“Web3.0におけるウォレットの基礎知識”
-秘密鍵管理の重要性-
【参加無料・wisdom特別オンラインセミナー】
実例から学ぶ!新ビジネス創造のヒント
~デジタルで変える社会・産業・生活~(12/13ライブ配信)
生成AIとデジタルヒューマンの登場により、金融相談サービスは新たな局面を迎えています。
人間らしいリアルな対話を可能にするデジタルヒューマンが「不気味の谷」を越え、これまでのサービスの限界をどのように超えていくのか。専門家と共に、「対話の壁を超えた金融サービス」の実現に向けた未来像を探ります。
「Web3.0とは?メリットやメタバース・DAOとの関連性、実現に向けたポイントを解説」では、Web3.0の概要とデジタルアイデンティティとの重要性について解説してきた。
今回は Web3.0 における「ウォレット」の役割とその安全性について解説したい。
Web 3.0には、Wallet(ウォレット)と呼ばれる暗号資産等を管理するお財布のようなものがあり、その実体は暗号資産そのものではなく“秘密鍵”になっている。ユーザーが管理するウォレットはそれに紐づくIDの管理が非常に重要で「なりすまし」のリスクから守る必要がある。また、ひとたび秘密鍵が漏洩すればすべての暗号資産を失うリスクもある。
今回は、ウォレット基礎知識としてウォレットの概要からはじまり秘密鍵、公開鍵、シードフレーズの関係性を解説する。また「カストディアル」と「ノンカストディアル」と言った用語とその違いや代表的なウォレットについて解説を行う。「秘密鍵」周辺の課題をご理解いただければと思う。また、ホワイトペーパーでは、「新しい形のID管理」として「自己主権型アイデンティティ」について解説を行う。詳細はホワイトペーパー:「自己主権型アイデンティティ」の基礎知識」を参照いただきたい。
「自己主権型アイデンティティ」の基礎知識 ホワイトペーパー
- 分散アイデンティティ(DID:Decentralized Identifiers)
- 検証可能なクレデンシャル情報の器(VCs:Verifiable Credentials)
- 自己主権型アイデンティティ(SSI:Self-Sovereign Identity)
- ユースケース検討
- 今後の課題
1.Web3.0における「ウォレット」とは
Web3.0における「ウォレット」(以下、単にウォレットと呼ぶ)とは、現状では明確に定義は定まっていないが本書では「データの保管場所を表すようなもの」と定義し、具体的には暗号資産やNFT、その他デジタル資産を保管する機能を備えた仮想的(概念的)な場所(注1)を指す。物理世界でいうところの銀行口座のようなものである。しかしながら、このウォレット内に実際に保存されるものはデジタル資産そのものではなく、「秘密鍵」と呼ばれるデジタル資産の取り出しに必要なコードである。
各ウォレットには、QRコードや30桁ほどの英数字で構成されたアドレスが割り振られており、それを利用することで個人間や取引所でのデジタル資産の取引を行う。例えば”1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa”というアドレスは、世界で初めてビットコインを受け取ったアドレスとされている。
- 注1) 正確な解釈が必要な場合は、「マスタリングイーサリアム」(オライリー著)の5章を参照のこと。
【ウォレットの主な役割】
- デジタル資産を保管する
- ブロックチェーン上でデジタル資産の送受信を行う
- DeFiやNFTのマーケットプレイスなどの、DApps(分散型アプリケーション)に接続する
一般的にはウォレット内に実際に保存されるのはデジタル資産そのものではなく、「秘密鍵」と呼ばれるデジタル資産の取り出しに必要なデジタルコードである。すなわち、①の「デジタル資産を保管する」=「秘密鍵を保管する」と思ってよい。資産を取引する時に使うのが②の「ブロックチェーン上でデジタル資産の送受信を行う」機能である。一般的にはウォレットから取引履歴を参照することが可能になり、資産の取引を行うことが可能である。DApps(分散プリケーション)とは、ブロックチェーンなどの分散型フレームワークを基盤としたアプリケーションのことで中央集権的な管理をされておらず透明性が高いため、ゲームや金融の領域と相性が良いことで知られている。③はこうしたアプリケーションとの接続が可能になる。
「ウォレット」はこれまでの暗号資産に加えてNFTなど幅広いデジタル資産を扱えるようになっている。ウォレット事業者が提供する「ウォレット」は暗号資産取引所が提供するウォレットとは異なり、第三者が存在せずともユーザー自身でデジタル資産を保管できるという特徴がある。そのため、ウォレット所有者の匿名性やプライバシーが保護されるというメリットがある。しかしながら、「秘密鍵」を自らの責任で管理する必要があると言う大きなデメリットも存在する。このあたりの詳細比較は後述する。
また、ホットウォレット、コールドウォレットと言った分類もある。この分類はウォレットがインターネットにつながっているかどうかによって分けられる。
① コールドウォレット
インターネットに接続されていないウォレットのことを「コールドウォレット」という。
例えば、USBメモリー等の物理デバイスを利用する「ハードウエアウォレット」や紙に書き留める「ペーパーウォレット」がこれに該当する。
デジタル資産をオフラインで管理できるため、ハッキングリスクを抑え、セキュリティレベルは最も高いと言われている。ただし、保管しているデジタル資産へのアクセスに手間や時間がかかるという点や、物理的な紛失もしくは盗難される可能性がある点がデメリットとして挙げられる。
② ホットウォレット
常にインターネットにつながっているウォレットを「ホットウォレット」という。インターネットに接続されていれば、場所や時間に関わらずアクセスが可能であり利便性が高いというメリットがあるが、ハッキングなどを受ける可能性が高くなるというデメリットがある。
2.「ウォレット」で重要な「秘密鍵」と「公開鍵」と「シードフレーズ」とは
ウォレットは「公開鍵」「秘密鍵」「シードフレーズ」の主に3つの要素で構成される。
以下にそれぞれについて解説する。
① 公開鍵(アドレス)
公開鍵とは、デジタル資産を受け取る際に必要なもので、取引相手にデジタル資産を送ってもらう場合には、公開鍵から作成したウォレットアドレスを送り主に伝えてやりとりを行う。(公開鍵そのものの場合もある)
② 秘密鍵
秘密鍵はデジタル資産の送受信を行う際に必要なもので、第三者に知られても問題のない公開鍵と違って「非公開」にしておく必要がある。よって、ユーザー自ら保管しなければならない情報です。
③ シードフレーズ(もしくはリカバリーフレーズ)
シードフレーズとは、ランダムに取得・配置された12または24語で構成されたフレーズのことである。「秘密鍵の生成に使う、ランダムに生成したシードを人間が扱いやすいよう冗長化したもの」で、MetaMaskでのウォレットのパスワードを忘れてしまった場合や、PCやスマートフォンを新しく買い替えた時などに必要になる。シードフレーズを使えば、ウォレットを紛失した場合でも新しい秘密鍵を復元することが可能となる。また、主要なウォレット(標準に則っているウォレット)の相互互換性もあるため、ウォレットを変えたい場合にシードフレーズを入力すると、既存のウォレットに保管されていたデジタル資産を利用することができる。
これらは、②秘密鍵から①公開鍵は作成できるが逆はできない。また、②秘密鍵の復元を行うには③シードフレーズが必要だが逆はできない。
(シードフレーズから複数の②秘密鍵を生成することは可能)
ちなみに、ウォレットのパスワードはウォレットにアクセスするためのパスワードであるため、非常に重要である。パスワードを変更する場合は③リカバリーフレーズが必要になる。
次にわかりやすいように暗号資産の保有を銀行預金に例えた例を(表1)に示した。
暗号資産と銀行預金の比較はその性質上異なるものであるが、考え方の整理の一助としてほしい。
3.「カストディアル」と「ノンカストディアル」の違い
ウォレットは、その秘密鍵の管理方法によって「カストディアル」または「ノンカストディアル」の二つに分類できる。そもそも、この「カストディ」とは投資家の代わりに資産を保有・管理することである。カストディ業務とは、有価証券の保護預かり業務を指す場合もあるが、一般にはそれにとどまらず、保管した証券から発生する利子・配当金の受領・売買代金の授受あるいは当該証券に係る各種権利関連情報の伝達などの業務を含む。
外国証券投資を行う年金基金や投資信託・生命保険会社等投資家の代理人として、カストディ業務を行う機関のことを「カストディアン」と呼ぶ。つまり、「カストディ」は暗号資産の世界に限った言葉ではなく、金融・証券用語の一つで、銀行における資産の保全や管理などに広く使われている。また、暗号資産のカストディ業務を行う人を「ウォレット業者」と呼ぶこともある。従来、このカストディ業務は暗号資産の「管理」のみを行っていたため、暗号資産交換業の定義には当てはまらず、資金決済法の規制の対象外とされていたが、国際的にマネーロンダリングやテロ資金供与対策を行う動きが強まったことから、日本においては2020年5月に改正資金決済法が施行され、以下の行為を業(なりわい)として行う場合は暗号資産交換業と定めている。
(※資金決済法第2条第7項)
- 暗号資産の売買又は他の暗号資産との交換
