Web3の分散型アイデンティティ管理システムの歴史、現状と展望

原作者 ：Felix Hildebrandt

编译 ： 黑米@白泽研究院

アイデンティティ、デジタル資産、オンラインプロファイルのマッピングは、最近ブロックチェーン業界で大きな注目を集めています。新しい技術が構造を形成しており、これが分散型でユーザー中心のメカニズムへの道をさらに開くことになります。

この記事では、以下の内容について議論します：

1. インターネットにおけるアイデンティティ管理の進化
2. アイデンティティ管理における問題
3. Web3の分散型アーキテクチャがプライバシーの上にアプリケーションを構築するのにどのように役立つか

今後の分散型サービスに必要なプライバシー、会計、ユーザーデータを特定するために、現在の技術と倫理的視点、そして過去のアイデンティティシステムから得た教訓を考慮しました。

従来のインターネットアイデンティティシステム

インターネットは、特定のデバイスアドレス間でのデータ転送にTCPやIPなどのプロトコルを使用する、グローバルなサーバーネットワークです。

1980年代後半にインターネットが登場した際、そのウェブページは「新しい世界への窓」と見なされました。今日の基準で見ると、これらのウェブページは原始的で、読み取り専用であり、ユーザー管理が欠如しており、主に技術や知識を共有するために使用されていました。この時期、通信は主に電話やメールが中心でしたが、電子メールの使用も増加し始めました。

ユーザーはインターネットという新しいものを迅速に受け入れ、ユーザーとインターネットとのインタラクションが増えるにつれて、オンライン接続の時代、すなわちWeb2が登場しました。これは、サーバー中心の構造とデータベース（バックエンド）を維持しながら、ブラウザ機能を持つフロントエンド革命です。

インターネットが成熟するにつれて、ウェブサイト分析の需要も増加しました。当時の技術的制約により、管理者は特定のページにアクセスしたデバイスの数や、彼らがコンテンツを閲覧した時間を特定することしかできず、ユーザーインタラクションの追跡は不可能でした。これは間接的に、現在の技術がデバイスに関するユーザー情報にアクセスできることにつながりました。IT（情報技術）セキュリティとバックアップシステムは、ユーザーデータのスループットとセキュリティを管理するためにさらにアップグレードされました。

しかし、詐欺行為の増加に伴い、企業はユーザーのファイルを不正アクセスから保護するために大規模なサーバーセンターを設立しました。エンジニアは、ユーザーの行動を追跡するためにクッキーやAPIを開発しました。あるサービスは、ブラウザ内にトラフィックデータやユーザー情報を保存することさえできました。

その結果、「ユーザー行動分析」はますます人気を博し、最終的には独立したビジネスに進化しました。ユーザーのショッピングカートの内容、興味、閲覧履歴、以前に見た広告に関するデータを収集することは、売上を向上させるために不可欠です。企業はこれらの情報を通じてユーザーの考えを推測することができます。

ソーシャルメディア、電子商取引、さらにはインタラクティブな知識プラットフォームなどの新しいユースケースが急増しました。例えば、FacebookやGoogleはデジタルソーシャルを促進し、ウィキペディアなどの知識プラットフォームのコンテンツは大幅に増加し、Amazonは最大のオンライン小売市場となりました。

これらの新しいユースケースの出現は、詳細なユーザーデータに対する巨大な需要を刺激しました。「ユーザー行動分析」は、最初はユーザーを追跡して利益を最適化することから、ユーザー情報から直接利益を得ることに進化しました。

要するに、データ分析はデジタル製品がどのように価値を得るかの重要な要素となっています。

現在、ネット上のアイデンティティは、ほぼすべての使用されているソフトウェア製品やサービスのために作成された複数のユーザーアカウントで構成されています。デバイスがログインすると、アカウントに含まれる情報へのアクセスが許可されます。このシステムでは、サービスプロバイダーがアカウントの保管者であり、ユーザーのすべてのデータを完全に制御しています。

