「デジタル・分散型金融への対応のあり方等に関する研究会」(第8回)でお話した内容
「デジタル・分散型金融への対応のあり方等に関する研究会」(第8回)の議事録がでましたので、その中で私の発言を抜粋します。議事録全体は、こちらをご覧ください。
【松尾メンバー】(仮訳)
ありがとうございます、私はジョージタウン大学のコンピュータ・サイエンス学科の教授をしております。私は暗号プロトコルの設計を26年以上やっております。また私は暗号プロトコルの安全性検証のフレームワークを提供するISO標準であるISO/IEC 29128のプロジェクトエディタをしておりました。
私の質問は健全性(Soundness)に関することです。我々は2010年代前半にTLS/SSLの脆弱性に関わる問題を持っていました。OpenSSLは、TLSプロトコルを実装するオープンソースプロジェクトです。OpenSSLに関連して、TLSの仕様と実装に大きな問題を抱えましたが、その脆弱性を直すのは非常に困難でした。実装に関して言うと、実装の透明性とプロトコルの健全性が課題で、コードの監査はセキュリティを保つプロセスの一部ではあるものの、コード監査だけではセキュリティを担保することはできません。同じように、コンポーザビリティと言う単語が、ブロックチェーンの応用においてしばしば使われますが、仮に1つ1つのプロトコルが安全であっても組み合わせたプロトコルの安全性の保証はなく、コンポーザビリティを実現するのは非常に困難です。そこで質問としては、プロトコルを組み合わせた結果出てきた大きなプロトコルの安全性をどう検証するのか、と言うことです。2000年に提案されたユニバーサルコンポーザビリティ(Universal Composability:UC)フレームワークは、このようなプロトコルの組み合わせの安全性を示すための理論的なフレームワークですが、現在のところ、DeFiプロトコルのほとんど全てはUCフレームワークで安全性の証明がつけられていません。また、同時に、UCフレームワークでの安全性証明の肝となる理想的機能(Ideal Functionality)の定義も簡単でないため、UCフレームワークをDeFiプロトコルに適用するのも、現時点では難しいだろうと考えております。
そこで、私のあなたへの質問は、Uniswapが行なっている現在のセキュリティ保証のための取り組みは十分であるかどうか、ご説明いただいたコード監査と透明性が健全性を達成するのに十分かと言うことです。
【Uniswap Labs(Banaei)】(仮訳)
いい質問ですね、DeFiと規制に関して私たちが焦点とするに足る論点です。
Uniswap protocolは2018年11月に最初に開設されて以来、約4年の間、1,200,000,000,000ドル以上の取引があったと見られているにもかかわらず、ハッキングされたことはありません。
しかし、だからといって、もっと広い意味でDeFiに安全性や信頼性の問題がないということではありません。私たちは、規制機関と同じように、さまざまな防衛線があるということを考えておりました。
最初の防衛線については、コアプロトコルが新しいインターフェースに組み込まれる、ということです。インターフェース提供者は、堅固なサイバーセキュリティのスマートコントラクトリスク監査が行われていることを確認することができます。
前述したように、プロトコルが意図された目的を果たしていることを確認することは、サイバーセキュリティ型の監査と同様に、商品設計の監査にもなります。また、コンポーザビリティに関しても全く同じだと思っています。少なくとも、それ自体がインターフェイスプロバイダプロトコルであるという高いレベルにおいては、2つ以上のプロトコルの構成により、統合フィールドプロトコルがセキュリティおよび製品設計の点から同様に堅牢であることが保証される、というフレームワークも同様に機能します。
時間の経過とともに、専門知識が向上し、これらのリスクを防止する能力が向上すると思われますが、とはいえ、新製品のテストや再テストが開始されるようなものは、分散型金融ではありません。
私たちは、実際にDeFiで見られたいくつかの革新的な考え方を採用しております。我々は現在、サイバーセキュリティ等の損失に対して保険をかけるための保険プールを一定量創設しています。
そして、これらの「保険プロトコル」は、買い手と売り手が競合する中で、市場に存在しています。そして、それは実際に、私たちのインターフェースプロバイダが、顧客のためのインターフェースに自動的に統合されるものであり、それによって、セキュリティの壁の追加の層を提供します。
これらはすべて克服可能な問題だと思いますが、成長する金融DeFiを生み出す際の最善のアプローチを考えながら、私たちは皆協力して作業しています。
【松尾メンバー】(仮訳)
ありがとうBanaeiさん。規制当局が納得するような良い枠組みを作ることができればと思います。
【Uniswap Labs(Banaei)】(仮訳)
ありがとうございます。助かりました。お話ししたかったことについては改めてお話ししますので、よろしくお願いします。
【松尾メンバー】
時間がないので手短にと言いつつ、4点聞くんですけども。
1つは、翁さんが質問されたところで、もうちょっと基本的な質問ですけども、信頼できるVCを信頼するというのは何かチェーンオブトラストみたいな感じになっているんですけども、FTXにセコイアという有名なVCが出していたということとか、あるいはセラノス事件というのが、有名なVCが出していて、みんながだまされたということがあるように、トークンのエコシステムができることは重要だと思うんですけども、このVCだけを信頼するというトラストチェーンはやっぱり危なっかしいというのが、先週から今週への学びだと思うので、ここをどう強化すればいいのかというところが1つ目の質問。
