ブロックチェーンを用いた自己主権型デジタルID管理

© Hitachi, Ltd. 2023. All rights reserved.
株式会社⽇⽴製作所研究開発グループ
2023/07/26 14:10 - 14:40
池川航史 / Koshi Ikegawa
ブロックチェーンを⽤いた⾃⼰主権型デジタルID管理
Self Sovereign Identity(SSI) / Decentralized ID (DID)
Hyperledger Workshop at WebX Tokyo

1
発表者⾃⼰紹介
池川航史 (Koshi Ikegawa)
❚ 所属
• 株式会社⽇⽴製作所研究開発グループ
サービスコンピューティング研究部研究員 / Researcher
❚ アクティビティ
• 2019年4⽉より⽇⽴製作所に⼊社しブロックチェーン
および分散台帳に関する研究開発に従事
• 2020年よりOSS（特にLinux Foundation, Hyperledger）
への貢献活動を開始
– HyperledgerプロジェクトへのOSSアップストリーム活動
– Hyperledger / Linux Foundationホワイトペーパ翻訳活動
– Hyperledger Global Forum / Open Source Summit登壇 (etc...

2
Contents
1.イントロダクション
2.Hyperledgerの取り組み
3.SSIのユースケース例
4.Hyperledger Indy/Aries デモ
5.まとめ

3
1. イントロダクション

4
デジタルID管理の歴史
デジタルID管理の歴史はインターネットの発展とともに⼤きく進化してきた
❚ 1960年代｜パスワード認証
❚ 1970年代｜暗号化・公開鍵インフラストラクチャ
❚ 1990年代｜デジタル証明書
❚ 2000年代｜シングルサインオン (SSO)
❚ 2010年代｜フェデレーションとソーシャルログイン
❚ 2020年代｜ブロックチェーンと⾃⼰主権型ID

5
⼤きく以下の3種類に分類
❚ 1960年代｜パスワード認証
❚ 1970年代｜暗号化・公開鍵インフラストラクチャ*
❚ 1990年代｜デジタル証明書*
❚ 2000年代｜シングルサインオン (SSO)
❚ 2010年代｜フェデレーションとソーシャルログイン
❚ 2020年代｜ブロックチェーンと⾃⼰主権型ID
デジタルID管理⼿法の分類
集中型
⇨ Web 1.0
サードパーティ型（第三者型）
⇨ Web 2.0
Self-sovereign Identity (SSI)
⇨ Web 3.0 (Web3)
*技術としてはweb1.0の時代から存在したが、その使⽤と普及はWeb2.0の時代に⼤きく広がったためここではWeb2.0に分類する

6
集中型デジタルID管理, Web 1.0
サービスプロバイダ⾃⾝がデジタルIDを管理する最も古典的かつシンプルな⼿法
❚ 特徴
• サービスプロバイダ⾃⾝がIDおよびパスワードを管理するDBを持つ
• コンピューターシステムが複数のユーザーをサポートするようになったときに導⼊
❚ メリット
• シンプルで理解しやすい
• 特別なハードウェアやソフトウェアが不要
❚ デメリット
• パスワードが弱いと簡単にハッキング
される可能性がある。
• 多くのアカウントを管理すると、
パスワードの管理が難しくなる。
サービスプロバイダ A
ID1 / Password Data
サービスプロバイダ B
ID2 / Password Data
サービスプロバイダ C
ID3 / Password Data
ID1
ログイン
ID2
ログイン
ID3
ログイン

7
サードパーティ型デジタルID管理, Web 2.0
信頼できる第三者（サードパーティ）にデジタルIDの管理を委任する
❚ 特徴
• ユーザーは第三者のサービス（例︓GoogleやFacebookなど）を通じて認証を⾏う
• 第三者のサービスはユーザーの認証情報を保持し、他のサービスに対してユーザーの⾝元を証明
❚ メリット
• 新たなIDおよびパスワードの作成が不要
– ユーザ体験（UX）の向上
❚ デメリット
• 第三者サービスへの依存
• 第三者サービスがハッキングされると、連携した
他のすべてのアカウントも危険にさらされる
• プライバシーの問題
第三者IDプロバイダ
サービスプロバイダ A
ID1 / Password
Data
サービスプロバイダ B
Data
サービスプロバイダ C
Data
ログイン
SSO
*ここでは特にSSOに焦点を当ててご紹介

