1. HOME
  2. ブログ
  3. ニューノーマル時代のセキュリティ実装は? Self-Sovereign Identityとマイナンバーカード、およびHyperledger Irohaによるデジタル通貨の活用 ~2023年度第1回 光輝会ジョイントフォーラム(前編)

ニューノーマル時代のセキュリティ実装は? Self-Sovereign Identityとマイナンバーカード、およびHyperledger Irohaによるデジタル通貨の活用 ~2023年度第1回 光輝会ジョイントフォーラム(前編)

先ごろ、日比谷図書館ホールにて「2023年 第1回 光輝会ジョイントフォーラム」が開催された。光輝会は、シニア研究者と助成研究者の活躍を支援する有志の団体で、SIOTP協議会、本誌JSSが支援している。本年度第一回目のフォーラムのテーマは「ニューノーマル社会の展望と課題」。コロナ禍で人々の生活は変容を遂げ、ニューノーマル(新常態)の時代と呼ばれるようになったが、この新時代に求められる技術と課題、将来の展望を考察することが狙いだ。開催にあたり、まず大会委員長の辻井 重男 氏が挨拶した。

開催にあたって挨拶する大会委員長の辻井 重男 氏。中央大学研究開発機構 フェロー・機構教授、セキュアIoTプラットフォーム協議会理事長、元電子情報通信学会会長などを歴任

従来のセキュリティ対策に加え、ブロックチェーン技術にAIを連携も

セッション1では、中央大学研究開発機構 機構長の山澤 昌夫 氏が「ニューノーマル(新常態)の技術動向」について説明した。

中央大学研究開発機構 機構長 山澤 昌夫 氏

さまざまなサービスが登場したインターネットの第一世代から、いまはWeb3.0、ブロックチェーンや、後述する次世代IDの「SSI」(self-Sovereign Identity)・「DID」(Decentralized Identity)などの新技術が登場した新世代へ移りつつあるという。

特にブロックチェーンの応用は、当初は金融系に限られると思われていたが、スマートコントラクトやIoTの台頭により、一般産業への研究や応用が急増しているという分析もある。最近ではブロックチェーンを用いて、コンテンツの売買を行うNFTの仕組みも出てきた。しかしブロックチェーンは決して安全でなく、スマートコントラクトに穴があり、ハッカーにアタックされるリスクもある。 山澤氏は「いまでもセキュリティ対策のベース技術には、正真性を付与できる公開鍵暗号方式が挙げられますが、秘密鍵の運用が難しいという課題も残っています。そこで従来のセキュリティ対策に加えて、ブロックチェーン技術にAIを連携していくことが必要です」と説明する。

ニューノーマル時代は、セキュリティ・AI・ブロックチェーンの連携が求められるという

これらを踏まえ、次のセッション2から「ニューノーマルの発現」をテーマに、新技術の導入や課題が発表された。

自己主権型のセルフソブリン・アイデンティティでマイナンバーカードが変わる!?

セッション2の発表でトップバッターを務めたのは、情報セキュリティ大学院大学の教授、大塚 玲(あきら)氏だ。同氏は「セルフソブリン・アイデンティティ(以下、SSI:Self-Sovereign Identity)の研究動向と我々が取り組むべき課題」をテーマに発表した。

情報セキュリティ大学院大学(IISEC)教授、大塚 玲(あきら)氏

Self-Sovereign Identity(以下、SSI)とは、2016年にSSL/TLSの専門家クリストファー・アレン氏が提唱したもので、国や事業者などのIdentity Provider(IdP)と呼ばれる管理主体に依存せず、サービスを利用する個人が自身でデジタルアイデンティティ情報を発行・管理する考え方だ。

まず大塚氏は、SSIの話題の前に、自身が関わってきたマイナンバーカードのスマートフォン搭載の仕組みについて触れた。マイナンバーカードはJPKIが利用され、5月からスマートフォンで使えるようになった。マイナンバー自体は、ユーザーの身元確認・ユーザー認証・連携方法においてNISTのトップレベルの信頼性を達成しており、デジタル署名を発行するに十分なセキュアなインフラだ。ただし仕組みに対する安全性の議論は重要だ。

マイナンバーカードには「公的個人認証制度」が導入されている。これは電子証明書を用いて、なりすましや改ざん、送信否認の防止を担保し、インターネット上での本人確認や電子申請などを可能にする公的サービスだ。電子証明書は。住民票に基づいて市町村での対面による厳格な確認後に発行される。マイナンバーカードには、この電子証明書が標準で搭載され、公的機関のほか民間にも利用を開放している。

マイナンバーカードをスマートフォンに搭載した仕組みは、安全性が確認されており、今後も普及が見込まれる「FeliCa-SEチップ」を利用し、アップレットで秘密鍵と公開鍵を管理し、J-LIS(公的個人認証サービス認証局)が電子証明書を発行する形だ。 大塚氏は「ただスマートフォンの中に秘密鍵があると、リクエストによって署名されてしまう可能性があるため、特定のJPKI- UIのアプリだけがFeliCa-SEチップのセキュア領域にアクセスできるように制限しています。これによりマルウェアがアクセスしようとしても防止できるわけです」と語る。

