2024年6月7日金曜日

European Identity & Cloud Conference クィックレビュー Day3

こんにちは、富士榮です。

引き続きEICに参加しています。
今日は結構詰め込みでセッションがありました。
主にWallet周りが多いですね。しかし、聞けば聞くほど混乱しているなぁ、というようにしか見えなかったので、この辺りの思考の整理は帰国後別途書こうかと思います。

Panel: The Wallets we Want


OWFのDanielがモデレータを務める、ゲストいっぱいのパネルディスカッション。
Martin Kuppinger、Kristina、Anilなどなど

一番良かったキーワードはインドのMOSSIPの人(だったかな?)が言っていた
「WalletにクレデンシャルをIssueするのではなくHolder(ユーザ)にIssueするのである。クレデンシャルのLoAなどによりHolder(ユーザ)がどのWalletに格納するのかを決めれば良いのである」という言葉でしょうか。
みんなWalletという言葉にこだわりすぎですね。

Panel: Expert/Digital Wallet & Verifiers Q+A


次はAnilがモデレータでSpruceIDのWayneなどが参加するパネルです。モデレータのはずのAnilが時間の90%くらい喋って終わってしまったパネル?なセッションでした。

DHSということもありボーダーコントロールの視点が多かったのですが、トラベルパスをVCでやろうとしている取り組みって個人的にはかなり疑問。パスポートの電子化ですよね、それって。

Scaling eIDAS 2.0 Wallets: The Secure Element Problem - Boris Goranov

UbiquのCEOの人の話なのでちょっとバイアスはかかっていると思いますが、先日日本で発表があったApple Walletの話とも若干絡むので一応。


ARF1.4の要件でWSCD(Wallet Secure Cryptographic Device)に関する要件が4つ定義されています。
  1. リモートWSCD:CloudベースのHSMなど
  2. ローカルExternal WSCD:NFC等で通信する国民IDカードのICチップなど
  3. ローカルWSCD:スマホのSecure ElementやSIM
  4. ハイブリッドアーキテクチャ:上記の組み合わせ

比較するとこんな感じ。
さすがUbiqueの人なのでリモートWSCDへ誘導しています。


そして、Apple/Samsung/GoogleはFIPSにしか対応していないぞ、と。

デバイスキーとユーザキーを分離する必要性の話をされますが、うーん、という感じ(個人の意見)。
本当にデバイスバウンドが必要なケースってどこまであるんだろうか、と。先ほどのパネルでも話がありましたがWalletバインドではなくHolderバインドなんですよね、必要なのは。
例えば対面デジタルだとデバイスバウンドではなくで相対しているHolderをクレデンシャルの中の顔写真などでバインドできるわけなのでデバイスバインドはそもそも必要ないはずですし、リモートデジタルの場合でもKYCをするのは誰の役割なのか?というとVerifierの役割の方が比重は大きいはずなんですよ。資格証明の真正性は担保できているから、あとは持ってきた人(Holder)がその資格証明のSubjectと一致していることをKYC等で確認してね、というのが通常の役割分担であるべき(もちろん政府IDなどは別)だと思います。現実OpenBadgeなどはバッジの検証(Validation)とSubjectとHolderの関係性の検証(Verification)は完全に分離されてるんですよね。



Introduction to the German EUDI Wallet Project - Torsten, Paul

TorstenとPaulによるEUDI Walletプロジェクトの紹介です。ドイツでは2025年の夏にはロールアウトされる感じですね。


ここでもやはりユーザ(Holder)バインディングのオプションの検討が進んでいます。
eID-Cardがローカル+External、Cloud Supportが先ほどのUbiqueのようなクラウドHSM、Secure Element Smartphoneがスマホ自体やSIMの話です。



この辺りはクレデンシャルの種類にも依存するよね、というのはその通りなので日本でもちゃんと整理して議論してほしいところです。


Setting the Scene: The future of Digital Travel Credentials

トラベルクレデンシャルの話です。先にも書きましたが、パスポートがあるじゃん、というところとの棲み分けが正直わかりません。

なお、先日の日EUデジタルパートナーシップ協定の話はEU側では結構盛り上がっているようです。このセッションでも取り上げられていましたし、別の文脈でも直接聞かれました。


Best Practice: DIDs and Verifiable Credentials in the Construction Industry

こういうベストプラクティスセッションは結構好きなので片耳だけ話を聞いていました。
建築業界におけるVCの利用に関する話ですね。
ゼネコンがいて多重下請け構造になっているのは海外も同じで、現場でのドキュメント確認(勤怠や健康状態など)は結構大変なのは世界共通のようです。(何しろ命がかかっていることが多いのでこの辺りは結構シビアです)

ということでこんな感じでデジタル化を進めてみてますよ、という話でした。



OpenID for Verifiable Credentials - Torsten, Kristina


OpenID for Verifiable Credentialsに関連するプロトコルの最新情報のUpdateです。

まぁ、この辺りはいいですよね。


今回のEICでアワード受賞をしています!おめでとうございます。

グローバルアドプションの話もあり、Trusted Webの話も出てきました!


そして、まだ未完成ですがOpenID for VCIのコンフォーマンステストについても開発が進んでいるよ、という話もありました。

OID4VPのアップデートではなんと言ってもBrowser APIですね。

Crossing the Chasm: Trusted and Seamless Digital Identity Wallets Going Mainstream - Kristina


Kristinaによるキーノートです。
未来予想として、毎日いろいろなところでWalletとクレデンシャルをフルに活用していく世界観(左)を目指せるといいよね!という話です。

そして、これはドイツのアプローチでもありますが、デジタルパブリックインフラストラクチャ(DPI)の上にプライベートセクター(民間)のイノベーションがあるんだ、だから公共がまずはデジタル化しないといけない、という話です。この辺はGovTech関係の人たちとも共通する考え方だと思いますので、日本でももっと浸透してもらいたいですね。

またBigTechへの依存に関する話もありました。某アジアの国では、、という話も(笑)
やっぱりインフラとアプリやWalletなどの上物の話は分けて考えられるような仕組みにしないとエコシステムは成長しないですよね。


そして今後を見据えるにはタイムスケールをシャープに定義した上で議論を進めないと物事は絶対に進まない、と私も思います。

さて、日本はどうするんでしょうね。



これで3日目もおしまいです。

さて、冒頭にも書きましたが、Wallet周りの混乱は一度整理しておく必要がありそうです。また、今回特に耳にしたのはreuable identityという言葉です。これまでクレデンシャルという言葉でひとくくりにしていたものが別の言葉に置き換えられそうになりつつあります。何がreusableで何がone timeなのかの整理をしていかないとWalletの構造の整理も進まないと思うのですが、まだそこまでの整理は進みきっていないようでした。
この辺りも改めて整理していこうと思います。





0 件のコメント: