VC(Verifiable Credentials, 検証可能資格情報)に未来は無いのか

今、Identity業界で話題になっているブログ記事があります。Sovrin ブロックチェーン上で分散ID/Verifiable Credentials (VC) のソリューションを提供していたTrinsic社の創業者ヒューズ氏の10月15日のブログ「Why Verifiable Credentials Aren’t Widely Adopted & Why Trinsic Pivoted (なぜVCが広く採用されないか&Trinsic社がピボットしたか)」です。ざっとまとめると次のような感じです。

なぜVCが広く採用されないか&Trinsic社がピボットしたか

Trinsicの方針転換の概要

  • IIW38にて「SSIは機能しなかった。Trinsicは方針を転換する」というセッションの発表。
  • 聴衆から好意的な反応があり、拍手や生放送の要請があった。
  • 業界のベテランたちによるセッションの重要性の認識。

主要な前提

  • 前提#0:熱狂的な支持 – 著者は自己主権型アイデンティティ(SSI)の理念に引き続きコミット。
  • 前提#1:用語 – 検証可能な資格証明(VC)や自己主権型アイデンティティ(SSI)などの用語をほぼ同じもの〜ユーザーセントリックに信頼できる形で属性を転送することができる技術の意味で使っている。
  • 前提#2:市場の現実 – 市場は予測不可能;成功する製品にはプロダクト/マーケットフィットが必要。
  • 前提#3:採用が重要 – 最高の技術は、その採用とユーザーへの影響によって定義される。
  • 前提#4:時間の無駄を避ける – イノベーションを推奨しつつ、市場での既知の失敗に対して警告。

歴史的背景

  • 2017年にSovrin財団から始まり、2019年にTrinsicが設立。
  • 当初は数百人の開発者が登録する成功を収めるも、成功した顧客事例は500社に1社と限定的。
  • 市場トレンドは検証可能な資格証明よりも独自ソリューション1を好む傾向を示した。

特定された課題

  • 相互運用性の問題 – 検証可能な資格証明(VC)間での真の相互運用性の欠如;標準規格が普遍的に合意されていない。
  • ユーザー体験(UX)の懸念 – VCの初期ユーザー体験が既存のソリューションより劣っており、導入に消極的になっている。
  • 普及の散在化 – 支配的なユースケースや地理的な一貫性の欠如により、ネットワーク効果が妨げられている。

将来の展望

  • 政府の関与 – 政府の要請によってVC採用が促進される可能性、ただしこれは中期的な見通し。
  • タイミングと市場の準備状況 – VCが時期尚早という議論は、独自ソリューションの成功によって異議を唱えられている。
  • Trinsicの新戦略は、新しいデジタルIDの作成ではなく、既存のデジタルIDの受け入れを企業に支援することに焦点を当て、ID環境の断片化の継続を見込んでいる。

Dick Hardt氏の見解

この記事には好意的な意見が多いものの、課題出しとしては不十分との声もあります。たとえば、Dick Hardt 氏のこのLinkedInのポストなど。同ポストでは以下のようなことを指摘しています。

  1. SSIと検証可能な資格証明(VC)、分散型アイデンティティが混同されてしまったのは残念。SSIの本質はユーザーにアイデンティティの制御を与えることだが、技術スタックにこだわりすぎている。
  2. アマゾンを5年前に退職したとき、個人のデジタルアイデンティティの状況を調査したが、その時分散型アイデンティティはすでにかなりの期間存在していたものの、OpenID 2.0やOAuth 2.0、OpenID Connect (OIDC) のような急速な普及は見込めないと感じた。その理由は、OAuth 1.0と同様の問題—複雑で既存のパターンを活用していない—を抱えていたため。
  3. VCの主な技術的な問題点:
    • 暗号鍵の管理がユーザーに求められ、UXの課題や端末移行の障壁となっている
    • 発行者の情報が開示される(例:年齢確認時に居住地までわかってしまう)
    • 鍵の再利用によりユーザーの行動が追跡可能。これを防ぐためにバッチ発行などを模索しているがらなおさら実装も運用も面倒になっている
  4. 最大の課題はビジネスモデル:
    • ユーザーはウォレットに支払わない
    • 発行者はインフラ投資するが、価値を得るのは検証者
    • 既存の個人情報販売ビジネスがVCに移行する動機が不足
    • バックエンドでの情報移動の可視性が確保できない

概ねわたしの意見と同じで、なんならヒューズ氏の記事に出てくる、故ヴィットリオ・ベルトッチ氏の見方も同じだったと思います。

では「どんな独自規格」が使われたのか?

また、ヒューズ氏の記事で解せないのは、なぜ OpenID Connectが出てこないのかです。独自規格を採用して成長したとされるitsme, YOTI, ID.me, PLAID は、実際にはOpenID Connectを使っています。独自規格では無いですね。

また、ChatGPTに代表されるAIもVCを使わずにOAuthに行ったとも書かれていますが、これらも OpenID Connect です。ヒューズ氏が言うように、市場の現実、採用が重要ということに鑑みればOpenID Connect はこれらのユースケースではより優秀な技術だったということになります。

ではVCに未来は無いのか?

では、VCに未来は無いのでしょうか?わたしはヒューズ氏ほど悲観的ではありません。しかし、彼の言う普及の散在化 は問題だと思います。OpenID Connect は、発行者も端末もオンラインのケースのみを扱うことによって技術スタックと運用を単純化しています。同様の、しかし違う部分への集中と割り切りが必要なのではないでしょうか。OIDCの方が優れているとわかったユースケース以外のところに集中するということです。今のVCは何でも解こうとし過ぎです。線路の上も走れる水陸両用自動車を作ろうとしているようなものです。

(図表1)レールの上も走れる水陸両用自動車

わたしがVCに長年求めているのは

  • 発行者がオフラインになっても存在しなくなっても使い続けることができる
  • 端末がオフラインでも使い続けることが出来る
  • ユーザーがどのウォレットを使うべきかで惑わされない
  • 公的資金で補助されない場合には発行者に検証者から利益が還元する

という要件を満たすユースケースに集中して技術スタックとエコシステムを確立することです。

加えて

  • 発行者情報はグループ情報としてしか開示されない

ようになればなお良いです。これは発行者側がグループ署名を使うようになれば解ける問題ですかね>佐古研究室のみなさん

先ずはこの辺に集中すれば勝機も見えてくるのでは無いでしょうか。

あとね、以前から指摘しているように、クエリランゲージとかは劇的に単純化しないと駄目だ。Presentation Exchange とか複雑すぎる。OpenID のclaims syntax ですら複雑で普及しなかったんですぜ。DCQLでも複雑すぎると思う。DCQLの単純化した部分だけ(これでようやくClaims Syntax相当の複雑さ)で最初は十分。

まだいろいろ言いたいこともありますが、今日のところはこの辺にしておきましょう。

あ、そうそう、Trinsic社がいなくなったことと関係あるかわかりませんが、Sovrin ブロックチェーンも止まることが決定してしまいましたね。ブロックチェーンが永続性を担保しない良い例になりました。

それではまた!

脚注

  1. 独自と言う表現をしているが、多くはOpenID Connect ベース

@_Nat Zoneをもっと見る

購読すると最新の投稿がメールで送信されます。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください