GDESIGN

デザイン2026-05-119 分で読める

電子透かしの技術全解剖 ― 可視・不可視・C2PA、AI生成画像時代の攻防

2026 年、画像生成 AI の品質は人間の写真と見分けがつかないレベルに到達しました。SNS に流れる「決定的瞬間」の写真が AI 製フェイクだったケースが相次ぎ、「この画像は本物か？」という問いが社会的に切迫しています。この問題に対する技術的アプローチの最前線にあるのが電子透かし（デジタルウォーターマーク）技術です。本記事では、古典的な可視ウォーターマークから、信号処理に基づく不可視透かし、深層学習ベースの最新手法、Google SynthID、そしてメタデータで真正性を証明する C2PA まで ― 電子透かしに関わるすべての技術を体系的に解説します。

#電子透かし#ウォーターマーク#C2PA#AI画像#著作権保護#SynthID#不可視透かし#Content Credentials

可視ウォーターマークと不可視ウォーターマーク

電子透かしは大きく可視 (visible) と不可視 (invisible) の 2 種類に分類されます。目的も技術的アプローチもまったく異なるため、まず両者の違いを整理しましょう。

可視ウォーターマーク

画像の上にテキストやロゴを半透明で重ね合わせる方式です。ストックフォトのプレビュー画像や、SNS で共有される作品の著作権表示に広く使われています。目的は著作権の主張と無断利用への抑止力です。

不可視ウォーターマーク

人間の目には見えないが、専用の検出アルゴリズムで読み出せる情報をピクセルデータに埋め込む方式です。フォレンジック（流出元の追跡）、AI 生成画像の識別、著作権管理などに使われます。JPEG 圧縮やリサイズを経ても生き残るよう設計されるのが特徴です。

比較表

特性	可視ウォーターマーク	不可視ウォーターマーク
人間の知覚	見える	見えない
主な目的	抑止力・著作権表示	追跡・認証・識別
除去の難易度	クロップ・インペイントで容易	信号処理的に除去困難
画質への影響	大きい（意図的）	最小限（知覚不可）
圧縮耐性	N/A（視覚的に残る）	方式により異なる
情報容量	表示領域に依存	数十〜数千ビット
代表用途	ストックフォト, SNS	放送監視, AI画像識別

実際の運用では、可視透かしで抑止力を確保しつつ、不可視透かしで流出時の追跡を行う二重防御が推奨されます。

可視ウォーターマークの設計原則

「テキストを画像に重ねるだけ」と思われがちな可視ウォーターマークですが、クロップ耐性・視認性・ブランド訴求のバランスを取るには明確な設計原則が必要です。

配置戦略

コーナー配置: 右下や左下にロゴを置く。最も控えめだがクロップで簡単に除去される
中央配置: 画像の中心にテキストを置く。除去しにくいが画像の閲覧性を著しく下げる
対角線配置: 斜め 45° にテキストを流す。クロップ耐性と視認性のバランスが良い
タイル配置: 画像全体に繰り返しパターンを敷き詰める。クロップ耐性は最強だがデザイン的に重い

なぜタイル配置が最も堅牢か

画像のどの領域を切り出しても必ずウォーターマークが含まれるため、物理的にクロップで除去できません。ストックフォトサービス (Getty Images, Shutterstock 等) がプレビューにタイル配置を採用しているのはこの理由です。

不透明度のトレードオフ

不透明度 (opacity) を下げれば元画像の視認性が上がりますが、ウォーターマーク自体の抑止力が下がります。一般的な設計ガイドライン:

10〜20%: 上品だが AI インペイントで除去されやすい
30〜50%: 多くの場面で推奨される範囲
60%以上: 強い抑止力だが元画像の評価が難しくなる

本サイトの画像ウォーターマークツールでは、9 か所の固定位置＋タイル配置の計 10 パターンから配置を選択でき、不透明度もスライダーで自由に調整できます。テキスト・色・フォントサイズも細かくカスタマイズ可能なので、用途に合わせた最適な透かしをブラウザ上で完結させられます。

不可視透かしの技術 — 空間領域と周波数領域

不可視ウォーターマークの埋め込み技術は、信号処理の観点から空間領域と周波数領域の 2 つに大別されます。

空間領域: LSB 埋め込み

LSB (Least Significant Bit) 方式は、各ピクセルの色値の最下位ビットを透かし情報で置き換える最もシンプルな手法です。

// 8ビットグレースケール画像の場合
pixel_value = 0b11010110  // 214
watermark_bit = 1
pixel_value' = 0b11010111  // 215 (±1の変化、知覚不可)

シンプルで大容量（1 ピクセルあたり 1 ビット = 1000×1000 画像で約 125KB）ですが、JPEG 圧縮やリサイズで完全に破壊されるため実用性は限定的です。

周波数領域: DCT ベース埋め込み

DCT (離散コサイン変換) は JPEG 圧縮の中核アルゴリズムです。画像を 8×8 ブロックに分割し、各ブロックを空間周波数成分に変換します。透かし情報は中間周波数帯の DCT 係数に埋め込まれます。

// DCT係数への埋め込み (概念的)
F(u,v) = DCT(f(x,y))          // 空間→周波数変換
F'(u,v) = F(u,v) + α · w(u,v)  // 透かし信号を加算
f'(x,y) = IDCT(F'(u,v))       // 周波数→空間に戻す

α = 埋め込み強度 (0.01〜0.1 程度)
w(u,v) = 透かしビット列 {-1, +1}

なぜ JPEG 圧縮に耐えるのか？ JPEG の量子化は高周波成分を優先的に削除しますが、中間周波数帯は比較的保存されます。透かしをこの帯域に埋め込むことで、JPEG 再圧縮後も情報が残ります。

DWT (離散ウェーブレット変換) ベース

JPEG 2000 で採用された DWT は、画像を多重解像度 (LL, LH, HL, HH サブバンド) に分解します。透かしは LH/HL サブバンド（エッジ情報が集中する帯域）に埋め込まれ、DCT 方式より幾何学的変形に強い傾向があります。

方式	圧縮耐性	容量	計算コスト	弱点
LSB (空間)	極めて低い	高い	O(N)	JPEG, リサイズで消失
DCT (周波数)	JPEG に強い	中程度	O(N log N)	幾何学変形に弱い
DWT (周波数)	高い	中程度	O(N)	実装が複雑

スペクトル拡散方式 — CDMAの応用

携帯電話の CDMA 通信技術を電子透かしに応用したのがスペクトル拡散 (Spread Spectrum) 方式です。1990 年代後半に I. Cox らが提案した手法で、現在も不可視透かしの主流技術の一つです。

原理

埋め込む透かし情報（数ビット〜数十ビット）を擬似乱数系列 (PN 系列) で拡散し、画像の周波数成分全体に薄く重ね合わせます。

// 埋め込み
spread_signal = watermark_bit × PN_sequence  // 1ビットをN個の係数に拡散
X' = X + α · spread_signal                   // 画像全体に薄く加算

// 検出 (相関検出)
correlation = Σ(X'[i] · PN_sequence[i]) / N
if correlation > threshold → bit = 1
if correlation < -threshold → bit = 0

CDMAとの類似性

CDMA では複数の通信者が同一帯域を共有し、各ユーザーに固有の拡散符号を割り当てます。電子透かしでも同様に、固有の PN 系列を「鍵」として使うことで:

鍵を知らない第三者は透かしの存在すら検知できない（ステガノグラフィ的秘匿性）
異なる鍵で複数の透かしを同一画像に独立して埋め込める（多重アクセス性）
信号が広帯域に分散するため、局所的なノイズや改変に対して堅牢（耐妨害性）

堅牢性 vs 容量のトレードオフ

拡散率 (spreading factor) を N とすると:

N が大きい: 1 ビットあたりの冗長性が高く堅牢。ただし容量は 1/N に低下
N が小さい: 容量は増えるが、攻撃耐性が下がる

実用的なパラメータとして、512×512 画像に 64 ビットの透かしを埋め込む場合、拡散率 N = 4096 (= 512×512 / 64) 程度が用いられます。これで JPEG 品質 50% まで耐えるシステムが構築可能です。

深層学習ベースの電子透かし — HiDDeN / StegaStamp

2018 年以降、深層学習を用いた電子透かしが急速に進歩しました。従来の信号処理ベースの手法と異なり、埋め込みと検出を End-to-End で同時に学習するのが特徴です。

Encoder-Decoder アーキテクチャ

基本構造は以下の 3 つのネットワークで構成されます:

Encoder (埋め込みネットワーク): 入力画像 + メッセージビット列 → 透かし入り画像
Noise Layer (攻撃シミュレーション): JPEG 圧縮、クロップ、リサイズなどの劣化を微分可能な形で模擬
Decoder (検出ネットワーク): 透かし入り画像（劣化後） → メッセージビット列を復元

損失関数は「画質劣化の最小化」と「メッセージ復元精度の最大化」の 2 目標を同時に最適化します:

Loss = λ₁ · MSE(image, watermarked_image)     // 知覚品質
     + λ₂ · BCE(message, decoded_message)      // ビット正確度
     + λ₃ · LPIPS(image, watermarked_image)    // 知覚的類似度

HiDDeN (2018, Facebook Research)

Zhu et al. が提案。30 ビットのメッセージを 128×128 画像に埋め込み、JPEG 品質 50 でもビット誤り率 (BER) 2% 以下を達成。Noise Layer に微分可能な JPEG シミュレータを組み込んだ先駆的研究です。

StegaStamp (2019, UC Berkeley)

Tancik et al. が提案。56 ビット (7 バイト) の情報を写真に埋め込み、印刷→カメラで再撮影しても復元できる堅牢性を実現。U-Net ベースの Encoder と、Spatial Transformer Network による幾何学的歪み補正を組み合わせています。

従来手法に対する優位性

手作業で設計していた「どの係数にどう埋め込むか」をネットワークが自動的に最適化
訓練時に想定する攻撃を Noise Layer として追加するだけで、その攻撃への耐性を獲得
PSNR 40dB 以上の高画質を維持しながら、従来手法を超える堅牢性を達成

Google SynthID — AI生成画像の識別

2023 年に Google DeepMind が発表し、2024〜2025 年にかけて Imagen, Gemini, Veo に統合された SynthID は、AI 生成コンテンツの識別に特化した透かし技術です。

生成時埋め込みという革新

従来の透かしは画像生成後の「後処理」として適用されていました。SynthID は画像生成プロセス自体に透かしを組み込む点が根本的に異なります。拡散モデル (Diffusion Model) のデノイジングステップの中で透かし信号を注入するため:

透かしが画像の統計的構造と自然に融合し、知覚品質への影響が極めて小さい
「透かしなし」の元画像が存在しないため、差分攻撃が原理的に不可能
後処理として除去する対象が定義できない（生成物自体に不可分に組み込まれている）

耐性の実績

Google の報告によると、以下の変換後も検出可能です:

JPEG 圧縮 (品質 25% まで)
±20% のリサイズ
回転 (±10°)
明るさ・コントラスト変更
フィルタ適用（ぼかし、シャープネス）
スクリーンショット撮影

SynthID for Text

2024 年には画像だけでなくテキストにも展開。トークン生成時のサンプリング確率を微調整し、統計的にのみ検出可能な「透かしパターン」をテキストに埋め込みます。個々の文章では判定不能ですが、一定量のテキスト（200 トークン以上）があれば統計的に検出できます。

制限事項

SynthID は Google のモデルで生成されたコンテンツにのみ適用されます。他社のモデル (Stable Diffusion, Midjourney, DALL-E 等) で生成された画像は検出対象外です。これが業界全体の標準規格 (C2PA) が必要とされる理由です。

C2PA / Content Credentials — メタデータベースの真正性証明

C2PA (Coalition for Content Provenance and Authenticity) は、Adobe, Microsoft, Intel, BBC, Arm などが 2021 年に設立した業界団体が策定する技術規格です。画像の「来歴 (provenance)」を暗号的に証明するメタデータ標準であり、厳密には電子透かしとは異なる補完技術です。

仕組み

C2PA は以下の情報を暗号署名付きマニフェストとして画像ファイルに埋め込みます:

作成者情報: 誰が（どのデバイス/ソフトウェアが）作成したか
作成方法: カメラ撮影か、AI 生成か、合成か
編集履歴: どのような加工が行われたか（リサイズ、フィルタ、AI 編集等）
タイムスタンプ: いつ作成・編集されたか
信頼チェーン: 各ステップの署名を連鎖させ、改ざんを検知

カメラメーカーの対応

2024〜2025 年にかけて、主要カメラメーカーが C2PA 対応を開始しました:

Leica: M11-P (2023年) で業界初の C2PA 対応カメラを発売
Sony: α9 III, α1 II で対応。撮影時点で真正性証明を付与
Nikon: Z6III 以降のモデルで対応
Canon: 2025 年のファームウェアアップデートで対応

AI プラットフォームでの採用

Adobe Firefly: 生成画像に「AI generated with Adobe Firefly」の Content Credentials を自動付与
Meta: Instagram, Facebook で C2PA 対応画像に「AI Generated」ラベルを表示
OpenAI (DALL-E 3): C2PA メタデータを出力画像に含める

限界: メタデータは剥がせる

C2PA の最大の弱点は、メタデータがファイル転送やスクリーンショットで容易に失われることです。SNS プラットフォームがアップロード時にメタデータを削除する場合もあります。この限界があるからこそ、ピクセルレベルの不可視透かしとの併用が推奨されるのです。C2PA + SynthID のように、メタデータ層と信号層の多重防御がこれからのスタンダードになっていきます。

電子透かしへの攻撃と耐性

あらゆる透かし技術は攻撃者との「いたちごっこ」の中にあります。代表的な攻撃手法と、各方式の耐性を整理します。

基本的な信号処理攻撃

JPEG 再圧縮: 品質を下げて保存し直す。LSB 方式は壊滅、DCT/スペクトル拡散は品質 30〜50 まで耐える
スケーリング: リサイズで空間関係を破壊。DWT 方式は比較的堅牢
クロップ: 画像の一部を切り出す。同期情報を失うと検出不能に
回転: 幾何学変形。回転不変な特徴量 (Zernike モーメント等) を使う方式以外は脆弱
ノイズ付加: ガウシアンノイズを重ねる。スペクトル拡散方式は拡散利得により耐性あり
スクリーンショット: 画面を再撮影。D/A→A/D 変換を経るため多くの方式で困難

高度な攻撃

共謀攻撃 (Collusion Attack): 同一画像の異なる透かし付きコピーを複数入手し、平均化して透かしを相殺
プロトコル攻撃: 透かしの埋め込みプロトコル自体の脆弱性を突く（偽の透かしを主張する等）
StirMark: 1998 年に提案されたベンチマーク。微小な幾何学的歪み (Random Bending) を加えて同期を破壊
AI ベース除去: image-to-image モデル (pix2pix, Stable Diffusion img2img) で再生成し透かしを消去

攻撃耐性の比較

攻撃	LSB	DCT	スペクトル拡散	DL ベース	SynthID
JPEG 圧縮	×	○	○	◎	◎
リサイズ	×	△	△	○	○
クロップ	×	△	○	○	○
回転	×	×	△	○	△
スクリーンショット	×	×	△	○	○
AI 再生成	×	×	×	△	△
共謀攻撃	×	×	△	△	N/A

◎ = 高耐性、○ = 耐性あり、△ = 条件付き耐性、× = 脆弱

完全に攻撃不可能な透かしは理論的に存在しません。特に AI ベースの除去攻撃は、透かし技術と同じ深層学習の力を攻撃側が使えるため、根本的な優位は得られないのが現実です。

