議事録

第14回議事録

概要

• 2018/05/23 8:00-9:30
• 参加者：楠，島岡，佐藤，岩下，小宮山，杉井，樋田，和田，中島，須賀,上竹原,荻生,林，松尾，上原

agenda

1. Agenda Bashing, Note Taker
2. 過去議事録の確認・承認
3. Status update
4. TC307等関連動向報告議論
5. 今後の関係者との意見交換など方針
6. TF Site Publish plan
7. Security WG Item
8. AOB / Housekeeping
9. Tasks and To-Dos

議事サマリ

agenda1 Agenda Bashing, Note Taker

• 意見なし

agenda2 過去議事録の確認・承認

• #12, #13は異議なし

agenda3 ステータスupdate

• TF進捗：なし
• WG進捗：メインagendaにて
• リエゾン、関連団体：
  • 研究会第3回開催された。
    • 事務局が気合して資料作成してきた。資料は公開済み
    • 仮想通貨とブロックチェーン技術を別に議論すべきかどうか、なども議論した。
    • ISOのTC307の状況についてもインプットあり．昨日は中身の詰まった議論ができた。

agenda4. TC307等関連動向報告議論

• 共有
  • TC307の中で、security of digital asset custodianというセキュリティレポートを出すことが決まった。あと、TC307と、JTC1 SC27のリエゾンはもともとあったが、ジョイントワーキンググループを立ち上げることが決まった。
  • テクニカルレポートは、1年間のプロジェクトだが、最初のドラフトを次のモスクワ会議にスケルトンだけでも見せたい。10月22日から始まるが、それに間に合わせようとすると、7月下旬くらいに出さないといけない。
  • TC307のWG2か、ジョイントWG1の日本側のミラーコミッティを近日中に立ち上げることになっている。
    • SecWGのメンバー、少なくとも手を動かす人は、そこに入ればドキュメントが読める状態は作ろうと思う。
• 議論
  • SecWGのワークと、このテクニカルレポートは趣旨が違う可能性がある。
    • スコープが本TFのほうが広い。digital asset custodianにおいては、仮想通貨現物の扱いが中心になるだろう。一旦出して見てから。今は意識しすぎなくても良い。
    • digital asset custodianにおいて、仮想通貨の場合、交換所が兼ねている、というのが大体の仕組み。そこが分離されて、仮想通貨交換所と分かれて存在するDigital Asset Castodianはありえるのか？
    • 仮想通貨の世界における銀行業と証券業のようなもので、規制の仕組みも変えるべきかもしれない。
    • 本当にカストディアンしかやってなかったら、DEXのように個人が持つ、というのができるようになる。
    • exchangeをやっている前提のcustodianと、やってない前提のcustodianでは、求められる機能が違う、と思う。機能自体は分かれてはいるが、後ろ側でexchangeをやらないといけないという要求のある人とは、違うセキュリティになるとは思う。
    • そこは国際の場で議論。2週間に1回なり1ヶ月に1回電話会議があるので。
    • resolutionには、practice＝実際の取引所はどんなことをやっているのか、を文書化するよ、とある。当面のpracticeとして、板を持っていたり、cryptcurrency Exchangeでこんな風にやっているよ、というのを文書化するので、結果的に今ある業態に寄り添ったドキュメントにならざるを得なくて、将来あるかもしれない、custodyで独立した業態のセキュリティの議論をそのペーパーで書く予定はない
  • resolutionの共有
    • TC307では後日共有する。ここに関係するセンテンスだけslackで共有する。
    • テクニカルレポートで、かつstudyを記録する、となっているのでどっちも入れてもいいし、載せられるだけの情報を載せるのが正しいと思う。できる限りスコープが合うものをここで拾っていきたい。

agenda5. 今後の関係者との意見交換など方針

• 議案

  • 新しく何名か入って頂いた。どういう方々に入っていただくのか、関連する意見交換の方針を決めたい。そうでないと、スケジュール、agendaが決まらないと思う。
  • 過去にも、こういう方々を呼んで話を聞きたい、というのがあったと思うので、スケジュール調整等あると思うので、話したい。

