« 自民党 新たなテクノロジーが社会基盤となる時代へ - web3PTが「ホワイトペーパー2024」を策定 | Main | 米国 CISA 次世代マルウェア解析サービスを提供 (2024.04.10) »

2024.04.13

米国 NIST IR 8475(初期公開ドラフト) Web3パラダイムに関するセキュリティの視点

こんにちは、丸山満彦です。

自由民主党デジタル社会推進本部(本部長・平井卓也衆院議員)と、同本部のweb3プロジェクトチーム(PT、座長・平将明衆院議員)が合同会議を開き、提言に当たる「ホワイトペーパー2024」を策定したを2024.0.4.12に公表し、このブログでも紹介しましたが、NISTも2024.04.11にNIST IR 8475 Web3パラダイムに関するセキュリティの視点の初期ドラフトを公開し、意見募集しています...

AIのおかげでWeb3の議論が落ち着いてできるようになったようにも思います (^^)

Web3に関連しそうなビジネスをどうやってはやらせるか?という視点での議論が多いように感じるのですが、もともと個人を中心とした社会において、ともすれば大企業に支配されているインターネット空間での活動をどうやって個人の手に取り戻すのか?という話であれば、もう少しいろいろな議論ができると思うのですけどね...

いきなりDAOや暗号資産から始まっちゃうとそのビジネスをなんとかしたいんですかね...になっちゃいますよね...

 

ちなみに、NISTでは一応Web3を次のように考えているようです。。。

1. Introduction  1. 序文 
Web3 is a proposed vision for the future of the internet. It is not a specific single design, architecture, or software but rather a goal for restructuring the internet to be more usercentric. Users would own and manage their personal data, acting as gatekeepers to other applications and services that need it. Systems would be implemented in a decentralized and distributed manner while also providing for direct user participation. Digital tokens would be used to represent assets, and web-native currencies (such as cryptocurrencies) would be used for payments.  Web3とは、インターネットの未来像の提案である。これは、特定のデザイン、アーキテクチャ、ソフトウェアではなく、インターネットをよりユーザー中心に再構築するための目標である。ユーザーは自分の個人データを所有・管理し、それを必要とする他のアプリケーションやサービスへのゲートキーパーの役割を果たす。システムは非中央集権的で分散型に実装され、同時にユーザーの直接参加もプロバイダとして提供される。資産の代表者にはデジタルトークンが使われ、決済にはウェブネイティブ通貨(暗号通貨など)が使われる。

 

「インターネットをユーザー中心に再構築する」という感じですかね...

 

NISTはCloud Computingの時にそうしたように、言葉の定義をしてから議論を進めるのがよいと思います...

3.1. Web3 Vision  3.1. Web3のビジョン 
The definition provided below is intended to be descriptive and inclusive of all Web3 applications. It is not intended to define what is or what is not part of Web3, nor is it intended to limit future Web3 applications. The purpose of the definition and resultant characteristics is to enable the reader to understand the current proposed technology and to provide a foundation for an exploration of potential security and privacy issues.  以下に示す定義は、説明的であり、すべての Web3 アプリケーションを包含することを意図している。何が Web3 の一部で、何が Web3 の一部でないかを定義するものではなく、将来の Web3 アプリケーションを制限するものでもない。定義とその結果の特徴の目的は、読者が現在提案されている技術を理解し、潜在的なセキュリティとプライバシーの問題を調査するための基礎を提供することである。
Web3 is a restructuring of the internet to place ownership and operation into the hands of users themselves, thus changing the structure from organization-centric to user-centric.  Web3は、オーナーシップと運用をユーザー自身の手に委ねるためのインターネットの再構築であり、その結果、組織中心からユーザー中心へと構造を変える。
Web3 proposes several changes to the existing web architecture:  Web3は、既存のWebアーキテクチャにいくつかの変更を提案している: 
•       Users own their data and are responsible for their data, data security, and data privacy.  •  ユーザーは自分のデータを所有し,自分のデータ,データ・セキュリティ,データ・プライバシーに責任を持つ。
•       Decentralized and distributed systems are used, and users can host and run applications.  •  分散・分散システムが使用され,ユーザーはアプリケーションをホストし,実行することができる。
•       Applications and organizations request data directly from users.  •  アプリケーションや組織は,ユーザーから直接データを要求する。
•       Users can supply applications and organizations with actual data or verifiable credentials/verifiable presentations of their data or choose to deny applications and organizations access to their data.  •  ユーザーは,アプリケーションや組織に実際のデータ,または検証可能なクレデンシャル/検証可能なデータの提示を提供するか,アプリケーションや組織によるデータへのアクセスを拒否することを選択できる。
•       Applications and organizations may offer incentives for users to provide data.  •  アプリケーションや組織は,ユーザにデータを提供するインセンティブを提供することができる。
•       Data can be tokenized and transferred directly between users.  •  データはトークン化され,ユーザー間で直接転送することができる。
•       Application execution and transaction fees are paid for with webnative currencies (e.g., cryptocurrencies).  •  アプリケーションの実行と取引手数料は、ウェブネイティブ通貨(暗号通貨など)で支払われる。
•       Users who execute application logic and maintain the state of systems can receive payment in web-native currencies (e.g., cryptocurrencies) for doing so.   •  アプリケーションロジックを実行し、システムの状態を維持するユーザーは、その対価としてウェブネイティブ通貨(暗号通貨など)で支払いを受けることができる。 

 

 

NIST - ITL

・2024.04.11 NIST IR 8475 (Initial Public Draft) A Security Perspective on the Web3 Paradigm

NIST IR 8475 (Initial Public Draft) A Security Perspective on the Web3 Paradigm NIST IR 8475(初期ドラフト) Web3パラダイムに関するセキュリティの視点
Announcement 発表
Since its inception, the internet has constantly developed and improved, moving beyond simple text•  and image-based informational websites to a fully interactive and powerful social, collaborative, and communication platform. However, the basis for much of the internet has remained rooted in a client/server-based paradigm, where organizations provide services and applications in exchange for ownership — partial or whole — of the user data posted to those systems. インターネットはその誕生以来、常に発展し改善され、単純なテキストや画像ベースの情報ウェブサイトから、完全にインタラクティブで強力なソーシャル、コラボレーション、コミュニケーションプラットフォームへと移行してきた。しかしながら、インターネットの基盤の多くは、クライアント/サーバーベースのパラダイムに根ざしたままであり、そこでは、組織がサービスやアプリケーションを提供する代わりに、それらのシステムに投稿されたユーザーデータの一部または全部を所有する。
A growing number of people are exploring what the internet could look like if it were a decentralized system in which users own, manage, and store their own data and collectively participate in hosting and running applications. Many have taken to calling this shift in internet paradigms “Web3.” もしインターネットが、ユーザーが自分自身のデータを所有・管理・保存し、アプリケーションのホスティングと実行に集団で参加する分散型システムであれば、どのようなものになるかを探求する人々が増えている。多くの人々は、インターネットのパラダイムにおけるこの変化を "Web3 "と呼んでいる。
This publication: 本書では
・Provides a brief background on the internet ・インターネットの簡単な背景をプロバイダに提供する。
・Explores some of the concepts behind Web3 ・Web3の背後にあるコンセプトのいくつかを探る
・Explores some of the proposed technologies that could be used ・使用される可能性のあるいくつかの技術について説明する。
・Describes some security and privacy concerns that should be kept in mind as Web3 is explored ・Web3が検討される際に留意すべきセキュリティとプライバシーの懸念について説明する。
Abstract 概要
Web3 is a proposed vision for the future of the internet that is restructured to be more user-centric with an emphasis on decentralized data. Users would own and manage their personal data, and systems would be decentralized and distributed. Digital tokens would be used to represent assets, and web-native currencies (such as cryptocurrencies) would be used for payments. This document provides a high-level technical overview of Web3 and discusses the technologies that are proposed to implement it. The integration of these developing technologies may present novel security challenges, so this paper presents security considerations that should be addressed when considering Web3 technology and adoption. Web3は、分散化されたデータに重点を置き、よりユーザー中心に再構築されたインターネットの未来像である。ユーザーは個人データを所有・管理し、システムは分散化・分散化される。資産の代表者にはデジタルトークンが使われ、決済にはウェブネイティブ通貨(暗号通貨など)が使われる。この文書では、Web3のハイレベルな技術的概要をプロバイダとして提供し、それを実装するために提案されている技術について議論する。これらの発展途上の技術の統合は、新たなセキュリティ上の課題を提示する可能性があるため、本稿では、Web3の技術と採用を検討する際に対処すべきセキュリティ上の考慮事項を提示する。

 

・[PDF] NIST.IR.8475.ipd

20240413-55046

 

目次...

1. Introduction. 1. 序文
2. Background. 2. 背景
2.1. Web 1.0 - The Nascent Web. 2.1. Web 1.0 -  生まれたばかりのウェブ。
2.2. Web 2.0 - The Current Web 2.2. ウェブ2.0 - 現在のウェブ
2.3. Web3 vs. Web 3.0 - The "Semantic" Web 2.3. Web3対Web3.0 - "セマンティック "ウェブ
3. Web3 Overview 3. Web3の概要
3.1. Web3 Vision 3.1. Web3ビジョン
3.2. Web3 Data 3.2. Web3データ
3.3. Web3 Technology Components 3.3. Web3テクノロジー・コンポーネント
3.4. Web3 Discussion 3.4. Web3ディスカッション
4. Web3 Security and Privacy 4. Web3のセキュリティとプライバシー
4.1. Phishing, Scams and Trust in a Decentralized Ecosystem 4.1. フィッシング、詐欺、分散型エコシステムにおける信頼性
4.2. Increased User Responsibility and Access Recovery 4.2. ユーザーの責任とアクセス回復の強化
4.3. Data Persistence and Difficulty Removing Data. 4.3. データの永続性と削除の困難性
4.4. User Security Through Decentralization 4.4. 分散化によるユーザーのセキュリティ
4.5. Errors and Bugs 4.5. エラーとバグ
4.6. Inability to Refuse a Transaction 4.6. 取引を拒否できない
4.7. Availability and Denial of Service 4.7. 可用性とサービス拒否
4.8. Censorship Resistance 4.8. 検閲への抵抗
4.9. Chain Splits, Duplicated Applications and Data 4.9. チェーンの分岐、アプリケーションとデータの複製
4.10. User Profiling 4.10. ユーザーのプロファイリング
4.11. Privacy-Preserving Regulations 4.11. プライバシー保護規制
5. Conclusion 5. 結論
References 参考文献

 

 

 

 