2026年の法制度とガイドライン

技術の進歩と並行して、AI 生成コンテンツのラベリングに関する法制度も急速に整備されつつあります。

EU AI Act (2024年成立・2026年段階適用)

EU AI 規則は AI システムをリスクレベルで分類し、コンテンツ生成 AI に対して出力への明確なラベリングを義務付けています。2026 年 2 月から段階的に適用が開始され、AI 生成画像・動画・音声には機械可読な形式での表示が必要です。技術的には C2PA メタデータまたは電子透かしでの対応が想定されています。

日本: AI 事業者ガイドライン

2024 年 4 月に総務省・経済産業省が策定した「AI 事業者ガイドライン」は、2025 年に改訂版が公表されました。AI 生成コンテンツについて:

AI により生成されたコンテンツであることの表示を推奨（義務ではなく努力義務）
ディープフェイクによる権利侵害への対策を事業者に要請
電子透かしや C2PA などの技術的対策の採用を推奨

著作権法との関係

日本の著作権法 30 条の 4 は「情報解析」目的での著作物利用を広く認めていますが、電子透かしの除去は「技術的保護手段の回避」(著作権法 120 条の 2) に該当する可能性があります。不可視透かしがアクセスコントロールやコピーコントロールとして機能する場合、その除去は刑事罰の対象となり得ます。

プラットフォームのポリシー

プラットフォーム	対応状況 (2026年時点)
YouTube	AI 生成コンテンツの自己申告 + C2PA 検知で自動ラベル
Instagram / Facebook	C2PA, IPTC メタデータ検知 + SynthID 検出で「AI Generated」表示
X (旧 Twitter)	Community Notes による事後ラベル。技術的検知は限定的
TikTok	AI 生成の自己申告を義務化。未申告で検知された場合は削除対象

まとめ — 「完璧な透かし」は存在しない

本記事で見てきたように、電子透かし技術は LSB の素朴な埋め込みから、DCT/DWT の周波数領域手法、スペクトル拡散、深層学習ベース、そして生成時組み込み型の SynthID まで半世紀にわたって進化してきました。しかし、あらゆる攻撃に耐える完璧な透かしは理論的に存在しません。

多層防御が現実解

2026 年現在の推奨アプローチは、目的に応じた多層防御 (Defense in Depth) です:

第 1 層: 可視ウォーターマーク — 抑止力として。無断使用を心理的に抑制する最も直接的な手段
第 2 層: 不可視透かし — フォレンジック用。流出元の追跡や、AI 生成であることの証明に使用
第 3 層: C2PA / Content Credentials — 来歴証明として。いつ・誰が・どう作成したかの暗号的な証明

個人クリエイターにとっての現実的な第一歩

企業や研究機関にとっては不可視透かしや C2PA の実装が視野に入りますが、個人のクリエイターや写真家にとっては、可視ウォーターマークが依然として最も実用的な第一歩です。理由はシンプルで:

追加のソフトウェアや契約が不要
技術的知識なしで即座に適用可能
閲覧者に対して権利の存在を即座に伝達できる
無断転載の大半は「面倒だからやめる」で防げる

本サイトの画像ウォーターマークツールを使えば、ブラウザ上で画像をアップロードし、テキスト・配置・不透明度を設定して即座にウォーターマーク付き画像をダウンロードできます。まずは手持ちの作品に可視透かしを付けることから、デジタル時代の著作権保護を始めてみてください。

記事作成に関する注記

本記事は AI(大規模言語モデル)を編集補助として活用して作成しています。公開前に編集者が内容を確認していますが、事実誤認・仕様の解釈ミス・最新情報との齟齬が含まれる可能性があります。重要な判断を行う際は、本文中の一次ソースや公式ドキュメントを必ずご自身でご確認ください。誤りにお気づきの場合は、お問い合わせフォームよりご連絡いただけると助かります。