ユーザーはサービスプロバイダーから直接ログインすることも、他のプロバイダーの既存のログイン名にリンクしてログインすることもできます。後者の方法では、主アカウントを使用して複数のサービスにログインすることが許可されており、これは数十億のユーザーを持つIT大手によって開発されています。Google、Facebook、Microsoftなどです。

この方法はユーザーに便利さを追加しますが、ユーザーはプロバイダーに関連付けられた各アカウントへのアクセスを失う可能性があります。パスワードを失ったり、アカウントが盗まれたり、サービスプロバイダーが閉鎖された場合にそうなる可能性があります。

画像：一般的なWeb2ログインスキーム

アイデンティティ認証を保護するための新しい方法が発展しており、2FAとOAuth 2.0が現在の標準です。2FAは、ユーザーに追加の認証証明を提供することを要求することで、従来のユーザー名とパスワードの方法にセキュリティの層を追加します。これは、認証アプリからのコードなどです。

OAuthは、他のサービスにリンクされた資格情報の転送に対してより高いセキュリティを提供し、ユーザーがデータの共有場所を制御できるようにします。しかし、中間者の原則は依然として存在します：中間プロバイダーは常にユーザーとそのサービスに関連するアカウントのインタラクションを監視できます。リンクログインはプライバシーの問題を引き起こし、すべての接続サービスに影響を与える攻撃に対して脆弱です。

根本的に、デジタルアイデンティティソリューションの作成に直面する課題は、インターネットのアーキテクチャに起因します。それは、ユニークなデバイスアドレスを持つ機械を中心に設計されており、ユニークなアイデンティティを持つ個人ではありません。アイデンティティを検証するための組み込みシステムはなく、デバイスを証明するためのシステムしかありません。

最初、インターネットは読み取り専用の情報源でした。開発者はWeb2時代にユーザー名とパスワードの認証方法を作成しました。これらの方法は、原始的なデバイスベースのアーキテクチャの上に構築されており、データ操作や傍受が容易でした。複雑なアイデンティティ層のないインターネットは、サイバー犯罪やアイデンティティ盗難の主要な要因の一つです。

このグローバルな脅威は、巨額の経済的損失と個人的な損失を引き起こす可能性があります。IBMの社長ジニ・ロメッティは、アイデンティティ盗難を「世界中のすべての業界、すべてのセクター、すべての企業にとって最大の脅威」と表現しました。

ユーザーは、自分のデータとアイデンティティ情報を保持するサービスプロバイダーを非常に信頼する必要があります。個人データは、企業が運営するサーバーに保存されています。ユーザーが自分のデータを制御するための規定があっても、これらの情報は技術的には彼らに属しています。

ユーザーは、自分に関するデータの収集を管理する権利を得ていますが、これは企業がすでに収集したデータを処理するのを防ぐものではありません。企業が必要な優位性を得るためにデータを分析する速度は、計算能力の問題に過ぎません。

データとセキュリティ法の施行

個人データの収集に関する倫理的問題が提起される中で、2018年にEUは一般データ保護規則、すなわちGDPR（新しいデータプライバシーおよびセキュリティ法）を制定しました。GDPRでは、「人を特定するのに役立つすべてのもの、専門的、私的、または公共の生活を指すもの」が個人データと見なされます。

一般データ保護規則は、EU市民から収集されたデータを保護するために使用されます。データ主権は、すべての企業が保障すべき基本的な権利でなければなりません。これは、EU内のすべての市民、憲法、企業に適用されるべきです。GDPRの目的は、個人が自分のデータを処理し、自由にアクセスする際の基本的な権利と自由を保護することです。市民を保護するために、企業は保存される具体的な個人データと使用される処理方法を明確に定義する必要があります。

時間が経つにつれて、ユーザーはデータを消去し、企業がデータを保存している場所と時間を確認する権利を得ることになります。企業はより高い罰金を負担し、侵害が発生した場合にはユーザーに通知する義務が生じます。規制は包括的でなければならず、これはEU以外で運営されるサーバーにも適用される必要があります。

