LayerX Newsletter for Tech (2019/09/23–09/29)

Issue #26

Oct 1, 2019

今週の注目トピック

Satoshi Miyazakiより

今週は、ユーザーが主体となる、次世代のアイデンティティ管理に関するニュースが見られました。今回は、金融機関におけるKYCの利便性向上に関する動きとして、uPortとPwC、Onfidoの提携に関するニュース、そしてDID working groupから見えてきた今後の方向性について整理しました。最後に、先日発表されたLightning Networkの脆弱性に関する詳細について、まとめています。

Section1: PickUp

●uPort、英国金融市場への導入目指しPwC・Onfidoとの提携を発表

旧来の集中型共有アイデンティティエコシステムが、ハッキングなどに対する脆弱性で機能しにくくなっている中、ユーザーによる自己統治型アイデンティティへの注目が高まっている。例えば、金融機関はKYC（顧客本人確認）/AML（アンチマネーロンダリング）の法令遵守に高コストを必要とし、顧客にもオンボーディングにおいて時間・負担を強いているだけでなく、サイロ化されたデータが金融機関を横断するシームレスな情報流通を妨げている。また、PSD2（EU決済サービス指令）などの規制環境をみても、金融機関間の個人データ共有において、安全にプライバシー保護可能なアイデンティティへの需要が高まっている。
uPortは、 Ethereumブロックチェーン上にデジタルアイデンティティをアンカリングするプラットフォーム。このほど、金融サービスにおける顧客アイデンティティのポータビリティ向上をはかるべく、アイデンティティ検証プロバイダーOnfidoおよび監査法人PwCとの提携を発表した。uPortとOnfidoは、消費者が自身のデータに関してアクセスとコントロールを可能とするという共有ビジョンのもと、分散アイデンティティについて、英国当局FCAの規制サンドボックスCohort 5から承認を受けている。
三社が目指すのは、消費者が全金融機関からのデータに基づく金融アイデンティティを構築した上で、サービスプロバイダー横断でアイデンティティのポータブルに流通できるようになること。今回の取り組みを通じて、サービスプロバイダー横断でポータブルなアイデンティティ検証によって顧客のオンボーディング体験を改善し、コンプライアンスコストを低減できることを検証する予定。まず当初は、金融機関による顧客アイデンティティの検証・顧客デューデリにおける情報の収集・活用方法を変革することを目指していくとされる。
こうした取り組みは、韓国でも見られる。例えば、サムスン電子をはじめとする韓国企業が、金融機関も交える形で、ブロックチェーン基盤の「自己統治型身分証明（SSI:Self-Sovereign Identity）システム」を2020年目処に公開する予定。また、同国の金融当局FSCが規制サンドボックス内で分散アイデンティティ「my-ID」プロジェクトを導入している。
金融アイデンティティを、金融機関の手元で管理するのでなく、ブロックチェーンベースでユーザー主体の管理・コントロールとすることによって、データのサイロ化から解放することが可能となることが期待されている。これによって、顧客視点では、様々なプロバイダーのサービスを横断で利用する際の、モビリティ・ポータビリティを高め、オンボーディングにおけるUXをスムーズにすることに繋がる。また、金融機関視点でも、顧客アイデンティティ検証を巡るKYC・顧客デューデリジェンスコスト低減に繋がるというメリットを享受できる。ブロックチェーンベースの金融アイデンティティを巡る今後の動向に注目したい。