2つ目は、20ページの提言のところに、提言というか、今の課題のところに、トークン販売が暗号資産交換業に該当することが課題だということになっているんですけども、このFTXの件で、逆に金融庁はよくやったというふうにトークンを持っている人たちの評価が変わっているのが、この二、三日だったりするわけで、これは今課題の、本当に課題なのかということを問わなきゃいけないと思うんですけども、FTXの事件のような事件があったことをもって、暗号資産交換業に該当したほうが保護ができるからいいのか、それとも別のやり方があるのかというのを御意見をお伺いしたいのが2つ目。
3つ目は、22ページ目のWeb3投資家制度に関して、これも既に議論がございましたが、新しい制度をつくるのはいいと思うんですけども、どの制度にも何らかのリスクはあるので、どういうリスクがあるのかということに関して、ある程度の想定があって、そのリスクは超えれば軽減ができるということが、何か想定があるのかというのが3番目。
あと4番目は、どちらかというと技術的な質問で、パブリックチェーン、OASYSというのを作られているんですけども、すばらしいことだと思いますし、あと、それとプライベートチェーンをレイヤーというような形でつなぐというのもいいことだと思うんですけども、一方でレイヤー2って今年たくさんアタックされているので、そういうことに対して、どういう感じで、なるべく行けないようにされているのかということをお伺いしたいと思います。
すみません。4つもあって申し訳ないですけど、よろしくお願いします。
【double jump.tokyo(上野)】
まず、FTXにセコイアが投資しているというところに関して言うと、これは、まずFTXの問題というのは非常に顧客資産というのをどのように扱っているかというところに、顧客資産に手をつけてまでアラメダにお金を渡していたというところが、ある意味で言うと、詐欺みたいなものですよね。詐欺事件というか、ところに関して、全てを防げるとは思っていないです、正直。
ただ、これ何でWeb3投資家というふうに言っているかというと、こういう制度を設けないと、逆に海外投資家から調達せざるを得ないというような状況において、日本のコンテンツを育てるというところではなかなか、コンテンツを育てた結果、利益というのを海外の投資家に取られてしまうという観点もありますし、あとは、逆に言うと、今実態として、実態として、名のある投資家、VCとかが投資していることをもって人々が判断しているということも事実なので、それがずっと海外の投資家でいいのかという話があるんですよね。日本の投資家だったら安心かと言われるとそうでもないんですけど、日本の投資家が、名のある投資家が、ちゃんとレピュテーションリスクを背負って審査する限りにおいては、ある程度は機能するんじゃないかなというふうに思っているのが、1番目の質問への回答です。全部防げるかというと防げないけれども、あったほうがましなんじゃないかという。特に日本の投資家に対して。
あと2番目の暗号資産交換業に関しては、本当に一般の人、全然、不特定多数に対して販売するというところに関して暗号資産交換業というライセンスがあって、販売できないようになっているというのは、僕も大賛成なんですよ。大賛成なんですけども、いわゆる、本当に起業したてのちっちゃい会社が、しかし良質なコンテンツを抱えているところが、プロ投資家に対してプライベートで販売する、本当に特定少数に対して、ちゃんと審査もしてもらって販売することも無理なんですよね、というのを例外的に何とかしたいなというふうに感じていると。じゃないとコンテンツ、日本国内で事業者と投資家というのが回っていかないというふうに考えています。2番目ですね。
3番目の、何でしたっけ、リスク。すみません、3番目は……。
【松尾メンバー】
Web3投資家制度に関して、どんな制度でもリスクはあるので、どういうところですかという話。
【double jump.tokyo(上野)】
これで言うと、リスクに関して言うと、我々コンテンツ事業者なので一番よく分かっているんですけど、ゲーム開発ってリリースされないリスク、結構あるんですよ。変な話ですけど。もうスキャムなく、めちゃめちゃ真面目にやったとしても、ゲームってリリースできる品質にならないとか、結構あったりするんですよね。
ただ、そういうリスクというのは、それは投資家さんが背負ってくださいねというふうに思っています。Web3投資家と言われるような名のある投資家ならば、それぐらいのリスクはちゃんと背負って。
ただ、リスクあるからこそリターンもあるよというような制度で、あくまでも未上場時の話なんですよね。上場された後というのは、また違う観点で、いろいろ判断されていかないといけないと思うんですけど、本当にコンテンツを作っている最中、開発している最中、小さい会社が資金調達をしたいといった場合の制度というふうに考えているので、そこに関しては、そのWeb3投資家さんは、ある程度のリスクを背負って、審査も投資もしてくださいねというふうに考えております。
4番目のレイヤー2のハックに関しては、レイヤー2自体の技術的なハックに関しては、OASYSに関しては、Optimismというレイヤー2プロダクトというのをインスパイアして作られているので、Optimismと同じレベルのリスク度だとは思っています。
ただ、レイヤー2を動かしているのが、いわゆる事業者側なので、特に事業者といっても、全然知らない事業者とかじゃなくて、例えばセガさんとか、バンダイナムコさんとか、それこそスクウェア・エニックスさんみたいなところが責任持って動かしているので、変なことがあると彼らのレピュテーションリスクになるというものを背負いながら運営しているので、そのレベルでのサーバー運営とか、スマートコントラクトの脆弱性審査とか、そういうのがなされるであろうというような前提で、OASYS、ゲームと特化型ブロックチェーンで動かしていくという形になります。
【松尾メンバー】
分かりました。ありがとうございます。