8
個々のユーザーが⾃⾝のデジタルIDを完全に制御および管理することが可能
❚ メリット
• ユーザーが⾃分⾃⾝のデジタルIDを完全にコントロールできる
• 中央の管理者やサードパーティの介⼊が不要で、プライバシーが保護される
• ユーザーの⾃主性とプライバシーが最も重視される
❚ デメリット
• まだ新しい技術であり、広く受け⼊れられていない
• 分散台帳（ブロックチェーン）の理解と技術的な知識が必要
• ユーザーが⾃⼰のIDを管理する責任が増⼤する
Self-sovereign Identity (SSI), Web 3.0
サービス
プロバイダ A
サービス
プロバイダ B
サービス
プロバイダ C
ログイン
分散台帳
ユーザ管理ウォレット
ID1 / Password
Data
検証

9
Self-sovereign Identity (SSI) ｜12原則
Christopher Allen著「The Path to Self-Sovereign Identity」によって提唱
n Christopher Allen. “The Path to Self-Sovereign Identity”
n Sovrin. “Principles Of SSI V3”. https://sovrin.org/principles-of-ssi/
代理証明
❚ あらゆる存在に対して、デジタル上での識別⼦を証明できる環境を
提供
相互互換性
❚ 実在する存在に対してデジタルIDデータを証明、交換、保護し、
データ互換性を確認するためのオープンで公共な⼿数料が無い環境
を提供
分散性
❚ 中央集権型のシステムに依存せずに、デジタルIDに記録された
データを基に実在する存在の確認を⾏うことができる環境を提供
管理とエージェンシー
❚ アイデンティティ所有者がデジタルIDデータと選択によって個⼈
や組織、デバイスやソフトウェアなどのエージェントの採⽤、デー
タ保護管理を実施できる環境を提供
参加
❚ SSIのエコシステムはアイデンティティ所有者の参加を必要としな
い環境を提供
公正と包括
❚ ガバナンス設計においてアイデンティティ所有者による差別や排除
を⾏わない環境を提供
利便性、アクセス性、⼀貫性
❚ 利便性とエージェントのアクセス性を最⼤化し、他のアイデンティ
ティ所有者のSSIとの⼀貫した利⽤者体験を実現できる環境を提供
可搬性
❚ アイデンティティ所有者がアイデンティティの携帯、またはエー
ジェント、システムにより選択されたアイデンディティデータのコ
ピーの移⾏を制限することはありません。
安全性
❚ アイデンティティ所有者が⾃⾝のデジタルIDデータを暗号鍵や取
引のエンドツーエンド暗号化を通じて安全に管理できる環境を提供
します。
確認と認証
❚ アイデンティティ所有者がデジタルIDデータを基に、認証に必要
な確認証明を発⾏できる環境を提供します。
プライバシーと公開の最⼩化
❚ アイデンティティ所有者がデジタルIDのプライバシーと取引に必
要なデジタルIDデータの最⼩化を実現できる環境を提供します。
透明性
❚ アイデンティティ所有者と全てのステークホルダーが簡易にアクセ
ス、情報の確認ができ、エコシステム内で機能する内容（インセン
ティブやルール、ポリシー、アルゴリズムなど）を知ることができ
る環境を提供します。

10
Self-sovereign Identity (SSI)を実現する構成要素
Credentialの発⾏者に問い合わせる必要がなく第三者が検証可能
Issuer
（企業や政府、団体）
Holder
（個⼈などのID保有者）
Verifier
（Webサービスなど）
Verifiable Data Registry (分散台帳, ブロックチェーン)
Wallet
Private key
Verifiable
Credentials
HolderのDID Document
DID Public key
IssuerのDID Document
DID Public key
DIDでログイン
VC (Verifiable
Credential) を発⾏
VP (Verifiable
Presentation) を発⾏
(DIDを登録)
DIDを登録
（DID Documentを
取得して署名を検証）
DID Documentを
取得して署名を検証
Revocation
Registries
schemas
(DIDでログイン)
n 鈴⽊研吾, 合路健⼈. “アイデンティティはだれのもの︖ Hyperledger Indy & Ariesで実現する分散アイデンティティ”.

