LINEで送る
Pocket

bitcoin-miningmini

米国の消費者信用情報会社エキファックス(Equifax)が、顧客の機密情報、1億4300万件を流出させたことで世界を騒がせている。

同社が流出させた機密情報は、顧客の社会保障番号、氏名、住所、生年月日、運転免許証およびその他のあらゆる機密情報だという。すなわち、ログイン情報も含め、顧客アカウントのすべての機密情報が流出したことになる。1億4300万件といえば、米国民全体のおよそ44%にものぼる規模である。

英フィナンシャル・サービス・クラブの会長で、大手金融機関の技術コンサルタントであるクリス・スキナー氏は、この劇的なニュースを受け、早急に生体認証やブロックチェーン等の技術を利用した「自ら証明できる身分証」(self-sovereign identity)に移行しなければならないと警笛を鳴らした。同氏は信頼ベースの技術に特化した「トラステック・カンファレンス(カルト含む)」の基調講演も努めており、既存の金融業界におけるサイバーセキュリティの脆弱さを指摘するブログを執筆している。

「長年知られているとおり、アカウントへのアクセスに顧客情報を求める方法はもはや安全ではありません」と、スキナー氏は語る。「アシュレイ・マディソンや多くの金融機関のハッキング騒ぎで知られるように、我々は早急に、20年も使われてきたこの古いシステムから脱出しなければなりません」

現在、金融機関の多くはPINコードや専用デバイス、第二暗証番号などを用いた二段階認証(2FA)に対応し、窮地をしのごうとしているが、これもまったく充分ではない。ユーザーの多くはアカウント情報を紛失したとコールセンターに連絡を行い、サポート担当者は個人情報を聞き出して個人照合を行おうとしてしまう。その他にも、父母の出生地や子供の頃のあだ名、高校の最寄り駅などを聞かれたことはあるだろう。スキナー氏によれば、これらの複雑な質問は、ユーザーを単に苛立たせるだけで、サイバーセキュリティの観点からも「何も解決していない」と断言する。

ユーザーは、ただ単にクレジットカードがなぜブロックしたのかを聞きたいだけです。5も6も面倒な質問に答えさせられるのは苦痛でしかありません。

解決策はあるのでしょうか? もちろんあります。ひとつは生体認証、そしてブロックチェーンによる、自己証明できる身分証です。

スマートフォンを用いれば、TouchID(指紋)や音声、網膜を使った認証がカメラを用いて簡単に実施できる。博報堂DYメディアパートナーズ・メディア環境研究所によれば、2017年のスマートフォン所有率は78%にも到達している。これらのユーザーが生体認証を導入すれば、少なくともログイン情報をプロテクトできることになる。金融機関がこのような現代的な認証システムを導入できないでいるのは、大きなシステムを導入するのにコストがかかるからだ。しかし、スキナー氏は「ハッカーからすれば、個人情報を盗み出して利用する方が楽だ」とし、生体認証の導入が行われていない現状に疑問を呈している。

「しかし生体認証もデータである限り、ハッキングの可能性が残されています」とスキナー氏は続けた語った。「ですから私は、第二の解決策、Self-sovereign identity(自分でアイデンティティを証明できる)スキームの大ファンなのです」

「自己証明できる身分証」の基本的な考え方は、信頼できる第三者にユーザー個人の機密情報を預けず自己で管理し、しかしながら身分認証を行いたい金融機関等の企業が、その中身が何であるかを知ることなく、その当人の身分の正当性を検証することができる、というものだ。ユーザーは、自分の情報を完全に自分の管理下においたまま、適切にその個人情報をコントロールできるのだ。

このようなアイデアはビットコインやブロックチェーンの世界では数年前から議論されている。プロトタイプとしては、公開鍵を用いて、スマホのビットコインウォレットから認証してログインできる「BitID」(仕組みとしてはGoogle認証として知られるOTPと近い)や、ブロックチェーン上にハッシュとしてデジタルIDを記録し、ユーザーのデータを本人だけが知る秘密鍵で制御できる「Onename」(Blockstack)や、「uPort」(ConsenSys)がある。

インターネット上のプライバシーはすでに大企業に牛耳られ、GoogleやFacebookなどの企業はあなたが誰であるかを知るために躍起になっている。その上、ユーザーは自身の個人情報をそれぞれのサービスごとに登録しなくてはならず、もはやどのサービスにどのような情報を預けているのかを知るすべもない。どこかでハッキング被害に遭うたびに、自分がそのサービスに登録していたかどうか、どのような情報を預けていたかを調べる手間も生じる。仮にサービスごとにパスワードを同じものに設定していた場合、自分が使っているすべてのサービスでパスワードを変更する必要があったりもすることだろう。

もし「自己証明できる身分証」というコンセプトが実現すれば、サービスを信頼せずに、信頼することが可能になる。

プライベート・チェーンでなく、ビットコインやイーサリアムのようなパブリックなブロックチェーンに限定される要素かもしれないが(プライベート・チェーンでも不可能ではない、ということは注記しておく)、成熟したブロックチェーン上のトランザクションは確率論的に不変であり、あらゆるサービスがその上に記録された情報を自由に参照できる。

さらには特定の機関がデータのセキュリティを保ち、消滅させないためにストレージを分散させる必要もなく、それらのコストをブロックチェーンの維持管理者に転嫁できる(これには賛否両論があり、独自のデータベースをもつ必要も当然ある)。また、その身分が正当なものであるかを確かめるためには国家・行政の協力も欠かせないが、行政に対して一度身分を証明しさえすれば、その「証明」をもって、パスポートのように世界中で通用する共通のデジタルIDになる。

つまり、このテクノロジーが実現した世界でサービスに対して信頼を置くべきものは殆どない。

現状において、ブロックチェーンでこうしたアイデアが実現できるかは不確定であり、技術的な成熟度で見た時にも、実用化はもう少し先にことになりそうだ。

スキナー氏は、主張の最後で「Rabobankの実証実験レポートが示すように、ブロックチェーンですべてを解決することはできないだろうし、私もそうだとは思わない」としながらも、「業界がオンライン認証の改善に迫られていないように見えるのが非常に不満だ」と締めくくっている。

業界が、将来的に改善に向かうことを望んでいます。しかし最近、私は一部の銀行がDNA認証を導入しようとしていると聞いてしまいました。ATMで唾液を出す? あるいは、支店にいって融資を受けるために針を使って血を出すんでしょうか? 面白いですね。


The Finanser
Self-sovereign identity

この記事を書いた人

ざきやま(山崎大輔)
ざきやま(山崎大輔)from Cryptocurrency world
ビットコイン専門記者 BTCN編集長
ブロックチェインの可能性を、知的財産の保護やゲーミングカルチャーへ応用できないかと考えてます。
monacoin:MTn7hiNovBHyN7gjtvD1Hh7W96Zmghp41B
bitcoin:1NK8S4ep9ZUZ9H9AmTAfvrCVVAKLbpmi36