• 結論

  • 意見交換に異議のある方はいない。誰とどういう段取りか、はリストを作成して次回以降段取りを進めていく

• 議論

  • 一旦俎上に挙げないと議論が進まないよね、ということでagendaを提案
  • コインベースさんからも話してよいという話ももらっている。
  • TFの参加者とは別の議論？
    • イコールじゃない。海外の方、作業に一緒には入れない人はTF参加者としては難しい。
    • 一方で話に来て頂いて一緒にやりましょう的なケースもあると思うし、個別対応
    • 少なくとも誰に話を聞く必要があるのかリスト作成が必要
  • ウォレット
    • ちょっとそれるが、ウォレットという表現は危険blockchain.infoのようなサービスを想像する人と、取引所の鍵管理のbitgoのようなものを想像する人がいる。個人向けのハードウェアウォレットのようなものもあるし。
    • trezorみたいなウォレットが関係ないか、というと、取引所が配ることもあるかもしれないし、ログインのU2Fの認証で使うかもしれないので。

agenda6. Site Publish Plan

• 議案
  • サイト公開に向けて。
    • 議事録の粒度が揃ってない。サマリがあるのが途中から。初回などは全文書き起こしてあるが、発言者も載っている。
• 結論
  • 議事録
    • by name は削除，要約のみの公開
  • 今後の議事録運用
    • 公開用の議事録と普通の議事録を別にして作り、公開用は承認されたらそのまま公開される形になるという運用で。
  • TFメンバー
    • どこかに載せる。一度でもmtgに参加した人を載せる。
  • Boardはあいうえお順に
  • プラポリタタキの資料のポインタをSlackで共有
• 議論
  • TFmtg参加者で載っていない人がいる
    • acknowlegeの部分は、githubの募金ベースで掲載している
    • 会議に一度でも参加された方は入れるべき
  • GoogleAnalytics
    • コンバージョンとかは取らない
    • 上原研究室のプラポリをタタキとしてもらい、作成。

agenda7 secWG

• 議案
  • 進捗：15日にWG開催済
    • 今月末までにドキュメント作成
    • 脅威の整理とセキュリティ対策の考え方を作成
• 議論
  • 脅威分析
    • 鍵管理，資産データのところを整理している。
  • 成果物のイメージ：
    • １．「取引所セキュリティ考え方」を公開レベルまで持っていく
    • ２．脅威整理もまとまった文書ではないけれど，見てわかるものは作っておきたい（公開未定だが次に残しておきたい）
  • リファーすべきドキュメント類
    • APIに関しては、OpenIDのFinancialAPIの Read/Write プロファイルが、良いドキュメント。APIに限ればリファーできる
    • 認証自体は、SP800-63-3をリファーするか？でも、抽象度が高いので、プロファイル切っていかないと使えない。
    • FIDOは、逆にU2F、UAFのプロトコルフローはあるのだが、多要素認証として、OPTとかFIDOとか色々ありますよ、とか、リスクベースAuthenticationでケアするところ(アカウントリカバリなど)一式揃っているものではない
    • 認証の話であれば、SP800-63 をひかない手はない。それを引いた上で、Financial APIを参照するのが良いのでは
  • Write＝出コインするAPI
    • Write＝出コインするAPIは、すでにどこもやってないと思う。出コインは危険極まりないので。見るのとトレーディングのAPIしかない。
    • トレーディングのAPIだから安全か、というとそんなことない。
  • 認証について
    • ログインまわりはExpertiseが違う。OIDF-J(OpenIDFoundation)と一緒にやってみる？
    • SecWGとしては、まとまったことじゃなくても、箇条書きで、この辺が要点だよ、というのを出してもらえるだけでもありがたい
  • 米FS-ISACで、cryptの部会がある
    • 日本のISACだとない
    • 仮想通貨交換業はまだトライしてないと思うが、聞いた話では、資金決済業は入ろうとしたが入れてくれなかったと聞いている。1年くらい前。ISAC別に作るか
    • 手口などは、結構共通のものが出てきそう。本人確認をどうチートするか。ID周り、リスクベースauthenticationをどう突破するか、とか近いものはありそう。
  • FXとかネット証券との類似
    • FXの手口と仮想通貨でも同じことが起こりうる。
    • わざと損するディールをやって、資金を他に飛ばすとか。
    • FXは銀行機能を持っていないが、仮想通貨はそうではない点が違う。仮想通貨に関しては銀行機能を持っていて、直接渡してしまうところが話をややこしくしている。出コインをAPIにしないのはそう言う意味で、銀行機能に値するところをAPI化すると危険すぎるので、やってない。単にプラクティスとしてやってないだけだが。
    • FX業界も近いけど、そちらでもインシデント共有はできていない。