Table of Contents 目次
1. Introduction 1. 序文
2. Background 2. 背景
2.1. Web 1.0 -  The Nascent Web. 2.1. Web 1.0 -  生まれたばかりのウェブ。
2.2. Web 2.0 -  The Current Web 2.2. ウェブ2.0 -  現在のウェブ
2.3. Web3 vs. Web 3.0 -  The "Semantic" Web 2.3. Web3対Web3.0 -  "セマンティック "ウェブ
3. Web3 Overview 3. Web3の概要
3.1. Web3 Vision 3.1. Web3ビジョン
3.2. Web3 Data 3.2. Web3データ
3.3. Web3 Technology Components 3.3. Web3テクノロジー・コンポーネント
3.4. Web3 Discussion 3.4. Web3ディスカッション
4. Web3 Security and Privacy 4. Web3のセキュリティとプライバシー
4.1. Phishing, Scams and Trust in a Decentralized Ecosystem 4.1. フィッシング、詐欺、分散型エコシステムにおける信頼性
4.2. Increased User Responsibility and Access Recovery 4.2. ユーザーの責任とアクセス回復の強化
4.3. Data Persistence and Difficulty Removing Data. 4.3. データの永続性と削除の困難性
4.4. User Security Through Decentralization 4.4. 分散化によるユーザーのセキュリティ
4.5. Errors and Bugs 4.5. エラーとバグ
4.6. Inability to Refuse a Transaction 4.6. 取引を拒否できない
4.7. Availability and Denial of Service 4.7. 可用性とサービス拒否
4.8. Censorship Resistance 4.8. 検閲への抵抗
4.9. Chain Splits, Duplicated Applications and Data 4.9. チェーンの分岐、アプリケーションとデータの複製
4.10. User Profiling 4.10. ユーザーのプロファイリング
4.11. Privacy-Preserving Regulations 4.11. プライバシー保護規制
5. Conclusion 5. 結論
References 参考文献
1. Introduction  1. 序文 
Web3 is a proposed vision for the future of the internet. It is not a specific single design, architecture, or software but rather a goal for restructuring the internet to be more usercentric. Users would own and manage their personal data, acting as gatekeepers to other applications and services that need it. Systems would be implemented in a decentralized and distributed manner while also providing for direct user participation. Digital tokens would be used to represent assets, and web-native currencies (such as cryptocurrencies) would be used for payments.  Web3とは、インターネットの未来像の提案である。これは、特定のデザイン、アーキテクチャ、ソフトウェアではなく、インターネットをよりユーザー中心に再構築するための目標である。ユーザーは自分の個人データを所有・管理し、それを必要とする他のアプリケーションやサービスへのゲートキーパーの役割を果たす。システムは非中央集権的で分散型に実装され、同時にユーザーの直接参加もプロバイダとして提供される。資産の代表者にはデジタルトークンが使われ、決済にはウェブネイティブ通貨(暗号通貨など)が使われる。
This document provides a high-level technical overview of Web3 and enumerates its envisioned components. This paper also discusses the various technologies that are proposed components of Web3. Many of these technologies already exist in different stages of technical maturity. The concrete work in Web3 is largely in maturing these technologies and integrating them to create something greater than the sum of its parts. This integration may present novel security challenges, so this paper uses its Web3 technical description to present security considerations for Web3 technology and adoption.   本書では、Web3のハイレベルな技術的概要を提供し、想定されるコンポーネントを列挙する。また、Web3の構成要素として提案されている様々な技術についても説明する。 これらの技術の多くは、技術的に成熟した段階で既に存在している。Web3における具体的な作業は、これらの技術を成熟させ、それらを統合して、部分の総和よりも大きなものを作り出すことにある。この統合は、新たなセキュリティ上の課題を提示する可能性があるため、本稿では、Web3の技術的な説明を用いて、Web3の技術と採用に関するセキュリティ上の考慮事項を示す。 
Opinions and evaluations of the utility and feasibility of the Web3 vision are out of scope for this document, which takes no position on whether the Web3 vision can or should be implemented. For readers who are interested in learning about the case for Web3 adoption, a variety of resources are available [1][2][3]. This paper does not delve into the philosophies held by some Web3 proponents and does not take a position on them.  Web3ビジョンの実用性と実現可能性についての意見や評価は、この文書の範囲外である。Web3採用のケースについて学びたい読者のために、様々なリソースが利用可能である[1][2][3]。本稿では、一部のWeb3支持者によって保持される哲学を掘り下げず、それらに関する立場を取らない。
The remainder of this document is organized as follows.   この文書の残りの部分は以下のように構成されている。 
•       Section 2 provides a short history of the internet through a discussion of its early generations: Web 1.0 and Web 2.0.   •  セクション2では、初期の生成的な議論を通じて、インターネットの短い歴史をプロバイダする: Web1.0とWeb2.0である。 
•       Section 3 discusses the vision for Web3 and its technical components.   •  セクション3では,Web3のビジョンとその技術的な構成要素について議論する。
•       Section 4 considers the potential security and privacy issues that may arise.   •  セクション4では,起こりうるセキュリティとプライバシーの問題を考察する。
•       Section 5 provides a conclusion.  •  セクション5では結論を述べる。
2. Background  2. 背景 
The internet can be viewed in terms of “generations” of capabilities. These generations are often divided into the nascent Web 1.0, the current Web 2.0, and a conceptual next generation Web 3 (named Web3). This section provides an overview of Web 1.0 and Web 2.0. It concludes with a brief discussion of a separate concept called Web 3.0, which embodies a different vision than Web3 (while unfortunately sharing a similar name). This context is provided to highlight where Web3 diverges from the existing web and differs from the separately envisioned Web 3.0.  インターネットは、機能の「世代」という観点から見ることができる。これらの世代は、生成的なWeb1.0、現在のWeb2.0、そして概念的な次世代Web3(Web3と命名)に分けられることが多い。このセクションでは、Web1.0とWeb2.0の概要を説明する。最後に、Web3.0と呼ばれる、Web3とは異なるビジョンを具現化する別のコンセプトについて簡単に説明する(残念ながら、名前は似ているが)。この文脈は、Web3が既存のウェブとどこで乖離し、別に構想されているWeb3.0とどこで異なるかを強調するためにプロバイダが提供される。
2.1. Web 1.0 – The Nascent Web  2.1. ウェブ1.0 -  初期のウェブ 
In the beginning, the internet hosted very basic websites that were mostly comprised of text (often just plain text but sometimes with simple formatting), images, and hyperlinks to other webpages. As a result, this era has since been dubbed the “static” or “read-only” web. Most websites were hosted by either large, tech-savvy organizations; government organizations; internet service providers; or tech-savvy users who were allotted a small portion of web storage from their internet service provider or other web-hosting provider to develop their own “home page.” Websites eventually began to create more designs and styles via Hypertext Markup Language (HTML) tables, which allowed developers to change the format of their page.  当初、インターネットは、テキスト(多くの場合、単なるプレーンテキストだが、簡単な書式設定がされていることもある)、画像、他のウェブページへのハイパーリンクで構成された、非常に基本的なウェブサイトをホストしていた。その結果、この時代は「静的」または「読み取り専用」のウェブと呼ばれるようになった。ほとんどのウェブサイトは、技術に精通した大組織、政府組織、インターネット・サービス・プロバイダ、またはインターネット・サービス・プロバイダや他のウェブ・ホスティング・プロバイダからウェブ・ストレージの一部を割り当てられ、自分の「ホームページ」を開発する技術に精通したユーザーのいずれかによってホストされていた。ウェブサイトはやがて、ハイパーテキスト・マークアップ言語(HTML)のテーブルを介してより多くのデザインやスタイルを作成するようになり、開発者はページのフォーマットを変更できるようになった。
At this time, there were also some “dynamic” pages on the web that used the Common Gateway Interface (CGI) to execute code on the server and generate a static webpage to be delivered to the end user. There were little to no client-side manipulatable websites. Online communications were done through email, bulletin boards, and forums, and there was almost  この頃、コモン・ゲートウェイ・インターフェイス(CGI)を使ってサーバー上でコードを実行し、静的なウェブページを生成してエンドユーザーに配信する「動的な」ページもウェブ上に存在した。クライアント側で操作可能なウェブサイトはほとんどなかった。オンライン・コミュニケーションは電子メール、掲示板、フォーラムを通じて行われ、オンライン・ショッピングはほとんどなかった。
no online shopping during this period. Since there was not a lot of user interaction, organizations hosted massive amounts of user data.  オンラインショッピングもほとんどなかった。ユーザーとのインタラクションが少なかったため、組織は大量のユーザーデータをホストしていた。
2.2. Web 2.0 – The Current Web  2.2. ウェブ2.0 -  現在のウェブ 
As the internet grew, so too did the number of use cases for it. Web servers continued to gain features and integrate more technologies, such as databases. The user interface of the internet – the web browser – also continued to evolve and gain new features. The development of multiple browsers gave users more freedom of choice.  インターネットが成長するにつれ、その使用例も増えていった。ウェブサーバーは機能を増やし続け、データベースなど、より多くの技術を統合していった。インターネットのユーザー・インターフェースであるウェブ・ブラウザも進化を続け、新しい機能を獲得し続けた。複数のブラウザが開発されたことで、ユーザーの選択の自由が広がった。
Developers also found new methods for user interaction. In the beginning, these methods were largely closed source or proprietary technologies (e.g., Adobe Flash, Microsoft Silverlight, JAVA Applets) but eventually migrated to standardized and/or open-source technologies (e.g., HTML 5, JavaScript, and utilizing Document Object Model [DOM] manipulation). Communication methods expanded from forums and email to chatting, messaging, and social media. Many active web users also saw their “web presence” migrate through several genres over the lifespan of Web 2.0 – from personal home pages to online web journals and burgeoning social media platforms, such as MySpace, to more modern social media platforms, such as Facebook and Twitter [4]. The web also became more media rich as it evolved, creating spaces for sharing images and videos (e.g., Instagram, YouTube, and TikTok).  開発者たちはまた、ユーザーとのインタラクションに新しい方法を見出した。当初、これらの方法は主にクローズドソースやプロプライエタリな技術(Adobe Flash、Microsoft Silverlight、JAVAアプレットなど)だったが、やがて標準化された技術やオープンソースの技術(HTML 5、JavaScript、Document Object Model [DOM]操作の活用など)に移行していった。コミュニケーション手段は、フォーラムや電子メールから、チャット、メッセージング、ソーシャルメディアへと拡大した。アクティブなウェブユーザーの多くもまた、Web 2.0の寿命の間に、個人のホームページからオンラインウェブジャーナル、マイスペースなどの急成長したソーシャルメディアプラットフォームから、フェイスブックやツイッター[4]などのより現代的なソーシャルメディアプラットフォームへと、「ウェブプレゼンス」がいくつかのジャンルを移行するのを見た。また、ウェブが進化するにつれ、画像や動画を共有するスペース(インスタグラム、ユーチューブ、ティックトックなど)が生まれ、よりメディアリッチになった。
The development of websites also saw a major leap by splitting style and content into two portions. Style is now largely handled by Cascading Style Sheets (CSS), and content is handled by webpages. Developers no longer embed tables within tables to achieve specific designs. This split has allowed for easier manipulation of content on the client side. This era of the internet was dubbed the “interactive,” “participative,” or “social” web since websites became more interactive and responsive to user input, and users migrated toward social media websites.   ウェブサイトの発展も、スタイルとコンテンツを2つの部分に分けることで大きな飛躍を遂げた。スタイルの大部分はカスケーディング・スタイル・シート(CSS)によって処理され、コンテンツはウェブページによって処理されるようになった。開発者はもはや、特定のデザインを実現するためにテーブルの中にテーブルを埋め込むことはしなくなった。この分割によって、クライアント側でコンテンツを簡単に操作できるようになった。インターネットのこの時代は、ウェブサイトがよりインタラクティブになり、ユーザーの入力に反応するようになったため、「インタラクティブ」「参加型」「ソーシャル」ウェブと呼ばれ、ユーザーはソーシャルメディアのウェブサイトに移行した。 
There was a significant growth of organizations offering multiple interconnected services (e.g., Google’s Gmail and Drive, Microsoft’s Hotmail/Outlook and OneDrive, Apple’s iCloud) free of charge. Eventually, these organizations became hosts to massive amounts of user data.  相互接続された複数のサービス(グーグルのGmailやDrive、マイクロソフトのHotmail/OutlookやOneDrive、アップルのiCloudなど)を無料で提供する組織が大きく成長した。やがてこれらの組織は、膨大な量のユーザーデータのホストとなった。
As mobile devices advanced in power and pervasiveness, organizations could collect significant data from them, and as the world began to “make an app” out of online services, organizations realized they could get more data from a smartphone than a website. Through smartphones, organizations had access to a myriad of sensor data, geolocation data, contact information, and stored media, all of which was made accessible through application permission requests.   モバイル・デバイスの性能と普及が進むにつれて、組織はモバイル・デバイスから大量のデータを収集できるようになり、オンライン・サービスから「アプリを作る」ことが世の中に広まるにつれて、組織はスマートフォンからウェブサイトよりも多くのデータを得られることに気づいた。スマートフォンを通じて、組織は無数のセンサーデータ、位置情報データ、連絡先情報、保存されたメディアにアクセスできるようになり、そのすべてにアプリケーションの許可要求を通じてアクセスできるようになった。 
