自己主権型/分散型アイデンティティ技術調査ホワイトペーパーを読んでみた

ごきげんよう、Jorduです。
今回はTOYOTA CONIQさんが発表している自己主権型/分散型アイデンティティ技術調査ホワイトペーパーを読みました。
こうしていると学生時代の輪読を思い出しますね。

ここの解釈違うかもなどありましたら優しくコメントいただけると勉強になるので喜びます📚

1. はじめに

背景

・デジタルアイデンティティの利用が活発になり我々の生活が便利になる一方で、さまざまなリスクも生まれている

・リスクへの対応策
① SSI
自分のデータは自分で管理、提供する自己主権型アイデンティティという思想(サービス側で管理されると、どの情報がどこで使われているか、保管されているか把握しきれない)

② DID
特定のサービスに依存しないよう(例 googleアカウントで連携してたけど、アカウント停止であちこちのサービスにアクセスできない！、google側にどのサービスと連携しているか知られてしまう)
にアイデンティティの置き場所は分散しようという思想

目的

・想定読者 : 「自己主権型/分散型アイデンティティ」のビジネスへの適用に悩む、ビジネス企画・推進、決裁に関わる方

・目的 : 自己主権型/分散型アイデンティティを用いたデジタル社会実現のための技術理解を助けること、社会実装に向けた課題を示すこと

2. 移動体験におけるユースケース

チケットのデジタル化

パッケージ旅行を予約し、電車・バス・レンタカーなどの移動手段をデジタルIDウォレットを通じて利用する

マーケティングプラットフォーム

MaaSアプリが位置情報と旅程から移動先のクーポンなどをおすすめ

3. 自己主権型/分散型アイデンティティを構成する要素

下記4つのレイヤーがある

レイヤー4 ガバナンスフレームワーク
・検証者が検証可能なクレデンシャルに関する信頼について答えるためのレイヤー
・信頼性保証のために行政機関や業界団体が定めるポリシーや契約

レイヤー3 クレデンシャル
・検証可能なクレデンシャルの相互運用をサポートするレイヤー
・検証可能なクレデンシャルの発行・提供・検証を扱う

レイヤー2 安全なコミュニケーションと通信プロトコル
・信頼されたコミュニケーションを確立するためのレイヤー
・検証可能なクレデンシャルを管理するデジタルIDウォレットとウォレットを介した発行者・検証者・所有者間の通信プロトコル

レイヤー1 識別子と公開鍵
・識別子と公開鍵が定義と管理されるレイヤー
・DIDの仕様とDIDドキュメントを発行者・検証者が参照できる状態で管理する

レイヤー4 ガバナンスフレームワークの事例

・欧州における電子商取引のための規則eIDAS
→QTSP(適格サービストラストプロバイダ)の監査により、SPやIdPの信頼性が向上
→EU加盟国のQTSPがトラステッド・リスト(信頼できる事業者一覧)に集約される

レイヤー3 クレデンシャル

・VCの技術仕様
→W3C : データモデル
→IETF : 選択的開示に関するデータフォーマット

・発行者と検証者の参加制限
→VCは発行者から所有者に正しく発行されたかは保証するが、発行者を信頼できるかはわからないから
→検証者に提供した情報がどう活用されるかわからないから

レイヤー2 安全なコミュニケーションと通信プロトコル

・ウォレットの主要機能
→VC管理、ウォレット利用時の認証、通知、VC格納、検証可能なプレゼンテーションの提供、履歴管理

・通信プロトコル
①遠隔型
→ウォレットとサーバ間のデータのやり取りに利用
→既存のWebサービスやモバイルアプリを大きく変更せずにVCを受け渡すためのプロトコルであるOpenID for Verifiable Credentialsの仕様群がある

②近接型
→クライアント同士のやり取りに利用
→インターフェースはNFC、Bluetooth、QRコードなど

レイヤー1 識別子と公開鍵

・識別子(DID)は同じDIDの仕組みの中で個人や組織を一意に識別するもので、生成には複数の手段がある(例 デバイスが生成する公開鍵と秘密鍵のキーペアのうち、公開鍵を使って生成)

・公開鍵とDIDの管理方法は集中管理と、複数のデータベースで管理したり端末で管理する分散管理がある

4. 今後の展望

業界動向

・SMART Health Card : 医療分野のVC標準化、コロナのワクチン接種証明書がこちらの標準に従っている

・eIDAS 2.0 Large Scale Pilot : ARFの社会実装に向けた取り組み。行政サービスの利用、モバイル運転免許証の提示など11個のユースケースがある

・Trusted Web : DFFT(Data Free Flow with
Trust)の実現に向けた「特定のサービスに過度に依存せずに、データ自体とデータのやり取りを検証できる領域を拡大し、Trustを向上する仕組み」

テクノロジーの標準化

各レイヤーごとのに標準化が進んでいるが、相互に影響されることも少なくないため整理する取り組みもある

課題

・レイヤー4 : 運営主体の設立

・レイヤー3 : 業界ごとのユースケースに合わせたVC仕様、参加制限、既存認証との相互接続性

・レイヤー2 : 標準的なUI/UXが定まっていない

・レイヤー1 : 相互運用に適したDIDドキュメントの管理方法