11
分散型ID (DID) / DID Documents
❚ 分散型ID (DID: Decentralized Identifier)
• デジタルIDを分散型ネットワーク上で⼀意に識別するための新しいタイプの識別⼦
– 中央の権威による管理や許可を必要とせず、ユーザー⾃⾝が完全に制御可能
– SSIの基盤となり、ユーザーが⾃分⾃⾝のデジタルアイデンティティを所有し、管理することが可能
• DIDsは⼈、組織、機器、製品、抽象的な概念（データモデル）などを指す
• 2022年7⽉にDIDs v1.0がW3C勧告に到達
❚ DID Documents
• 特定のDIDに関連する公開鍵、認証⽅法、サービスエンドポイントなどの情報を含むデータ構造
• そのIDと安全に通信するための⽅法を提供
{
"@context": [
"https://www.w3.org/ns/did/v1",
"https://w3id.org/security/suites/ed25519-2020/v1"
],
"id": "did:example:123456789abcdefghi",
"authentication": [{
"id": "did:example:123456789abcdefghi#keys-1",
"type": "Ed25519VerificationKey2020",
"controller": "did:example:123456789abcdefghi",
"publicKeyMultibase":"zH3C2AVvLMv6gmMNam3uVAjZpfkcJCwDwnZn6z3wXmqPV"
}]
}
DID DID Document
n W3C. ”Decentralized Identiﬁers (DIDs) v1.0”. https://www.w3.org/TR/did-core/

12
Verifiable Credentials (VC) / Verifiable Presentation (VP)
安全でプライバシーを尊重し検証可能なクレデンシャルのメカニズムを提供するW3C
の仕様
{
"@context": [
"https://www.w3.org/2018/credentials/v1",
"https://www.w3.org/2018/credentials/examples/v1"
],
"id": "http://example.edu/credentials/1872",
"type": ["VerifiableCredential", "AlumniCredential"],
"issuer": "https://example.edu/issuers/565049",
"issuanceDate": "2010-01-01T19:73:24Z",
"credentialSubject": {
"id": "did:example:ebfeb1f712ebc6f1c276e12ec21",
"alumniOf": {
"id": "did:example:c276e12ec21ebfeb1f712ebc6f1",
"name": [{
"value": "Example University",
"lang": "en"
}, {
"value": "Exemple d!Universit ",
"lang": "fr"
}]
}
},
"proof": {
"type": "RsaSignature2018",
"created": "2017-06-18T21:19:10Z",
"proofPurpose": "assertionMethod",
"verificationMethod": "https://example.edu/issuers/keys/1",
"jws":"eyJhbGciOiJSUzI1NiIsImI2NCI6ZmFsc2UsImNyaXQiOlsiYjY0Il19..TCYt5XsITJX1CxPCT8yAV-
TVkIEq_PbChOMqsLfRoPsnsgw5WEuts01mq-pQy7UJiN5mgRxD-WUcX16dUEMGlv50aqzpqh4Qktb3rk-
BuQy72IFLOqV0G_zS245-kronKb78cPN25DGlcTwLtjPAYuNzVBAh4vGHSrQyHUdBBPM"
}
}
Claim
Proof
Credential
Metadata
卒業証明書の例
証明を発⾏する⼈もDIDを持っており
⾃⾝の秘密鍵でデータに署名する。
誰でも発⾏者の公開鍵を⼊⼿できるので
確認することが可能になる
n W3C. “Verifiable Credentials Data Model v1.1” https://www.w3.org/TR/vc-data-model/