As organizations continued to expand and collect user data, they also began to diversify their offerings. Many opened online storefronts that allowed users to purchase licenses to view digital media such as music, books, and films[1] . Users quickly found themselves becoming more attached to individual platforms. Users could not easily migrate away from their chosen platform since their licenses were specific to that platform. Some users found out too late that if they were removed from an organization’s platform, they lost all access to the media they had purchased licenses for [5]. In many cases, users were unable to return digital content that they were unhappy with or transfer digital content to other users (either a temporary transfer, such as lending to another user, or permanent transfer, such as selling a digital item to another user). This change from the ownership of physical items to licenses to view digital content was seen by many as a step backwards. Proponents of Web3 saw the mass collection of user data, platform lock-in, and the inability to obtain and transfer the ownership of digital items as issues with Web 2.0.  組織が拡大を続け、ユーザーデータを収集するにつれて、提供するサービスも多様化し始めた。その多くは、ユーザーが音楽、書籍、映画などのデジタル・メディアを閲覧するためのライセンスを購入できるオンライン・ストアフロントを開設した[1]。ユーザーはすぐに、個々のプラットフォームに愛着を持つようになった。ライセンスはそのプラットフォーム専用であるため、ユーザーは選択したプラットフォームから簡単に移行することはできなかった。組織のプラットフォームから外れると、ライセンスを購入したメディアへのアクセス権をすべて失うことに気づくのが遅すぎたユーザーもいた[5]。多くの場合、ユーザーは不満のあるデジタル・コンテンツを返却したり、デジタル・コンテンツを他のユーザーに譲渡したりすることができなかった(他のユーザーへの貸与のような一時的な譲渡、または他のユーザーへのデジタル・アイテムの売却のような恒久的な譲渡のいずれか)。物理的なアイテムの所有から、デジタル・コンテンツを見るためのライセンスへのこの変化は、多くの人に後退した一歩と見なされた。Web3の支持者は、ユーザーデータの大量収集、プラットフォームのロックイン、デジタルアイテムのオーナーシップの取得と譲渡ができないことを、Web2.0の問題点として捉えていた。
2.3. Web3 vs. Web 3.0 – The “Semantic” Web  2.3. Web3対Web3.0 -  「セマンティック」ウェブ 
Web 3.0 is different from Web3, though they share a similar name. Web 3.0 is known as the “semantic” web. It is an effort to make the internet more machine-readable by adding additional metadata, such as tags and identifiers, to data hosted on websites. These tags would enable computers to process web data and allow for data to be shared and reused across different applications more easily. By utilizing specific tags, users can find similar resources that use the same tags instead of needing a direct hyperlink between the two sources. This change allows for faster discoverability of data. Currently, the Semantic Web has not reached widespread adoption or use. Web 3.0 will not be further discussed in this paper. For more information on the semantic web, see [6].  Web 3とWeb3.0は、名前は似ているが異なるものである。ウェブ3.0は「セマンティック」ウェブとして知られている。タグや識別子のような付加的なメタデータをウェブサイトにホストされているデータに追加することで、インターネットをより機械可読にしようとする取り組みである。これらのタグは、コンピューターがウェブデータを処理することを可能にし、異なるアプリケーション間でデータをより簡単に共有・再利用できるようにする。特定のタグを利用することで、ユーザーは2つのソース間の直接的なハイパーリンクを必要とする代わりに、同じタグを使用している類似のリソースを見つけることができる。この変更により、データの迅速な発見が可能になる。現在、セマンティック・ウェブの普及や利用は進んでいない。ウェブ3.0については、本稿ではこれ以上触れない。セマンティック・ウェブの詳細については、[6]を参照のこと。
[1] Most online storefronts do not allow users to purchase the actual digital media for certain media types but rather a limited license to view the digital media through authorized applications. This license can be revoked and acts as a form of digital rights management or DRM  [1] ほとんどのオンライン・ストアフロントは、ある種のメディアについて、ユーザーが実際のデジタル・メディアを購入することを認めておらず、むしろ認可されたアプリケーションを通じてデジタル・メディアを閲覧するための限定的なライセンスを認めている。このライセンスは取り消すことができ、デジタル著作権管理(DRM)の一形態として機能する。
3. Web3 Overview  3. Web3の概要 
This section provides an overview of Web3. It discusses the Web3 vision, data model, and technological components and concludes with a discussion of Web3 benefits and challenges.  Web3のビジョン、データモデル、技術的なコンポーネントについて説明し、最後にWeb3の利点と課題について述べる。
3.1. Web3 Vision  3.1. Web3のビジョン 
The definition provided below is intended to be descriptive and inclusive of all Web3 applications. It is not intended to define what is or what is not part of Web3, nor is it intended to limit future Web3 applications. The purpose of the definition and resultant characteristics is to enable the reader to understand the current proposed technology and to provide a foundation for an exploration of potential security and privacy issues.  以下に示す定義は、説明的であり、すべての Web3 アプリケーションを包含することを意図している。何が Web3 の一部で、何が Web3 の一部でないかを定義するものではなく、将来の Web3 アプリケーションを制限するものでもない。定義とその結果の特徴の目的は、読者が現在提案されている技術を理解し、潜在的なセキュリティとプライバシーの問題を調査するための基礎を提供することである。
Web3 is a restructuring of the internet to place ownership and operation into the hands of users themselves, thus changing the structure from organization-centric to user-centric.  Web3は、オーナーシップと運用をユーザー自身の手に委ねるためのインターネットの再構築であり、その結果、組織中心からユーザー中心へと構造を変える。
Web3 proposes several changes to the existing web architecture:  Web3は、既存のWebアーキテクチャにいくつかの変更を提案している: 
•       Users own their data and are responsible for their data, data security, and data privacy.  •  ユーザーは自分のデータを所有し,自分のデータ,データ・セキュリティ,データ・プライバシーに責任を持つ。
•       Decentralized and distributed systems are used, and users can host and run applications.  •  分散・分散システムが使用され,ユーザーはアプリケーションをホストし,実行することができる。
•       Applications and organizations request data directly from users.  •  アプリケーションや組織は,ユーザーから直接データを要求する。
•       Users can supply applications and organizations with actual data or verifiable credentials/verifiable presentations of their data or choose to deny applications and organizations access to their data.  •  ユーザーは,アプリケーションや組織に実際のデータ,または検証可能なクレデンシャル/検証可能なデータの提示を提供するか,アプリケーションや組織によるデータへのアクセスを拒否することを選択できる。
•       Applications and organizations may offer incentives for users to provide data.  •  アプリケーションや組織は,ユーザにデータを提供するインセンティブを提供することができる。
•       Data can be tokenized and transferred directly between users.  •  データはトークン化され,ユーザー間で直接転送することができる。
•       Application execution and transaction fees are paid for with webnative currencies (e.g., cryptocurrencies).  •  アプリケーションの実行と取引手数料は、ウェブネイティブ通貨(暗号通貨など)で支払われる。
•       Users who execute application logic and maintain the state of systems can receive payment in web-native currencies (e.g., cryptocurrencies) for doing so.   •  アプリケーションロジックを実行し、システムの状態を維持するユーザーは、その対価としてウェブネイティブ通貨(暗号通貨など)で支払いを受けることができる。 
This description leads to several characteristics of Web3, which are documented in Table 1. この説明から、Web3にはいくつかの特徴があることがわかる。
Table 1. Web3 characteristics 表1 Web3の特徴
3.2. Web3 Data  3.2. Web3のデータ 
Implementing the proposed vision of Web3 would require changes to data, data ownership, data location, and data access. Currently, much of the internet’s data is proprietary, highly application-specific, and non-interoperable. In most cases, even user data is owned by the organization that provides the platform rather than the user. Table 2 describes and compares the current data model with the proposed Web3 data model.  提案されているWeb3のビジョンを実現するには、データ、データのオーナーシップ、データの場所、データへのアクセスに変更を加える必要がある。現在、インターネットのデータの多くは、プロプライエタリで、アプリケーション固有性が高く、相互運用性がない。ほとんどの場合、ユーザーデータでさえ、ユーザーではなく、プラットフォームを提供する組織が所有している。表2は、現在のデータモデルと提案するWeb3データモデルを説明し、比較したものである。
Table2 Current web data model vs. Web3 data model 表2  現在のWebデータモデルとWeb3データモデルの比較
3.3. Web3 Technology Components  3.3. Web3の技術構成要素 
Like Web 1.0 and Web 2.0, Web3 is not a single technology. Rather, Web3 combines longstanding existing technologies and recent technological advancements to accomplish a specific set of goals. Web3 combines use of mobile devices, new forms of digital identities, blockchains, tokens, smart contracts, and verifiable attestations of data. The discussion below is not comprehensive, and Web3 may use additional or alternative technologies.   Web 1.0やWeb 2.0のように、Web3は単一の技術ではない。むしろ、Web3は、特定の目標を達成するために、長年の既存技術と最近の技術的進歩を組み合わせたものである。Web3は、モバイルデバイスの利用、新しい形のデジタルID、ブロックチェーン、トークン、スマートコントラクト、データの検証可能な証明などを組み合わせている。以下の議論は包括的なものではなく、Web3は追加技術や代替技術を使用する可能性がある。 
Web3 utilizes existing internet technologies that make up much of the current web architecture, such as Transmission Control Protocol/Internet Protocol (TCP/IP), remote procedure call (RPC), and Transport Layer Security (TLS). It can also use existing web services, servers, databases, and webpages to act as an interface. Web3 applications can be designed to interact with (as both input to and utilize output from) existing systems. Like blockchain systems and cryptocurrency systems, Web3 leverages well-known technologies, such as publickey cryptography, digital signatures, and cryptographic hashing algorithms.  Web3は、TCP/IP(Transmission Control Protocol/Internet Protocol)、RPC(Remote Procedure Call)、TLS(Transport Layer Security)など、現在のWebアーキテクチャの多くを構成する既存のインターネット技術を利用する。また、既存のウェブサービス、サーバー、データベース、ウェブページをインターフェースとして使用することもできる。Web3アプリケーションは、既存のシステムと相互作用するように(入力としても、出力としても)設計することができる。ブロックチェーンシステムや暗号通貨システムのように、Web3は公開鍵暗号、デジタル署名、暗号ハッシュアルゴリズムなどのよく知られた技術を活用している。
Web3 can take advantage of the ever-growing access to mobile technology. Mobile devices are highly personal devices that often contain more personal information than personal computers or laptops (which may be shared by multiple people). Mobile devices are not typically shared among multiple users and have a one-to-one relationship between device and user. Modern mobile devices are often equipped with hardware security modules, trusted compute modules, and other modern security features. This scenario sets mobile devices up to be an ideal portal into Web3 technologies. Web3 allows users to take control over their digital identities, decide how others access their personal information, revoke access at their discretion.   Web3は、増え続けるモバイル技術へのアクセスを活用することができる。モバイルデバイスは非常に個人的なデバイスであり、パソコンやノートパソコン(複数人で共有することもある)よりも多くの個人情報を含んでいることが多い。モバイル・デバイスは通常、複数のユーザー間で共有されることはなく、デバイスとユーザーの関係は1対1である。最新のモバイル・デバイスは、ハードウェア・セキュリティ・モジュール、トラステッド・コンピュート・モジュール、その他の最新のセキュリティ機能を搭載していることが多い。このシナリオにより、モバイルデバイスはWeb3テクノロジーへの理想的な入り口となる。Web3は、ユーザーが自分のデジタルIDを管理し、他人が自分の個人情報にアクセスする方法を決定し、自分の裁量でアクセスを取り消すことを可能にする。 
Related to this vision, the NIST National Cybersecurity Center of Excellence (NCCoE) is working with Department of Homeland Security Science and Technology Directorate (DHS S&T) on a project to Accelerate the Adoption of Digital Identities on Mobile Devices [10].  このビジョンに関連して、NIST ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、国土安全保障省科学技術局(DHS S&T)と共同で、モバイル・デバイスにおけるデジタル・アイデンティティの採用を加速するプロジェクトに取り組んでいる [10]。
The NCCoE effort describes the stage for mobile digital identities:  NCCoE の取り組みでは、モバイル・デジタル ID の段階が説明されている: 
However, with the proliferation of mobile devices, new digital credentials are emerging that can support both greater individual control of identity attributes and more direct validation with issuing sources. This provides the potential for both improved usability and convenience for the end user and stronger assurance in identity for organizations [10].  しかし、モバイル機器の普及に伴い、ID 属性のより大きな個人制御と発行元とのより直接的な検証の 両方をサポートできる新しいデジタル・クレデンシャルが出現している。これにより、エンド・ユーザにとっては使いやすさと利便性が向上し、組織にとっては ID の保証が強化される可能性がある [10]。
Governments around the world have been researching methods to expand existing forms of identity into the digital space. Proponents of Web3 call for the use of decentralized digital identities along with verifiable credentials. NIST has investigated multiple emerging blockchain identity management systems [11] that may be utilized by Web3 systems. By employing mobile devices and integrating different types of digital identities, Web3 can help facilitate an identity hub that can incorporate government-issued identities, decentralized identities, and other forms of digital identities.  世界中の政府は、既存の ID の形式をデジタル空間に拡大する方法を研究してきた。Web3 の支持者は、検証可能なクレデンシャルとともに分散型デジタル ID の使用を求めている。NIST は、Web3 システムで利用できる可能性のある、複数の新しいブロックチェーン ID 管理システム [11]を調査した。モバイル・デバイスを採用し、さまざまな種類のデジタル ID を統合することで、Web3 は、政府発行の ID、分散型 ID、および他の形式のデジタル ID を組み込むことができる ID ハブを促進するのに役立つ。
As part of a digital identity, Web3 proposes the use of Decentralized Identifiers (DIDs) [12]. These DIDs provide a method for a unique identifier to be issued without the need for a central authority and provide mechanisms to prove control of an identifier via cryptographic means. DIDs can be used on their own or as part of a larger system, such as the use of verifiable credentials.  デジタル ID の一部として、Web3 は分散識別子(DID)[12]の使用を提案する。これらの DID は、中央認可を必要とせずに一意の識別子を発行する方法を提供し、暗号化手段 を使用して識別子の制御を証明するメカニズムを提供する。DIDはそれ自体で使用することも、検証可能なクレデンシャルの使用など、より大規模なシステムの一部として使用することもできる。
Web3 also plans to enable users to utilize verifiable credentials and verifiable presentations of their data [8]. Verifiable credentials and verifiable presentations allow users to own identifying information about themselves that has been verified by a third party. Users can choose to present a subset of the characteristics of their verifiable credentials to others by generating a verifiable presentation. Others can then verify that the information has been digitally signed by a third party and choose whether or not to trust that third party.  Web3はまた、ユーザーが検証可能なクレデンシャルとデータの検証可能なプレゼンテーションを利用できるようにすることを計画している[8]。検証可能なクレデンシャルと検証可能なプレゼンテーションは、ユーザーがサードパーティによって検証された自分自身の識別情報を所有することを可能にする。ユーザーは、検証可能なプレゼンテーションを生成することで、自分の検証可能なクレデンシャルの特性のサブセットを他者に提示することを選択できる。そして他者は、その情報がサードパーティによってデジタル署名されていることを検証し、そのサードパーティを信頼するかどうかを選択することができる。
With Web3, there may be an entire decentralized ecosystem of verifiable credential issuing organizations with varying levels of trust among users. To provide an example of verifiable credentials and presentations:  Web3 では、ユーザー間でさまざまな信頼レベルを持つ検証可能なクレデンシャル発行組織の分散型エコシステム全体が存在する可能性がある。検証可能なクレデンシャルとプレゼンテーションの例を示す: 
A user requests an issuing authority to issue them a verifiable credential based on a piece of identifying information that the user provides (e.g., a driver’s license). The issuing authority then performs checks to validate the information and ensure that it belongs to the user before issuing the user a verifiable credential that is digitally signed by the issuing authority. The user can now use the verifiable credential to generate verifiable presentations of the credential in whole or in part (e.g., proof that they are older than 21 but not their birth date) to other users and organizations. These other users and organizations can verify that the presentation came from a verifiable credential and check that the digital signatures match. The verifying user can then accept the verifiable presentation as valid or deny it depending on the level of trust that they have in the issuing organization.  ユーザは、ユーザが提供する識別情報の一部(たとえば運転免許証)に基づいて、検証可能なクレデンシャルを発行するよう発行機関に要求する。次に発行認可機関は、発行機関によって電子署名された検証可能なクレデンシャルをユー ザーに発行する前に、情報を検証してそれがユーザーのものであることを確認するチェッ クを実行する。ユーザーは現在、検証可能なクレデンシャルを使用して、他のユーザーや組織に対して、クレ デンシャルの全体的または部分的な検証可能な提示(たとえば、生年月日ではなく 21 歳以上であることの証明)を生成することができる。これらの他のユーザおよび組織は、提示が検証可能なクレデンシャルから来たことを検証し、デジタル 署名が一致することを確認できる。検証を行うユーザは、発行組織に対する信頼のレベルに応じて、検証可能なプレゼンテ ーションを有効なものとして受け入れることも、拒否することもできる。
Much of the discussion surrounding Web3 focuses on blockchains, tokens, and smart contracts. These newer technologies are key to the underlying architecture of Web3 and allow for much of the desired features to be realized. Blockchains allow for the system to be decentralized, which affords ownership of digital data. Tokens, as part of a blockchain, allow for data to be transferred rather than simply copied. Smart contracts allow for these systems to automate procedures, perform more complex transactions, and record the results on the blockchain itself.  Web3を取り巻く議論の多くは、ブロックチェーン、トークン、スマートコントラクトに焦点を当てている。これらの新しいテクノロジーは、Web3の基礎となるアーキテクチャの鍵であり、望まれる機能の多くを実現することができる。ブロックチェーンはシステムの分散化を可能にし、デジタルデータのオーナーシップを与える。ブロックチェーンの一部であるトークンは、データを単にコピーするのではなく、転送することを可能にする。スマートコントラクトは、これらのシステムが手続きを自動化し、より複雑な取引を実行し、その結果をブロックチェーン自体に記録することを可能にする。
3.4. Web3 Discussion  3.4. Web3の議論 
One of the main goals of Web3 is to change the data ownership model of the internet. Today, many users give up certain rights to the data they generate within applications and platforms as part of agreeing to the terms of use for the platform. The data that users generate is a valuable resource to each application, and the organizations that run those applications can use the data to generate additional revenue. The sale of user information – or even access to the user via anonymized data – is often done without the user’s knowledge and does not directly benefit the user.   Web3の主な目標の1つは、インターネットのデータ所有モデルを変えることだ。今日、多くのユーザーは、プラットフォームの利用規約に同意する一環として、アプリケーションやプラットフォーム内で生成したデータに対する一定の権利を放棄している。ユーザーが生成したデータは、各アプリケーションにとって貴重なリソースであり、それらのアプリケーションを運営する組織は、データを利用してさらなる収益を得ることができる。ユーザー情報の販売、あるいは匿名化されたデータによるユーザーへのアクセスは、ユーザーの知らないところで行われることが多く、ユーザーに直接利益をもたらさない。 
Web3 proposes that rather than organizations owning and storing user data, users themselves should own and store their own data and provide organizations access to portions of that data when necessary (e.g., verifiable credentials and verifiable presentations of data). With this change, users would know exactly when an organization needed their data and what data was needed, which would allow the user to allow or deny an organization access to that data (potentially denying access could also result in the application failing to work properly).  Web3は、組織がユーザーデータを所有・保存するのではなく、ユーザー自身が自分のデータを所有・保存し、必要なときにそのデータの一部へのアクセスを組織に提供することを提案する(例えば、検証可能なクレデンシャルや検証可能なデータの提示)。この変更により、ユーザーは、組織がいつ自分のデータを必要とし、どのようなデータが必要なのかを正確に知ることができるようになり、ユーザーが組織に対してそのデータへのアクセスを許可または拒否することができるようになる(アクセスを拒否すると、アプリケーションが正常に動作しなくなる可能性もある)。
Web3 facilitates the shift of organization-centric data ownership to user-centric data ownership by proposing a shift from centralization to decentralization of applications and data.  Web3は、アプリケーションとデータの集中化から分散化への移行を提案することで、組織中心のデータオーナーシップからユーザー中心のデータオーナーシップへの移行を促進する。
Decentralized applications would take the form of smart contracts and be hosted and run on a blockchain. Users of these decentralized applications could publish art, documents, and other application-specific data by posting either the actual data or a cryptographic hash representation of the data to a blockchain or smart contract. However, sensitive data, such as personally identifiable information (PII), is not something that many users would want hosted on a blockchain (even if encrypted). Users would instead have some form of data storage hub where they stored their data off of a blockchain and have verifiable credentials issued and verifiable presentations of information posted to the blockchain.  分散型アプリケーションはスマートコントラクトの形をとり、ブロックチェーン上でホストされ実行される。これらの分散型アプリケーションのユーザーは、実際のデータまたはデータの暗号化ハッシュ表現のいずれかをブロックチェーンまたはスマートコントラクトに投稿することで、アート、ドキュメント、その他のアプリケーション固有のデータを公開することができる。しかし、個人を特定できる情報(PII)のような機密性の高いデータは、多くのユーザーが(暗号化されていたとしても)ブロックチェーン上にホストされることを望むものではない。ユーザーはその代わりに、ブロックチェーンからデータを保存し、検証可能なクレデンシャルを発行し、ブロックチェーンに投稿された情報を検証可能な形で提示する、何らかの形のデータ保存ハブを持つことになるだろう。
The shift from centralized to decentralized would affect both users and organizations. For organizations, it would mean relinquishing much of the data ownership that they privately hold. Many organizations may see this as disadvantageous to their businesses, as the data would not be exclusively theirs to utilize, and thus, they may be reluctant to migrate to a Web3 application. However, there may be some beneficial trade-offs. Much – if not all – of the user data could be migrated away from organizations and into the hands of users themselves, which would reduce much of the burden that organizations face with securing private user data. Due to the reduced amount of data held, organizations would be less of a target for malicious attackers who seek to steal the data. Organizations could also utilize a much larger pool of data posted by other organizations and users within blockchain systems. Users may even choose to accept incentives from organizations to share data that they would have been reluctant to share in the past, allowing organizations to gain greater insight into their users.  中央集権型から分散型への移行は、ユーザーと組織の両方に影響を与えるだろう。組織にとっては、個人で保有しているデータのオーナーシップの多くを放棄することになる。多くの組織は、データを自分たちだけが利用できるわけではないため、これを自分たちのビジネスにとって不利なことだと考え、Web3アプリケーションへの移行に消極的になるかもしれない。しかし、有益なトレードオフもある。すべてではないにせよ、ユーザーデータの多くは、組織からユーザー自身の手に移行することができる。保有するデータ量が減るため、データを盗もうとする悪意のある攻撃者の標的にもなりにくくなる。組織はまた、ブロックチェーン・システム内で他の組織やユーザーによって投稿された、より多くのデータ・プールを利用することもできる。ユーザーは、組織からのインセンティブを受け入れて、これまで共有したがらなかったデータを共有することを選ぶかもしれない。
Web3 could provide a shared data layer that applications could be designed to utilize. Since the focus of data would move from being application-centric to user-centric, users would be able to utilize their data across multiple applications without needing to reenter it into each new system or export/import it from somewhere else.  Web3は、アプリケーションが利用するように設計できる共有データレイヤーを提供することができる。データの焦点はアプリケーション中心からユーザー中心に移るため、ユーザーは新しいシステムごとにデータを再入力したり、どこかからデータをエクスポート/インポートしたりしなくても、複数のアプリケーションでデータを利用できるようになる。
While Web3 could provide a shared data layer, it would not provide intrinsic interoperability. Even if the data is present within a smart contract or on a blockchain itself, some organizations may choose to implement proprietary data formats to facilitate lock in. To prevent this, open data format standards would need to be developed and adopted by communities, organizations, and users.  Web3は共有データレイヤーを提供できるが、本質的な相互運用性は提供できない。たとえデータがスマートコントラクト内やブロックチェーン自体に存在していたとしても、組織によってはロックインを容易にするために独自のデータフォーマットを実装することを選択するかもしれない。これを防ぐには、コミュニティ、組織、ユーザーによってオープンデータ形式の標準が開発され、採用される必要がある。
