このページでは、アーキテクチャのレジリエンス(回復力)の備えについて説明します。いくつかのメカニズムは現在も開発中ですが、設計は確定しており、検討している脅威は現実のものです。項目ごとの実装状況を確認したい場合は、こちらからお問い合わせください — NDAの下で現在の進捗状況を共有いたします。
インフラストラクチャ
何かが停止したときでも、稼働し続けるために設計されています。
Clavitorのインフラストラクチャのあらゆる部分は、各依存関係、各ベンダー、各レイヤーに対して「これが故障したらどうなるか?」という同じ問いを投げかけることで設計されました。私たちはスタック全体にわたってその問いに向き合い、答えが常に一つになるようアーキテクチャを設計しました。それは、「Vaultはサービスを提供し続ける」ということです。
このページには、私たちが検討した事項を記載しています。具体的なメカニズム — つまり、各課題を「どのように」解決するか — は非公開です。高度な要件を持つお客様には、NDAの下で詳細を提供可能です。脅威のリストを公開することは、エンジニアリングにおける誠実さの表明です。防御策を公開することは、攻撃者に無料の設計図を与えることになります。
私たちが設計に組み込んだもの
ハイパースケール・クラウドの停止
主要なクラウドプロバイダーは停止します。頻繁ではありませんが、目に見える形で発生し、その際にはインターネットの大部分を道連れにします。私たちは、いかなる単一のハイパースケーラーも、最終的には世界規模の障害に見舞われるという前提で設計を行いました。そのような事態が発生しても、Clavitorは資格情報の提供を継続します。
地域的な災害および物理的イベント
データセンターへのドローン攻撃、海底ケーブルの切断、自然災害、地域紛争などの地域的なイベントは、クラウドリージョン全体をオフラインにする可能性があります。2026年3月1日には、AWSの中東リージョンが両方とも同一の事象によって停止しました。私たちはこれを仮説ではなく、教訓として捉えています。当社のアーキテクチャは、地域的なイベントを、お客様が気づくことのない日常的な故障モードとして扱います。
DNSプロバイダーの停止
DNSをホストしている企業が停止すると、スタックの他の部分がすべて健全であっても、サービスは停止します。これはCloudflare、Route 53、およびすべての主要なDNSプロバイダーに当てはまります。私たちは、当社のDNSプロバイダーに問題が発生した場合に何が起こるかを検討しました。
認証局(CA)の停止
証明書の更新が必要なときに認証局に到達できない場合、TLSは機能しなくなります。認証局が侵害された場合、それが発行したすべての証明書が無効になります。CAインフラストラクチャが正常に動作しない場合にTLSに何が起こるかを検討しました。
ドメインレジストラの問題
レジストラがアカウントを停止したり、侵害されたりした場合、DNSがどこでホストされていても、ドメインは消失するかリダイレクトされます。私たちは、当社のレジストラが失敗した場合に何が起こるかを検討しました。
TLDオペレーターの問題
トップレベルドメイン(.com、.ai、.io)を運営する組織自体が、単一障害点となります。小規模なTLDは、運用能力の低い小規模な組織によって運営されています。私たちは、TLDオペレーターに問題が発生した場合に何が起こるかを検討しました。
メールプロバイダーの停止
メールプロバイダーが停止すると、アカウント復旧コードが届かず、サインアップの確認メールも届かず、カスタマーサポートの受信トレイも機能しなくなります。私たちは、メールプロバイダーに到達できない場合に認証と復旧に何が起こるか、そして極めて重要な点として、メールが停止している間に製品の「その他の部分」に何が起こるかを検討しました。
SMS / 電話番号への依存
多くのサービスは、メールが利用できない場合に検証手段としてSMSに切り替えます。私たちはこれを検討しましたが、採用しないことに決めました。電話番号を求めることは、収集したくない種類の個人データを追加することになり、お客様をSIMスワップ攻撃にさらすことになり、さらに別のベンダーへの依存を生むからです。私たちはより優れた道を選択しました。
オペレーショナル・コントロールプレーンの停止
自社のインフラを管理するために使用するツール自体が停止することがあります。オーケストレーション・メッシュ、コーディネーション・レイヤー、デプロイメント・パイプラインなどです。それぞれが失敗する可能性のあるベンダーとの関係です。私たちはそれぞれの結果を検討し、ベンダーが運営するコントロールプレーンへの依存度を段階的に低減させました。
ソフトウェアのバグ
一斉に発生する障害の最も可能性の高い原因は、至る所に同時にデプロイされた自社ソフトウェアのバグです。すべての実行コピーが同じようにクラッシュする場合、地理的な分散は役に立ちません。私たちはこれを検討し、カナリアリリース、迅速なロールバック、キルスイッチなどのデプロイメント手法を設計しました。
アカウントレベルのベンダーによる措置
アカウントの停止、請求に関する紛争、規制による差し押さえ、利用規約(ToS)の適用などは、一撃で単一のベンダーとの関係を無効にする可能性があります。私たちは、すべての重要なベンダー関係が一方的に終了した場合の結果を検討し、あらゆるレイヤーにおいて単一ベンダーへのロックインを防ぐよう設計しました。
相関的な失敗
複数の事象が同時に発生することがあります。複数のルートに影響を与える大規模なケーブル切断、サービスを横断した組織的な攻撃、プライマリとバックアップの両方を襲う自然災害などです。私たちは、特に「プライマリが停止した瞬間にバックアップも停止する」という相関的な故障モードを検討しました。当社のアーキテクチャは、単一のイベントによってプライマリとそのフェイルオーバーの両方が停止しないように設計されています。
壊滅的な個人データ依存関係
Vaultのお客様は、セキュリティと自身のデータの復旧可能性の間で選択を迫られるべきではありません。私たちは、ユーザーのVaultが、紛失する可能性のある他の要素(電話番号、メールアカウント、単一のデバイス、単一のパスワード)に依存している箇所をすべて検討しました。それらはすべて、排除されるか、回避するように設計されました。
オペレーションチームの連絡可能性
Vaultを提供する企業は、インシデント発生時に自社のチームが連絡可能である必要があります。私たちは、運用担当者の周囲のインターネット環境が悪化した際に、私たちの対応能力に何が起こるかを検討しました。
暗号学的ホライゾン
暗号技術は静的なものではありません。私たちは、耐量子計算機暗号を含む、私たちが依存するすべての暗号プリミティブの長期的な移行パスを検討しました。
私たちが保護を保証しないもの
インフラストラクチャのエンジニアリングで達成できる限界については、明確に示しています。
世界中のインターネットを数日間にわたって停止させます。インフラストラクチャでできることはなく、お客様はそもそも何にもアクセスできなくなります。
商用インフラストラクチャが単独で防御できる範疇を超えた事象です。
私たちはこれらについて正直であり、それらが起こらないという前提のもとで、他のすべてをレジリエントに設計しています。
アーキテクチャの詳細はNDAの下で提供されます。
上記のリストは「私たちが検討した事項」です。「各防御策がどのように設計されているか」の詳細(具体的なトポロジー、ベンダーの選択、切り替え手順、暗号プロトコルなど)は、エンタープライズのお客様に対し、調達プロセスにおいて、そのセキュリティチームと共にNDAの下で共有されます。