最初に、暗号の歴史について穴田先生からざっとご紹介いただけますでしょうか。

暗号自体は紀元前からあったようですが、重要性が高まったのは2つの世界大戦期からです。当初は1文字を別の文字に置き換える換字暗号でした。送信者と受信者で同じ変換表を用意するわけですが、それが敵の手に渡ると解読されてしまいます。そこで1918年、ドイツで1文字ごとに異なる変換表を用いるエニグマ暗号が開発されました。しかし意外に早く解読されてしまいます。しかも従来のように文法や文章の性質などだけに頼らず、数学的な方法を用いることで暗号解読に成功したのです。その後、1970年代に入るとインターネットの発明を背景に「明るい暗号」の時代に入ります。軍や政府など一部の限られた機関ではなく、大学や一般の人たちが暗号を使うことを想定し、暗号化と復号に別々の鍵を用いるRSA暗号などの公開鍵暗号が登場したのです。そこからデジタル署名が生まれ、仮想通貨を支えるブロックチェーンにつながっていきます。復号に使う秘密鍵を求めるには、スーパーコンピュータを駆使しても天文学的な時間が必要なため、現実的には解読不可能な暗号が登場しました。

近年開発競争が盛んな量子コンピュータの登場は、暗号研究者にとって脅威なのでしょうか。

量子コンピュータの原理はある程度解析されており、画期的なアルゴリズムが現れない限りここから先は量子コンピュータでも解けないという原理的な限界が分かっているため、今はそれほど脅威に感じることはありません。むしろ量子コンピュータのプラスの面の方に注目が集まっているのではないでしょうか。ただし、現在インターネットで使われている暗号の場合は、量子コンピュータの開発が順調に進むなら解けてしまう時期が来ると言われています。

現代の暗号とその解読は、数学の感覚でいえば、関数と逆関数の関係になっており、デジタル化であらゆるものが数値化されたこともあって、数字を扱うことに長けた数学が暗号に使われるようになってきたのだと思います。ただ、解読への耐性は現時点で人類が知っている知識の範囲を前提としていることは意識しておかなくてはなりません。RSA暗号で使われる素因数分解にしても、新しいアイデアが発見されれば一気に状況が変わることもありえて、数学を使う暗号には常にそういう危険性が内在しているように思います。RSA暗号が発明される前は、暗号と解読には同じ共通鍵が必要だというのが常識でした。しかし、鍵を2つに分ければ秘密鍵以外は秘密にしておく必要がない（公開できる）ということがわかった瞬間、暗号の暗いイメージが払拭されました。それも穴田先生のおっしゃる「明るい暗号」のもう一つの側面のように思います。

暗号技術は通信だけでなくいろいろなところに応用されつつあり、プラス面と同時にマイナス面も考慮しなくてはならなくなっています。たとえば、遺伝子情報は極めてプライベートな情報ですから簡単に解読されては困りますし、資産情報も同様です。ビットコインはブロックチェーンを使っているから偽造できないと言われていますが、金融市場においてブロックチェーンを使うことによるメリット・デメリットにはどのようなものがあるのでしょうか。

そのご質問にお答えする前に、ブロックチェーンについて簡単に紹介させてください。大前提となっているのは、政府や銀行といった中央管理者を介さずに、自律的に金融システムを運用しようという発想です。そのために必要なブロックチェーンの基盤技術として、主に公開鍵暗号、電子署名、ピアトゥーピア、コンセンサスメカニズムの4つが挙げられます。匿名性が担保された状態で、取引情報がブロックに記録され、そのブロックが次々と連結して形成されたデータが、リアルタイムで、世界中に分散されたネットワーク参加者間で共有されていくことから、ブロックチェーンは分散型台帳とも呼ばれています。偽造や二重支払いを避けるため、ハッシュ関数を使って取引データ等を一連の英数字からなるハッシュ値に変換し、そのハッシュ値が一定の条件をクリアしないと取引は成立しない仕組みになっています。クリアするにはナンスと呼ばれる値を見つけなくてはなりません。このナンス値を見つけるネットワーク参加者をマイナーと呼びます。マイナーは、ナンス値を探索してブロックに対する有効なハッシュ値を見つけること（マイニング）に成功したことを他のネットワーク参加者に伝え、他の参加者たちがナンス値と取引の中身が合っているかを確認して、初めてブロックのチェーンへの追加が成立するのです。このようにネットワーク参加者間の合意形成がないと取引ができない仕組みが、コンセンサスメカニズムと言われるものです。

