「デジタル・分散型金融への対応のあり方等に関する研究会」(第9回)でお話した内容
「デジタル・分散型金融への対応のあり方等に関する研究会」(第9回)の議事録がでましたので、その中で私の発言を抜粋します。議事録全体は、こちらをご覧ください。
【松尾メンバー】
松尾でございます。私からは、リスクの中で、特に技術的なリスクの話をしたいと思います。リスクの中には技術的なものもあれば、運用上のリスクもあれば、ビジネス上のリスクもあると思いますが、この研究会でも何度か技術的なリスクも取り上げられたと思いますが、改めて技術的なリスクをお話ししたいと思います。
なぜかといいますと、この二、三日、実は、イーサリアムのウォレットをはじめとして、特にブロックチェーンとか暗号資産とかを長年取り扱っているベテランの人も含めて、ウォレットからお金が抜かれるということが発生しております。この攻撃の全容はまだ明らかになっていなくて、今、皆様、鋭意、中身、どういう原因で起きたのかを調べている段階ですので、どういう原因で起きたかというのは軽々には申し上げられませんが、幾つか出ている情報でいうと、ウォレットのソフトウエアのつくりに一定のバグ、バグがないソフトウエアはないのであれですけども、一定の問題があったのではないか、あるいは、鍵を設定するときの乱数生成のシードを使い回していたのではないかみたいな、幾つかの臆測があります。
先ほど申したとおり、まだ推測段階ですので、どれが原因とは言えないですけども、ただ、申し上げられることは、このような鍵管理であるとか、乱数生成だとか暗号の使い方のようなものは、実はもう暗号技術を研究する、あるいはエンジニアリングする人たちにとってはかなりベストプラクティスがたまっているところでございまして、そういうベストプラクティスが、暗号資産を取り扱う人たちにうまく伝わっていないことがたくさんあるわけです。
これ、既存の枠組みがたくさんあるわけです。システムなりプロダクトをセキュアにするという取組は、ISMSをはじめとした既存の枠組みがあって、既存のベストプラクティスがあって、その評価をする信頼に足る組織があって。過去の研究会でも申し上げましたけども、オープンソースだからセキュアなわけでもないし、コード監査があれば完璧なわけでもないし、バグバウンティーがあれば完璧なわけでもなくて、ISMSを含めた既存の枠組みもたくさんあるわけです。
さらに言うと、こういうNISTの鍵関連のドキュメントもそうですし、そもそも、先ほど岩下先生からあったとおり、ビットコインそのものは政府に対する対抗的な意味で出てきているのですけども、その安全性の下でのハッシュ関数の安全性は、米国政府の機関であるNISTが評価し標準化しているわけです。
そういう意味では、NISTの成果を思う存分使っているというのが実態でして、そういう意味では、そういう世の中に、既に信頼に足るベストプラクティス制度がございます。日本で言えば、経済産業省の配下であるIPAが、そのような製品の認証システムを持っていたり、仕組みを持っていたりするわけですけども、少なくともこういう技術的に存在するようなリスクであるとか、責任分界を明らかにするために、既存のいろいろなシステムって使えるわけです。もちろんパーミッションレスにものをつくるから、誰の責任を問えるかどうかというのは分からないわけですけども、逆に、既にある既存のシステムを使ったということによって、それぞれの信頼性というのは上がっていくわけで、そういった制度を使っていくことを日本政府に促していくということは非常に大事なのではないかと思っております。
【松尾メンバー】
松尾でございます。1点だけ追加でコメントをさせてください。
多分、坂先生だったと思うんですけど、ウォレットの話を出して頂いたと思うんですけども、もちろん分散型金融、捉えどころがないところがたくさんあるんですけども、ブロックチェーンプロトコルは、いわゆる単一障害点をなくすということを目指している一方で、ウォレットがいろいろな意味で単一障害点になっているというところと、ウォレットそのものは鍵管理というだけではなくて、いわゆる認証・認可というアイデンティティーの機能と、プライバシーの機能とAML/KYCの機能と同時に、ビジネスモデルの交差点になっていて、この交差点であるところが、責任がどうかというところの取っかかりになるというところでいうと、ウォレットのガバナンスであるとか、ウォレットのエコシステムをどうかということを研究することは非常に重要な点だと思います。
最近は、我々の研究グループもそういうことをたくさんやっていたりとか、BGINという我々が活動してところでもウォレットのガバナンスの議論をするのですけども、その辺のことを、今後の研究会でも取り上げるといいかなと思っています。
以上です。
