メモアプリの
セキュリティ比較Memo App
Security Comparison

E2EEの仕組みと対応アプリ：

• 仕組み：データはデバイス上で暗号化され、サーバーには暗号化されたままで保存。復号は自分のデバイスでのみ行われる
• メリット：サーバーがハッキングされてもメモ内容は読めない
• デメリット：パスワードを忘れるとデータ復旧が不可能

対応アプリ：

• Apple純正メモ：iCloudキーチェーンでE2EE（Advanced Data Protection有効時）
• Standard Notes：デフォルトでE2EE対応
• Joplin：E2EEをオプションで有効化可能
• Obsidian Sync：E2EE対応の有料同期サービス

How E2EE works and supported apps:

• How it works: Data encrypted on-device, stored encrypted on servers, decrypted only on your device
• Pro: Even if servers are hacked, note content can't be read
• Con: Forgot your password? Data is unrecoverable

Supported apps:

• Apple Notes: E2EE via iCloud Keychain (with Advanced Data Protection)
• Standard Notes: E2EE by default
• Joplin: Optional E2EE activation
• Obsidian Sync: E2EE paid sync service

AES-256（Advanced Encryption Standard 256-bit）は現在最も広く使われる暗号化方式です：

• 鍵の長さ：256ビット（2の256乗通りの組み合わせ）
• 解読に必要な時間：現在のスーパーコンピュータで数十億年
• 採用例：米国政府の機密情報保護、オンラインバンキング、VPN

メモアプリでの実装：

• OneNote：セクション単位でAES-128暗号化（パスワード保護）
• Bear：ロック機能でAES-256暗号化
• Evernote：テキスト単位の暗号化（AES-128相当）

AES-256 (Advanced Encryption Standard 256-bit) is the most widely used encryption:

• Key length: 256 bits (2^256 possible combinations)
• Time to crack: Billions of years with current supercomputers
• Used by: US government classified info, online banking, VPNs

Implementation in memo apps:

• OneNote: Section-level AES-128 (password protection)
• Bear: Lock feature with AES-256
• Evernote: Text-level encryption (AES-128 equivalent)

ゼロナレッジ暗号化は最も厳格なプライバシー保護方式です：

• 原理：暗号鍵がユーザーのパスワードから生成され、サーバーには保存されない
• 結果：サービス運営者でさえユーザーのデータを見ることが不可能
• 法的意味：法執行機関からの要請があっても、技術的にデータを提出できない

対応アプリ：

• Standard Notes：完全なゼロナレッジ設計
• Tresorit Notes：スイスのプライバシー法に基づくゼロナレッジ
• Notesnook：オープンソースのゼロナレッジメモアプリ

Zero-knowledge encryption is the strictest privacy protection:

• Principle: Encryption keys derived from user passwords, never stored on servers
• Result: Service operators literally cannot see user data
• Legal meaning: Even law enforcement requests can't be fulfilled technically

Supported apps:

• Standard Notes: Full zero-knowledge design
• Tresorit Notes: Zero-knowledge under Swiss privacy law
• Notesnook: Open-source zero-knowledge memo app

• 通信暗号化：HTTPS/TLSで通信中のデータが保護されるか
• 保管時暗号化：サーバー上のデータが暗号化されているか
• E2EE対応：エンドツーエンドで暗号化されるか
• 2段階認証：2FA/MFAに対応しているか
• データ所在地：データがどの国のサーバーに保存されるか（GDPR/個人情報保護法の適用）

• Transport encryption: Is data protected via HTTPS/TLS during transit?
• At-rest encryption: Is data encrypted on servers?
• E2EE: Is end-to-end encryption supported?
• 2FA: Does it support two-factor authentication?
• Data location: Which country stores your data? (GDPR/privacy law implications)

メモアプリで使われる暗号化方式は大きく3つに分類できます。それぞれの違いを具体的に整理します。

通信時の暗号化（TLS/SSL）：

あなたのスマートフォンからサーバーまでデータが移動する「通信経路」を暗号化する方式です。郵便に例えると、封筒に入れて配達する段階に該当します。ほぼ全てのメモアプリがHTTPS通信を採用しており、通信中の盗聴を防ぎます。ただし、サーバーに到達した後のデータ保護は別の仕組みが必要です。

保管時の暗号化（At-Rest Encryption）：

サーバー上に保存されたデータそのものを暗号化する方式です。郵便の例では、届いた手紙を金庫に保管するイメージです。Gmailの場合、AES-128でサーバー上のメールを暗号化しています。サーバーの物理的な盗難やストレージの不正アクセスに対する防御になりますが、サービス運営者は復号鍵を持っています。

エンドツーエンド暗号化（E2EE）：

送信者のデバイスで暗号化し、受信者のデバイスでのみ復号できる方式です。郵便の例では、送り主が特殊な鍵付きの箱に入れ、受取人だけがその鍵を持っているイメージ。配達員（サービス運営者）は中身を確認できません。Standard NotesやSignalがこの方式を採用しています。

暗号化レベルの段階的な違い：

• レベル1（最低限）：通信時暗号化のみ — データ通信中は安全だがサーバー上は平文
• レベル2（標準）：通信時＋保管時暗号化 — Gmail、Outlookなど多くのサービスが該当
• レベル3（高セキュリティ）：E2EE — サーバー上でも暗号化されたまま保存。運営者も閲覧不可
• レベル4（最高）：ゼロナレッジ＋E2EE — 復号鍵がサーバーに一切存在しない完全設計

Encryption in memo apps falls into three main categories. Here is a clear breakdown of each.