- 前号に掲げる行為の媒介、取次ぎ又は代理
- その行う前二号に掲げる行為に関して、利用者の金銭の管理をすること。
- 他人のために暗号資産の管理をすること(当該管理を業として行うことにつき他の法律に特別の規定のある場合を除く)。
この法改正にてカストディ業務も暗号資産交換業に含まれるようになり、現在、カストディ業務を行うには金融庁への登録が必要で、厳しい審査が課されるようになっている。
「カストディアルウォレット」は第三者が秘密鍵を保管するウォレットで、「ノンカストディアルウォレット」はユーザー自身が秘密鍵を保管するウォレットである。以下に各々のウォレットの特性について解説する。
① カストディアルウォレット
カストディアルウォレットは、秘密鍵をユーザーに代わって第三者(取引所などのカストディアン)が保管するウォレットのことを指す。所謂「財布を握ってもらう」の表現がピッタリくる。
よって、ユーザーは自身の秘密鍵にアクセスすることが困難である一方、秘密鍵やパスワードを紛失した場合には、カストディアンを通じてアカウントへのアクセスを回復できる。しかしながら、例えば取引所や管理サイトが閉鎖してしまった場合に、デジタル資産へのアクセスができなくなる可能性があるため、信頼できるカストディアンを見分けることが重要とされている。日本の取引所においては、前述の「暗号資産交換業」が対象となることから、このような問題はほぼ当てはまらないと考えてよいが、カストディアンの運用体制やハッキング対策等についてはよく確認すべきであろう。
② ノンカストディアルウォレット
ノンカストディアルウォレットは、ユーザー自身が秘密鍵を管理するウォレットのことを指す。自分で資産の管理を行う。秘密鍵やシードフレーズを紛失してしまった場合には、ウォレットの提供者は顧客情報を管理しているわけではないため、デジタル資産へのアクセスの回復ができなくなるという問題がある。最近注目を集めている回復方法の1つに「ソーシャルリカバリー(social recovery)」と呼ばれる手法がある。ソーシャルリカバリーでは、複数の個人・組織・ウォレットを鍵の管理人に指定し、ほとんどの鍵の管理人が合意すれば鍵を変更できる、という仕組みになっている。
【ウォレットの分類まとめ】
カストディアルウォレット:秘密鍵は第三者(カストディアン)によって保管され、ユーザーに代わって管理される。ウォレットにアクセスするためのクレデンシャル情報を紛失した場合、基本的にカストディアンを通じてアクセスを回復することが可能。
ノンカストディアルウォレット:ウォレットの所有者は暗号資産を完全に自己コントロールすることが可能。鍵(シードフレーズ)を紛失した場合、資産へのアクセスは回復不能となり失われる。
4.代表的なウォレットについて
1)カストディアルウォレットの例
bitFlyer(ビットフライヤー)やCoincheck(コインチェック)等の暗号資産取引所が提供するウォレットがある。通常、カストディアルウォレットではユーザー側から秘密鍵を意識させてないUIになっている。また、口座開設には本人確認と審査が必要になっており、審査には本人確認と反社チェックやマネロン対策上の確認が主にされている。
【bitFlyerの口座開設手順】
- メールアドレスの登録
- パスワードの設定
- 利用契約の同意
- 二段階認証を行う
- 個人情報の入力
- 本人確認書類の提出 (クイック本人確認)
- 審査完了メール
2)ノンカストディアルウォレットの例
MetaMaskやPhantom Wallet などが Web3.0 ウォレットの代表例である。
暗号資産の保管や送受信、DeFiやNFTのマーケットプレイスなどの、DApps(分散型アプリケーション)に接続する機能がある。
MetaMaskの作成手順(ブラウザの場合)を以下に示した。カストディアルウォレットと比較すると、秘密鍵を意識した手順であることと、本人確認や審査がないことが特徴である。
【MetaMaskの作成手順】
- MetaMaskをGoogle Chromeに追加をする
- MetaMaskのセットアップ
- MetaMaskの品質向上への協力に同意
- MetaMaskのパスワードの作成
- MetaMaskウォレットの保護のために動画を見る(秘密鍵の理解)
- MetaMaskの「シードフレーズ(リカバリーフレーズ)」を理解する
・・・このあとにNFTマーケットプレイス等へ接続を行う。
5.まとめ
