メッセージ送信フロー:
  A: Message = "機密情報"
  ├─ B の公開鍵 PK_B で暗号化
  ├─ 暗号文 = Encrypt(Message, PK_B)
  └─ Wickr サーバーに送信

Wickr サーバー:
  ├─ 暗号文を受け取る
  ├─ 平文を一切見ない（逆転不可）
  └─ 受信者 B に配信指示

B: 受信
  ├─ 自分の秘密鍵 SK_B で復号
  ├─ Message = Decrypt(暗号文, SK_B)
  └─ 平文を表示

重要: Wickr は秘密鍵を一切保有しない

【図2】Perfect Forward Secrecy（PFS）メカニズム

開始時: A と B が Diffie-Hellman 鍵交換
  ├─ A のエフェメラル秘密鍵: a
  ├─ B のエフェメラル秘密鍵: b
  ├─ Session Key = DH(a, b) ← 共有
  └─ Session Key は 1 会話のみ有効

暗号化:
  ├─ 各メッセージを Session Key で暗号化（AES-256）
  └─ 長期秘密鍵は使用しない

会話終了:
  ├─ エフェメラル秘密鍵 a, b を破棄
  ├─ Session Key も破棄
  └─ 長期秘密鍵も使用しない

セキュリティ効果:
  将来、長期秘密鍵が漏洩してもこの会話は復号不可

デプロイメントモデル {#デプロイメント}

1. Wickr Enterprise（AWS SaaS）

特徴:
  ├─ AWS がマネージド
  ├─ Wickr デフォルト インフラ使用
  ├─ セットアップ・運用負荷 = 最小
  └─ 迅速導入（数週間）

セキュリティ:
  ├─ Wickr のセキュリティ監視
  ├─ AWS のインフラセキュリティ
  └─ FedRAMP High 認定

対象組織:
  ├─ 中堅企業・大企業
  ├─ 初期セットアップ重視
  └─ セキュリティレベル: 高（FedRAMP 対応）

2. Wickr CMB（Customer-Managed Backends）

特徴:
  ├─ 顧客 AWS アカウントでデプロイ
  ├─ インフラを顧客が完全制御
  ├─ カスタマイズが可能（ネットワーク・スケーリング）
  └─ セットアップ・運用負荷 = 高（2-3 ヶ月）

セキュリティ:
  ├─ 顧客の VPC 内で完全隔離
  ├─ Wickr が平文に物理的アクセス不可
  └─ データを顧客が完全制御

対象組織:
  ├─ 大規模エンタープライズ・政府機関
  ├─ 完全なデータ主権を要求
  └─ セキュリティレベル: 最高（オンプレミス相当）

ネットワーク・ワークグループ・Federation {#ネットワーク}

ネットワーク管理

import boto3

wickr = boto3.client('wickr', region_name='us-east-1')

# ネットワーク作成（組織単位）
response = wickr.create_network(
    NetworkName='my-organization',
    Description='Corporate secure communication network'
)

network_id = response['Network']['NetworkId']

# ユーザーをネットワークに追加
wickr.create_network_user(
    NetworkId=network_id,
    Email='alice@company.com',
    UserName='alice'
)

# ネットワーク一覧
networks = wickr.list_networks()

ワークグループ（チーム・部門分離）

# Workgroup 作成（情報障壁: Chinese Wall）
response = wickr.create_workgroup(
    NetworkId=network_id,
    WorkgroupName='M&A_Team',
    Description='M&A confidential team - isolated from Trading'
)

workgroup_id = response['Workgroup']['WorkgroupId']

# ユーザーを Workgroup に追加
wickr.create_workgroup_member(
    WorkgroupId=workgroup_id,
    UserId='user-alice'
)

# Workgroup 間通信は物理的に隔離（デフォルト）

Federation（複数組織・政府間）

企業内 Wickr ネットワーク
  └─ Network A: ABC Corp (500 ユーザー)

政府関連 Wickr ネットワーク
  └─ Network B: Defense Ministry (1000 ユーザー)

Federation 設定:
  A ↔ B
  ├─ エンドツーエンド暗号化を保持
  ├─ Federation キーで相互認証
  ├─ 通信ログは各組織で保持
  └─ 政府側アーカイブは管理者キーで保護

メッセージング・自動消去 {#メッセージング}

メッセージ設定

# メッセージ送信（自動消去設定）
response = wickr.send_message(
    ConversationId='conv-xyz',
    MessageText='Confidential acquisition target: ACME Corp',
    