With the current Web 2.0 model, users often accept third-party hosting of their personal data to acquire a “free” service. Often, complex user agreements are in place that allow organizations to access, exchange, and potentially sell user information either directly, or by providing access to the user for advertising or marketing purposes, without directly notifying the user that a transaction has taken place. With Web3’s proposed changes, user data would need to be explicitly requested from the user. Once users are aware of how often an organization or application utilizes their data, they may be reluctant to allow it. Organizations may then need to provide greater incentives to access user data.  現在のウェブ2.0モデルでは、ユーザーは「無料」のサービスを得るために、サードパーティによる個人データのホスティングを受け入れることが多い。多くの場合、複雑なユーザー契約が結ばれており、組織がユーザー情報にアクセスし、交換し、潜在的に販売することができるようになっている。Web3の提案する変更により、ユーザーデータはユーザーから明示的に要求される必要がある。ユーザーが、組織やアプリケーションが自分のデータを利用する頻度を知れば、ユーザーはそれを許可したがらないかもしれない。その場合、組織はユーザーデータにアクセスするためのより大きなインセンティブを提供する必要があるかもしれない。
User incentives could be monetary (i.e., organizations pay users for access to their data) or offer increased capabilities within an application (e.g., premium features). With an incentive model in place, organizations could ask for data that users would otherwise be unlikely to share. For example, if an organization wishes to conduct research that requires a large sample pool, they may be able to access more user data by providing greater incentives to users for their data. This exchange benefits both organizations and users.  ユーザへのインセンティブは、金銭的なもの(すなわち、組織がユーザに対してデータへのアクセス料を支払う)や、アプリケーション内の機能拡張(例えば、プレミアム機能)を提供することが考えられる。インセンティブモデルを導入すれば、組織は、他の方法ではユーザーが共有しにくいデータの提供を求めることができる。例えば、ある組織が大規模なサンプル・プールを必要とする調査を実施したい場合、ユーザーに対してデータに対するより大きなインセンティブを提供することで、より多くのユーザー・データにアクセスできるようになるかもしれない。このようなやり取りは、組織とユーザーの双方に利益をもたらす。
4. Web3 Security and Privacy  4. Web3のセキュリティとプライバシー 
This section discusses some potential Web3 security and privacy challenges. Many Web3 security challenges arise from the increased need for users to be actively involved in protecting and managing their personal data. Others arise from data permanence, the mechanics of blockchains themselves, and the scalability issues of blockchain data. Privacy challenges can arise in the Web3 model due to the public accessibility and permanence of blockchain data.  このセクションでは、Web3 のセキュリティとプライバシーに関する潜在的な課題について述べる。多くのWeb3セキュリティの課題は、ユーザーが個人データの保護と管理に積極的に関与する必要性が高まることから生じる。また、データの永続性、ブロックチェーン自体の仕組み、ブロックチェーンデータのスケーラビリティの問題から生じるものもある。Web3モデルでは、ブロックチェーン・データが一般に公開され、永続的であることから、プライバシーに関する課題が生じる可能性がある。
4.1. Phishing, Scams and Trust in a Decentralized Ecosystem  4.1. 分散型エコシステムにおけるフィッシング、詐欺、信頼 
With the current web architecture (Web 2.0) phishing attacks and scams have been very successful against users, and these malicious techniques will likely continue to be an issue on the internet, even with Web3. With Web3, phishing and scams may be more impactful to the user as an individual, depending on what data the scam seeks to obtain. Since users would be responsible for their data, they may be tricked into giving out far more than what is possible to do in legacy Web 2.0 applications. One of the worst scenarios would be a user giving away their private keys to a malicious actor and allowing them full access to all their data (like giving away a username/password combination in Web 2.0).  現在のウェブ・アーキテクチャー(Web 2.0)では、フィッシング攻撃や詐欺がユーザーに対して大きな成功を収めており、こうした悪質な手法は、Web3であってもインターネット上で問題であり続ける可能性が高い。 Web3では、フィッシングや詐欺は、詐欺が取得しようとするデータの内容によっては、個人としてのユーザーにより大きな影響を与える可能性がある。ユーザーは自分のデータに責任を持つことになるため、レガシーなWeb2.0アプリケーションで可能なことよりもはるかに多くの情報を提供するように騙されるかもしれない。最悪のシナリオの1つは、ユーザーが秘密鍵を悪意のある行為者に渡してしまい、全データへのフルアクセスを許してしまうことだろう(Web 2.0におけるユーザー名とパスワードの組み合わせを渡してしまうようなもの)。
Scams are not limited to attempts to steal user data. Scammers may use stolen or “look alike” accounts, posing as someone with influence such as an administrator, support staff or celebrity, on social platforms to entice users to purchase ultimately worthless tokens (both fungible and non-fungible) or to utilize fraudulent websites and services.  詐欺は、ユーザーデータを盗もうとするものに限らない。詐欺師は、ソーシャル・プラットフォーム上で、管理者、サポート・スタッフ、有名人など影響力のある人物を装って、盗んだアカウントや「そっくりな」アカウントを使い、最終的に価値のないトークン(カビ可能なものと非代替性トークンの両方)を購入させたり、詐欺的なウェブサイトやサービスを利用させたりする。
There is a significant amount of trust built into the current Web 2.0 ecosystem. This trust has been built up over many years, and most well-known organizations have garnered some degree of trust from users. With Web3, many applications are likely to be developed by organizations that may not be well-known. Users would then need to rely on each other to determine the legitimacy of an application or organization. Malicious actors could use this lack of familiarity to their advantage to harvest user data or exploit a user’s lack of knowledge.  現在のWeb 2.0のエコシステムには、かなりの量の信頼が構築されている。この信頼は長年にわたって築き上げられたものであり、ほとんどの有名な組織はユーザーからある程度の信頼を集めている。Web3では、多くのアプリケーションが、知名度の低い組織によって開発される可能性がある。その場合、ユーザーはアプリケーションや組織の正当性を判断するために、互いに信頼し合う必要がある。悪意のある行為者は、このような知名度の低さを利用して、ユーザデータを収集したり、ユーザの知識不足を悪用したりする可能性がある。
Chainabuse [13], a website where users can “report malicious crypto activity,” shows that phishing scams outnumber the other categories of scams combined. Numerous reports and articles have been posted about the extent of phishing scams and Web3/NFTs [14][15][16].   Chainabuse[13]は、ユーザが「悪意のある暗号活動を報告」できるウェブサイトであり、フィッシング詐欺が他のカテゴリの詐欺を合わせた数よりも多いことを示している。フィッシング詐欺やWeb3/NFTの程度については、数多くのレポートや記事が投稿されている[14][15][16]。 
Chainabuse categorizes scams into three high level categories [17]. The descriptions of these categories by Chainabuse are included below.  Chainabuseは詐欺を3つの高度なカテゴリーに分類している[17]。Chainabuseによるこれらのカテゴリの説明は以下の通りである。
•       Blackmail  •  恐喝
During a blackmail scam, the scammer demands payment from their victim for not revealing damaging information the scammer claims to have about them or to unblock something their victim needs. Blackmail scams differ in the information scammers leverage to threaten their victims.  恐喝詐欺では、詐欺師は被害者に対し、詐欺師が被害者について持っていると主張する不利な情報を明かさないように、あるいは被害者が必要とするもののブロックを解除するように支払いを要求する。恐喝詐欺は、詐欺師が被害者を脅すために活用する情報が異なる。
•       Fraud  •  詐欺
During a crypto fraud, the scammer lures their victim either to have them:  暗号詐欺では、詐欺師が被害者を誘い出し、次のいずれかをさせる: 
Provide personal information associated with login information. Scammers use this login information to sign transactions and transfer funds on the victim’s behalf.  ログイン情報に関連する個人情報を提供する。詐欺師はこのログイン情報を使用して、被害者に代わって取引に署名し、資金を送金する。
Transfer crypto funds directly.  暗号化された資金を直接送金する。
The scammer can lure their victim into pretending they are someone they are not, promising fake returns, and pretending they are associated with a fake project.  詐欺師は、被害者に自分を偽り、偽のリターンを約束し、偽のプロジェクトに関連しているふりをさせる。
•       Hack  •  ハッキング
During a hack, the hacker exploits a vulnerability in a smart contract, protocol, infrastructure, or software, or steals information from their victims to gain unauthorized use of their device and transfer funds directly on their behalf.  ハッキングの際、ハッカーはスマートコントラクト、プロトコル、インフラ、ソフトウェアの脆弱性を突いたり、被害者から情報を盗んだりして、被害者のデバイスを不正に使用し、被害者に代わって直接資金を送金する。
The Department of Financial Protection & Innovation for the state of California also maintains a Crypto Scam Tracker that users can submit complaints to [18].   カリフォルニア州金融保護革新局も、ユーザーが苦情を提出できる暗号詐欺トラッカーを管理している[18]。 
Phishing and scams will continue to plague the internet for the foreseeable future, and ultimately it is up to users to educate and prepare themselves for the tactics employed by malicious users. Many companies have begun to develop specific Web3 education, advice, glossaries and taxonomies for attacks, phishing and scams to help educate users [19][20][21][22]. Users and developers must adopt a continuous learning model since the threat landscape continues to change and adapt as well.  フィッシングや詐欺は当分の間、インターネットを悩ませ続けるだろう。最終的には、悪意のあるユーザーによる手口に対する教育と対策はユーザー次第である。多くの企業が、ユーザを教育するために、攻撃、フィッシング、詐欺に関する特定のWeb3教育、アドバイス、用語集、分類法の開発を始めている[19][20][21][22]。脅威の状況は変化し適応し続けるため、ユーザと開発者は継続的な学習モデルを採用しなければならない。
4.2. Increased User Responsibility and Access Recovery  4.2. ユーザの責任とアクセス回復の強化 
The shift to users being fully responsible for their own data, security, and privacy may be seen as burdensome to some and beneficial to others. It could provide an opportunity for users to control and utilize their data in ways that they have not been able to in the past, and it could also come with increased responsibilities and complexities for those who are used to organizations maintaining their personal data. Non-technical users may not understand the implications behind the different security and privacy options available to them and may stick with default options in software. This complexity can be reduced with software that abstracts the underlying blockchain technology and has been designed with security and usability in mind. User options should be clearly presented with explanations of benefits and potential issues that may accompany those choices.  ユーザが自分のデータ・セキュリティ・プライバシーに全責任を持つようになることは、負担になる人もいれば、有益になる人もいる。ユーザーにとっては、これまでできなかったような方法で自分のデータを管理し、活用する機会を提供する可能性があり、また、組織が個人データを管理することに慣れているユーザーにとっては、責任と複雑さが増す可能性がある。技術者でないユーザーは、利用可能なさまざまなセキュリティやプライバシーオプションの背後にある意味を理解できず、ソフトウェアのデフォルトオプションに固執するかもしれない。このような複雑さは、基盤となるブロックチェーン技術を抽象化し、セキュリティとユーザビリティを考慮して設計されたソフトウェアによって軽減することができる。ユーザーの選択肢は、その選択に伴うメリットや潜在的な問題の説明とともに明確に提示されるべきである。
Software and hardware failures and loss can occur. With these failures comes the burden of users recovering access to the various systems with which they interact. With Web 2.0 applications, users can enter their credentials or utilize the application’s built-in recovery features. For example, a surprising number of users frequently utilize the “Forgot Password” feature provided by many existing applications [23] to restore access.   ソフトウェアやハードウェアの故障や損失は起こりうる。このような障害に伴い、ユーザーは、自分がやり取りする様々なシステムへのアクセスを回復する負担が生じる。ウェブ2.0アプリケーションでは、ユーザーは認証情報を入力するか、アプリケーションに組み込まれた回復機能を利用することができる。例えば、驚くほど多くのユーザが、アクセスを回復するために、多くの既存アプリケーション [23]が提供する「パスワードを忘れたとき」機能を頻繁に利用している。 