●W3C、新設されたDID Working Groupの初回Meetingを開催

アイデンティティ管理のカンファレンスIIW（Internet Identity Workshop）で、初めてブロックチェーンベースのアイデンティティの議論が扱われたのは2015年春。その後、2017年からはW3CのCCG（Credentials Community Group）で議論が行われ、2019年夏にはDID SpecのCommunity Final Draftがまとめられた。現在、Credentials Community Groupには分散アイデンティティとして32メソッドが登録されており、内訳は3つがBitcoin(IONなど)、６つがEthereum（uPortなど）となっている。実利用シーンとしても、カナダのBritish Columbia州・Ontario州ではビジネスライセンスCredentialsを140万件発行されるなどしている（参考：VON。資料1, 2, 3）。
このほど、W3CでDID（分散アイデンティティ）のワーキンググループが組成され、初回ミーティングが日本で開催された。ワーキンググループはConsenSysとEvernymが議長を務め、DIDの推奨仕様やDIDユースケースなどをまとめることになっている。以下では、初回ミーティングの資料から、DIDの基本概念を抜粋して紹介する。
DIDは、新しいタイプのグローバルにユニークな識別子（URI:Uniform Resource Identifier）として整理される。暗号学的に検証・証明可能な識別子であり、中央の登録権威を必要としない点がポイント。Credential（名前や政府ID・ペイメントプロセッサ・自宅住所・学位など）に利用することで、アイデンティティプロバイダーから他のプロバイダーへ再発行無しに移動が可能なことから、インターネット上のデジタルアイデンティティとして注目が集まっている。
DIDの管理形態によって、大きく4つのカテゴリーに大別される。
(1)台帳ベース：ブロックチェーンや分散台帳を使って登録・参照されるDID。現在知られるうちほとんどが該当する。ブロックチェーンアドレスや秘密鍵公開鍵のキーペアに由来する。
(2)セカンドレイヤー：ブロックチェーンや分散台帳を使うものの、それに直接登録しないDID。例えば、IONのようにBitcoin上で動くDIDオーバーレイ等。
(3)P2P：公共の台帳を必要とせずP2Pで共有されるDID。
(4)オルタナティブ：上記以外
DIDの見え方としては、「スキーム（DIDであることを示す）」「DIDメソッド」「DIDメソッド特定文字列」から構成される。DIDメソッドは、DIDに関するCRUDオペレーションの実行方法を定義するものであり、新規生成・DIDドキュメント内の参照・DIDドキュメントの記述・DID終結の方法について定義される。DIDドキュメントは、DID主体（DIDによって識別されるエンティティ）とやりとりすることを目的として、暗号学的証明・サービスエンドポイント・認証メカニズム・他のメタデータを含むもの。
DIDとして、まだ「標準化」と呼べる段階にはないものの、従来のCommunity Group（比較的容易に組織できる場）から一歩進んで、W3C全体の合意に基づく規格として公開される上で必要なステップであるWorking Groupとして議論が始まったと言える。権威づけとして左右されてしまうことは相応しくないが、デジタルアイデンティティ仕様の方向性として、今後の動向に注目したい。

●Lightning Networkに発見された脆弱性について、詳細が公開される

2019年8月30日に、Bitcoin開発者のRusty Russell氏によって注意喚起が行われていたLightning Networkの脆弱性について、9月27日に、その全詳細が発表された。
今回の脆弱性は、チャネルをオープンするタイミングにおける、受信者側の検証作業に潜んでいたことが明らかになった。本来、チャネルを開設する際に、受信者側は資金提供者（チャネル開設者）の提供する「Funding Tx」内のscriptPubkeyや、fundingされた額を検証した上でCommitment Txの署名を作成して、資金提供者に送る流れとなっている。しかし、c-lightning v.0.7 以前、lnd v.0.7 以前、eclair v.0.3 以前のバージョンでは、これらの検証作業を行なっていなかったため、資金提供者が資金をデポジットせずとも、受信者側が気づかずにチャネルを開設し、Txを行うことが可能となっていた。
この問題に対する解決策として、ピアが「funding_created」を観測した段階で、「open_channel」で示されている額とFunding TxのOutputが一致しているかを、必ず検証するようにする方法が提示されている。
今回の脆弱性は、Rusty氏がチャネル開設のテストをしていた際に、c-lightningのクライアントがチャネル開設側から間違った「funding_output_index」の値を受け取っても、それをリジェクトしていなかったことから、発見された。問題自体は6月27日に発見されていたものの、重大な脆弱性であることから、内密に修正を加えて公開し、ほとんどのクライアントのアップデート対応が終わったタイミングにて、その詳細を発表する運びになったとのこと。同技術の安全な利用の実現に向けて、今後の動向を見ていきたい。