マイナンバーカードの機能をAndroidスマートフォンへ搭載するための実現方法

ただし現在のJPKIの仕組みでデジタル署名をサービスプロバイダー(SP事業者)が検証する場合、たとえば金融機関などの事業者が何かサービスを提供するにしても、SP事業者は公開鍵の証明書内の基本四情報(名前、生年月日、性別、住所)をユーザーの同意なしに見られないようになっている。中間のプラットフォーム事業者(PF事業者)を介して、J-LISに照会するという手続きを取る。このように第三者の電子署名を検証してもらう必要があるため、事業者にとってはコストが掛かる仕組みで、公開鍵のメリットが出ない。

JPKIにおける電子証明書の検証フロー。いったんプラットフォーム事業者(PF事業者)を介して、J-LISに照会するので、サービス事業者にとってはコストと手間が掛かる

「そこで個人認証のインフラでも、匿名認証の仕組みを盛り込んでいく必要があります。いまのJPKIは最高レベルの信頼性(IAL-3)を達成していますが、証明書において個人情報を開示してしまうことが課題です。そこで墨塗りのように情報を一部しか見せない選択的開示(Verifiable Credential)という方法がW3Cで提案されています」(大塚氏)。

W3C検討中の選択的開示(Verifiable Credential)。墨塗りのように情報を一部しか見せない方法だ、これに加えてSSIの考え方を導入すれば、マイナンバーカードの使い勝手も良くなるだろう

この選択的開示に加えて、SSIの考え方を導入すれば、第三者(PF事業者)を介さずに、ユーザーと検証者のP2Pで証明書を検証できるようになるだろう。

SSIは、自身で生成した識別子や認証の鍵を用いてIDとそれに紐づく属性情報を管理・制御するため、ID情報の利用可否が特定事業者に依存しない。またID情報の管理権限が個人にあるので、個人情報・プライバシー保護の観点での改善も見込める。このようなSSIの概念を実サービスに適用するにあたり、W3Cなど国内外で議論が進められているのが「DIDs」(Decentralized Identifiers)だ。

DIDsは、ブロックチェーンなどにより構築された分散型システムで実現される識別子で、秘密鍵・公開鍵のキーペアと紐づけて管理し、秘密鍵で署名したデータを公開鍵で検証することで認証を行うものだ。この仕様のもと、ユーザー個々人は自身の権限で、このデジタルアイデンティティの生成や更新などを行えるようになる。

最後に大塚氏は「マイナンバーのJPKI(IAL-3)をトラストアンカーとして、個々のアイデンティティを個人で所有・制御ながら自由に使用できるようになれば、自己主権型のアイデンティティ(=SSI)の理想に大きく近づくでしょう」とまとめ、最初の講演を終えた。

リープフロッグ現象で電子通貨の導入に成功したカンボジアの背景とは?

国士舘大学 経営学部 教授 税所 哲郎 氏は、カンボジアのデジタルマネー導入の背景を中心に「新技術の社会実装状況」について解説した。

国士舘大学 経営学部 教授 税所 哲郎 氏

カンボジア王国は、次セクションで説明する中央銀行デジタル通貨「バコン」の導入に世界に先駆けて成功したASEAN加盟国である。国連開発計画委員会では、特に発展・開発の遅れた後発開発途上国(LDC)に位置づけられているが、2027年には枠から外れる予定だ。

カンボジア王国の産業は、農業と観光が中心で、まだ経済的にはこれからというところだ。しかし逆に開発途上国であるが故に、発展の伸びしろも秘めている。それが「リープフロッグ現象」で、開発途上国が新技術や先端技術を積極的に取り入れることで、既存技術で成長してきた先進国よりも発展を遂げる現象だ。 税所氏は「カンボジア王国の情報ネットワーク環境は、固定電話の普及率が極めて低く、その代わりに多数の通信事業者が存在し、スマートフォンやインターネットなどのモバイル環境が整備されています。たとえば、モバイルネットワークのカバー率は、2021年の段階で人口の95.7%が4G(LTE/WiMAX)となっており、欧米先進国や日本などと同等、あるいはそれ以上に普及しているのです」と語る。

カンボジアの通信インフラ状況。固定電話寄りも携帯電話やインターネットが普及している

先進国では、既存インフラの固定電話が足かせとなり、最先端技術の導入も競争優位性より安定稼働の考え方が強い。特に金融機関ではシステムトラブルの影響を避けるため、ファーストユーザーになりにくい状況だ。ところがカンボジアのような開発途上国では、もともとインフラが整備されていないため、先端技術が導入しやすいという背景がある。

税所氏は「また銀行口座についても高い手数料のハードルがあり、口座保有率は20%もありません。銀行の受け皿になる割安の送受金サービスもあるため、余計に銀行口座の開設が進まなかったのです。クレジットカードを持たない国民も多く、電子商取引が決済手段として進みました。またドル化のため、自国通貨のリエルは3割ほどしか利用されていませんでした。そんな状況もあり、電子通貨のバコンが導入されたのです」と説明する。

