2022年12月20日公開

企業のITセキュリティ講座

Web 3.0とは何か? そのメリットとセキュリティについて聞く

ライター・吉澤亨史

  • セキュリティ

「Web 3.0」という言葉を耳にすることが増えた。Webはインターネットのことで、クラウドサービスの登場をもって「Web2.0」と呼ばれた。Web 3.0ではブロックチェーンなどの技術により安全性や利便性が高まるという。ここでは、Web 3.0の仕組みや特徴、セキュリティ面への対応などについて、株式会社サイバーセキュリティクラウドの取締役CTOである渡辺洋司氏に伺った。

1. Web 3.0とは何か、その仕組みは

経済産業省や文部科学省がWeb 3.0(ウェブ・スリー)を推進している。経済産業省では、大臣官房に「Web 3.0政策推進室」を設置し、資金調達・税制・事業体(ビークル)などの事業環境担当課室やコンテンツ・スポーツ・ファッション・アートなどの業種担当課室が一体で、デジタル庁等の関係省庁と協働し、ブロックチェーンを基盤としたWeb 3.0に関連する事業環境課題を検討する体制の強化を発表している。

Web 3.0は、暗号資産やNFT(Non-Fungible Token:代替不可能なトークン)などのトークンを基盤とし、ブロックチェーン上でユーザー自らデータの管理・活用を行い新しい価値を創出する動きのことで、グローバルに広がっている。では、Web 3.0とはどのようなもので、どのようなリスクがあり、企業はどう向き合うべきなのか。今回はハッカー対策サービスとしてクラウド型WAF(ウェブ・アプリケーション・ファイアウォール)を中心に、Webアプリケーションのセキュリティサービスおよび脆弱性情報収集・管理ツールを世界に向けて提供している株式会社サイバーセキュリティクラウドの取締役CTOである渡辺洋司氏にお話を伺った。

――Web 3.0は、ブロックチェーン技術を基盤とした分散型Webと呼ばれています。具体的な仕組みについて教えてください。

渡辺氏:Web3の基本構造として、技術的にはブロックチェーンとその上にあるスマートコントラクトによって成り立っています。ブロックチェーンは分散台帳と言われるもので、取引を全て記録して、その差分を更新していくことで、その取引の正当性を多人数で保証できる仕組みです。

スマートコントラクトは、ブロックチェーンをどう使うのかというルールを決めています。例えば、金融で使う場合の取引条件、あるいは会員サービスの認証や条件を決めて、管理する部分になります。この仕組みを各アプリケーションによって作り上げていくわけですが、Web3ではアプリを「DApp(分散型アプリケーション)」と呼びます。

Web3にはさまざまな可能性がありますが、今もっとも話題になっているのがNFTです。デジタルデータは容易にコピーできるので、大量にある同じデータのどれがオリジナルなのか、誰のものなのかを明確にすることができませんでした。

NFTは、いわば偽造できない鑑定書・所有証明書付きのデジタルデータで、基本的には画像や音声、動画といったバイナリーデータに対して、誰がいつ支払いを行ったかを表現できます。それをブロックチェーンとスマートコントラクトで明確にしているわけです。

Web3によってデジタルデータの支払い契約者を明確にできるようになったことで、今まで日の目を見なかったアーティストや、個人でデータを作って世界に広めたいという人から注目されたり、最終的にそこで利益を得られたりできるようになっていることから、多くの人が注目し始めているのが今の状況だと思います。

株式会社サイバーセキュリティクラウド代表取締役CTO 渡辺洋司氏

目次へ戻る

2. Web 3.0で何が変わるのか

――Web 3.0によって、何が変わるのでしょうか。

渡辺氏:やはりプラットフォーマーからの脱却が大きいと思います。しかも個人や小さな組織だけでなく、国も含めて大きな組織でも、自らがプラットフォームになってビジネスを始められます。そうなると、ビジネスは大きく変わるでしょう。また、組織そのものも大きく変わってきます。ブロックチェーンとスマートコントラクトの活用で、分散型自律組織(DAO:Decentralized Autonomous Organization)が実現できます。

DAOは、スマートコントラクトを活用して、プログラムで記述されたルールに基づいて運営される組織であり、ブロックチェーンが稼働し続ける限り、特定の管理者がいなくても自律的に運営することができます。これは個人でも作ることができるものです。個人が参加者による高い民主制に支えられた組織を作れるようになれば、これまでの国と個人、あるいは企業と個人で作られる経済圏が大きく変化していく可能性があります。

一方で、国も企業も介入しない組織が出てくることも考えられますから、組織に参加する際には自己責任が大きく伴うようになります。DAOの起業やDAOへの参加には、個人の裁量や判断はもちろん、重い責任が伴うことを理解する必要があるでしょう。