ネットワーク参加者間の合意形成のレベルはどれくらいなのですか。一定の閾値のようなものはあるのでしょうか。その値によっては、たとえば悪意あるグループが結託して…という可能性も考えられますし…。

たとえばネットワーク参加者全体の半数とか3分の2以上など、実際に運用されているブロックチェーンによっていろいろです。ビザンチン将軍問題と呼ばれる、分散システム全体で正当な合意形成ができるかどうかを評価する問題では、ネットワーク参加者の数が十分大きいならば、全体の3分の2以上の合意があれば正当な合意形成ができることが数学的に証明されています。

たとえば大石先生が私に10ドル分の仮想通貨をくれたとして、それをすぐにコピーして穴田先生に渡し、穴田先生はすぐに使ってしまうということは起きないわけでしょうか。

私が村田先生にお渡しするという取引は、ネットワークから承認されなければ成立しませんし、承認されてからでないと、次の取引、つまり村田先生から穴田先生には渡せないということになります。したがって、二重支払いを防ぐ仕組みが機能しています。

加えて、取引の度に誰のビットコインであるかのデジタル署名が付与されますし、デジタル署名は公開鍵系で、送金元も送金先もそれ以外の人もデジタル署名をチェックできる仕組みがありますから、コピーは基本的にはできない仕組みになっています。ただし、取引が承認される、つまり台帳に記載されるまでには時間差があります。ビットコインの場合は平均で10分くらいでしょうか。バラツキがありますし、6ブロックほどの安全マージンをとって60分くらいかかることもあります。

いろいろな仮想通貨があり、イーサリアムと呼ばれる仮想通貨はもっと早いです。

少し話題がずれるかもしれませんが、たとえば取引所で大量のビットコインが流出したという話が時々あります。それは今のシステムの話と関連しているのでしょうか。

換金所で法定通貨と仮想通貨を換金するわけですが、その換金所で預かっている仮想通貨に対して何らかの漏洩が起こったケースがほとんどで、ブロックチェーンのシステム自体というより、人的なエラーによるデータの管理不備に起因したものだと思います。

ビットコインで大成功したブロックチェーンは、革新的な自律分権的なシステムです。すべてのネットワーク参加者のコンピュータの中にブロックチェーンの全履歴が保存されているため、ネットワーク参加者の一部のコンピュータが壊れてもデータの復元性が非常に高いのが特長です。また、あるブロックに格納された取引データを改ざんしようとするとそのブロックのハッシュ値が大きく変わってしまうため、それ以降のすべてのブロックについて再度ナンス値を求めて、ブロックをチェーンに追加しなおす必要性が生じます。そのため、取引データの改ざんは、今日の技術では極めて困難であることから、耐改ざん性も非常に高いシステムです。そのうえで、改めて穴田先生のご質問にお答えすると、メリットとしては、ブロックチェーンは銀行などの中央管理者を通さずに決済できるため、取引費用を節約できる点があげられます。仮想通貨だけでなく、不動産や証券といった実物をデジタル空間上で表象して取引することも可能です。逆にデメリットは、仮想通貨のような無体物に関する所有権や財産権の法的整理が追いついておらず、制度設計が不明確なまま運用されている現状にはさまざまな課題がある点で、私はこの点に強い問題意識を持っています。権利関係の不確実性が残る限り、実物資産や無形資産を含む資産のトークン化には限界があると考えています。

実物体を表象してデジタル空間で取引する場合は、たとえば不動産を不動産屋に通さずに売買したいとなったとき、みんなで承認し合う仕組みが必要ですし、マイニングしようという人も必要ですから、かなりの人数がいないとシステムが成立しないような気がします。実物の取引でブロックチェーン技術が広まっていくには、そのあたりに限界があるような気がするのですが…。

おっしゃる通りです。システムを上手く回すためには、ネットワークノード、つまりネットワーク参加者がある程度必要です。ですからネットワークに参加するインセンティブ設計が重要です。ビットコインの例でいえば、マイニングに成功すればビットコインが報酬としてもらえますし、ブロックに格納されているデータの中には仲介料が含まれる場合もありますから、仲介料として報酬を得ることもできます。ただ、現在のビットコインは、取引費用を節約した取引手段というより、資産運用・投資手段として利用されている側面が強いと思います。