最も基本的な考慮事項は、データがどこから来て、どこに流れているのかということです。検証も障害となる可能性があり、EUは定期的に評価を行い、特定のサービスで使用されるコードやアルゴリズムを抜き打ちでチェックしなければなりません。規制の遵守を監視するシステムを実施することは困難な作業であり、デジタルエコシステムの長期的な再編成を引き起こす可能性があります。

各企業、医療システム、政府機関、電子商取引プラットフォーム、将来のIoTデバイスは、アイデンティティ管理を必要としています。小規模な企業からIT大手まで、データの保存と管理方法を再考し、変更することが非常に重要です。

GDPRの定義によれば、企業はその条項に示されたデータ保護権を遵守しなければなりません。ユーザーが個人データを管理する権利が増大するにつれて、このコンプライアンスの要求も増加するでしょう。

ユーザーは特定のデータの収集を阻止し、削除を強制する権利を持っています。GDPRはユーザーデータの定義を明確にし、収集されたデータはユーザーに帰属し、ユーザーが望む場合にはいつでもアクセスできることを規定しています。既存のデータ保護規則があるにもかかわらず、すべての企業が完全にルールを遵守できるわけではありません。

しかし、私たちが中心化されたシステム内に留まらなければならないとき、新しい規制は公平性と人権の遵守を得るための正しい方向への重要な一歩です。企業は依然としてユーザーデータを保持し、アイデンティティを制御しますが、ユーザーはより多くの管理権を得ることになります。これらの改善は、顧客の信頼度とデータ分析の意義を同時に強化することができます。

デジタルアイデンティティの新しいアプローチ

Web3はインターネットの次の進化と見なされ、より分散型のデータ処理方法を定義します。この変化は、ユーザーとサービスの間の公平で平等な関係を含んでいます。進化の一部は、ブロックチェーンネットワークを基盤インフラとして使用することです。この場合、ブロックチェーンは、世界中の個人が接続され、分散して運用される公共ネットワークとして説明できます。

ブロックチェーンは、中心化されたエンティティが制御するサーバーなしで運営できます。この技術は、複雑な暗号学によって安全性と不変性を保証し、書き込まれている情報や保存されているデータを偽造したり変更したりすることはほぼ不可能です。それは、石に刻まれたデジタルに相当し、ユーザーが情報を真に所有し、その情報がより価値のあるものを生み出すことを可能にします。

Web1からWeb2への移行（ソフトウェアエンジニアがインタラクションを実現するための改善を行った）とは異なり、新しいWeb3時代は基本的なバックエンド技術を解決します。現在のインターネットは、私たちが生成し、転送するすべてのデータのコピーで構成されており、私たちはさまざまなデバイスのデータの痕跡を残し、複数のサービスプロバイダーに提出しています。これらのサービスプロバイダーは、情報を彼らが制御するサーバーに保存します。

これらのデータは検証できず、私たちが所有するものではありません。それには指紋や署名がなく、私たちが持ち歩くこともありません。一方、ブロックチェーンの大きな利点は、ユーザーが個人と組織の間でデータを署名、転送、検証できるようにし、所有権を与える必要がないことです。ブロックチェーン上の操作は、サービスプロバイダーに接続されたデバイスではなく、実際に所有しているアカウントのアドレスを指します。ブロックチェーンアカウントを通じて、複数の当事者が同じデータを要求し、検証することができ、実際にはそのデータを委託する必要はありません。分散型ネットワークの目標は、データの力を人々に戻すことです。

暗号学が提供する高度なセキュリティにより、私たちは中心化されたサーバーが提供する不十分な保護を排除し、より安全でユーザー中心の技術を実現できます。デジタルウォレットでは、ユーザー名やパスワードの代わりに公開鍵と秘密鍵が使用されます。ユーザーがネットワーク上で行うすべてのことは、彼らのウォレットアドレスに戻ります。公開鍵は人間の指紋を表し、あなたがどこに行き、何をするかにその痕跡が残ります。一方、秘密鍵はあなたの手書きの署名を表し、あなたがいつそれを使用するかを決定し、あなたのアイデンティティを検証します。

Web2時代において、企業や特定のサービスはデータを接続することで個人間の関係を促進しました。ユーザーは自分を代表する特定のデータ機能にアクセスするための権限を増やすことしかできませんでした。また、規制を遵守し、個人データの完全性を確認することは、ユーザーとサービスの両方にとって課題です。ブロックチェーンを利用すれば、ユーザーは検証可能な証明書を提供するだけで、他の参加者のデータを独立して検証できます。ゼロ知識証明などの暗号アプリケーションを使用すれば、データを直接開示することなく、オフラインで証明することさえ可能です。

ピアツーピアのブロックチェーンは、個人が同時にソフトウェアを実行し、情報を検証できる、より弾力性と安全性のあるネットワークを導入します。これは、企業がサーバーを運営するのとは異なります。このようなネットワークは、ユーザーが独立してアイデンティティデータを保持するため、企業のシステム管理とセキュリティコストを削減できます。

ブロックチェーン上で分散型アプリケーションを運営する際、オープンソースも大きなトレンドであり、誰もがそれを採用し構築できるようにし、透明性が参加者のアプリケーションへの信頼を高めます。オープンソースは公共のブロックチェーンネットワークにとって特に重要であり、そのガバナンスは完全に合意されたプロトコルのコンセンサスに依存し、誰もがそのコードを検証する権利を持っています。

現実世界の所有権と同様に、ブロックチェーンはユーザーにより多くの責任をもたらします。したがって、時間が経つにつれて、ユーザーがブロックチェーン技術にシームレスに移行できるように、よりユーザーフレンドリーな概念を開発する必要があります。アレックス・プレウクシャットとドラモンド・リードが『自己主権アイデンティティ』という本で説明しているように、自己主権アイデンティティ（SSI）の概念は「これが私たちが現実世界でアイデンティティを証明する方法です：私たちの財布を取り出し、他の信頼できる当事者から得た証明書を示すことです。分散型デジタルアイデンティティの違いは、私たちがデジタルウォレット、デジタル証明書、デジタル接続を使用してこれを行うことです。」

画像：Web3アイデンティティ

Web3には、発行者、検証者、実際のユーザーの3つの顕著な役割があります。現実世界と同様に、ユーザーはウォレットを持ち、発行者に証明書を要求します。リクエストが完了すると、発行者はブロックチェーン上でユーザーのウォレットアドレスの証明書に署名し、新しいアイデンティティデータが真実であることを証明します。その後、保有者はこれらの証明書を必要とするサービスを利用できます。

例えば、取引の前にパスポートを使用することができます。検証者（一般的には取引所プロバイダー）は、取引が行われる前に新たに取得した証明書を要求し、発行者の署名を検証します。

前述のように、ブロックチェーン技術は、あるウォレットから別のウォレットへの署名を使用してデジタル価値の交換を提供します。それでも、アプリケーションをブロックチェーンネットワーク上に統合することも可能です。交換される価値は、暗号通貨からNFT形式の証明書、アート作品、文書など、あらゆるものになります。例えば：

電子商取引業界では、ユーザーはパスワードやアカウントをスキップし、直接SSIを通じて登録と支払いを行うことができます。すべての領収書は証明書として配布され、ブロックチェーンに書き込まれます。

金融セクターでは、ユーザーはいつでも任意の銀行サービスを利用でき、複雑さを排除します。双方がSSIインターフェースをサポートしている場合、彼らは必要な証明書を交換し、重要な文書や高額取引にはマルチシグを使用することさえできます。

健康文書も即座に共有でき、医療手続きが便利になります。ブロックチェーン上には、個人の医療記録の生涯履歴が保存され、検証可能であり、他のプロバイダーと共有する準備が整います。

旅行中、個人は行った場所を検証するためにチケットを記録できます。航空会社、ホテル、列車、音楽のチケットも自動的に誰かのウォレットに接続され、これらのチケットに関連する報酬プログラムとも連携できます。