13
2. Hyperledgerの取り組み

14
SSIを実現するためのHyperledgerプロジェクト
❚ Hyperledger Indy
• SSIの実現に特化したHyperledger管轄の分散台帳基盤
• DID Documentsを保存するためのVDRとして利⽤
❚ Hyperledger Aries
• SSIを実現するAgent（クライアントSDK）機能実現するライブラリ
• Veriﬁable Credentials (VCs) 、DIDの操作、およびAgent間のメッセージング等の機能
❚ Hyperledger AnonCreds
• ゼロ知識証明暗号を利⽤したプライバシー保護機能をサポートする検証可能なクレデンシャル
• IndyなどのVDRとのインターフェースとなる
• Hyperledger Ariesに組み込む形で利⽤するライブラリ
❚ Hyperledger Ursa (End of Life)
• SSIの実現に必要な暗号化技術に関する共通ライブラリ（現在はAriesおよびAnonCredsに統合）

15
Hyperledger Indy, Aries, AnonCredsの関係（歴史）
利便性や規格化の観点からIndyから派⽣したり統廃合したりと歴史がある
過去ちょっと昔現在未来 (仮)
Blockchain
Node (VDR)
Client SDK
(Agent)
Credentials
Encrypt

16
Hyperledger Aries
デジタルIDの作成と管理を⽀援するためのOSSなインフラストラクチャ
❚ デジタルウォレット
• デジタルIDとその関連情報を安全に保存
❚ 暗号化メッセージング
• デジタルID間での安全な通信を可能にする
暗号化メッセージングプロトコル
❚ デジタルアイデンティティの作成と管理︓
• デジタルIDの作成、検証、共有を⽀援
n Hyperledger Foundation. “Announcing Hyperledger Aries, infrastructure supporting interoperable identity solutions!”.
https://www.hyperledger.org/blog/2019/05/14/announcing-hyperledger-aries-infrastructure-supporting-interoperable-identity-
solution

17
Hyperledger Aries Projects
様々な⾔語で開発されておりそれぞれ特徴がある
❚ Aries Cloud Agent Python（ACA-Py）
• サーバサイドの利⽤を想定した実装
• 様々なシナリオに利⽤可能であり最も実装が進んでいる
❚ Aries Framework JavaScript (AFJ)
• React Nativeを使ったモバイルアプリケーション
❚ Aries Framework Go (AF-Go)
• DIF Sidetree protocolを採⽤している
❚ Aries Framework .NET (AF-.NET)
• Windows向けであり、クラウド、モバイル、
IoTスタック向けの実装
❚ Findy Agent(Findy)
• 製品だがOSSとして公開している
❚ AriesVCX(VCX)
• Rust実装
❚ 互換性
Ariesプロジェクトに必要な機能の仕様を定義
(aries-rfcs)してそれぞれの⾔語で実装する。
それらの相互運⽤性テストが公開されている
n Aries Interoperability Information. https://aries-interop.info/

18
3. SSIのユースケース例

19
1. SMART Health Cards
⽇本政府が提供している新型コロナワクチン接種証明書アプリ
接種証明書アプリの⼆次元コード Apple Wallet
Apple Walletに保存することも可能
Registry of Veriﬁed SMART®
Health Card Issuers for Vaccinations
*ただしVDRにブロックチェーンは不使⽤
SMART Health Cards (SHC) 規格
❚ ⼈々と健康データを紐づけるためのオープンスタンダード
• 政府機関やWalmart, CVS, EPICなど数百の組織が参加して実装、テストした
❚ 医療⽂章情報のデータ連携を標準化するための国際規格HL7に準拠
❚ 含まれているデータはW3CのVerifiable Credentials JSON-JWT形式に準拠
n SMART Health Cards. “What is a SMART Health Card?”. https://smarthealth.cards
n Apple. “COVID-19 のワクチン接種の情報を Apple ウォレットやヘルスケア App に追加する” https://support.apple.com/ja-jp/HT212752

20
2. 国際連合欧州経済委員会(UNECE)
「クロスボーダー取引における検証可能なクレデンシャル」に関する⽩書
❚ クロスボーダー取引のコストと貿易⾦融のアクセス問題、偽造品や不正商品の取引増加といっ
た課題が存在
❚ 上記課題の解決には、検証可能なクレデンシャル、リンクデータ、分散型IDを⽤いたデジタル
化と信頼性の向上が必要
❚ ホワイトペーパーでは、規制当局が信頼のアンカーとして機能し、取引⽂書を同じ分散型デジ
タル信頼アーキテクチャで管理することで、取引のデジタル化と検証を⼤規模に⾏うことが可
能になると提案
n UNECE. “eDATA Veriﬁable Credentials for Cross Border Trade”. https://www.tradetrust.io/static/uploads/white-paper-veriﬁable-
credentials-CBT.pdf

21
3. UNJSPF︓Digital Certificate of Entitlement
❚ 国連とその他のメンバー組織のスタッフのための退職、死亡、障害などの関連給付を提供する
ためにSSI/DIDを使⽤（本番稼働）
❚ Hyperledger Indy/Ariesを使⽤している
• 本質的にはブロックチェーンを使う必要はないが、運⽤の知⾒を他のUNのブロックチェーンプロジェ
クトに還元する
n United Nations Joint Staff Pension Fund: UNJSPF.“United Nations Joint Staff Pension Fund: UNJSPF”. https://www.unjspf.org/

22
4. MOBI｜Vehicle Identity Standard
❚ Mobility Open Blockchain Initiative (MOBI) は、コネクテッドエコシステムとIoTコマースのための
標準化およびWeb3基盤の構築する世界的な⾮営利のスマートモビリティのコンソーシアム
❚ W3C DID規格に準拠したMOBI VIDを制定
• ITNを運⽤し、⾞やバッテリーの来歴、ローン申し込みなどに利⽤
n MOBI. “Vehicle Identity Standard | MOBI”. https://dlt.mobi/wp-content/uploads/2019/09/MOBI-Vehicle-Identity-Standard-v1.0-
Preview.pdf

23
5. IDUnion
ドイツ連邦経済エネルギー省が安全なデジタルIDの開発を公募したプロジェクト
❚ ⽶国企業のPFを懸念しており、国が認めるソリューションで、商業的な思惑なしに機能するものが必要
❚ 再利⽤可能な産業IoT部品をVCで管理。来歴や修理履歴、資産管理など複数組織で共有
n IDunion. “IDunion”. https://idunion.org/

24
6. The European Blockchain Services Infrastructure
❚ EU加盟国とEU委員会がパートナーシップを結び、欧州初の公共機関向けブロックチェーンサービス基盤
❚ 現在では30弱の国がノードを運⽤して実験を⾏なっている
❚ VCはW3C形式、AgentはHyperledger AriesやベンチャーのOSSが推奨されている
n European Commision. “EBSI”. https://ec.europa.eu/digital-building-blocks/wikis/display/EBSI/Home

25
7. BC Wallet
カナダ・ブリティッシュコロンビア州のデジタル証明書保管および提⽰アプリ
❚ Hyperledger Indy/Ariesが使⽤されている
❚ 具体的なユースケースとして「OrgBook BC」がある
• 企業に関する信頼性のあるデータを迅速かつ容易に⾒つけるための
オンラインディレクトリ
• これにより、新しいサプライヤーやクライアントに対する事前調査の時間を
数時間から数秒に短縮することが可能になる
n British Columbia Gov. “BC Wallet”. https://www2.gov.bc.ca/gov/content/governments/government-id/bc-wallet
n British Columbia Gov. “OrgBook BC”. https://www.orgbook.gov.bc.ca/search

26
4. Hyperledger Indy/Aries デモ

27
デモ概要・シナリオ｜学位証明
❚ SSI/DIDを語る上で最も⼀般的な卒業証明書に関するデモ
Faber⼤学
（Issuer）
Aliceさん
（Holder）
ACME
（Verifier）
Verifiable Data Registry(Trusted DB, decentralizes DB, DLT)
Wallet
Private key
Verifiable
Credentials
HolderのDID Document
DID Public key
IssuerのDID Document
DID Public key
DID送信
VC (Verifiable
Credential) を発⾏
VP (Veriﬁable
Presentation) を発⾏
(DIDを登録)
DIDを登録
（DID Documentを
取得して署名を検証）
DID Documentを
取得して署名を検証
Revocation
Registries
schemas

28
デモの構成
AWS Cloud
VDR (Hyperledger Indy | von-network)
ノード1
・
・
・
ノード4
Ledger
Faber⼤学（Issuer）
ACME企業（Veriﬁer）
Hyperledger Aries
(ACA-Python)
Mediator（Holder中継者）
Hyperledger Aries
(ACA-Python)
Webサーバ
︓アプリケーションプロセス ︓ストレージプロセス ︓dockerコンテナプロセス
Ledger
Aliceさん（Holder）
Hyperledger Aries
(Aries Mobile Agent RN)
モバイル端末（iPhone）

29
Indy Networkの起動（von-network）
❚ ブリティッシュコロンビア州がOSS化しているvon-networkを使⽤することで簡易的な
Indy Networkを⽴ち上げることができる
n bcgov. “von-network”. https://github.com/bcgov/von-network

30
デモ動画
当⽇投影のみ

31
5. まとめ

32
SSIを推進していく上での課題
⼀⽅で、SSIを推進していくために乗り越える必要がある課題がある
❚ 技術的課題
• 実装には⾼度な技術的な理解とスキルが必要
❚ 法律規制規格
• デジタルIDは個⼈情報を含むため、プライバシーとデータ保護に関する法律や規制に準拠する必要あり
• 法律や規制は国や地域によって異なり、技術的な変化に対応して頻繁に更新されるため、対応が困難
❚ ユーザーの理解と受け⼊れ
• SSIは新しい概念であり、多くのユーザーにとっては未知の存在である
• ユーザーがSSIの利点を理解し、それを信頼し、使⽤することを選択するための教育と啓発が必要
❚ エコシステムの構築
• 政府、企業、技術提供者、個々のユーザーなど、さまざまなステークホルダーが協⼒してエコシステム
を構築する必要がある

33
将来的な課題
❚ 分散型・⾃⼰主権型の更なる追求
• Issuerは組織であり、個⼈の集合体
– VCを発⾏するフローをブロックチェーン/スマートコントラクトで実施するようにする
• Holderが組織である可能性もある
– Wallet⾃体を分散管理できるようにする必要がある
» 組織におけるWalletは分散台帳で管理する
Issuer Holder Verifier
Wallet
Private key
VC
DIDでログイン
VCを発⾏ VPを発⾏
(DIDでログイン)
VDR
SC
VC発⾏

34
まとめ
❚ Web3.0の時代になりデジタルIDの管理⽅法も⾃⼰主権型であるSelf-sovereign Identity
(SSI)に置き換わろうとしている
❚ 我々、ブロックチェーン技術推進コミュニティであるHyperledgerもSSIを推進していくため
に様々なプロジェクトを⽴ち上げ実装を進めている
❚ 少しずつSSIの概念を利⽤したユースケースが出てきており、これからも更に増え続けること
が期待される

35
Trademark
❚ Hyperledger, Hyperledger Aries, Hyperledger Fabric, Hyperledger Besu, Hyperledger
Indy, Hyperledger AnonCreds are registered trademarks or trademarks of The Linux
Foundation.
❚ .NET are registered trademarks or trademarks of Microsoft Corporation.
❚ All other company names, product names, service names and other proper nouns are
registered trademarks or trademarks of their respective companies.
❚ The TM and ® marks are not shown in the text and ﬁgures in this slide.

ブロックチェーンを用いた自己主権型デジタルID管理

ブロックチェーンを用いた自己主権型デジタルID管理

More Related Content

What's hot

Similar to ブロックチェーンを用いた自己主権型デジタルID管理

More from LFDT Tokyo Meetup

ブロックチェーンを用いた自己主権型デジタルID管理