村田先生のお話に関連して、デジタルアートの世界にはNFTという仕組みがありますね。NFTとはどのような仕組みなのでしょうか。また、アート市場では専門知識も必要になると思うのですが、そうした専門性がどのように担保されているのか気になります。

NFT はノンファンジブル・トークン（Non-Fungible Token）といって、代替不可能な唯一性を持つデジタル資産のことです。デジタルのものはコピーがいくらでもできますが、NFTの場合は、誰の作品であるかがブロックチェーン上に記録されており、真正性を証明できますので、同じものが二つとない固有の価値を持ったものになります。このNFTもブロックチェーンを使って発行されますが、転売されるたびに、オリジナル作者に仮想通貨を還元する仕組みを作ることもできます。一般に美術作品は一度作者の手を離れると、その後どれほど高額で転売されようと作者には報酬が支払われることはありませんから、非常に特長的な仕組みといえます。

先ほど大石先生が話されたように、ネットワークノードの３分の２とか半数以上の承認で二重支払いや偽造といったことが防げているとするなら、はやり1万とか10万、100万といったノードが必要になるのかもしれません。限られた市場規模の中でそれだけの参加者をどう確保するのかという問題は確かにあるような気がしますが、果たしてその下限の値がどれくらいの人数になるのか、具体的な値を知りたいですね。

仮想通貨に関しては、ビットコインをメインに話してきましたが、イーサリアムなど一部の仮想通貨には、ビットコインにはないスマートコントラクトという仕組みが実装されています。これは、契約内容や条件をブロック上に記述し、それが自動的に実行される仕組みです。取引条件と承諾が一致した時点で、即座に契約が成立し、実行されます。例えていうならば、「この条件で買ってください」「いいですよ」となれば、その時点で取引が成立します。来歴や真正性の証明、取引の履歴管理もすべてそのブロック内で完結してできます。イーサリアムは2014年からはじまったものです。

経済学の教科書では、自由な市場がうまく機能するための前提として、人々の所有権や知的財産権を政府が認めることが必要だとされています。一方でブロックチェーンでは政府の役割を仮定しなくても良いようなシステムを志向しているように見えます。自律分散型のブロックチェーン技術は、我々が長年慣れ親しんできた国家や政府といった仕組みを技術的に超えていく可能性もあるように思うのです。こうした点を考慮すると、ブロックチェーンの技術は法や経済活動とどのような関係性をもちながら発展していくのかといったことが気になります。

ブロックチェーンの技術は、一度始動すると基本的に外部からの介入を受け付けませんから、事前にトラブル対応や変更手続きのコードを組み込んでおく必要があります。ただ、先ほど話したように、財産権が確定しないと円滑な取引はできませんから、後でいろいろな問題が起こってくる可能性があります。また、ブロッチチェーンは基本的に政府の関与がないため、反社会的勢力の利用やマネーロンダリングといった問題への対処が技術的には困難です。現時点では、ブロックチェーン内に不正行為を排除する仕組みが実装されておらず、これらの問題は今後の課題として残されています。

そうなりますと、穴田先生がご研究されている匿名性や追跡可能性の技術とリンクしてくるような気がします。

仮想通貨を使えば、たとえば武器や違法薬物などの売買を、銀行などを介在させずに取引できてしまう可能性があり、実際そうしたマネーロンダリングに利用されている実態もあるようです。ビットコインには匿名性が備わっていますが、その匿名性を担保しながら、誰がどのような権限のもとにそれを暴いていくことが許されるのかといったことは、まだ実装されていない段階で研究者が論じなければならないのだろうと思っています。

麻薬の流通ルートのようにみんなが犯罪だという共通認識があれば、それを追求することには容易に合意が得られると思います。一方で、改ざんや不正利用などのように白黒がはっきりしないケースについては匿名性が守られるべきなのでしょうか。

2009年にビットコインが稼働し始めたとき、対比する案件として法定通貨があり、そのどこを模倣して、どこをスポイルするかという設計思想があったのだと思います。そのときに、匿名というよりニックネームで取引しようということで始まったようです。そのニックネームと実在の人物との関連や、それをどう追跡するかということについては、当時は考えられていなかったと思います。ですから今まさに掘り下げていかなければならない課題だろうと思います。

