- サプライチェーンの信頼性向上の取組みの中から、データのTrustについて紹介
- 「Verifiable Credentials × ブロックチェーン」からブロックチェーンの利用例が学べる
2024年「ブロックチェーンビジネス・アドベントカレンダー企画」10日目の記事です。 関連企業の皆様にも記事を書いていただく予定ですので、是非お立ち寄りください!
★はじめに
2023年度、内閣官房で実施したTrusetd Webの実証事業「事業所IDとそのデジタル認証基盤」を参考に、データのTrustについてブロックチェーンの活用例を説明する。
※以降は、「事業所ID」のことを「事業所VC(Verifiable Credentials)」と呼ぶ。
※「事業所IDとそのデジタル認証基盤」の報告書は最後の「参考」にリンクを記載。
★事業内容の概要
取り組み背景
サプライチェーンの場合、サプライヤーとバイヤー間は直接契約・取引することから一定のトラストを確保することが出来るが、バリューチェーンの場合、利用者(購入者)が正規品であることを確認しない、あるいは確認する方法がなく購入することがあり、偽造品や非正規部品を購入する可能性がある。
実証の目的
「事業所IDとそのデジタル認証基盤」は、事業所の実在性を保証する事業所VCを使って、事業所間でやり取りするデジタル情報の真正性を保証することで、業種・業界および国をまたがるサプライチェーン情報の信頼性向上に資することを目的としている。
用語説明
- 事業所VC
- 本実証事業では、事業所のIdentityを証明するデジタル証明書を指す。
- デジタル認証基盤
- 公的機関、デジタル認証機構およびそれらが持つ機能を総称して「デジタル認証基盤」と呼ぶ。
事業所VC
- デジタル証明書は、発行依頼者(Holder)が作成した識別子「Decentralized Identifier (DID)」に対し、信頼できる第三者のデジタル署名を付与した検証可能なデジタル証明書「Verifiable Credentials (VC)」とする。
デジタル認証基盤
- 本実証事業では、公的機関から信頼できる第三者として認定されたデジタル認証機構を仮定で準備し、そのデジタル認証機構に対し、認定の証としてデジタル証明書(VC)を発行する。
- このデジタル認証機構が、事業所に対し、事業所VCの発行・更新・失効機能を有する。
事業所
- 事業所は、自身の実在性を担保するデジタル証明書を取得するため、デジタル認証機構に事業所VCの発行申請をする。
- 事業所VCの使用例は、事業所のVerifiable Presentation(VP)の中にデータ連携をする際、データの信頼性を証明するデータを包むことで、データの信頼性が確保できるか検証する。
★データ連携におけるデータのTrustとは
はじめに、Trustについて『ISO/IEC TS 5723:2022「Trustworthiness — Vocabulary」』を参考に説明する。Trustworthinessとは、検証可能な方法で2人以上のステークホルダー間の期待に応える能力と能力の尺度を指す。そして、Trustは、検証した結果が「Trustがある」あるいは「Trustが無い」のどちらかを指す(2択)。
例えば、異なる業界/業種、あるいは国内外と取引をする際、取引する原材料・部品・製品といったモノと合わせて、企業間でデータ連携が発生する場合、データ連携のTrustに関する期待として、
- 通信相手の本人性「なりすまし対策」
- データの真正性「データの改ざん」
- データの品質「信頼できるデータ」
が挙げられる。
これら3つのうち1つでもTrustレベル(能力の尺度)が無い、あるいは低いと、「Trustが無い」と判断される可能性がある。
「Trustが無い」判断例
①取引先の真正性担保されない場合
- X社は、A社と取引していると思っていたが、実際はB社であった
②取引相手の真正性担保されない場合
- X社は、A社の担当者Cと取引していると思っていたが、実際はA社の担当者Dであった
③データの真正性が担保されない場合
- 取引数は100個で契約しているが、データ上は100個であるが、モノは100個以下であった
④データ品質の真正性が担保されない場合
- 部品の原材料Aの比率は50%以上使用する契約であったが、実際は50%を下回っていた
このように、Trustがあるか無いかを判断するためには、「検証」することが重要である。
★データ連携におけるTrustの期待に応える能力
上記「Trustが無い」判断例を使って、Trustの期待に応える能力の考え方について説明する。
通信相手の本人性「なりすまし検知」
- 取引先(ソシキ)の実在証明は、事業所VCを使うことで証明できる
- 取引相手(ヒト)のソシキの在籍証明は、ソシキが発行する在籍証明書が考えられるが、自ソシキが発行する証明書になるため、信頼できる第三者が発行する証明書よりTrustレベルが下がる(能力の尺度)
データの真正性「データの改ざん検知」
- データ保有者の秘密鍵を使った電子署名を使うことで、検証者はデータ保有者の公開鍵を使ったデータ改ざんは検知できるが、検証に必要な仕組みを準備する必要がある
- 準備例として、事業所VCとデータを組み合わせた「VP生成」と「VC/VP検証」機能を有するデジタルアイデンティウォレット(DIW)を準備する。
データの品質「適切な基準を満たしているか」
- 自身でデータを検証した結果を送付する考え方はあるが、信頼できる第三者にデータの認証を依頼し、その認証を送付する方がTrustレベルは上がる(能力の尺度)
今回、VC/VPや第三者認証を使った考え方の説明をしましたが、デジタル認証基盤が発行する事業所VCは、取引先(ソシキ)の実在証明に効果がある。
★ブロックチェーンを使ったTrust
「Verifiable Credentials × ブロックチェーン」について、国内外の事例を紹介する。
ブロックチェーンは、デジタル証明書のTrustをサポートする機能として、発行体が署名で使用する秘密鍵の管理やデジタル証明書の利用に関するトレーサビリティ等で使用している。
国内「パブリックチェーン」
- 対象:英検の合格証明書・英検CSEスコア証明書
- Verifiable Credentials
- 規格:W3Cが提唱するVerifiable Credentials規格に準拠
- 用途:デジタル証明書
- ブロックチェーン
- 規格:ENS
- 用途:発行体の鍵管理
- 参考:公益財団法人 日本英語検定協会 Crypto Garage
海外「プライベートチェーン」
- 対象:教育、社会保障、中小企業の資金調達、偽造防止など
- Verifiable Credentials
- 規格:W3Cが提唱するVerifiable Credentials規格に準拠
- 用途:デジタル証明書
- ブロックチェーン
- 規格:IOTA
- 用途:トレーサビリティ、スマートコントラクト
- デジタルウォレット
- 利用者別に適合したデジタルウォレット一覧
- 参考:European Blockchain Services Infrastructure (EBSI) IOTA
★さいごに
ブロックチェーンは、デジタル証明書のTrustをサポートする機能として事例を紹介したが、それ以外にもユースケースに応じてどのような用途でブロックチェーンが選択されるか注視したい。
また、このような、データ連携におけるデータのTrustについて「Verifiable Credentials × ブロックチェーン」の社会実装について一緒に検討する会社がありましたら、ご連絡ください。
★参考
SBIホールディングス株式会社「事業所IDとそのデジタル認証基盤」(サプライチェーンの信頼性を確保する異業種連携基盤として)
国際規格
<ご質問・ご要望の例>
- Corda Portalの記事について質問したい
- ブロックチェーンを活用した新規事業を相談したい
- 企業でのブロックチェーン活用方法を教えて欲しい 等々
SBIホールディングス ブロックチェーン推進室