パスワードから携帯可能な証明へ:2025年ビルダー向けWeb3アイデンティティガイド
多くのアプリは依然として、ユーザー名・パスワード・集中型データベースにアイデンティティを紐付けています。このモデルは脆弱(漏洩リスク)、情報漏出(データ転売)、操作性が悪い(何度も KYC が必要)という問題があります。分散型識別子(DID)・検証可能証明書(VC)・アテステーションを中心とした新しいスタックは、ユーザーが自分に関する暗号証明を携帯し、必要な情報だけを開示できる未来を示しています。
本稿では、現状の全体像を整理し、すぐに実装できる実践的な設計図を提示します。
シフト:アカウントから証明書へ
この新しいアイデンティティスタックの核は、ユーザーデータの取り扱いを根本から変える 2 つの W3C 標準です。
- 分散型識別子(DIDs):中央レジストリ(例:DNS)を必要としない、ユーザーが自己管理できる識別子です。DID は永続的な自己所有アドレスと して機能し、署名された「DID ドキュメント」へ解決されます。このドキュメントには公開鍵やサービスエンドポイントが含まれ、分散型認証を実現します。
v1.0
標準は 2022 年 7 月 19 日 に W3C 推奨規格となり、エコシステムに大きな節目をもたらしました。 - 検証可能証明書(VCs):改ざん検知可能なデジタル形式で、例えば「年齢が 18 歳以上」「大学 X の学位を保有」「KYC が完了」などのクレームを表現します。VC Data Model 2.0 は 2025 年 5 月 15 日 に W3C 推奨規格となり、証明書の発行・検証のモダンな基盤が確立されました。
開発者にとっての変化は? データベースに個人情報(PII)を保存する代わりに、ユーザーのウォレットが提供する暗号証明を検証します。選択的開示 などのプリミティブにより、必要な情報(例:特定国の居住証明)だけを要求し、元データ全体を見ることはありません。
既存のログイン手段とどう融合するか
新しい世界は、既存のログイン体験を捨てる必要はありません。むしろ補完します。
- パスキー / WebAuthn:フィッシング耐性のある認証手段です。パスキーはデバイスや生体認証(Face ID、指紋)に紐付く FIDO 資格情報で、主要ブラウザ・OS が広くサポートしています。パスワー ドレスでシームレスなログイン体験を提供します。
- Sign‑In with Ethereum(SIWE / EIP‑4361):ユーザーがブロックチェーンアドレスの所有権を証明し、アプリセッションに結び付けます。シンプルな nonce ベースの署名メッセージで、Web2 のセッションと Web3 の制御を橋渡しします。
ベストプラクティスは パスキー を日常的なサインインに、SIWE をウォレット連携が必要なクリプトアクションに組み合わせて使用することです。
証明書の発行・検証レール
証明書を実用化するには、発行と提示の標準化された手段が必要です。OpenID Foundation が提供する 2 つの主要プロトコルがあります。
- 発行:OpenID for Verifiable Credential Issuance(OID4VCI)
OAuth 保護された API を通じて、政府機関や KYC プロバイダーなどの発行者からユーザーのデジタルウォレットへ証明書を取得します。柔軟性が高く、複数フォーマットに対応可能です。 - 提示:OpenID for Verifiable Presentations(OID4VP)
アプリ側が「証明要求」を行い、ユーザーのウォレットが応答します。従来の OAuth リダイレクトや最新のブラウザ API を介して実装できます。
実装時に目にする主な証明書フォーマット:
- W3C VC with Data Integrity Suites(JSON‑LD):BBS+ 暗号と組み合わせて高度な選択的開示が可能。
- VC‑JOSE‑COSE と SD‑JWT VC(IETF):JWT/CBOR エコシステム向けで、同様に選択的開示をサポート。
相互運用性は急速に向上しています。OpenID4VC High Assurance プロファイルなどが技術選択肢を絞り込み、ベンダー間統合をシンプルにしています。
DID メソッド:適切なアドレススキームの選択
DID は単なる識別子であり、DID メソッド が信頼の根拠を定義します。代表的なものをいくつか紹介します。
- did:web:所有するドメインを基盤にした DID。デプロイが非常に簡単で、既存のウェブインフラを信頼アンカーとして活用したい企業・組織に最適です。
- did:pkh:ブロックチェーンアドレス(例:Ethereum アドレス)から直接派生する DID。ユーザーがすでに暗号ウォレットを持っている場合に、オンチェーン資産とアイデンティティを結び付けるのに有用です。
経験則:最低でも did:web
(組織向け)と did:pkh
(個人ユーザー向け)の 2 つをサポートし、標準 DID リゾルバライブラリで検索を行いましょう。新規メソッドを追加検討する際は、公式レジストリでセキュリティ・永続性・ガバナンスを確認してください。