Worldのデータセキュリティ対策について理解する

データセキュリティは、金融やデジタルアイデンティティに関わるあらゆるプロジェクトにおいて不可欠な前提条件です。 Worldにとっても非常に重要な要素となっています。

Worldのプライバシーおよびデータセキュリティへの取り組みとして、個人データを特定の組織ではなく、ユーザー自身が管理できることを基本方針としています。

また、強固なデータ保護はプロジェクトのあらゆる側面に組み込まれています。World IDを使った認証やサインインから、WorldのためにTools for Humanity（TFH）が開発した初のウォレットであるWorld Appの利用に至るまで、すべてにおいてデータ保護が考慮されています。

World IDの認証に使用されるOrbは、WorldのためにTFHが開発した最先端のデバイスです。虹彩コードを用いて、その人が実在する人間であり、かつ唯一無二の存在であることを認証します。

重要な点として、虹彩コードの作成に使用されたすべての画像はデフォルトで自動的に削除されます。

Orbのハードウェアには、不正なアクセスからデータを保護するための多様なセキュリティ機能が組み込まれています。 これには、Orbのハードウェアに恒久的に書き込まれた2つの固有の暗号鍵が含まれます。1つは製造前にメインCPUへプロビジョニングされる鍵、もう1つは外部へエクスポートできないセキュアエレメント内に格納された鍵です。 これら2つの鍵が有効であり、それぞれの環境が完全な状態でなければOrbは動作しません。また、暗号署名が付与されていないコードはOrb上で実行されない仕組みになっています。

さらに、Orbのハードウェアおよびバックエンドには、以下のような追加のデータ保護対策が導入されています。

• Orbでの非対称暗号化によるデータ保護
• RAMのみを使用したデータ処理
• 保存時のSSD暗号化
• Orbからセキュアサーバーへ送信される際の通信データの暗号化
• EU域内に所在するAWSおよびMongoDBサーバーを使用した虹彩コードの保存
• 第三者監査機関による定期的なセキュリティ監査

なお、上記はすべてのセキュリティ対策を網羅したものではありません。 これらは、Orbにおいてデータセキュリティがいかに重要視され、厳格に取り扱われているかを示すための例として挙げているものです。 TFHはWorldプロジェクトの安全性と完全性を維持するため、セキュリティ機能の評価と強化を継続的に行っています。

詳細はWorldホワイトペーパーの技術実装セクションでご覧いただけます。

World IDは、インターネット上で自分が実在する人間であり、かつ唯一無二の存在であることを、プライバシーを保ちながら証明できるデジタルパスポートです。 World IDはWorld App上で保管でき、プロジェクトの成長に伴い、今後はWorld IDに対応したアプリもさらに増えていく予定です。

重要な点として、World IDとWorld Appはいずれも完全なセルフカストディ型で提供されています。そのため、World Appのダウンロードや利用、またWorld IDの認証および利用にあたり、名前・メールアドレス・電話番号などの個人情報を提供する必要はありません。

ユーザーがWorld IDを利用する際には、ゼロ知識証明（ZKP）が使用されます。これにより、第三者がユーザーのWorld IDの公開鍵を知ることや、複数のアプリケーション間でユーザーの行動を追跡することを防ぎます。 また、ZKPによって、World IDの利用がユーザーの虹彩コードや、その生成に使用されたデータと結び付けられることも防ぎます。 World IDでは、これらの仕組みの一部としてSemaphoreを採用しています。Semaphoreは、World IDが特定の個人の身元情報や、他のアプリケーションでの認証履歴と紐づけられないことを確認するための仕組みを提供しています。

TFHが開発したWorld Appはセルフカストディ型ウォレットです。これは、ウォレットの秘密鍵がユーザー本人以外には知られない仕組みであることを意味します。 バックアップについてもセルフカストディ方式が採用されています。ユーザーは必要に応じて、ウォレットの暗号化バックアップを作成することができます。例えば、新しいデバイスへウォレットを移行する場合などに利用できます。バックアップは、iOSデバイスではiCloudバックアップ、AndroidデバイスおよびiOSデバイスではGoogle Driveバックアップを利用して作成できます。

AndroidおよびiPhoneの両方のデバイスにおいて、World Appはネイティブのアプリケーションサンドボックス内にデータを安全に保存しており、さらにユーザーの秘密鍵を保護するための追加のセキュリティレイヤーが設けられています。 これらの鍵は、iOSではユーザーのKeychainに、Androidでは暗号化されたPreferencesに保存されます。 World Appでは、デバイスの整合性チェックを実施することで、潜在的なマルウェアやデバイスのセキュリティ上の問題を検知し、アプリケーションが改ざんされていないことを確認しています。

World Appのセキュリティおよびプライバシー設定では、アプリを使用する前に認証を求める設定を有効にすることで、セキュリティを強化することができます。

World Appは、情報セキュリティ管理システムの世界的に広く知られた標準であるISO 27001認証を取得したAWSインフラストラクチャ上で運用されています。 ウォレットおよびWorld IDの秘密鍵がセルフカストディ方式で管理されていることに加え、すべてのユーザーデータは暗号化されており、虹彩コードを含むWorld IDの認証に使用されたデータとは紐付けられない形で管理されています。

Worldのデータセキュリティについてさらに知りたい方は、プライバシーページやWorldウェブサイトをご覧ください。 また、Twitter/X、Telegram、Discord、YouTube、LinkedInで日々の議論に参加したり、ページ下部のブログニュースレターに登録することで、最新情報を受け取ることができます。

プロジェクトに関するさらなる重要情報は、Worldプロトコルホワイトペーパーでご確認いただけます。