Web3 applications will be different. Web3 user software will need to ease the burden of recovering and restoring account access. It is currently not computationally feasible to reverseengineer or regenerate a private key (the underpinning technology behind Web3 accounts). Users will need to be proactive since the only option is for users to set up a recovery scheme ahead of time. It will be necessary to ensure that users have a robust backup system in place so that they can restore their access to accounts with as little friction as possible while also preventing unauthorized users from restoring someone else’s account.   Web3アプリケーションは異なるだろう。Web3のユーザーソフトウェアは、アカウントアクセスを回復・復元する負担を軽減する必要がある。現在のところ、秘密鍵(Web3アカウントの基盤技術)をリバースエンジニアリングしたり再生成したりすることは計算上不可能である。唯一の選択肢は、ユーザーが事前に回復スキームを設定することであるため、ユーザーは積極的に行動する必要がある。ユーザーが、できるだけ摩擦を少なくしてアカウントへのアクセスを復元できるように、また、無許可のユーザーが他人のアカウントを復元するのを防ぐために、強固なバックアップ・システムを確保することが必要になるだろう。 
It is currently estimated that nearly 20% of the total amount of Bitcoin is “lost” due to users having lost access to their keys [24][25].  現在、ビットコインの総量の20%近くが、ユーザーが鍵へのアクセスを失ったために「失われた」と推定されている[24][25]。
4.3. Data Persistence and Difficulty Removing Data  4.3. データの永続性と削除の困難性 
It is often said that the internet “never forgets” [26] and that anything posted to the internet is there forever, which is both true and false. Data posted to the current internet is largely ephemeral and can disappear at any moment. However, copies of the data may have been made and posted in numerous other locations.  インターネットは「決して忘れない」[26]とよく言われ、インターネットに投稿されたものは永遠にそこに存在すると言われるが、これは真実でもあり間違いでもある。現在のインターネットに投稿されたデータはほとんど刹那的であり、いつ消えてもおかしくない。しかし、データのコピーが作成され、他の多くの場所に投稿されている可能性がある。
Web3, which utilizes blockchains and distributed ledgers, is the inverse. Data posted to a blockchain is likely to remain, and copies of that data made outside of the blockchain will have reduced meaning because all context and provenance will have been removed. Some standalone data may be posted to a blockchain, so users and organizations should keep in mind that there may be some difficulty in removing data from such systems and should refrain from posting any sensitive information directly to a blockchain system.  ブロックチェーンと分散型台帳を利用するWeb3はその逆だ。ブロックチェーンに投稿されたデータは残る可能性が高く、ブロックチェーンの外で作成されたそのデータのコピーは、文脈や実績がすべて削除されているため、意味が減少する。ブロックチェーンには単体のデータも投稿される可能性があるため、ユーザーや組織は、そのようなシステムからデータを削除することが困難な場合があることを念頭に置き、機密情報をブロックチェーンシステムに直接投稿することは控えるべきである。
Additionally, both organizations and users will likely make mistakes with Web3 and post sensitive data to the blockchain, and malicious actors may post sensitive data as a form of attack. The removal of this data from the blockchain (also known as rollbacks or reorgs) may not take place immediately if at all. Currently, there are no formalized procedures for seeking to have data removed from blockchain systems, and removal is largely decided by lengthy discussions between organizations and users.   さらに、組織もユーザーも、Web3でミスをして機密データをブロックチェーンに投稿する可能性が高いし、悪意のある行為者が攻撃の一形態として機密データを投稿する可能性もある。このようなデータをブロックチェーンから削除すること(ロールバックやリオルグとも呼ばれる)は、すぐに行われるとは限らない。現在のところ、ブロックチェーンシステムからのデータ削除を求めるための正式な手続きはなく、削除は組織とユーザーとの長時間の話し合いによって決定されることがほとんどである。 
The removal of data may also be costly. To rollback a series of confirmed transactions on a blockchain, the same amount of work must be redone from that block onward (e.g., if a rollback of a transaction is 10 blocks away from the latest block, then all 11 blocks must be remade after removing the confirmed transactions because each block is cryptographically linked to the previous block; see Section 3.7 in [7]). The further back the rollback must go, the more work must be done. This is especially costly for proof-of-work blockchain systems.   データの削除にはコストもかかる。ブロックチェーン上で確認された一連のトランザクションをロールバックするには、そのブロック以降も同じ量の作業をやり直さなければならない(例えば、あるトランザクションのロールバックが最新のブロックから10ブロック離れたところにある場合、各ブロックは前のブロックと暗号的にリンクしているため、確認されたトランザクションを削除した後、11ブロックすべてを作り直さなければならない。[7]のセクション3.7を参照)。ロールバックが遡れば遡るほど、より多くの作業を行わなければならない。これはプルーフ・オブ・ワークのブロックチェーンシステムでは特にコストがかかる。 
Often, the removal of data is controversial among the users of the system and may erode user trust in the system overall or even lead to a chain split. The chain split may occur before the data is removed from the system, meaning that it still exists on a copy of the blockchain.  多くの場合、データの削除はシステムの利用者の間で議論を呼び、システム全体に対する利用者の信頼を損ねたり、チェーンの分裂につながったりする可能性がある。チェーン分裂はデータがシステムから削除される前に起こる可能性があり、これはブロックチェーンのコピー上にデータがまだ存在していることを意味する。
There is also nothing to prevent individual users or organizations from caching data that they can access from a blockchain into some other database to ensure that the data is available for use or analysis even if it is removed from the blockchain itself.  また、個々のユーザーや組織がブロックチェーンからアクセスできるデータを他のデータベースにキャッシュし、ブロックチェーン自体からデータが削除されても使用や分析に利用できるようにすることを妨げるものは何もない。
4.4. User Security Through Decentralization   4.4. 分散化によるユーザーのセキュリティ  
Compared to large, centralized data sources that malicious actors can attack to steal vast quantities of data on multiple users, Web3’s change to users being responsible for their own data would require malicious actors to specifically target individual users. This mean that attacks would be less significant for the system but far more devastating for the individual user who was targeted. Placing data into the hands of users will require them to protect their own data, which would entail securing the data, managing external access to the data, and creating methods to restore their access to the data should their primary means be lost. Users may choose to utilize as much or as little security as desired, use verifiable credentials instead of their actual data, monitor the use of their data, and revoke access to it.  悪意のあるアクターが攻撃して、複数のユーザーに関する膨大なデータを盗むことができる大規模な中央集権型のデータソースと比較すると、Web3のユーザーが自分のデータに責任を持つという変更は、悪意のあるアクターが個々のユーザーを特別にターゲットにすることを必要とする。つまり、攻撃はシステムにとってはそれほど重大ではないが、標的とされた個々のユーザーにとってははるかに壊滅的なものとなる。データの防御をユーザーの手に委ねることで、ユーザーは自分自身のデータを保護する必要がある。そのためには、データのセキュリティ、データへの外部アクセスの管理、主要な手段が失われた場合にデータへのアクセスを回復する方法の構築が必要となる。ユーザーは、希望に応じてセキュリティの多寡を選択し、実際のデータの代わりに検証可能なクレデンシャルを使用し、データの使用を監視し、アクセスを取り消すことができる。
Increased user data control may also result in increased user privacy. Organizations would need to specify exactly what data they need access to and potentially provide users with data retention policies. Users can then decide whether to provide the requested data. In many cases, the user may only need to provide a verifiable attestation of the data rather than the data itself (e.g., proof of age over a specified value but not a specific birth date).  ユーザー・データ管理者の増加は、ユーザーのプライバシーの増加にもつながる。組織は、アクセスする必要があるデータを正確に指定する必要があり、データ保持ポリシーをユーザーに提供する可能性もある。その後、ユーザーは要求されたデータを提供するかどうかを決めることができる。多くの場合、ユーザーはデータそのものではなく、データの検証可能な証明のみを提供すればよい(例えば、特定の生年月日ではなく、指定された値以上の年齢の証明など)。
4.5. Errors and Bugs  4.5. エラーとバグ 
No hardware or software is immune to errors and bugs. Extensive testing and review can help to prevent, and/or mitigate bugs and errors. Since Web3 is still in the early stages of development, domain-specific best practices have not been established. Web3 will need to rely on existing best practices of existing software development and build upon them. Web3 developers will also need to actively monitor for exploits, mitigate attacks, and quickly deploy fixes to reduce the impact of attacks.  いかなるハードウェアやソフトウェアも、エラーやバグを免れることはできない。広範なテストとレビューにより、バグやエラーを防止、低減することができる。Web3はまだ開発の初期段階であるため、ドメイン固有のベストプラクティスは確立されていない。Web3は、既存のソフトウェア開発のベストプラクティスに依存し、それを基に構築する必要がある。また、Web3の開発者は、エクスプロイトを積極的に監視し、攻撃を低減し、攻撃の影響を軽減するための修正プログラムを迅速に導入する必要がある。
Errors and bugs can be present at any technology layer within Web3, from the blockchain itself, to user interfaces, web servers, operating systems, smart contracts, data oracles, cross-chain bridges, wallet software, and even hardware. Since bugs in one layer of technology can have an adverse effect on another layer of technology, developers will need to monitor all layers for vulnerabilities. Testing, updating, and maintaining up-to-date information on current vulnerabilities and mitigations will help to reduce or eliminate the impact of bugs.  エラーやバグは、ブロックチェーン自体からユーザーインターフェース、ウェブサーバー、オペレーティングシステム、スマートコントラクト、データオラクル、クロスチェーンブリッジ、ウォレットソフトウェア、さらにはハードウェアに至るまで、Web3内のあらゆるテクノロジーレイヤーに存在する可能性がある。あるレイヤーのテクノロジーにバグがあると、別のレイヤーのテクノロジーに悪影響を及ぼす可能性があるため、開発者はすべてのレイヤーの脆弱性を監視する必要がある。テスト、更新、そして現在の脆弱性と低減に関する最新情報の維持は、バグの影響を低減または排除するのに役立つ。
4.6. Inability to Refuse a Transaction  4.6. 取引を拒否できない 
Currently, if a user has a digital asset and can pay the fees to send it to someone else, they can transfer ownership of the digital asset to any address they want. Current blockchain systems do not require a user to accept a transfer of digital assets to them, therefore recipients cannot refuse the transfer. As the use of Web3 systems grows, this inability to refuse assets may become an issue, as users could potentially send unsolicited spam, advertisement transactions, or more malicious digital assets.  現在、ユーザーがデジタル資産を持っていて、それを誰かに送るための手数料を支払うことができれば、デジタル資産のオーナーシップを好きなアドレスに移すことができる。現在のブロックチェーンシステムでは、ユーザーが自分へのデジタル資産の譲渡を受け入れる必要はないため、取得者は譲渡を拒否することができない。Web3システムの利用が拡大するにつれ、ユーザーが迷惑スパムや広告取引、あるいはより悪質なデジタル資産を送信する可能性があるため、資産を拒否できないことが問題になる可能性がある。
A malicious actor could also post data to a blockchain that is illegal in another region and then send it to addresses of people known to be in those regions. The user cannot refuse receipt of the digital asset or even prove that it was unsolicited. Even if the user burns the digital asset, it can still be proven that they owned it at one time, and that fact may be used against them in a legal system.  悪意のある行為者は、別の地域で違法とされるデータをブロックチェーンに投稿し、その地域にいることが分かっている人々のアドレスに送信することもできる。ユーザーはデジタル資産の受け取りを拒否することはできないし、未承諾であったことを証明することさえできない。たとえユーザーがデジタル資産を燃やしてしまったとしても、かつてそれを所有していたことが証明され、その事実が法制度で不利に働く可能性がある。
4.7. Availability and Denial of Service  4.7. 可用性とサービス拒否 
The choice of underlying blockchain platform for any given Web3 application will be an important decision in order to avoid availability issues and mitigate potential denial-of-service attacks. Most will likely target larger smart contract-capable blockchains to deploy their Web3 applications. However, there may be issues if a significant number of developers choose the same blockchain, such as execution cost increases, and longer wait times for execution. Scaling solutions are still being actively investigated and developed, so this may become an irrelevant discussion in the future.  Web3アプリケーションの基盤となるブロックチェーンプラットフォームの選択は、可用性問題を回避し、潜在的なサービス拒否攻撃を軽減するために重要な決定となる。ほとんどの場合、Web3アプリケーションを展開するために、より大規模なスマートコントラクト対応のブロックチェーンをターゲットにするだろう。しかし、かなりの数の開発者が同じブロックチェーンを選択した場合、実行コストの増加や実行までの待ち時間が長くなるなどの問題が発生する可能性がある。スケーリングソリューションはまだ活発に調査・開発されているので、将来的には無関係な議論になるかもしれない。
Denial-of-service attacks may still occur, as malicious actors attempt to exploit flaws in smart contracts to overwhelm and hinder contract execution [27]. Identifying areas of a smart contract that would need to enforce limits and require additional authentication to prevent denial-of-service attacks will be critical for developers.  悪意のあるアクターがスマート・コントラクトの欠陥を悪用して、コントラクトの実行を圧倒し妨げようとするため、サービス拒否攻撃が依然として発生する可能性がある[27]。サービス拒否攻撃を防ぐために、スマートコントラクトに制限を設け、本人認証を追加する必要がある領域を識別することは、開発者にとって非常に重要である。