In-Transit Encryption (TLS/SSL):

This encrypts the communication channel between your phone and the server. Think of it as putting a letter in a sealed envelope during delivery. Nearly all memo apps use HTTPS, preventing eavesdropping during transit. However, once data reaches the server, separate protection is needed.

At-Rest Encryption:

This encrypts data stored on servers. Like locking delivered mail in a vault. Gmail uses AES-128 to encrypt emails on their servers. It defends against physical server theft or unauthorized storage access, but the service operator holds the decryption keys.

End-to-End Encryption (E2EE):

Data is encrypted on the sender's device and can only be decrypted on the recipient's device. Like a sender placing a letter in a special locked box where only the recipient has the key. The mail carrier (service operator) cannot see inside. Standard Notes and Signal use this approach.

Encryption levels at a glance:

• Level 1 (Minimum): In-transit only -- safe during transfer but plaintext on servers
• Level 2 (Standard): In-transit + at-rest -- Gmail, Outlook, and most major services
• Level 3 (High Security): E2EE -- encrypted even on servers, operators cannot read data
• Level 4 (Maximum): Zero-knowledge + E2EE -- decryption keys never exist on servers

メモデータが保存されるサーバーの物理的な所在地は、そのデータに適用される法律を決定します。EU圏のサーバーにはGDPRが適用され、米国のサーバーにはCLOUD法が適用されます。日本のユーザーにとっては、日本の個人情報保護法が適用されるサービスが最も安心です。

特にビジネスで使う場合、クライアント情報や取引データが海外のサーバーに保存されると、コンプライアンス上の問題が発生する可能性があります。利用規約でデータ保存先を確認しましょう。

暗号化が万全でも、アカウントが乗っ取られてしまえば意味がありません。以下の認証機能をチェックしましょう：

• 2段階認証（2FA）：パスワードに加えてSMSやアプリによるワンタイムコードが必要
• 生体認証：Face IDやTouch IDでアプリ自体をロックできるか
• パスキー対応：FIDO2/WebAuthnによるパスワードレス認証に対応しているか
• ログイン通知：新しいデバイスからのログイン時に通知が届くか

セキュリティ上の問題が発覚した場合に、すぐにデータを引き出せるかどうかも重要なチェックポイントです。「データの人質化」を避けるため、以下を確認します：

• 標準形式（Markdown、TXT、HTML）でエクスポートできるか
• 一括エクスポート機能があるか（1つずつではなく全データ）
• エクスポートしたデータに暗号化が残らないか（平文で取得可能か）

Captio式の場合、メモは全てメール受信箱に存在するため、データポータビリティの心配は一切不要です。メールはどのクライアントからでもアクセスでき、いつでもエクスポート可能です。

セキュリティにおいて「透明性」は極めて重要です。オープンソースのアプリは、暗号化の実装がコードレベルで第三者に検証可能です。クローズドソースのアプリは「セキュアだ」と主張しても、実際の実装を外部から確認できません。

• オープンソース：Standard Notes、Joplin、Notesnook、Simplenote
• クローズドソース：Apple Notes、Evernote、OneNote、Bear

クローズドソースだから危険というわけではありませんが、セキュリティを最優先にするなら、オープンソースのアプリを選ぶ方が安心です。

セキュリティは「設計」だけでなく「運用」も重要です。以下のポイントを確認しましょう：

• 第三者セキュリティ監査：外部のセキュリティ企業による監査を受けているか
• 脆弱性報告プログラム：バグバウンティやセキュリティ報告の窓口があるか
• 過去のインシデント対応：データ漏洩が発生した際の対応速度と透明性
• アップデート頻度：セキュリティパッチが定期的に提供されているか

Standard Notesは定期的にセキュリティ監査結果を公開しており、高い透明性を維持しています。Gmailもセキュリティ面では業界トップクラスの実績があり、Captio式でメールベースのメモ管理を行う安全性を裏付けています。

The physical location of servers storing your memo data determines which laws apply. EU servers fall under GDPR, US servers under the CLOUD Act. For Japanese users, services subject to Japan's Personal Information Protection Act provide the most peace of mind.

For business use especially, storing client information or trade data on overseas servers can create compliance issues. Always verify data storage locations in the terms of service.

Even perfect encryption is meaningless if your account gets compromised. Check for these authentication features:

• Two-factor authentication (2FA): Requires a one-time code via SMS or authenticator app in addition to password
• Biometric authentication: Can Face ID or Touch ID lock the app itself?
• Passkey support: Does it support passwordless auth via FIDO2/WebAuthn?
• Login notifications: Are you notified when a new device logs in?

If a security issue is discovered, the ability to quickly extract your data is a critical checkpoint. To avoid data hostage situations, verify:

• Can you export in standard formats (Markdown, TXT, HTML)?
• Is there bulk export functionality (all data, not one-by-one)?
• Is exported data in plaintext (not stuck behind encryption)?

With Simple Memo, all notes live in your email inbox, eliminating data portability concerns entirely. Email is accessible from any client and always exportable.

Transparency is critical for security. Open-source apps allow third-party verification of encryption implementations at the code level. Closed-source apps may claim security without external verification.

• Open source: Standard Notes, Joplin, Notesnook, Simplenote
• Closed source: Apple Notes, Evernote, OneNote, Bear

Closed source is not inherently dangerous, but if security is your top priority, open-source apps offer more assurance.

Security depends on operations, not just design. Check these points:

• Third-party security audits: Has the app been audited by external security firms?
• Vulnerability reporting: Is there a bug bounty program or security contact?
• Past incident response: How fast and transparently were data breaches handled?
• Update frequency: Are security patches released regularly?

Standard Notes regularly publishes security audit results, maintaining high transparency. Gmail also has industry-leading security track record, reinforcing the safety of email-based memo management with Simple Memo.