agenda8 AOB

• ドキュメントの参照について
  • 27002のフレームワークを入れていかなければならない中で、関連する標準(ドキュメント)が読めない点をいかにクリアするか
    • SC27に、このドキュメントを欲しいというリクエストをすると、307から27へのリエゾンが松尾先生なので、松尾先生がお願いすると出てくる仕組みになっている。
    • ライブリンクなり27のドキュメントを見れる人がいないと、何番が要るというのが言えないのでドキュメントリストを誰が作成するかが問題
• 本TFの6月以降
  • 我々のもともとの目的は、フォーマルな検討が始まる前に、実務家、専門家で議論を積み重ねておくことで、インプットできるものを作っていくと言うのがフォーカスで6月までは活動することを決めている。が、検討のソースとして今後も続けていくべきなのか、箱が増えていく中で、二度、三度手間をかけないようにしていくかは考えないといけない。
  • 307WG2のミラーコミッティは日本で立ち上がってないし、新団体のセキュリティのワーキンググループらしきものも現時点では立ち上がってないのが現状。TC307WG2なり、JWG1のように箱を作って、そっちで経費の面倒をみるとかもできるかも。そうすると箱があればお金は協賛できますよ、と言うのも、JIPDECが事務局やればキレイにできる可能性がある。
  • もうひとつ仮想通貨交換業者だけで決めてよいのか？セキュリティの専門家も含めて入った場じゃないと決めきれないよね。それをホストするのは、仮想通貨交換業協会は日証協とか全銀協のような位置付けの団体なので、安対基準決めているFISCはベンダーも入った別の立て付けであって、セキュリティ専門家、ソリューションベンダーも含めた座組みをホストするのが誰か、は解決されていない。
  • 会費の問題も含めちゃんと箱を作るのは時間が作るし、時間かかる話なのでこのTFやってきた。SC27のドキュメント読みたいとかコストかかるところなども含め一番上手にホスティングするのは何だろうか、と6月以降も視野に入れて考えていて、一つJWG(ジョイントWG)を箱にするオプションが生まれてきたのが今。
  • 一つは、ジョイントWGでの継続というのが一つ、あと一つは、新団体が5月中に理事会を開くと聞いているが、新団体の方で307と連携をしていくのは、議論してほしい
• カストディアンの定義
  • カストディアンは、業態ではなく、機能を指している
  • 現状、保管だけだと、交換業ライセンスは不要である、が、法律がない、と言った方が正しいのかも。
  • そこも、今回の仮想通貨等研究会の検討範囲になるだろう。

agenda7 TaskとToDo

• resolutionの共有
  • TC307では後日共有する。ここに関係するセンテンスだけslackで共有する。
• 意見交換の対象
  • 誰とどういう段取りか、はリストを作成して次回以降段取りを進めていく
• SecWG
  • 今月末までにドキュメント作成
• 認証周り
  • OIDF-J(OpenIDFoundation)と一緒にやってみる？
• SC27のドキュメント参照
  • ライブリンクなり27のドキュメントを見れる人がいないと、何番が要るというのが言えないのでドキュメントリストを誰が作成するかが問題
• 新団体
  • 新団体が5月中に理事会を開くと聞いているが、新団体の方で307と連携をしていくのは、議論してほしい