Additionally, developers may seek to deploy Web3 applications on multiple blockchain platforms to spread the execution load and potentially reduce operating costs – perhaps even temporarily during peak execution or cost times on their main blockchain platform of choice. To provide maximum benefit, the various deployments will need to interact with one another, so cross-chain bridges will need to be utilized. There have been many articles [28] about crosschain bridge vulnerabilities, and this will remain a key aspect of security to improve for Web3.  さらに、開発者はWeb3アプリケーションを複数のブロックチェーンプラットフォームにデプロイすることで、実行負荷を分散し、運用コストを削減する可能性がある。最大限のメリットを提供するためには、様々なデプロイメントが相互に作用する必要があるため、クロスチェーンブリッジを利用する必要がある。クロスチェーンブリッジの脆弱性については多くの記事[28]があり、これはWeb3にとって改善すべきセキュリティの重要な側面であり続けるだろう。
4.8. Censorship Resistance  4.8. 検閲への耐性 
Since Web3 utilizes blockchain technologies (which are tamper-resistant, tamper-evident, decentralized, and likely distributed in many different geographical locations around the world), removing or censoring data will become more difficult. With the current Web 2.0 model, organizations can remove data at will (or when they are ordered to by law) with ease and without transparency. Since Web3 is used, owned, and operated by many different users where no single user can remove data on their own, a majority of blockchain operators who maintain the blockchain (often called miners) would need to agree to remove data from a blockchain. The operators would know exactly what data was being requested to be removed and could determine whether it was beneficial to them and the system overall.  Web3はブロックチェーン技術(改ざん耐性があり、改ざんが明らかで、分散型で、世界中のさまざまな地理的場所に分散している可能性が高い)を利用しているため、データの削除や検閲はより困難になるだろう。現在のWeb2.0モデルでは、組織は簡単に、かつ透明性を保ったまま、自分の意思で(あるいは法律で命令されたときに)データを削除することができる。Web3は多くの異なるユーザーによって利用、所有、運営されており、一人のユーザーが勝手にデータを削除することはできないため、ブロックチェーンを維持するブロックチェーン運営者(しばしばマイナーと呼ばれる)の大多数が、ブロックチェーンからデータを削除することに同意する必要がある。オペレーターは、削除を要求されているデータを正確に把握し、それが自分たちやシステム全体にとって有益かどうかを判断できるだろう。
Some operators may choose to remove the information, while others may not. In the past, decisions such as these have led to chain splits that result in dividing a single blockchain into separate and incompatible versions.  情報を削除することを選択する運営者もいれば、削除しない運営者もいるだろう。過去には、このような決定がチェーンの分裂を招き、単一のブロックチェーンが互換性のない別々のバージョンに分割されてしまった。
4.9. Chain Splits, Duplicated Applications and Data  4.9. チェーンの分裂、重複するアプリケーションとデータ 
A chain split, sometimes also called a hard fork, occurs when a technical modification is made to a blockchain that some users do not wish to adopt, thus making older versions incompatible with the changes[1]. In a chain split, everything (e.g., transactions, cryptocurrency, smartcontracts, and smart contract states) up to the point of the split is present on all copies of the blockchain that result from the chain split.  ハードフォークとも呼ばれる連鎖分裂は、一部のユーザーが望まない技術的な変更がブロックチェーンに加えられ、古いバージョンがその変更と互換性を失った場合に発生する[1]。連鎖分裂では、分裂時点までのすべて(取引、暗号通貨、スマートコントラクト、スマートコントラクトの状態など)が、連鎖分裂の結果生じたブロックチェーンのすべてのコピーに存在する。
A chain split may be triggered for many reasons, such as changes to the underlying codebase (e.g., fixing an exploit, upgrading cryptographic mechanisms), changes to the blockchain data itself (e.g., reversing a transaction, removing data), and even philosophical differences (e.g., a group of users disagrees with proposed changes). Chain splits do not typically occur out of nowhere, and changes that could lead to them are discussed, debated, and evolve over a long period of time. Most chain splits end up being temporary as users eventually migrate to theblockchain with more users, and the others are abandoned. This is not always the case, and a split chain can retain enough users to maintain its activities.  チェーン分割は、基礎となるコードベースの変更(エクスプロイトの修正、暗号化メカニズムのアップグレードなど)、ブロックチェーンのデータ自体の変更(トランザクションの取り消し、データの削除など)、さらには哲学的な相違(提案された変更に反対するユーザーグループなど)など、さまざまな理由で引き起こされる可能性がある。チェーンの分裂は通常突然起こるものではなく、分裂につながる可能性のある変更は長い期間にわたって議論され、討論され、進化していく。ほとんどのチェーン分裂は一時的なものに終わり、最終的にユーザーはより多くのユーザーがいるブロックチェーンに移行し、他のチェーンは放棄される。しかし、必ずしもそうとは限らず、分裂したチェーンがその活動を維持するのに十分なユーザーを保持することもある。
With Web3, this could lead to unforeseen issues that users and developers would need to address. Web3 smart contract applications would be affected and would continue running on all the different chains that split. For smart contracts built with the ability to self-destruct, the developer could determine which blockchain they wished to support and self-destruct the rest.  Web3では、これはユーザーと開発者が対処しなければならない予期せぬ問題につながる可能性がある。Web3のスマート・コントラクト・アプリケーションは影響を受け、分裂したすべての異なるチェーン上で実行され続けるだろう。自己破壊機能付きで構築されたスマートコントラクトの場合、開発者はサポートしたいブロックチェーンを決定し、残りを自己破壊することができる。
However, there are some smart contracts built without the ability to self-destruct to provide users with a sense of longevity in the application. Non-fungible token (NFT) smart contracts are often deployed without the ability to self-destruct. After a chain split, the smart contract and all  its NFTs exist on all split chains. This may cause confusion for users and potential investors of  those NFTs.  しかし、スマートコントラクトの中には、ユーザーにアプリケーションの寿命の長さを実感してもらうために、自己破壊機能を持たずに構築されたものもある。非代替性トークン(NFT)スマートコントラクトは、多くの場合、自己破壊機能なしでデプロイされる。チェーン分裂後、スマートコントラクトとそのNFTは分裂したすべてのチェーン上に存在する。そのため、NFTのユーザーや潜在的な投資家が混乱する可能性がある。
There may also be differences in choice between a Web3 application developer and the users. The developer may pick a specific chain to support after the split, while users may choose another. If the developer decides to only support one of the chains, the users of other chains could lose access to their preferred chain’s application.  また、Web3アプリケーションの開発者とユーザーとの間にも選択の相違が生じる可能性がある。開発者は分割後にサポートする特定のチェーンを選ぶかもしれないが、ユーザーは別のチェーンを選ぶかもしれない。開発者が1つのチェーンのみをサポートすることを決定した場合、他のチェーンのユーザーは希望するチェーンのアプリケーションへのアクセスを失う可能性がある。
4.10. User Profiling  4.10. ユーザー・プロファイリング 
Even though one of the goals of Web3 is to move user data away from organizations into the hands of the users themselves, organizations may still choose to store data relating to a user and build a profile. These profiles could be built from a combination of Web3 data and metadata along with existing data about the user that the organization already possessed from existing applications and even public data available on the internet. Organizations could monitor blockchain activity so that they could record user transactions with other users and organizations. Organizations may even attempt to link online users with real world identities.  Web3の目標の1つが、ユーザーデータを組織からユーザー自身の手に移すことであるとしても、組織はユーザーに関連するデータを保存し、プロファイルを構築することを選択するかもしれない。これらのプロファイルは、Web3のデータとメタデータを組み合わせ、組織が既存のアプリケーションから既に保有しているユーザーに関する既存のデータ、さらにはインターネット上で利用可能な公開データから構築することができる。組織はブロックチェーンの活動を監視することで、他のユーザーや組織とのユーザー取引を記録することができる。組織は、オンライン・ユーザーを現実世界のアイデンティティとリンクさせようとする可能性さえある。
[1] See section 5.2 in [5] for more information on hard forks.   [ハードフォークについては、[5]の5.2節を参照のこと。 
Since these profiles may be built with indirect data, there will be a level of uncertainty to their accuracy. Assumptions may need to be made by the organization when creating the profile, and attribution of multiple transactions to a single user may be tenuous at best.  これらのプロファイルは間接的なデータで構築される可能性があるため、その正確さには不確実性がある。プロファイルを作成する際、組織による仮定が必要な場合があり、複数のトランザクショ ンの単一ユーザーへの帰属は、よくても微妙な場合がある。
Well written user software (such as wallets) could help mitigate this issue by implementing user privacy features, such as automatically (and transparently to the user) using new addresses for every transaction, clearly displaying what information is being requested and what information will be sent.   よくできたユーザーソフトウェア(ウォレットなど)は、どのような情報が要求され、どのような情 報が送信されるかを明確に表示し、取引のたびに新しいアドレスを自動的に(そしてユーザーには透 明に)使用するなどのユーザープライバシー機能を実装することで、この問題を軽減するのに役立つだろう。 
4.11. Privacy-Preserving Regulations  4.11. プライバシー保護規制 
This paper does not focus on regulations. However, some regulations may conflict with the technical aspects of Web3 applications, so a brief discussion follows.  本稿では、規制には焦点を当てない。しかし、いくつかの規制はWeb3アプリケーションの技術的側面と衝突する可能性があるため、以下に簡単な議論を行う。
Some governments have passed privacy-preserving regulations to protect their citizens and enable individuals to request that their data be completely removed from an application. With the proposed Web3 architecture, this may become more difficult to accomplish. Web3 developers will then have to determine how they will accommodate such regulations and whether they are even technically possible to implement. There may also be conflicting regulations in different regions, so developers would need to determine which regulations to follow and what regions they could potentially lose business in. Some regulations may be passed after an application is deployed, so the developer must decide whether they will update the application to adapt to the new regulations. It may be possible for some governments to utilize this as a form of censorship, which is antithetical to Web3.  いくつかの政府は、国民を保護し、個人が自分のデータをアプリケーションから完全に削除することを要求できるようにするために、プライバシーを保護する規制を可決した。提案されているWeb3アーキテクチャでは、これを達成することは難しくなるかもしれない。Web3の開発者は、そのような規制にどのように対応するか、また、技術的に実装可能かどうかを判断しなければならない。また、地域によって相反する規制が存在する可能性もあるため、開発者はどの規制に従うべきか、どの地域でビジネスを失う可能性があるのかを判断する必要がある。アプリケーションのデプロイ後に制定される規制もあるため、開発者は新しい規制に適応するためにアプリケーションを更新するかどうかを決定しなければならない。政府によっては、これをWeb3に反する検閲の一形態として利用する可能性もある。
Alternatively, governments may find it difficult to enforce regulations on a decentralized and distributed system. Application developers may be anonymous, and the applications are hosted and run by the entire decentralized network (the network itself is resilient to disruption and tampering). It may be unclear whether a developer, users, or even an application falls within a regulator’s jurisdiction.  あるいは、政府は分散化された分散システムで規制を実施するのは難しいと考えるかもしれない。アプリケーション開発者は匿名であり、アプリケーションは分散型ネットワーク全体によってホストされ、実行される(ネットワーク自体は混乱や改ざんに対してレジリエンスである)。開発者、利用者、あるいはアプリケーションが規制当局の管轄に入るかどうかさえ不明確な場合がある。
5. Conclusion  5. 結論 
The Web3 vision proposes significant changes to how the internet functions. As the community creates concrete designs and architectures, it is critical to consider security issues as early as possible. Security should be integrated into the design instead of being added later to a built solution. This paper enumerates a list of potential security and privacy concerns that should be kept in mind as Web3 continues to develop.  Web3ビジョンは、インターネットの機能に大きな変化をもたらすことを提案している。コミュニティが具体的な設計やアーキテクチャーを作成する際には、できるだけ早い段階でセキュリティ問題を検討することが重要である。セキュリティは、構築されたソリューションに後から追加するのではなく、設計に統合すべきである。本稿では、Web3が発展し続ける中で留意すべき潜在的なセキュリティとプライバシーの問題を列挙した。