仮想通貨で決済する際は、匿名性を担保するためアカウントを作りますよね。ところがアカウントは１人で複数作ることができますから、複数のアカウントを使って不正行為ができるのだとすれば、ある程度の追跡可能性を担保する必要があると考えられます。

ノードの実態が人間だとして、その実態に対してネットワークノード1万の過半数を超えるアカウントを作って不正を働こうということは、理論上はできなくはありません。それを防ぐためには換金所なり何らかの抑制機能は必要だと思います。

経済学の研究をしている大石先生や私の感覚では、参加者のモチベーションを維持するためにどのようなシステムを設計するべきかというブロックチェーンのインセンティブの設計思想には面白いと思える部分がかなりあるのですが、数学者のお立場からはどのあたりが面白いと思われますか、別に面白くなくてもいいのですが（笑）。

私は数学の中でも整数論という分野が専門で、なかでも一番熱心に取り組んできたのが原始根など、RSA暗号やElGamal暗号といったものに非常に近い分野でした。ですから暗号のセキュリティの源、つまりなぜ暗号は解かれないと考えられているか、その理由は理解できます。暗号というのは、意味のある整数を元に戻せるように、意味のない別の整数に変える操作のことで、それを実用化できるように工夫してきた結果、こうして幅広い分野で使われるようになったわけです。ところが、それぞれの分野で使ってみるといろいろ固有の問題が出てきて、それを解決するには、その問題を数学の問題に翻訳して数学者とタイアップして数学をその方向に発展させていくことが必要になりました。そのあたりの数学の動きが非常に面白いと思っています。

数学はある側面では、局所的ですごく普遍性を持った抽象的な部品を精巧に組み上げるのに適しており、あまりに良い部品なので、公開鍵暗号やデジタル署名などに応用されていったのだと思います。変な例えですが、ディズニーの「ベイマックス」という映画では、マイクロボットという小さなロボットを何百万と集めて巨大なロボットを作る話がでてきますが、そのマイクロボットのようなものを数学は作ることができるのだと思います。ただ、その巨大ロボットが動き出すことで、経済や法的な面などに正負の側面が見えてきたのかなと、これまでお話をお聞きしてきて思いました。

暗号と解読は関数と逆関数の関係にありますから、原理的には必ず元に戻せます。しかし、人間の寿命はおおよそ100年ですから、解読のための計算に1万年かかるのであれば、実質的に秘密は守れるはずだという発想の転換がどこかで起きたような気がします。そんな都合の良い関数－逆関数の組は、数学全体を探しても結局は３つくらいしか見つかっていないようですが…。

数学は対称性の美しさを追求する学問という側面があるように思いますから、非対称性というか、一方向性に注目してそれを理論化して実装するアプローチというのは、従来の数学にはあまり見られなかった新たな視点であり、非常に興味深く感じています。

秘密は守られなくてはならない、だから暗号は解読されてはいけない、というのが暗号の原点でした。太平洋戦争の頃の日本軍では、情報の機密レベルに応じて複数の暗号を使い分けていたようです。ところがRSA暗号だと使う素数の桁を変えるだけで、暗号の強度を変えることができます。暗号は絶対に解かれてはいけないものであるべきだという考え方から、暗号は解かれてもよく、ただ秘密の賞味期限に応じて作ればいいというように、どこかで暗号の哲学が変わったような気がします。

計算の複雑化ということを考えると、RSA暗号で今標準になっているのは2048ビットですが、3072とか4096というレベルも用意されています。ただ、復号にも時間がかかるため、めったなことでは使われません。しかし設計した段階では、今後どういった用途で使われるかを見通しづらいわけですから、やはり研究としては、安全を見越してやや高いレベルを用意しておくような対応はしています。また、量子計算機の能力に対して安全なものも、学界では相当に設計が進んでいます

物理学や化学、生物学など自然科学はほとんど不可逆反応を研究の対象にしています。しかし数学が扱っている理論のほとんど全部は可逆です。可逆の世界で理論を積み上げてきた数学が不可逆な世界で応用されて大きな成果を挙げているというのは非常に面白いと思います。

今回は暗号という大きなテーマで語っていただきましたが、数学としての味わい方、経済学としての味わい方、社会の見方としての味わい方など、それぞれいろいろな味わい方があることがわかり、とても興味深い場になったと思います。