情報収集 - 2020/10/12
今週のおすすめ/一言所管
自分が注目しているTrustおよびブロックチェーンにおいて、気になるニュースをあつめてみた。
行政やCBDCにおけるTrustがこころなしか多くなったように思う。特にTrustedWeb推進協議会が内閣官房 デジタル市場競争本部は要注意だ。その中で、Trustが明示的に定義されており、その中核として「デジタルアイデンティティの確立」が緊急的な課題とされている。Foundational Identityである。
また、しれっとでているData Free Flow with Trustも重要だ。これは2019年ダボス会議で安倍前首相が提言した「成長のエンジンはもはやガソリンではなくデジタルデータで回っている」「新しい経済活動には、DFFT=Data Free Flow with Trustが最重要課題である」という内容である。データの自由流通であり、プライバシー、データ保護、知的財産権とセキュリティの課題を解決したうえでの、デジタル経済化である。
銀行の本人確認要件が金融庁の監督指針により厳格化されそう。
誤った二者択一の問題
プライバシー or 健康か、グローバリズムかナショナリズムか
上記の問題にたいして必要なのは「信頼」
監視するには、その利用側を監視対象から信頼できなければならない
中立性・独立性・透明性の高い機関が監視テクノロジーを使う
監視対象も、機関や政府を監視できるようにすること
トラストサービス: データの改ざんや送信元のなりすまし等を防止する仕組み
トラスト(信頼)に基づいたデータを自らがデータ管理し、それを通じてトラストが担保されるデータガバナンスをインターネット上に構築すること
■製品のトラッキング・トレーシング(9620億ドル)
■金融サービス・決済(4330億ドル)
■IDセキュリティ・認証(2240億ドル
製品のトラッキング・トレーシングは単純に既存ソリューションがほぼ存在しないからめちゃくちゃ効果が高いのかも
イタリア銀行まわりでNTTデータがパートナーとして提供している、Cordaベースブロチェ「Spunta」
その実証実験にすでに100行が参加
ソーラーパネルやバッテリーなどの分散されたエネルギー関連資源(DERs)を分散台帳上でインベントリ(レジストリ)化
KILというブロチェで、自己主権的な検証可能、取り消し可能、匿名のクレデンシャル (SSI & Verifiable Credential?)
鮮魚のトレーサビリティー(生産履歴の追跡)用途
購入者の属性情報や医薬品の配送状況などをセキュアに共有可能とする情報連携プラットフォームを構築
富士通研究所が開発したアイデンティティー流通技術「IDYX(IDentitY eXchange、以下 IDYX)」を利用
xIDがマイナンバーカードから生成したIDを使い、オンライン本人認証 & 住民票や運転免許証で本人確認したり、不動産登記の移転などを司法書士に委託したりする
お互いに信頼していないエンドユーザーが、仲介者を入れずに直接トランザクションできること
世界経済フォーラム(WEF)がだした、ブロックチェーン標準化イニシアチブに関する報告書
標準化イニシアチブのWGが混在しており、かつ用語が統一されてない問題があるなどがあるなど
データのサイロ化により、保管時は局所的になり、共有時も1社ずつになる = 非標準状態、No Single Source of Truth
そうなると、受け取ったあとの情報の照合や突合(リコンサイル)にコストがかかる
同一であることを保証できない(想定しなければんらない)
リアルタイムの取り扱いが難しい
データが断片化されている -> 統合・分析によるビジネス創出・効率化が難しい
代表プレイヤーによる一元化には以下のリスクがある
可用性のリスク(アクセス遮断)
透明性の確保が難しい -> 公平性・正当性の検証が難しい(例: ネットワーク拡大の阻害や不公正施策の有無)
エンプラブロチェにすることで
アクセス遮断による可用性のリスクが解消
手元にあるデータにより、データ統合・分析が効率化
透明性と検証可能性がベター
Bastionソリューションっぽい
これで解決したい課題あるなら、すでにGA状態でかなり使われてるGravitational社のTeleport検討してみてもいいかも
それ以前にAWS/GCPであればSSM/Cloud Shellで十分じゃないかと考えてもいいかも。
気になるのはWorkerとTargetの関係性。ProxyなのかAgentなのか、あるいは選択できるのか
リリースを4段階にわけて、今回リリース一段回目
イベント/勉強会/発表資料
Testings
- Prebuild: Static Code Analysis(Lint, LSP), Fmt
- Build: Compile
- Post Build: Ex Based Test(BDD?), Benchmark, Profile, Trace, Fuzzing, Property Based Test★ここの話
コストの健全性、利用の健全性、状態の健全性
コスト: プロダクト毎、ストレージ毎、IaaSサービス毎
利用: 利用状況、実行時間
状態: 不要なリソース
不確定な未来とレジリエンス
ZTA: 本番環境に直接触るのではなくて自動化やツールによる間接的なアクセスのみに制限すること
Metrics, Tracing, Loggingをしっかりと収集して一箇所に集めて可視化するのが当たり前になってきた.コマンドを覚えるよりも皆が使えるグラフを作る力の方が今は求められている
How: インフラのcliをラップするcliを作ったり、あるいはGUIで特定の動作しかできないものを利用する
CSAのレポート
top 10 threats
これからみると、クラウド上の緩和策にシフトしている。DoSなどがラング外になったため、過去の体制から刷新した
ブロチェ上で各事業社が管理する顧客情報を横連携する仕組み
本人確認がスムーズに...とかいてあるが、「本人確認のみの委託は認められない」と明示的に言われてるので、データポータビリティのみかと思われる
金融業界横断的 金融業界横断的なサイバーセキュリティ演習。業界全体のインシデント対応力を向上するのが目的
なんで銀行だけ非公開なんだろ
日銀によるレポート。事前作成した業務継続計画が感染症に対して有効だった金融機関 -> 32%
リモワ利用でみとめた私用端末のhygieneで、セキュリティソフトの利用は%57, Disk Encryptonは6%, パッチ適用は55%
全体の4割が私用端末を許可
利用者認証に多要素認証が6割未満はやばいのでは
一部の金融機関では私用のUSBメモリーなどの利用も認めていた
ひえ〜〜〜
2021年度中にすべての申請や届け出をオンライン化
G7がCBDCに対して、法律・規制・監督要件を整理して透明性や法の支配、健全な経済ガバナンスを支えた上で、サービスを開始すべきと表明
中国に対する牽制もある?
2020年度内に監督指針を見直して、銀行向けに本人確認の厳格化を義務付ける
身元確認を強化したいのか、本人認証を強化したいのか。監督指針のパブコメがまちのぞまれる
行政/会社/団体
E2EE技術により法執行機関の捜査に問題が生じている
デジタル技術を使って効率的に安全性を高める手法や基準を議論
不動産売買の重要事項説明をテレビ電話などの非対面でも認める方針を明らかにした。
これまでは物件の基本情報などは対面で顧客に伝えることを不動産事業者に義務付けていた
顧客の氏名、郵便番号、それに住所 が対象
その他
投資としてのデジタルIdentity.
Foundational Identity(法律上の名前、パスポート、SSNなどtrust anchorが発行したIdentity)とFunctional Identity(売買やデータに使われるIdentity)に分類
基本的に、MicrosoftやSalesforceなどのプラットフォームと競合するためExitが難しい。
Functional Identityはそれ自体がカテゴリではないので投資家を見つけにくい。
多くの成功しているスタートアップは、Foundational IDentityで絞ったスコープのユースケース(例: 新しい規制に対応するコンプライアンス・モバイルのユースケース)から入ってる、とのこと