BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース 設計レベルでプライバシを実装するHyperledger Indy

設計レベルでプライバシを実装するHyperledger Indy

ブックマーク

原文(投稿日:2018/09/30)へのリンク

先日のHyperledgerのブログ記事でDaniel Hardman氏は、Hyperledger Indyと、分散型ID管理に対応したその‘Privacy by Design’アプローチについて語っている。プロダクトやサービスにプライバシを後付けした多くのシステムとは違い、Hyperledger Indyはプライバシ優先のアプローチを採用して開発された。GDPRやePrivacy規則に代表されるように、世界がより多くを規制する方向にある中、Indyは、サードパーティシステムによるデータ検証において、ユーザが提供する詳細情報の量を最小限にすることができる。

ソーシャルメディアサイトやコンシューマ向けEメールサービスといった集中型IDプロバイダは、同じIDで他のオンラインサービスにもサインイン可能な機能を提供することによって、ユーザに便宜を提供している。しかしながらこのアプローチは、プライバシの懸念やセキュリティ違反につながるとして、近年では多くの精査の対象とされている。Business Insiderは先日、Facebookで起きた情報漏洩によって、TinderやSpotify、Airbnbといった他のシステムにもFacebookの資格情報でアクセスされる可能性がある、という報告書を発表した

集中型IDプロバイダへの依存を回避するための、オープンソースのブロックチェーンプロジェクトであるHyperledger Indyは、集中型IDプロバイダの持つ次のような問題に対処すべく開発された。

  • データの使用方法に関する透過性の欠如
  • サービスプロバイダに最小限のデータ属性のみを提供することによる、データの’過剰共有’の防止
  • ひとつの漏洩点から連鎖的に影響が広がる可能性。あるオンラインサービスのサインアップにユーザの資格情報が使用されると、同じ資格情報を使用する他のサービスにもアクセスが可能になる

データ漏洩の防止は、Hyerledgerが対応しようとしている重要なシナリオのひとつだ。その方法について、Hardman氏は次のように説明する。

Hyperledger Indyによって、公開度を明示的かつ最小限とした、従来可能であったよりもはるかに小さなインタラクションが構築できます。Indyの接続、通信、証明の仕組みでは、プライバシに関して漏洩するものは何もありません — \脆弱性として顕在化するものは、もっと広いコンテキストによるものです。Indyのような最小化が可能なテクノロジは他に存在しませんし、インタラクションをこれほど慎重に分離しているテクノロジもありません。プライバシの問題がバイオハザードのようなものであるならば、Indyはグローブを装着し、注射針用のシャープスコンテナ(鋭利医療器具廃棄容器)を使用する、世界で最も雄弁な擁護者(vocal champion)として、世界最高のラテックスと消毒剤を提供するのです。

集中型IDプロバイダに代わるソリューションとして、データを十分に保護し得る存在となるため、Indyは分散ID(DID)を採用している。DIDはそれを所有するユーザの管理下にあり、中央のプロバイダや権威から独立した存在である。DIDを使うことにより、個人ないし企業が自身のIDを保持し、サービスを使用する時に、それを検証可能なサービスプロバイダからの請求に応じて関連データを渡すという、自己ソブリンID(SSI)ソリューションの開発が可能になる。

DIDはペアで一意であり、相関性を防止するため匿名がデフォルトとなっている。Sovrin Foundationの議長であるPhillip J. Windley氏は、その重要性を次のように説明する

Indyの特徴は、個人データと関係に関する独立した管理権を、IDの所有者に与えていることです。Indyは、IDの所有者が、そのIDに関して実施されたトランザクション構造の一部となるように設計されています。ペアワイズID(ペアになったID)は相関性を防ぐためだけはありません。ペアワイズIDを相関付けできるのはIDの所有者のみであるため、ID所有者の関与しない第三者によるトランザクションを防止できるのです。

DIDはエンドユーザプライバシの正しい方向への一歩だと思われるが、Indyが提供するプロテクションを破ろうとする方法がある。Hardman氏が説明する。

ペアワイズIDとゼロ知識証明(zero-knowledge proofs)を使うということは、苦労してそれを行なう方法が存在したとしても、“関連付けをしないでください”という明確なメッセージなのです。HTTPのDo-Not-Trackヘッダは“追跡しないでください”という意味ですが、トラッキングから保護するために実際に何かを行うものではありません。VRMコミュニティでは、ユーザが定義する条件について長く話し合ってきました。それに関して、“私のデータを広告に使用しないでください”、あるいは“14日後に私のデータを削除してください”、“私のデータは研究目的のみで使用して、商業的には使用しないでください”、などと表明することができるのです。

Hardman氏は、このような意図をコードないしアーキテクチャ内で表現すること自体に価値があるという考えから、その効果については楽観視している。

時間が経つにつれ、規則や信頼構造、評判といったメカニズムによって、このような意図を尊重せざるを得なくなってくるでしょう。もちろん、セキュリティに対する誤った認識によって大きな問題が発生することを避けるため、意図と保証の限界については常に明確に伝えていかなくてはなりません。

Hyperledgerは、プライバシを一変させるためのインセンティブを提供する。現代において、個人識別情報(PII)を保管することは、消費者と企業の双方にとってリスクがある。しかしながら、コンシューマを識別できないIDを保管し、そのエージェントに要求を行うことでより多くの情報をオンデマンドで入手し、使用後は廃棄する、という方法は、顧客にとって正しい方向への第一歩であり、広範なデータ侵害のリスクを低減するものだ。

 
 

この記事を評価

採用ステージ
スタイル
 
 

この記事に星をつける

おすすめ度
スタイル

BT