 

表1 Webの特徴

Characteristic  Description 
Data Ownership 
 
Web3 seeks to have users own their data. This can enable the portability of data and the transfer of data ownership. Users will need to securely store their data and manage requests for their data. 
Users will be able to determine the level of security to place on their data, as well as where, when, how, how long, and with whom they share their data. 
Decentralized  Web3 is envisioned to be operated by those who use it and provide an infrastructure that anyone can build upon through blockchain technology. See [7] for more information on blockchain technology. 
Distributed  Web3 applications are envisioned to deployed across the Web3 infrastructure and executed by multiple users with smart contracts deployed on a blockchain. See [7] Section 6, entitled “Smart Contracts,” for more information. 
Verifiable Credentials and Verifiable Presentations  Web3 users can either provide information directly or utilize verifiable credentials to prove information without providing the underlying data. W3C has a Verifiable Credentials Model that can provide verifiable credentials and verifiable presentations [8] 
Incentives 
 
Since users may be reluctant to give data away, organizations that require users’ data may provide additional incentives, such as digital asset (e.g., tokens, cryptocurrency) or expanded application capabilities. 
Users may also choose, and be incentivized, to maintain the integrity of the networks, verify transactions, and execute applications. 
Tokenization and Digital Assets  Web3 is envisioned to rely on both fungible and non-fungible tokens to represent data and digital assets that can be exchanged between users. 
Web-Native Currency and Cryptocurrency  Web3 is envisioned to use web-native currencies, such as cryptocurrency, for the basis of purchases, money exchange between users, and the cost of executing distributed applications. 
   
特徴  概要 
データオーナーシップ 
 
Web3は、ユーザーが自分のデータを所有することを目指している。これにより、データのポータビリティとデータオーナーシップの移転が可能になる。ユーザーは自分のデータを安全に保管し、データに対する要求を管理する必要がある。
ユーザーは、自分のデータにどの程度のセキュリティをかけるか、また、いつ、どこで、どのように、どのくらいの期間、誰とデータを共有するかを決めることができる。
分散型  Web3は、それを利用する人々によって運営され、ブロックチェーン技術を通じて誰もが構築できるインフラを提供することを想定している。ブロックチェーン技術の詳細については[7]を参照のこと。
分散型  Web3アプリケーションは、Web3インフラ全体にデプロイされ、ブロックチェーン上にデプロイされたスマートコントラクトによって複数のユーザーによって実行されることが想定されている。詳細については、[7]セクション6「スマートコントラクト」を参照のこと。
検証可能なクレデンシャルと検証可能なプレゼンテーション  Web3のユーザーは、情報を直接提供するか、あるいは検証可能なクレデンシャルを利用して、基礎となるデータを提供せずに情報を証明することができる。W3Cには検証可能なクレデンシャルモデルがあり、検証可能なクレデンシャルと検証可能なプレゼンテーションを提供することができる[8]。
インセンティブ 
 
ユーザはデータを提供することを嫌がるかもしれないので、ユーザのデータを必要とする組織は、デジタル資産(トークン、暗号通貨など)や拡張アプリケーション機能などの追加インセンティブを提供することができる。
ユーザーは、ネットワークの整合性を維持し、トランザクションを検証し、アプリケーションを実行することを選択し、インセンティブを得ることもできる。
トークン化とデジタル資産  Web3は、ユーザー間で交換可能なデータやデジタル資産を表現するために、可換性と非可換性のトークンを利用することを想定している。
ウェブネイティブ通貨と暗号通貨  Web3は、購入、ユーザー間の金銭のやり取り、分散アプリケーションの実行コストの基礎として、暗号通貨などのWebネイティブ通貨を使用することを想定している。

 

 

表2 現在のWebデータモデルとWeb3データモデルの比較

Data Aspect  Current Model  Web3 Model 
Data 
 
While there are many standardized data formats for various media (e.g., images, sound, video), non-media data is largely application specific.   Open standardized data formats for non-media data would allow for interoperability between organizations and greater user freedom. 
Interoperability between applications is cumbersome and often requires data translation and transformations. Often, a loss of data or data precision occurs.  Some data can be replaced by verifiable credentials and verifiable presentations to help preserve private information. 
Data Ownership 
    
Most user data is owned by organizations.  Most user data is owned by users. 
End-user agreement documents generally limit the rights of users over the data within applications. Users typically cannot give, trade, or sell their data to other users.  Data ownership can be proven through use of digital signatures. 
While many organizations have a “Data Export” feature in their applications, few have a “Data Import” feature, meaning that the data itself is tightly bound to the application that created it.  For private information, users can elect to use trusted third parties to create verifiable credentials so that the information remains private but external organizations can obtain the results. 
Data can also be perfectly copied an infinite number of times, meaning that there is no scarcity of the data, and provenance is quickly muddied.  For organizations that need access to private data, users can elect to allow access (e.g., stored off of a blockchain, in a secure data hub, or with a decentralized cloud service) at a granular level. Access to this data can be revoked after a set period or at the user’s discretion. 
  Data itself can be tokenized on a blockchain, which allows for transfer of ownership and provides full provenance. 
Data Location 
  
Data is stored by the organization within databases that consist of many users’ data.  Public data and verifiable credentials/verifiable presentations are posted on a blockchain. 
User data is also redundantly contained across multiple different applications, as each one needs to maintain its own copy of user data, resulting in users needing to update each application whenever data changes.  For large data, it may be necessary to utilize a decentralized online storage location with pointers to it posted on a blockchain [9]. 
  Private information is stored on an external secure data hub. 
Data Access 
  
Data contained within applications can be accessed, modified, removed, transferred, sold, or monetized at any time without user knowledge.  Public data that is stored on the blockchain itself is easily accessible by anyone.  
  Data that is stored outside of the blockchain may require additional authorization to access. This authorization is done by the user and can be managed at a granular level (as opposed to wholesale access to all data) that is application specific. 
  Access to data stored outside of the blockchain can be revoked after a set period or at the user’s discretion. 
     
データの側面  現在のモデル  Web3モデル 
データ 
 
さまざまなメディア(画像、音声、動画など)には標準化されたデータ・フォーマットが多数存在するが、メディア以外のデータは主にアプリケーション固有のものである。  メディアデータ以外のデータ形式をオープンな標準化することで、組織間の相互運用性とユーザーの自由度を高めることができる。
アプリケーション間の相互運用性は面倒であり、しばしばデータの変換や変換を必要とする。データの損失やデータ精度の低下がしばしば発生する。 一部のデータは、検証可能なクレデンシャルと検証可能なプレゼンテーションに置き換えることで、個人情報の保護を助けることができる。
データオーナーシップ  ほとんどのユーザーデータは組織がオーナーとなっている。 ほとんどのユーザーデータはユーザーがオーナーとなる。
エンドユーザ契約文書は、一般に、アプリケーション内のデータに対するユーザの権利を制限している。通常、ユーザは自分のデータを他のユーザに譲渡、取引、販売することはできない。 データのオーナーシップは、デジタル署名を使用することで証明できる。
多くの組織がアプリケーションに「データエクスポート」機能を備えているが、「データインポート」機能を備えている組織はほとんどない。 個人情報については、ユーザは信頼できるサードパーティを使用して検証可能なクレデンシャルを作成することを選択することができる。
また、データは完璧に無限にコピーできるため、データの希少性はなく、出所もすぐに濁ってしまう。 プライベート・データへのアクセスが必要な組織の場合、ユーザーは(ブロックチェーン外、安全なデータ・ハブ、分散型クラウド・サービスなどに)きめ細かなレベルでアクセスを許可することを選択できる。このデータへのアクセスは、一定期間後またはユーザーの裁量で取り消すことができる。
  データ自体はブロックチェーン上でトークン化することができ、オーナーシップの移転が可能で、完全な証明性を提供する。
データの所在 
  
データは組織によって、多くのユーザーのデータで構成されるデータベース内に保存される。 公開データと検証可能なクレデンシャル/検証可能なプレゼンテーションはブロックチェーン上に掲載される。
また、ユーザーデータは、複数の異なるアプリケーションにまたがって冗長に格納されている。各アプリケーションは、ユーザーデータの独自のコピーを維持する必要があるため、データが変更されるたびに、ユーザーは各アプリケーションを更新する必要がある。 大きなデータの場合は、ブロックチェーン上にポインタが掲載された分散型のオンラインストレージを利用する必要があるかもしれない[9]。
  個人情報は外部の安全なデータハブに保存される。
データアクセス 
  
アプリケーションに含まれるデータは、ユーザーに知られることなく、いつでもアクセス、変更、削除、転送、販売、収益化できる。 ブロックチェーン自体に保存されている公開データは、誰でも簡単にアクセスできる。 
  ブロックチェーンの外部に保存されているデータは、アクセスに追加の認可が必要な場合がある。この認可はユーザーによって行われ、(すべてのデータへの全体的なアクセスとは対照的に)アプリケーション固有のきめ細かいレベルで管理することができる。
  ブロックチェーンの外部に保存されたデータへのアクセスは、一定期間後またはユーザーの裁量で取り消すことができる。

 

 

|

« 自民党 新たなテクノロジーが社会基盤となる時代へ - web3PTが「ホワイトペーパー2024」を策定 | Main | 米国 CISA 次世代マルウェア解析サービスを提供 (2024.04.10) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 自民党 新たなテクノロジーが社会基盤となる時代へ - web3PTが「ホワイトペーパー2024」を策定 | Main | 米国 CISA 次世代マルウェア解析サービスを提供 (2024.04.10) »