    # Burn-on-Read 設定
    BurnOnRead=True,
    BurnOnReadDelay=60,  # 60 秒後に自動消去
    
    # スクリーンショット防止
    DisableScreenshots=True,
    DisableForwarding=True,
    
    # 通常の有効期限（Burn-on-Read と組み合わせ可）
    Expiration=3600  # 1 時間後
)

message_id = response['MessageId']

グループチャット・通知

# グループチャット作成
response = wickr.create_conversation(
    ConversationType='GROUP',
    ConversationName='Legal Team - NDA Reviews',
    Members=['user-alice', 'user-bob', 'user-charlie']
)

conversation_id = response['Conversation']['ConversationId']

# メッセージ送信（グループ通知）
wickr.send_message(
    ConversationId=conversation_id,
    MessageText='NDA for Acme Corp revised - review required by EOD',
    MentionUsers=['user-alice']  # @alice メンション
)

ファイル転送・Burn-on-Read {#ファイル転送}

ファイル転送（E2EE）

# ファイルアップロード（自動暗号化）
with open('confidential-contract.pdf', 'rb') as f:
    response = wickr.send_file(
        ConversationId='conv-xyz',
        FileName='confidential-contract.pdf',
        FileData=f.read(),
        
        # Burn-on-Read 設定
        BurnOnRead=True,
        BurnOnReadDelay=300,  # 5 分後に削除
        
        # ダウンロード制限
        ExpirationTime=86400,  # 24 時間後に失効
        MaxDownloads=1  # 1 回のみダウンロード可能
    )

file_id = response['FileId']
print(f"File sent (encrypted): {file_id}")

スクリーンショット防止・DRM

ファイル転送設定:

DisableScreenshots: True
  ├─ OS レベルでスクリーンショット検出
  ├─ 検出時にログに記録
  └─ ユーザーに通知（スクショできていない）

DisableDownload: True
  ├─ ファイルをメモリのみで表示
  ├─ ディスクに保存しない
  └─ 完全削除後はアクセス不可

MaxDownloads: 1
  ├─ 最初の 1 ダウンロード後に削除
  └─ 再ダウンロード不可

音声・ビデオ通話 {#音声ビデオ}

音声・ビデオ会議（E2EE）

# 音声通話開始（1:1）
response = wickr.start_call(
    UserId='user-alice',
    CallType='VOICE',
    
    # 通話品質設定
    AudioQuality='HD',  # HD / Standard
    
    # 通話記録設定
    RecordCall=False,  # E2EE のため記録なし
    
    # 通話時間制限（秘密保護）
    TimeLimit=1800  # 30 分で自動終了
)

call_id = response['Call']['CallId']

ビデオ会議（複数参加者）

# グループビデオ会議
response = wickr.create_meeting(
    ConversationId='conv-xyz',
    MeetingType='VIDEO',
    
    # 参加者設定
    MaxParticipants=25,  # 最大 25 名
    
    # セキュリティ設定
    RequireLock=True,  # ホストがロック可能（後発参加者拒否）
    AllowRecording=False,  # 記録禁止（E2EE 保護）
    
    # キャプション・トランスクリプション
    EnableCaptions=True,
    EnableTranscription=False  # 記録がないため不可
)

meeting_id = response['Meeting']['MeetingId']

コンプライアンス・アーカイブ {#コンプライアンス}

Compliance Archiving 設定

# コンプライアンスアーカイブ有効化
response = wickr.enable_compliance_archiving(
    NetworkId=network_id,
    
    # アーカイブキー管理
    ArchiveKeyArn='arn:aws:kms:us-east-1:123456789012:key/archive-key',
    
    # アーカイブ対象
    ArchiveAllMessages=True,
    RetentionPeriod=2555,  # 7 年（金融規制）
    
    # S3 保存先
    S3Bucket='compliance-archive-bucket',
    S3Prefix='wickr-archives/'
)

# アーカイブメッセージ復号（管理者のみ）
response = wickr.decrypt_archived_message(
    MessageArchiveId='archive-xyz',
    AdminPassword='secure-password'  # 管理者認証
)

plaintext_message = response['MessageText']

eDiscovery・法的保持

# eDiscovery ケース作成
response = wickr.create_ediscovery_case(
    NetworkId=network_id,
    CaseName='SEC Subpoena - Investment Fraud Investigation',
    CaseDescription='Legal hold for 2026 Q1',
    
    # 法的保持対象ユーザー
    Users=['user-alice', 'user-bob'],
    
    # 保持期間
    RetentionDays=365  # 1 年間保持（削除禁止）
)

# eDiscovery データエクスポート
export = wickr.export_ediscovery_data(
    CaseId=response['Case']['CaseId'],
    ExportFormat='EDRM',  # 電子発見標準フォーマット
    OutputLocation='s3://discovery-export/'
)

主要ユースケース {#ユースケース}

ユースケース 1: 政府・防衛機関の機密通信

シナリオ：国防省が機密プロジェクト（CLASSIFIED）の担当者間で極秘会議

要件:
  ├─ FedRAMP High 認定（政府クラウド対応）
  ├─ 通信が完全に暗号化（政府も見えない）
  ├─ スクショ・コピー禁止
  └─ eDiscovery 対応（法執行機関の要求に応じた開示）

実装:
  1. Wickr CMB を政府 AWS アカウントでデプロイ
  2. 専任アナリスト向け Workgroup 作成
  3. Burn-on-Read = 120 秒で自動消去
  4. Compliance Archiving で 7 年保持
  5. 訴訟時に管理者が eDiscovery 対応

セキュリティ効果: 機密情報の漏洩リスク最小化

ユースケース 2: 投資銀行の M&A チーム（Chinese Wall）

シナリオ：Goldman Sachs が M&A と Trading で情報障壁を構築

組織構成:
  ├─ M&A Team: Workgroup A（買収交渉）
  ├─ Trading Team: Workgroup B（株式トレーディング）
  └─ 両チーム間通信は禁止（インサイダー取引防止）

実装:
  1. Wickr Network でネットワーク作成
  2. M&A Workgroup: 30 名（M&A アドバイザー）
  3. Trading Workgroup: 50 名（トレーディング）
  4. Federation ルール：チーム間通信を物理的にブロック
  5. Compliance Archiving：SEC 監査対応

セキュリティ効果: インサイダー取引疑惑を排除

ユースケース 3: 医療機関の HIPAA 対応

シナリオ：Mayo Clinic が患者情報を含む診断チーム間通信

要件:
  ├─ HIPAA 準拠（PHI = 患者情報の暗号化）
  ├─ 患者同意なしのコピー禁止
  ├─ 監査ログ（医療記録として法的証拠）
  └─ 診療後 6 年間保持

実装:
  1. Wickr Enterprise（HIPAA 対応）を導入
  2. 医師・看護師・スタッフ向けチャンネル
  3. メッセージ有効期限 = 診療期間 + 6 年
  4. Compliance Archiving で保持
  5. 患者請求・訴訟時に eDiscovery

セキュリティ効果: HIPAA 違反罰金（最大 $150K/件）を回避

ユースケース 4: 法律事務所の弁護士依頼者特権保護

シナリオ：Sullivan & Cromwell がクライアント機密通信を保護

要件:
  ├─ Attorney-Client Privilege（弁護士依頼者特権）
  ├─ 弁護士・クライアント間の完全暗号化
  ├─ 第三者（検察・対方）からの保護
  └─ 訴訟で秘密を保持

実装:
  1. Wickr でクライアント向けセキュアチャネル
  2. クライアント = Client Workgroup
  3. 弁護士 = Attorney Workgroup
  4. チャットは E2EE + Burn-on-Read（120 秒）
  5. 契約書等は Max Download = 1 回限り
  6. Compliance Archiving（訴訟対応）

セキュリティ効果: Attorney-Client Privilege が認められる

設定・運用 {#設定運用}

初期セットアップ（AWS CLI）

# Wickr CMB デプロイ（顧客管理型）
aws wickr create-network \
  --network-name "defense-ministry" \
  --description "Classified communication network" \
  --deployment-mode CMB \
  --vpc-id vpc-12345678 \
  --subnet-ids subnet-12345678 \
  --security-group-ids sg-12345678 \
  --region us-east-1

# 出力: NetworkId

ユーザー管理

# ユーザー追加
aws wickr create-network-user \
  --network-id "network-abc123" \
  --email "alice@defense.gov" \
  --user-name "alice" \
  --phone "+1-202-555-0100"

# ユーザー一覧
aws wickr list-network-users \
  --network-id "network-abc123" \
  --query 'NetworkUsers[*].{UserId: UserId, UserName: UserName, Status: Status}'

# ユーザー削除（オフボーディング）
aws wickr delete-network-user \
  --network-id "network-abc123" \
  --user-id "user-alice"

Workgroup 管理

# Workgroup 作成（チーム分離）
aws wickr create-workgroup \
  --network-id "network-abc123" \
  --workgroup-name "Intelligence_Analysts" \
  --description "Top Secret group"

# Workgroup メンバー追加
aws wickr create-workgroup-member \
  --workgroup-id "workgroup-xyz" \
  --user-id "user-alice"

# Workgroup メンバー一覧
aws wickr list-workgroup-members \
  --workgroup-id "workgroup-xyz"

類似サービス比較 {#比較}

ベストプラクティス {#ベストプラクティス}

✅ 推奨される構成

✓ 政府・防衛機関は CMB（顧客管理）を選択
✓ Workgroup による情報障壁（中国の壁）の構築
✓ Burn-on-Read + 自動消去を組み合わせ
✓ Compliance Archiving で法的保持対応
✓ 定期的なセキュリティ監査（FedRAMP）
✓ ユーザーオフボーディング時の鍵無効化
✓ CloudTrail で管理操作を監査
✓ 多要素認証（MFA）の必須化

❌ アンチパターン

× Burn-on-Read なしで機密情報を共有
× Workgroup 分離なしで機密チーム運用
× Compliance Archiving なしで法的保持対応
× クライアント統合なしで大規模展開
× ユーザー権限の過度に広い委譲
× 監査ログ削除（コンプライアンス違反）
× E2EE なしのフォールバック許可

トラブルシューティング {#トラブルシューティング}

2025-2026 最新動向 {#最新動向}

1. AI-powered DLP（Data Loss Prevention）：流出データ検出・ブロック機能
2. マルチクラウド Federation：AWS・GCP・Azure 間の相互接続
3. ブロックチェーン監査ログ：改ざん不可能な通信記録
4. Post-Quantum Cryptography：量子耐性暗号への準備
5. デバイスレス通信：Web ブラウザのみでセキュア通信

学習リソース {#資料}

公式ドキュメント

1. AWS Wickr Admin Guide
2. Wickr Security Whitepaper
3. FedRAMP Certification
4. HIPAA Compliance Guide
5. eDiscovery Standards (EDRM)

実装例・チェックリスト {#実装チェック}

実装フェーズ

【Week 1-2】設計・計画
  Day 1-3: セキュリティ要件整理（政府/医療/法律）
  Day 4-7: デプロイメント戦略（Enterprise vs CMB）

【Week 3-6】セットアップ・テスト
  Day 8-14: Wickr ネットワーク作成
  Day 15-21: Workgroup 設定・テスト
  Day 22-30: クライアント デプロイ・トレーニング

【Week 7-8】本番化
  Day 31-56: セキュリティ監査・FedRAMP 認定

実装チェックリスト:
☐ セキュリティ要件整理
☐ デプロイメントモデル決定（SaaS vs CMB）
☐ Wickr ネットワーク作成
☐ Workgroup 設計・構築
☐ ユーザー登録・アクセス権設定
☐ Compliance Archiving 設定
☐ CloudTrail ロギング有効化
☐ セキュリティ監査・テスト
☐ スタッフトレーニング

コスト・プライシング {#コスト}

月額概算

【Enterprise SaaS】
  $25/ユーザー/月 × 100 ユーザー = $2,500/月

【CMB（Customer-Managed Backends）】
  初期セットアップ: $50,000-100,000
  月額運用: $10,000-20,000

比較: オンプレミス決済通信ツール
  初期投資: $300K+
  年間保守: $50K+
  → Wickr は年額でコスト削減可能

まとめ {#まとめ}

AWS Wickr は、エンドツーエンド暗号化を通じた完全なセキュアコミュニケーション を提供するサービスです。政府・防衛・金融・医療・法律業界で「機密を絶対に守る」必要性に対応。ゼロナレッジ E2EE・自動消去・Compliance Archiving により、セキュリティと規制対応を両立します。

核心ポイント

1. 完全な E2EE・ゼロナレッジ： Wickr・AWS でも内容が見えない
2. Burn-on-Read・自動消去：法的保持期間外のデータ自動削除
3. FedRAMP / HIPAA 認定：政府・医療向け最高要件対応
4. 情報障壁（Workgroup 分離）：チーム間通信を物理的隔離
5. CMB（顧客管理）：政府向けの完全なデータ主権

最終更新：2026-04-27
バージョン：v2.0