核心的な価値提案
「規制当局およびサードパーティ監査人は、ログ作成者を信頼することなく、独立してログの改ざんを検出できます。」
1 エグゼクティブサマリー
VCP改ざん検知検証デモは、コンプライアンスを主張ベース(「信頼してください」)から証明ベース(「検証してください、信頼ではなく」)へと変革することを実証します:
- 従来のログがどのように検出されずに改ざんされ得るか
- 暗号学的ハッシュチェーンがイベント間に数学的依存関係をどのように作成するか
- いかなる変更もチェーンを破壊し、即座に検出可能になるか
- サードパーティが生の取引データにアクセスすることなく整合性を検証できるか
| 属性 | 値 |
|---|---|
| タイプ | 概念実証 / 教育デモ |
| ランタイム | クライアントサイドのみ(ブラウザ) |
| 外部依存関係 | なし |
| ビルド要件 | なし(バニラHTML/CSS/JS) |
| 暗号API | Web Crypto API(ネイティブブラウザ) |
| ターゲットデプロイメント | GitHub Pages / 静的ホスティング |
2 目的と目標
RegTech企業、監査法人、コンプライアンス担当者に、改ざん検知技術の即座に理解可能なデモンストレーションを提供します:
- 5分以内に評価可能
- 技術的なセットアップなしで社内共有可能
- 製品統合の議論の参考として使用可能
- 非技術的なステークホルダー(経営層、コンプライアンス責任者)へのプレゼンテーションに使用可能
| 目標 | 成功基準 |
|---|---|
| 即時理解 | ユーザーが60秒以内に価値を理解 |
| ゼロフリクション | インストール不要、アカウント不要、設定不要 |
| 技術的信頼性 | 実際の暗号操作(SHA-256) |
| ビジネス関連性 | 監査対応の用語と出力 |
| 共有可能性 | 社内配布用のエビデンスパックをダウンロード可能 |
3 対象ユーザー
主要対象
| 役割 | ニーズ | デモの価値 |
|---|---|---|
| RegTechプロダクトマネージャー | 統合の実現可能性を評価 | 動作する検証ロジックを確認 |
| コンプライアンス担当者 | 技術的能力を理解 | 非技術的な説明 + 証明 |
| 監査責任者(Big 4) | 方法論の妥当性を評価 | 暗号学的検証ステップ |
| CTO / VP Engineering | 技術的デューデリジェンス | ソースコード検査 |
副次対象
| 役割 | ニーズ | デモの価値 |
|---|---|---|
| 規制当局(技術スタッフ) | 検証メカニズムを理解 | 独立した検証能力 |
| 機関投資家(バイサイド) | ブローカーの透明性を評価 | 改ざん防止ログの証拠 |
| 開発者 | 実装リファレンス | コピー&ペースト可能なパターン |
4 イベントデータモデル
イベントスキーマ
{
"event_id": "string (UUIDv7形式)",
"trace_id": "string",
"timestamp_ms": "number (エポックからのミリ秒)",
"event_type": "string (SIG|ORD|ACK|EXE)",
"payload": "object",
"prev_hash": "string (64桁16進数 or 'GENESIS')",
"event_hash": "string (64桁16進数)"
}
イベントタイプ
| タイプ | 名称 | 説明 |
|---|---|---|
| SIG | シグナル | AI/アルゴリズムの判断ポイント |
| ORD | オーダー | 注文作成 |
| ACK | 確認応答 | 取引所の受理 |
| EXE | 約定 | 取引の約定 |
5 暗号学的実装
アルゴリズム
SHA-256
出力
64桁16進数
実装
Web Crypto API
ハッシュ計算
event_hash は以下のように計算されます:
event_hash = SHA-256(prev_hash + canonical_json(event_core))
正規化JSON
決定論的なハッシュ計算を保証するため、JSONは以下のように正規化されます:
- キーのソート: すべてのネストレベルでアルファベット順
- 安定したstringify: 一貫した数値/文字列表現
- 空白なし: コンパクトフォーマット
重要なポイント: いずれかのイベントが変更されると、そのevent_hashが変更され、次のイベントのprev_hashが一致しなくなり、チェーンが破壊され、改ざんが検出されます。
6 改ざんシナリオ
デモでは、一般的な監査ログ攻撃を表す3つの改ざんシナリオを実装しています:
ペイロード変更(事後編集)
監査用語:ペイロード変更
内部者がフロントランニングの証拠を隠すために、事後的に約定価格を変更します。
対象: 最初のEXEイベント(イベント#3)
変更フィールド: payload.price
元の値: "1.08523" → 改ざん後: "1.09999"
イベント削除(省略)
監査用語:省略、証拠隠滅
内部者が注文確認の証拠を隠すためにイベントを削除します。
対象: 最初のACKイベント(イベント#2)
効果: イベントがチェーンから削除
検出: prev_hashが存在しないハッシュを参照
イベント順序変更(シーケンス改ざん)
監査用語:時系列操作
内部者が約定タイムラインを偽るためにイベントの順序を入れ替えます。
対象: イベント#2と#3
効果: ACKとEXEイベントが入れ替え
検出: 入れ替えポイントでprev_hashリンケージが破壊
7 エビデンスパック形式
エビデンスパックは完全な監査ドキュメントを含むZIPファイルです:
vcp-evidence-pack-{timestamp}.zip
├── original.jsonl # 元のイベントチェーン
├── tampered.jsonl # 改ざんされたイベントチェーン
├── verification_report.json # 詳細な検証結果
└── README.txt # 検証手順
注: エビデンスパックには、監査人や規制当局による独立した検証に必要なすべての資料が含まれています。
8 ユースケース
RegTech見込み客への営業デモ
シナリオ:VCP統合を評価するプロダクトマネージャー
「この機能を数ヶ月ではなく、数日で製品に追加できます。」
コンプライアンス担当者教育
シナリオ:非技術的なコンプライアンスチームへの改ざん検知の説明
「コンプライアンスは主張ではなく、証明になります。」
監査法人の技術評価
シナリオ:Big 4監査チームによる方法論の評価
「標準的な暗号技術、監査可能な実装。」
規制当局への技術説明
シナリオ:規制当局の技術スタッフへのプレゼンテーション
「データ開示なしで独立した検証が可能。」
9 制限事項と範囲
このデモでできること
- 概念実証
- 教育ツール
- リファレンス実装
- 検証ロジックの証明
- 共有可能なアーティファクト
このデモでできないこと
- 本番システム
- リアルタイム対応
- 完全なVCP実装
- セキュアな鍵管理
- パフォーマンス最適化
10 関連規格
| 規格 | 関連性 |
|---|---|
| RFC 8785 (JCS) | JSON正規化スキーム |
| NIST FIPS 180-4 | SHA-256仕様 |
| RFC 4122 / RFC 9562 | UUID仕様 |
| MiFID II RTS 25 | 規制コンテキスト |
| EU AI Act Article 12 | AIログ記録要件 |
デモやVCP統合についてのご質問は?