logo
Insight
情報未来

Web3とTrusted Web

~ウェブにおけるアイデンティティ管理のあり方~
No.71 (2023年3月号)
NTTデータ経営研究所 社会システムデザインユニット マネージャー 三上 雄一郎

総合電機メーカー、大手コンサルティングファームを経て現職。Trusted Webや5Gなど、データトラスト、データ通信に関連した政策立案・実行支援業務に従事。社会インフラ政策や官民連携政策(PPP/PFI)も得意領域している。

1 はじめに

2020年6月のデジタル市場競争会議における「デジタル市場競争に係る中期展望レポート※1」の提言を受け、同年10月に「Trusted Web推進協議会」が内閣官房において発足された。Trusted Webはインターネットやウェブにおけるアイデンティティ管理のあり方に重点を置いており、Web3で議論されている分散システムや分散台帳技術などを組み合わせることで、「Trust」の※2レベルを高めたデジタル社会のインフラ構築を目指している。

他方、Web3については未だ多義的であることから、Trusted Web推進協議会ではWeb3との関連性については明確には言及をしていない。そのため本稿では、まずTrusted Webを取り巻く世界観として(1)アイデンティティ管理とTrustの関係性、(2)Web3におけるアイデンティティ管理のあり方について概観した上で、(3)Web3とTrusted Webの関係についてTrusted Webのコンセプトや現状の取組内容を踏まえて整理する。

2 アイデンティティ管理とTrustの関係性

(1) アイデンティティとアイデンティティ管理

「アイデンティティ(identity:ID)」とは、ISO/IEC 24760-1の定義によると「実体(エンティティ)に関する属性の集合」とされている。エンティティは人や法人、モノとされ、その性質を表す「属性」情報がエンティティに紐づきアイデンティティが形成される(図1)。

図1| アイデンティティ(identity:ID)の考え方

content-image

出所| NTTデータ経営研究所にて作成

アイデンティティのデジタル表現(コンピュータ上で処理可能な表現)は、デジタルアイデンティティ(デジタルID)と呼ばれている。近年、個人(ユーザー)はデジタルIDを利用して様々なデジタルサービスにアクセス可能になっている。他方、サービスを提供する側はユーザーのデジタルIDを管理するためのシステム(ID管理システム)の構築を進めている。

現在、多くの企業で採用されているID管理システムの形態として、Centralizedモデル(集権型ID)とFederatedモデル(連邦型ID)が挙げられる。前者はサービスを提供する企業が個別にID管理を行う形態である。例えば、銀行のオンラインバンキングにアクセスする際にアクセス先の銀行が発行したID情報を用いてアクセスするケースをはじめ、既に多くのサービスで利用されている。後者のFederatedモデルは、ある企業Aが提供するサービスにアクセスする際に別の企業Bが管理しているID情報を使用してアクセスする形態である。このモデルでは、複数の企業を横断してサービスを利用したいといった場合において、利用者のID情報を複数企業のID管理システム間で連携を行うことで実現を図っている(図2)。

図2| 代表的なID管理の形態

content-image

出所| NTTデータ経営研究所にて作成

(2) アイデンティティ管理とTrust

「Trust」はその言葉の通り「信頼」であり、Trusted Webにおいては「事実の確認をしない状態で、相手先が期待したとおりに振る舞うと信じる度合い」と定義されている。「アイデンティティ」との関連で言うと、ユーザーがサービスにアクセスする場合、ID情報を検証してもらい、その真正性が認められた(認証された)際にアクセスが許可(認可)されるが、この状態をユーザーのID情報の「Trust:信頼」が保証されたと表現する。

集権型IDや連邦型IDでユーザーのID情報の「Trust」を担保しているのはユーザー以外の第三者のID管理者である。筆者は、現在のWeb2の世界においては「Trust」の保証を一部のID管理者へ過度に依存している状態となっていると考えている。

3 Web3におけるアイデンティティ管理のあり方について

前述した通り、現在のWeb2の世界におけるデジタルIDの管理形態としては、集権型IDまたは連邦型IDが一般的に採用されている。双方向型と表現されるWeb2においては、特にSNSのトレンドに伴い、一部の巨大なIT企業により「中央」集権的にIDが管理されている状態となっており、それに付随する様々な問題が顕在化している。ID情報を一部の企業へ依存することによるユーザー側のリスクとしては以下のような点が挙げられる。

  • (企業の不意の倒産等により)ID情報が無効となるリスク
  • (悪意ある企業により故意に)ID情報が改ざんされるリスク
  • (情報が集積しているサーバへの外部攻撃等により)ID情報が流出するリスク

他方、Web3で推奨されているID管理モデルとしては、自己主権型ID(Self-Sovereign Identity:SSI)や分散型ID(Decentralized Identity:DID)がよく参照されている※3

自己主権型IDは、ID情報の管理主体が介在することなく、ユーザー本人のID情報をユーザー自身がコントロールできることを目指した考え方である。自己主権型IDの実現に向けてSovrin Networkの構築に取り組んでいるSovrin Foundationによると、自己主権型IDのシステムではデジタルIDウォレット(自身のID情報を保管し、自身の判断に基づいて必要な相手に必要なID情報を提示することのできる製品・サービス)を用いて、自身のID情報の真正性を証明することができるとされている※4。また分散型IDは、Microsoftの定義※5では自己主権型IDと同様の考え方とされており、ブロックチェーン等の分散台帳技術を活用してプライバシーを保護し、安全にデータ交換を行うシステムとされている(図3)。