――企業は、Web 3.0をどう捉えて何に対応すべきでしょうか。

渡辺氏:なかなか現状では難しいのですが、使う側としては組織の力が働かない一面があると思います。DAOは自律的に運営されるので、必ずしも思っていたような意思決定が行われないケースもあり得ます。例えば、参加したDAOが期待していたものと違う、自分に合わないなどのケースですね。利用する上では自分たちのビジネスリスクになり得ますので、どう捉えるのかは難しいと思います。

ただし、新規事業を起こしていくチャンスでもあります。特に、B to Cや個人間のコミュニティーを作る上でWeb3の技術は注目されていると思います。こうしたエリアで事業を行っている、あるいは参入したい企業であれば、今後の新しい事業を開拓していくメリットになると思いますし、今から取り組んでいかないと遅れていってしまうと思います。

参考元:株式会社日本総合研究所 先端技術ラボ「Web3.0トレンドを俯瞰する」(2022年8月15日公開)より

目次へ戻る

3. Web 3.0においてセキュリティ面で気をつけること

――Web 3.0には、どのようなリスクを認識しておくべきでしょうか。

渡辺氏:まずリスクとして、NFTにおいてWeb3の流れで言われていることに、デジタルデータがブロックチェーンの外で管理されているケースが非常に多いことがあります。取引や契約などの記録はすべてブロックチェーンに残っているのですが、実際のデータは、例えばクラウド上のサービスのストレージにあるわけですね。

そうすると、権利は主張できるものの、例えばそのサービスが終わってしまうと参照先だったデータがなくなってしまいます。そこで今は、データも含めたすべてをNFTのブロックチェーン内に記録するサービスも出てきています。

一方で、NFTのデジタルコンテンツをブロックチェーンに保存する場合には、保存方法やデータ量によっては非常にお金がかかります。いわゆる「ガス代」と呼ばれるものですが、ガス代が非常に高いことがデジタルコンテンツをブロックチェーンに保存して永続性のあるデータにするハードルを高くしています。これをクリアすることが一つの山になるとは思いますが、これはインターネット黎明期の速度が遅い、料金が高いというインフラの問題に近い気がします。

今後その金額や料金が下がってくれば、きちんとデジタルデータを保管する技術が世の中に浸透していく可能性もあります。場合によっては、データを保管しない緩めのサービスもあるかもしれませんが、品質が悪いとして淘汰されるかもしれない。これがNFT界隈(かいわい)、特にWeb3で今一番ホットな話題の一つですね。

――これから多くのWeb 3.0サービスが出てくる中で、セキュリティ面で気をつけるべきことは何でしょう。

渡辺氏:最初の方でお話したように、システム面、データの永続性という意味では、データ自体が外部のサービスにあったり、ブロックチェーンに記録されていなかったりするケースが非常に多いと思います。そうすると、これが自分の資産だといっても、保管先によってはデータ自体が消滅してしまうケースがあるので、そのリスクは十分に注意していく必要があるでしょう。

Web3のアプリケーションは「DApps:分散型アプリケーション」と呼ばれています。その下にブロックチェーンとスマートコントラクトがあるわけですが、その上の入り口になるのはWebアプリケーションですので、Webアプリケーションの脆弱性を突かれてしまうケースは十分あり得ると思います。

脆弱性を悪用されてしまうと、脆弱性によってはアプリケーションから個人情報を抜かれてしまったり、アプリケーション自体を変更してしまい、例えばスマートコントラクトのアプリケーションが違うルールで動いてしまったり、ブロックチェーンに書き込む内容を変えてしまう、所有者や金額を変えられてしまう可能性もあります。

また、基本的に暗号資産の仕組みを使っていますので、クリプトジャッキングに悪用される可能性も考えられます。クリプトジャッキングは、利用者個人のPCにマルウェアを感染させて、勝手にクリプトマイニングを行う攻撃です。暗号通貨の場合、自分のPCをブロックチェーンに参加させてリソースを提供することで、暗号通貨をもらえる仕組みがあります。それを勝手に乗っ取られてしまうわけです。

Webアプリケーションという観点では、フィッシング系の詐欺が現在非常に多くなっています。ユーザーが利用しているサービスにそっくりな偽のサイトを作って、フィッシングメールでそこに誘導し、アカウント情報を抜き取る攻撃です。ビットコインや暗号資産であれば、本来ウォレットから引き出す秘密鍵やパスワードなどをソーシャルハッキングによって聞き出すこともあり得ます。

マルウェア「Emotet」やBEC(ビジネスメール詐欺)もフィッシングの手口を使用しており、数十億円、数百億円の被害も発生しています。また、取引所の脆弱性を狙って攻撃されるケースもありますので、Web3の例えばNFTのサービスも攻撃の対象になっています。自分の資産を守るためにも、対策が重要です。

――ありがとうございました。

参考元:株式会社日本総合研究所 先端技術ラボ「Web3.0トレンドを俯瞰する」(2022年8月15日公開)より

目次へ戻る

関連記事

【お知らせ】がんばる企業応援マガジン最新記事のご紹介