「SSI (Self-Sovereign Identity )」あるいは「自己主権型アイデンティティ」という言葉を聞いたことがあるだろうか?
「SSI」や「DID(分散ID)」というワードを耳にしたことはあるけれど、その仕組みや背景についてさらに詳しく知りたいという方も多いことだろう。
そんな方のために、本記事では、SSI(Self-Sovereign Identity)の概要や仕組み、必要とされる背景、DID(分散ID)との関係性といった点について解説していこう。
- SSI(Self-Sovereign Identity / 自己主権型アイデンティティ)とは?
- SSIが必要とされる背景、現状のデジタルIDの問題点
- SSI の基本的な仕組み
- 具体的な実装としてのDID
- SSI / DID(分散型ID)の主要サービス
- まとめ
- SSIについての参考サイトURL
SSI(Self-Sovereign Identity / 自己主権型アイデンティティ)とは?
まず、SSI(自己主権型アイデンティティ)の定義について確認しよう。
前提として、SSIの定義に確固たるものはなくコンセンサスがとれているわけではないが、分かりやすい定義の1つとして、SSIを提供する Sovrin の定義をご紹介しよう。
Self-sovereign identity (SSI) is a term used to describe the digital movement that recognizes an individual should own and control their identity without the intervening administrative authorities. SSI allows people to interact in the digital world with the same freedom and capacity for trust as they do in the offline world.
抄訳すると、以下のとおり。
SSI(自己主権型アイデンティティ)とは、個人が管理主体の介入なしに自らのアイデンティティを保有及びコントロールすべきであると認めるデジタルムーブメントを表す際に使われる言葉です。SSIは、デジタルの世界でも現実世界と同じレベルの自由と信用力を用いてやり取りができるようにします。
ポイントをまとめると、以下のようになる。
- 管理主体の介入なしに成立
- 個人自らが保有及びコントロールできる
- 現実世界でできていることをデジタルの世界でも実現しようとするもの
オフラインの現実世界においては、実在する自分自身がアイデンティティ(ID)になっている。そのIDに紐付く形で、容姿などの表面的な特徴や、免許証などの自らのスキルを証明するもの(Credentials)が存在している。
一方、オンラインのデジタル世界においては、どうだろうか? あなたを表すアイデンティティ(ID)はあるだろうか?
Google の ID や、Facebook のアカウントがそれに近いと考える人もいるだろう。しかし、Google の ID や Facebook のアカウントに自らのあらゆる情報を集中させるのには、個人として嫌悪感を抱く人もいるだろうし、何よりセキュリティ面における不安もある。
そんな中、オンラインにおいても企業等の管理主体の介在なしに自分を表現するアイデンティティを作る上で必要となってくるのが「SSI(自己主権型アイデンティティ)」である。
SSIが必要とされる背景、現状のデジタルIDの問題点
SSIが必要とされる背景として、現状のデジタル世界のアイデンティティにおける問題点についてご紹介しよう。
Sovrin Foundation の議長を務める Phillip J. Windley 氏は、デジタル世界のアイデンティティに対して5つの問題点を提示している。
- The Proximity Problem(近接問題)
- オンラインのやりとりにおいては、取引相手がどのような人なのか、そもそも人なのかすら分からないため、不正の余地がある。オフラインの場合は対面でのやりとりとなるため、不正の余地が少ない。
- The Scale Problem(スケール問題)
- Google や Facebook 等のソーシャルログインが一般に利用されているが、いつ仕様が変わるかも分からないような外部サービスの導入に積極的ではないサービスもあり、1つのIDによるスケーラビリティは限定的になってしまう。
- The Flexibility Problem(柔軟性問題)
- 現状のアイデンティティ関連ソリューションは、スキーマやアトリビュートの仕様が限定的で柔軟性に欠けている。
- The Privacy Problem(プライバシー問題)
- 個人識別子を元にデータはコピーされ企業保有のストレージに集積されることになるが、そのセキュリティが100%守られているとは限らない。
- The Consent Problem(同意問題)
- 個人の同意なしにデータの提供がされてしまうことがある。
言われてみれたしかに、といえる問題点が多いのではないだろうか。
1ユーザーとして分かりやすいのは、「プライバシー問題」や「同意問題」だろう。
直近でも、米国の金融大手キャピタル・ワンにて1億3千万人ものデータ流出が発覚1したり、2018年には信用情報を扱う米国信用調査会社最大手のエクスペリアンでもデータ流出の事件がおきている。
また、「同意」の問題については、リクナビが企業に対して「辞退予測」の数値を提供2していることが発覚し波紋を呼んだことが記憶に新しい。
その他の観点は、ユーザーとしては意識しにくいかもしれないが、オンラインアイデンティティの構造的な問題として考えられる。
このような問題を解決することで、オンラインでも安心安全でありかつ便利な生活を実現しようという試みが「SSI(自己主権型アイデンティティ)」というわけだ。
SSI の基本的な仕組み
では、SSI(自己主権型アイデンティティ)では、どのような仕組みで、上述の問題点を解決しようというのだろうか。その仕組みについて解説していこう。
基本的には、DID(Decentralized Identity:分散型ID)を発行し、そのIDに対して、信頼できる第三者機関から証明書を付与していくことで、信用を担保していくという考え方だ。
証明書への署名をブロックチェーンあるいは分散台帳に記録することにより、特定の中央管理者に依存せずとも成立させることができる。
簡単に流れをまとめると、以下のようになる。なお、細部については概念の理解を優先するため省略している。
- Issuer と呼ばれる信頼できる第三者機関が、個人に対して電子署名した証明書を発行する
- その際に、Issuer の DID と署名の情報をブロックチェーン(分散台帳)に記録する
- User は、証明書に副署(電子署名)をする
- その際に、User の DID と署名の情報をブロックチェーン(分散台帳)に記録する
- Verifier は、ブロックチェーン(分散台帳)の情報を元に、情報が正しいことを検証(Verify)する
このような仕組みをとることによって、特定の中央管理者を介さずとも、個人のIDとそれに紐づく情報の確認を行うことができるわけだ。
もちろん、サービス毎で分散台帳に何を記録するのか、どのように検証を行うかなど、相違点はあるが、これがSSI(自己主権型アイデンティティ)の大枠の流れである。
なお、DID(分散型ID)は、1人あたり1つと限られているわけではなく、複数のIDを作成することはできる。
ただ、DID を作成したところで、Issuer からの証明書がなければそれはほとんど意味をなさないIDとなってしまう。
自らの DID に様々な機関からの証明書を紐付けることで、自らの存在を表現することができるようになり、必要に応じて必要な情報を提供できるような便利なオンラインIDとなっていく。
具体的な実装としてのDID
上記のSSIの仕組みを構築していく上で、Web もかつてそうであったように、何か統一的な仕様が必要になってくる。
そこで Evernym が中心になって DID(Decentralized Identifiers)の仕様策定が進行している。
DID の仕様策定は、2015年にW3C Verifiable Claims Task Force で着想され、アメリカ合衆国国土安全保障省科学技術局からの資金援助のもと進められてきた。
いまだにバージョン 0.13 ということで、正式リリース版とはなっていない状況であるが、各社この仕様をもとに開発が進められている。
別記事にて、基本的な仕様についてはまとめていくことにする。
SSI / DID(分散型ID)の主要サービス
DID(分散型ID)の主要サービスとして、以下のようなサービスがある。
- Microsoft ION
- Sovrin
- uPort
- Civic
- Blockstack
- Bitcoin Reference
- Veres One
こちらについても、それぞれ別記事にてまとめていくことにする。
まとめ
本記事では、SSI(自己主権型アイデンティティ)の「きほん」についてまとめてきた。
SSIが必要とされる背景、基本的な仕組みについてご理解いただければ幸いだ。
SSIやDIDについては、筆者自身も学びながらとなるが、今後様々な記事を提供していければと思うので、気になるトピック等ありましたら、Twitter でご連絡いただけると嬉しい。
最後までお読みいただきありがとうございました。
SSIについての参考サイトURL
本記事作成にあたり、特に参考になったウェブサイトは以下の通り。さらに知りたい方は是非に。