実は、バコンのコア技術には「ブロックチェーン技術」(分散型台帳技術)が用いられている。その技術面を支援したのが、日本のフィンテック企業のソラミツだった。同社は、カンボジア国立銀行からサポート要請を受けて、バコン事業者に選定された。そして2019年にシステムが完成し、2020年10月から本格運用が始まっている。 税所氏は、「2022年2月現在、カンボジア王国の総人口1615万人(2023年IMF推計)のうち、バコンのアプリ取引ユーザーは約30万人(約1.86%)、銀行間取引によるバコン利用は約800万人(約49.54%)です。アプリのユーザーが伸び悩む一方で、銀行間取引は順調に増えています。さらに個人ユーザーにも、バコンの利便性と認知を広げるとが重要でしょう」と語った。

カンボジア政府の電子通貨バコンと、それを支えるソラミツの「Hyperledger Iroha」

ソラミツのアーキテクトである米津 武至 氏は、「新技術の金融包摂等への寄与」をテーマに、ブロックチーンを利用したカンボジアのデジタル通貨・バコンについて解説した。

ソラミツ アーキテクト 米津 武至 氏

実はソラミツ(https://soramitsu.co.jp/ja)は、日本初のブロックチェーン技術「Hyperledger Iroha」を開発したベンチャーで、本誌でも連載「実践!ブロックチェーン いろは」(https://japansecuritysummit.org/2021/08/1024/)で詳細を紹介していた筆者である。このIohaは、2019年にThe Linux Foundationによって、オープンソースブロックチェーンの業界標準として認定されている。実際に商用でも耐えうるブロックチェーン・フレームワークとして、金融基盤でも安心して使えるようになり注目を浴びている。

ソラミツのHyperledger Irohaは、前出のカンボジア中央銀行デジタル通貨バコンや、会津若松・磐梯町などの地域通貨、保険・証券スマートコントラクトとしてモスクワ証券取引所、あいおいニッセイ同和損保、SOMPOホールディングなどにも採用されている。またマイナンバーカード連携のデジタルIDとしては楽天や福井県、SDGs素材リサイクルなどのサプライチェーンではTORAYが採用。その他クロスボーダー送金やメタバース・NFTなどにも実績がある。

すでにソラミツのHyperledger Irohaは、デジタル通貨だけでなく、デジタルIDや保険・証券スマートコントラクト、サプライチェーン、メタバース・NFTなどで多くの実績を持っている

米津氏は、このうち2017年からソラミツが主導して開発が始まったカンボジア中央銀行デジタル通貨バコンについて詳しく紹介した。

当時カンボジアは経済発展のために外資規制が緩和されたため、現地通貨のリエロよりドル化が進んだ。また銀行口座を持つ国民は2割ほどしかなかったが、スマートフォンは150%(複数台持ちも併せると)も普及していた。そこで政府はデジタル通貨を推進したいという背景があった。

「バコン(https://bakong.nbc.gov.kh/en/)は、リエルとドルの2通貨に対応し、スマートフォンからQRコード、または電話番号を入力することで、簡単に送金と受取りが行えます。すでに総人口1670万人に対して(延べ)、1000万人が銀行間決済や送金、店舗支払いなどに利用しており(2023年2月現在)、1兆420億円の取引が行われています」と米津氏は語る。 カンボジア政府は、バコンの導入により、銀行口座を持たない人々に金融サービスを提供できるようになり、デジタル金融包摂に成功したといえるだろう。

カンボジア政府のデジタル通貨「バコン」。リエルとドルの2通貨に対応。QRコード、または電話番号を入力し、送金と受取が行える

日本で普及しているような従来型の「口座型キャッシュレス」では、電子的な預金の移動になり、モノを購入した場合に複数の銀行口座に振り込まれる。それから最終的に店舗にお金が入る仕組みとなるため、コストも時間もかかってしまう。一方、バコンのような「トークン型デジタル通貨」は、現金と同じ価値を持ったトークンを店舗に送るため支払いが即時に完了し、決済コストも抑えられる(送金手数料・加盟店手数料が無料)。

従来型の「口座型キャッシュレス」と「トークン型デジタル通貨」の違い。トークン型は、支払いが即時に完了し、決済コストも抑えられる

またリテール決済だけでなく、銀行や企業間のホールセールでもバコンが使える。クロスボーダー送金・決済にも対応し、マレーシアから直接カンボジアに国際送金が可能だ。

最後に米津氏は、「今後の展開としては、カンボジアだけでなく、タイ・マレーシアなど近隣のASEAN諸国への展開も期待されています。ラオスでは今年になってから、我々がデジタル通貨CBDCの実証実験をサポートしており、アジア開発銀行と国際証券決済・デジタル通貨決済のPoCも行われました」と紹介した。 この動きは、フィリピン・ベトナムにも広がろうとしている。今後、Hyperledger Irohaを利用したブロックチェーン技術のアプリケーションが、さらに新興国にも広がってデジタル経済に貢献しそうだ。

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!