SSIは、学校や大学の成績証明書、成績表、学生証を完全にデジタル化するためにも使用できます。

欠点

現実世界と同様に、双方は常にその検証可能な証明書を示して真実性を確保します。予想通り、ユーザーはスマートフォンから各証明書を直接管理でき、完全に自律的ですが、すべての参加者が同じブロックチェーン、または分散台帳システムを受け入れることが前提です。

分散型アイデンティティソリューションの採用は常にネットワーク効果に関連しており、大多数のサービスプロバイダーが1つのSSI標準を使用することは障害となる可能性があります。もう一つの障害は、インターネットアクセスの可用性であり、データはオフラインで検証できません。解決策の一つは、世界の隅々までインターネットにアクセスできる衛星グリッドです。SpaceXのスターリンク（Starlink）の初期バージョンには、この解決策が含まれています。

もう一つの問題はスケーラビリティです。完全に分散型のブロックチェーンは、スループットが制限され、利用率が非常に高い影響を受け、運営コストが増加します。最終的には、複雑なクロスチェーン技術を通じてこの問題を解決するか、異なるブランチを異なるネットワークに分割することができます。

最後の問題は、ウォレットの鍵を管理することです。これは単一障害点ですが、SSIソフトウェアを操作する必要があります。この問題の解決策は、次のセクションで新しい方法を通じて解決されます。

スマートコントラクトに基づく「会計」

将来的には、ユーザーは自分に関する大量のデジタル情報を自由に管理できるようになります。それにもかかわらず、現在使用されている秘密鍵でその情報を保護するシステムにはいくつかの問題があります。例えば、アカウントは1つの秘密鍵しか持てず、秘密鍵を失うと、アカウント内の資産は特定のバックアップフレーズを通じてのみ復元できます。

誰もが自分のアイデンティティを1つのパスワードに基づいて構築すべきではなく、資産を使ってそれを行うべきではありません。さらに、従来のブロックチェーンアカウントは、その鍵アドレスにデータを保存できないため、彼らが自分の正体を明かす前に、誰もその背後にいる本当のアイデンティティを知ることはできません。

すべての検証可能なアイデンティティ証明書を整理するために適切な会計が必要であり、これがブロックチェーン上で従来の鍵ベースのアカウントがより高度な方法に移行している理由です。

私たちは以前、ブロックチェーン上でアプリケーションを運営することについて議論しました。これらのアプリケーションの機能は、ユーザーのウォレット鍵と組み合わせることができ、ユーザープロファイルを有効にし、アイデンティティソリューションをより維持しやすくします。ユーザーは他の情報を保存し、複数の鍵やデバイスを同じアカウントに接続できます。交換可能な鍵を持つことは、ユーザーにとって非常に価値があります。なぜなら、彼らは今やデジタルアイデンティティにアクセスするためのバックアップを持つことができるからです。

イーサリアム仮想マシンに基づくブロックチェーンは、「スマートコントラクト」と呼ばれるプログラム可能な機能を持ち、ユーザーはウォレットから取引を送信することで実行できます。これらのスマートコントラクトを通じて、完全に管理可能なアイデンティティエコシステムを開発できます。1つのアカウントに接続されたすべてのデバイスやウォレットは、アイデンティティの組み合わせとして使用できます。鍵管理者を追加することで、個人はアイデンティティデータを制御する権限を複数のデバイス、個人、またはサービスに付与することさえできます。

画像：スマートコントラクトに基づく会計

この単一の契約アカウントは、従来の鍵ベースのアドレスのようにデジタル資産を管理できます。初期のブロックチェーン開発者は、2014年のイーサリアムブロックチェーンの議論の中で、スマートコントラクトに基づく会計の初期のアイデアを提案しました。しかし、初期のスマートコントラクト機能の複雑さのために、彼らはそれを放棄しました。

