毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2023年4月6日
  • タイトル:Sign in with Ethereum
  • メインスピーカー:データサイン 代表取締役社長 太田祐一
  • MC:ビジネスディベロッパー 宮崎洋史

イーサリアムのコミュニティが提案するサインインの標準仕様

Ethereum(イーサリアム)などの暗号資産やNFT(Non-Fungible Token、非代替性トークン)の取引経験がある方は、MetaMask(メタマスク)というクリプトウォレット(暗号資産用の財布)をご存じかもしれません。このMetaMaskの公式ツイッターが2023年3月24日、「Sign-In with Ethereum」に対応したことをツイートしました。Sign-In with Ethereumとは何でしょうか。また、どんなことが期待できるのでしょうか。ランチタイムトークで話題に取り上げました。

Sign-In with Ethereum(以下、SIWE)は、EIP-4361で提案、レビューされているユーザー認証・認可などの仕組みに関する仕様です。EIPは「Ethereum Improvement Proposals」の略称。今回のEIP-4361修正提案の目的は何でしょうか。

「簡単にまとめると、FacebookログインやGoogleログインなどのソーシャルログインを、非中央集権的なイーサリアムのウォレットアドレスで代替しましょう、というのが目的です」(データサイン 代表取締役社長 太田祐一)

サービス間の相互運用性を向上させるメリットも

イーサリアムのアカウントに割り振られた固有のウォレットアドレス(英数字からなるユーザーごとに異なる文字列)と、イーサリアムで規定されたメッセージ署名の仕様を組み合わせて用いると、あたかもCookieベースのウェブセッションやソーシャルログインのような環境が実現できます。つまり、アクセス権限が付与された(認可された)場合にのみ、当該アカウントに紐づくデータを提供する、という環境です。すでに多くのイーサリアムベースのアプリケーションやサービスで、このようなサインインの環境が実現されています。

SIWEでは、これをさらに発展させて、サインインというワークフローの標準化、既存サービスの横断的な相互運用性の向上、ウォレット開発者に対して、ユーザー体験(UX)を改善する、より信頼できるID署名要求の手段を提供することを意図しています。

SIWEは次のようなイメージで機能します。

  1. まず、サービス提供者(Relying Party:RP)はSIWEメッセージを発行し、メッセージ署名の扱いを定めた仕様(ERC-191)で定義された文字列をそのメッセージの先頭に付記します。
  2. 次に、ウォレットはユーザーに対して、SIWEメッセージに署名をするよう画面表示を通じて求めます。
  3. ユーザーが署名すると、RPはユーザーの署名の正当性を確認します。
  4. そしてRPは、ユーザーに関連するイーサリアムのウォレットアドレスや取引残高など、ブロックチェーンに書き込まれた情報をはじめ、ユーザーの許可が得られたデータにアクセスすることが可能になります。

プライバシーへの配慮は大丈夫なの?

「今後、web3に関連するアプリケーショ開発者にとってはSIWEへの対応が標準になっていくものと思われます。ユーザーにとっても利便性の向上が期待できそうです」(データサイン 代表取締役社長 太田祐一)

一方、現状のSIWEでは、異なるサービス提供者(RP)のサービスにサインインする際に同じ識別子が付与されるために、サービス間でのユーザーの特定(名寄せ)することができます。サービスを横断する利便性の高い機能をユーザーに提供ができる半面で、プライバシーへの配慮が指摘されています。

「そこで、たとえば、複数のサービスに同一のトークンを発行するパターンに加えて、サービスごとに異なるパラメーターを持たせるペアワイズ(pairwise)のようなアプローチが加味されるかもしれません」(太田)

「ほかにもEIP-4361には、今後の可能性としてDID(分散型アイデンティティ)およびVC(検証可能なクレデンシャル)といった、いわゆる自己主権型アイデンティティのサポートへの言及は注目したい点です。そして認証・認可の標準であるOpenID Connectにエンドユーザー自身による情報コントロール機能を組み合わせた、SIOPv2(Self-Issued OpenID Provider v2)のサポートへの可能性が触れられています。SIOPv2は欧州デジタルIDウォレットにおいても言及されている規格です」(太田)

中央集権型のソーシャルログインを代替する提案として、SIWEのアプローチには今後も注目したいと思います。

毎週配信|視聴登録はこちら