これまで、ウォレットを中心とした解説をしたが、筆者はWeb3.0における真に必要なウォレットは実は「デジタルIDウォレット」ではないかと思っている。ユーザー本人に紐づく住所や年齢などの各種属性、保有資格の証明書といったデータを保管することが可能で、本人確認を求められた際にユーザー側の判断に基づいて必要なデータに限定し、本人確認を求める相手に開示・提供することができるウォレットである。欧州ではすでにこのコンセプトにおけるフレームワークが整備されてきており、今後の動向に目が離せない。(下記事参照)
【欧州デジタルID規則(eIDAS規則)におけるデジタルIDウォレット】
EUで検討が進んでいるのデジタルIDウォレットは、EU市民、EU域内の居住者および企業など、希望すれば誰でも利用でき、EU加盟国に認められていれば公的機関・民間団体を問わず提供することが可能。ウォレットには運転免許証、卒業証書、銀行口座などの自分の個人属性に関する証明を結びつけられ、個人データを不必要に共有せずオンラインサービスにアクセス可能。自分のアイデンティティ、データ、証明書のどの属性を第三者と共有するかを選択し、その共有を追跡することが可能になる。
(コラム)Web3.0におけるネーミングサービス(ENS)とは
ENSは、2017年5月にローンチされたWeb2.0でいう「DNS(Domain Name System)」のWeb3.0版で、イーサリアムアドレスを簡素化して覚えやすい形に変換してくれるネーミングサービスである。
インターネット初期の頃、ドメイン名とIPアドレスが紐づいておらず、WebサイトにアクセスするためにはサイトのIPアドレスを全て入力しなければならないという課題があった。そこで、アメリカの科学者Elizabeth Feinler氏が1983年に発明したのがDNSである。ドメイン名とIPアドレスを紐付けることで、ドメイン名のみ入力すればWebサイトにアクセスが可能になった。この仕組みを、イーサリアムに応用させたものがENSである。
イーサリアムのウォレットアドレスは「0x」から始まる42桁の長い文字列で形成されているが、「nec.eth」のように3-6文字程度の短いアドレスに短縮できるため、入力の手間を減らせる、誤送信などのリスクを減らせるといったメリットがある。
このENSアドレスを保有するには「レンタル料(使用料)」が必要で、このレンタル料はENSアドレスの長さと利用期間から算出される。具体的には、文字数が少ないほど、そして期間が長くなるほど高価になる。短く利便性が高いことから、コミュニティネームとしての利用も広がっており、今後「DID(Decentralized Identifier:分散型ID)」においても役割を担うのではないかと期待されている。
DIDについては、以下のホワイトペーパーを参照して欲しい。
企業の反社会的な活動や政治的乱用が起こったり、国がブロックチェーンの一元管理を握ろうとしたりする事態が発生した場合、IDの所有権や管理はどう変わるのか。この辺りは、自己主権型アイデンティティの動向にぜひ注視していただきたい。ホワイトペーパー:「「自己主権型アイデンティティ」の基礎知識」にその内容をまとめたので、ぜひ参照いただきたい。
「自己主権型アイデンティティ」の基礎知識 ホワイトペーパー
- 分散アイデンティティ(DID:Decentralized Identifiers)
- 検証可能なクレデンシャル情報の器(VCs:Verifiable Credentials)
- 自己主権型アイデンティティ(SSI:Self-Sovereign Identity)
- ユースケース検討
- 今後の課題
宮川 晃一(みやかわ こういち)
NEC 金融システム統括部 金融デジタルイノベーション技術開発グループ
デジタルアイデンティティ・エバンジェリスト
情報セキュリティおよびデジタルアイデンティティ分野のコンサルタントとして20年以上従事し、外部団体でのコミュニティー活動の立ち上げによる啓蒙活動と人材育成に従事してきた。現職では Open API/eKYC 等の金融分野におけるデジタルアイデンティティ・エバンジェリストとして、所属団体での活動および講演活動や執筆活動に注力をしている。
(主な所属団体)
- 日本ネットワークセキュリティ協会(JNSA)デジタルアイデンティティWGリーダー
- クラウドセキュリティアライアンス(CSA)理事
- FISC オープンAPIに関する有識者検討会 委員
(主な著書)
- 「クラウド環境におけるアイデンティティ管理ガイドライン」
- 「セキュリティエンジニアの教科書」
- 「今さら聞けない暗号技術&認証・認可」 2023/3/6 新刊発売
- 日経クロステックアクティブ ”まとめ” 「特権アクセス管理とは:高権限のアカウント「特権ID」でITを統制」
Software Design別冊シリーズ
今さら聞けない暗号技術&認証・認可
―Web系エンジニア必須のセキュリティ基礎力をUP