図3| 自己主権型ID/分散型IDのイメージ図

content-image

出所| NTTデータ経営研究所にて作成

Web2で散見されるアイデンティティ管理に係る課題(リスク)に対して、筆者は、Web3で実現を目指す分散型の世界観は、アイデンティティ管理の分散化、つまり一部の企業にID情報の管理を依存している状況からの脱却を志向するものであると考えている。また、それを実現するID管理の形態としては自己主権型ID/分散型IDが有効であり、自身のID情報の「Trust」を自身でコントロールできる世界の実現が目指されるだろう。

4 Web3とTrusted Webについて

最後に、アイデンティティを中心に整理してきたこれまでの内容を踏まえて、Web3とTrusted Webの関係性について示していきたいと思う。

冒頭に示した通り、Trusted Webは「アイデンティティ管理のあり方」に重点を置いた「Trustableなデジタル社会におけるインターネット・ウェブインフラ」を目指した構想である。そこで求められる仕組みとしては、「特定のサービスに過度に依存せずにTrustの向上を目指すこと」を前提に、以下の3点がホワイトペーパーに示されている。

  • ユーザ(自然人または法人)自身が自らに関連するデータをコントロール可能
  • データのやり取りにおける合意形成の仕組みを取り入れ、合意の履行を追跡可能
  • 検証できる領域を拡大可能

上記の仕組みは、自己主権型ID/分散型IDで目指している「分散システムにおけるユーザーを中心としたアイデンティティの管理」と類似しており、Trusted Webの背景にある問題意識やその解決方向性には、Web3と共通するものが多いと考えられる。

また、現在Trusted Webの実現に向けた取組の一つとして、Trusted Webの仕組みを備えたプロトタイプシステムの企画・開発を行う公募事業※6が実施されており、ヘルスケアや行政分野等における13件のユースケースが選定されている。プロトタイプシステムには、自己主権型ID/分散型IDの実装手法としても参照されているDIDs(Decentralized Identifiers: 分散型識別子※7)やVCs(Verifiable Credentials:検証可能な資格情報※8)のような標準規格やブロックチェーン、デジタルIDウォレットなどの分散技術が用いられており、分散システムを掲げるWeb3との共有点を垣間見ることができる。一方、Trusted Webは「技術中立」を志向している。つまり、使用する技術を特定のものに限定しておらず、様々な標準規格や技術、フレームワークを組み合わせることでインターネットやウェブにおける検証可能な領域の拡大を図ることとしている。

Trusted Webの今後の方向性としては、ユースケースのさらなる拡大を図るとともに、2025年度以降に各分野への社会実装を行い、2030年頃にはインターネット全体での実装を目指している。具体的には、国際標準化機関との協調やデータモデルの標準化、EUにおけるDigital Identity Wallet構想などの海外の類似政策との連携に取り組むこととされている。今後、世界的にWeb3と呼ばれるシステムが主流となってきた際には、Web3との相互運用性を意識したアーキテクチャの検討も必要になるものと想定される。

以上、Trusted Webについて整理を行った。Trusted Web構想ではWeb3との関係性は明確に示されていないものの、分散システムにおいてユーザー(個)を中心に考える方向性は、Web3におけるアイデンティティ管理のあり方としても有効であると筆者は考えている。他方、Web3においては中央集権的な考え方からの脱却、つまり分権(decentralized)を意識した考え方が基本となっている。これに対し、Trusted Webでは分権的な志向はあくまでも選択肢の一つであり、検証可能な領域を拡大する上で合理的な理由があれば中央集権的な仕組みが存在することも許容するという、柔軟なスタンス(極端に言えばブロックチェーンを使う必要がない場合もあるだろうというスタンス)を取っていることが特徴的である(図4)。

図4|Web3とTrusted Webの共通点・相違点

content-image

出所:NTTデータ経営研究所にて作成

Twitter創業者のジャック・ドーシー氏が2022年に発表したWeb 5※9など、グローバルでは今後もインターネットやウェブにおけるアイデンティティのあり方に言及した概念やテクノロジーが提唱されるだろう。Trusted Webでは、Web3やWeb5のようなコンセプト・技術との協調を図りつつも、あくまでインターネットやウェブにおける「検証可能な領域の拡大」を目指したアグノスティック※10なインフラであると筆者は考えている。このことを念頭に、今後もTrusted WebそしてWeb3の動向について注目していきたい。

※1 デジタル市場競争に係る中期展望レポート

※2 Trusted Webホワイトペーパー では「事実の確認をしない状態で、相手先が期待したとおりに振る舞うと信じる度合い」と定義されている。Trusted Webの文脈では、検証することで担保されるデータやデータのやり取りに係る真正性(データの所有者やデータそのものはなりすましや改ざんされたものではなく、本人・本物であることを確実もしくは証明できる性質)の意味合いで使われることが多い。

※3 デジタル庁が取りまとめているWeb3.0 研究会報告書においては、「個と個をつなぐことを目指す Web3.0では、中央集権的な枠組みによらないID の確立が必要である」として分散型アイデンティティを参照している

※4 SovrinFoundation 、What Is SSI?

※5 Microsoft、Decentralized identity

※6 「令和4年度 Trusted Web の実現に向けたユースケース実証事業」事務局としてNTTデータ経営研究所も関与している

※7 W3C(World Wide Web Consortium)の標準規格。データを自分でコントロールすることを可能にする方法として参照されている

※8 W3Cの標準規格。やり取りされるデータを検証可能にする方法として参照されている

※9 TBDプロジェクトページ

※10 ソフトウェアやハードウェアが、特定のプロトコル、プログラミング言語、オペレーティング・システムに依存しない設計であること

  • professional

    三上 雄一郎

    社会システムデザインユニット
    マネージャー
    Mikami, Yuichiro