2017年、アイデンティティはイーサリアムブロックチェーン上で初めてERC-725として標準化され、ファビアン・フォーゲルスタラーによってさらに開発されました。イーサリアムブロックチェーンを使用しているため、現在のところスマートコントラクトに基づく「会計」を実現するコストは非常に高いです。複雑な契約は大量の取引を生み出し、ブロックチェーンへの需要を増加させ、高額な手数料を引き起こします。シャーディングのようなスケーリングソリューションでさえ、1つのブロックチェーン上で各人やデバイスのアイデンティティを管理するために必要なスループットを提供できません。

これらの問題を考慮して、2018年にLUKSOプロジェクトが設立されました。このプロジェクトの主な目標は、ユーザーが自主的に経済的役割を創出できる新しいスマートコントラクト標準エコシステムを作成することです。LUKSOは、ソーシャルメディアで知られているプロファイル構造をブロックチェーンの世界に導入し、ブロックチェーンの上に使いやすさを提供しています。

これは、通常SSIに含まれる個人アイデンティティとは異なり、参加しやすく、資産管理機能を拡張する公共アカウントを作成しました。ユーザーは自由に個人情報をプロフィールに追加し、評判を得て、証明書、資産、その他の多くの情報を追加できます。

プロファイルの機能を利用すれば、外部アプリケーションを添付して、その接続された保管庫にデータを保存することも可能です。この構造は、軽量なアイデンティティ管理システムと自主権プラットフォームの新時代と見なすことができます。

中心化されたWeb2システムとは異なり、LUKSOのノードが十分に分散されていれば、ブロックチェーンネットワークのデータ損失やダウンタイムを排除することさえ可能です。ある時点で、個人のアイデンティティは、一般的な公共プロファイルにリンクされたハイブリッドSSIソリューションとして存在し、個人のオフチェーンデータにはオンチェーンログインを通じてのみアクセスできます。

ERC-1056標準により、イーサリアムエコシステムには、ユーザーの公開鍵を接続するための個人のオフチェーンSSIデータに対するソリューションがすでに存在します。

SSIの現状と展望

Web3のユーザー中心の顕著な利点は、ユーザーとデジタルソフトウェアサービスとのインタラクションを表しています。ブロックチェーンネットワークに接続されると、SSIはその真の潜在能力を発揮できます。これらは、より安全で分散型であり、価値の保存として機能します。

とはいえ、分散型アイデンティティ管理のコストは、中心化されたサービスのように迅速、安価、スケーラブルではありません。SSIベースのコンポーネント上に複雑なシステムを構築するには、ブロックチェーンがより大規模な取引量を処理できる必要があります。

次に、アイデンティティ標準もまだ広く採用されていません。ニック・ポールデンは2018年にイーサリアム上でERC-725アイデンティティ標準のフル機能プロトタイプを初めて公開しました。技術的概念を実践に移すことが大成功を収めているのを見て、現在複数のブロックチェーンがこのようなログイン機能を統合しようとしています。

重要なのは相互運用性であり、これは標準化が最優先でなければならないため、特定するのが難しいです。W3Cのような組織は、業界全体のあらゆる可能性のある機能を通じてアイデンティティを標準化しようとしています。これは最終的な目標ですが、大手テクノロジー企業が最終的な解決策とバックエンド技術を開発し、合意に達するまでには長い時間がかかる可能性があります。

LUKSOのようなプロジェクトは、公共の記録を直接スマートコントラクト標準エコシステムに構築する、より軽量なアプローチを採用しています。さまざまな企業がその標準を調整、拡張、または接続できるようにし、主流の分散型サービスを若い世代の現実にすることができます。

大規模な採用は徐々に進む可能性が高く、既存のソリューションは便利であり、まだ使用可能です。逆に言えば、成熟したSSI技術をすべての業界の開発者、主に政府や伝統的な機関に提供する必要があります。

業界を変えるには、優れた新製品とその使いやすさが必要です。全体として、私たちはデジタルアイデンティティを管理する方法の新時代の始まりにいます。安全ベルトを締めて、未来へ向かいましょう。