TRUSTAUTHY｜日本の準天頂衛星「みちびき」を活用した暗号資産セキュリティ基盤 | インタビュー掲載

インタビュイー：
Vlightup株式会社 代表取締役 皆本氏

まず、TRUSTAUTHY（トラストオーシー）はどんなサービスですか？

まずは前提から伺います。御社のサービス概要を、はじめての方にも分かるように教えてください。

当社のTRUSTAUTHY（トラストオーシー）は、準天頂衛星「みちびき」の高精度な位置情報を使って、「今、どこにいるか」を認証の鍵として扱えるようにする、フィジカル（物理×デジタル）のセキュリティです。IDやパスワードといった“論理情報”だけで守るのではなく、改ざんしにくい「場所の事実」をブロックチェーン上で扱える形にして、なりすましや不正アクセスを起こしにくくします。

暗号資産やステーブルコインの世界って、取引自体はデジタルで完結しますよね。そこにフィジカルな情報、つまり“場所の事実”を結びつけることで、守り方そのものを一段引き上げる。まずはそういうイメージで捉えていただくのが分かりやすいと思います。

なぜ「位置情報」と「時刻」をセキュリティの鍵にするのですか？

例えば暗号資産の盗難が起きたとき、デジタル空間の取引だけだと、結局「どの国の法律で争うのか」という裁判管轄の壁にぶつかります。デジタル空間の出来事だとしても、最後は現実世界の“証拠”が必要になる。だったら最初から、取引や署名のタイミングに「位置情報」と「時刻」を紐づけておけば、実務上も法務上も扱いやすくなるだろう、というのが出発点でした。

当社としては、この「位置情報」と「時刻」をデジタルな決済と結びつけることで、実務でも扱える証拠性を作りやすくなると考えています。守る側の運用が、より“現実のルール”に寄せられるのが大きいですね。

ID・パスワードやMFAでは、どこに限界があると見ていますか？

いま一般的な対策は、ID/パスワードやMFA、IP制限など“論理情報”が中心です。ただ、論理情報だけの防御では、AIで自動化される盗難や端末乗っ取りを防ぎきれない局面が増えてきています。AIの時代になると指紋や声みたいな情報も偽装が現実的になってきます。1回突破されると一気に抜かれるリスクがある。だからこそ、論理情報の世界だけで守る発想から一段上がって、物理的に改ざんしにくい「場所の事実」をセキュリティのレイヤーとして足すことに力を入れています。

重要なのは、既存の対策を否定することではありません。今ある仕組みは活かしつつ、突破されにくい条件をもう一段積み上げる。そのための選択肢として、位置情報と時刻を使う、という整理です。

「誰がいつどこで署名したか」を、どう運用に落としますか？

基本は、重要操作を「場所・時刻・デバイス」で縛ることです。履歴の“兆候”から段階的にリスクを評価して、攻撃の成功確率を下げていく考え方ですね。導入後の運用としては、当社が“エリア設定”と呼んでいるんですが、「このエリアの中からじゃないとサインできません」といった制御を入れられるようにしています。たとえば、普段の業務場所と違う場所から重要操作が走ったときに、追加の確認を挟む、といった発想にもつなげやすいです。

あと誤解されがちなんですが、スマホ前提に固定しているわけではありません。スマホでもできる一方で、B2B取引を前提にするなら専用アンテナ等も含めて考えた方がいい、という話もしています。「みちびき」側は信号認証の情報も飛んでいて、偽装やなりすましを起こしにくい仕組みにしていける、というのがポイントです。ここは“現場での成立”を大事にして、運用に合わせた設計を一緒に作っていきます。

貿易決済のエスクローに、どう応用しようとしているのですか？

貿易のエスクローって、輸出側は「船に乗せたら早く現金化したい」、輸入側は「確実に受け取ってから払いたい」という、時間と距離のギャップを埋める仕組みです。当社は、ブロックチェーンの仕組みに地理的認証を組み合わせて、「誰がいつどこで署名したか」という物理的な証拠をトリガーに、エスクローを安全に解放できる形を目指しています。

ここは正直、まだPOCレベルの部分もあります。ただ、紙の書類を全部否定して作り変えるというより、「最後の決済執行のレイヤーだけ」を置き換える発想で、現場に入れる現実解を作りたいですね。既存の実務ときれいに接続しながら、事故が起きにくい構造に寄せていく、というのが狙いです。

どんな企業にフィットしやすいですか？

まず分かりやすいのは、暗号資産取引所のエンタープライズウォレットのセキュリティです。もう一つは、商社さんのように、高額なグローバル決済をステーブルコインでやっていく事業者。B2Bで決済額が大きいほど、事故のインパクトが大きいので、セキュリティの価値が出やすいと思っています。

特に「ミスが許されない重要操作」が明確に存在する企業ほど、導入後の価値が分かりやすいです。守りたい操作がはっきりしているほど、設計もスムーズに進みます。

相談で多いのは、どんな課題ですか？

多いのは、海外のセキュリティツールが高額で、価格のロジックも分かりにくい、という話です。それに加えて、APIドキュメントが英語で読みづらいとか、日本の規制対応を十分にしてくれないんじゃないか、といった運用面の不安もよく出ます。あとは送金プロセスの人的ミスを減らしたい、ガバナンスを強化したい、という相談も一部あります。

つまり「機能」だけじゃなくて、「運用」まで含めて安心できるかどうかが、導入検討の一番の論点になりやすい。そこに対して、現場の実務に寄せた形で一緒に設計していく、というのが当社のスタンスです。

導入前後のサポートは、どこまで支援されますか？？

導入前は、既存のセキュリティ実務や貿易金融の業務に合わせて、署名執行の設計を支援します。マルチシグやMPCをどう設計すると現場で回るか、そこを一緒に詰めます。導入後は、エリア設定や、リスクスコアリングの最適化も含めて一貫してサポートしていきます。

セキュリティは「入れて終わり」になりがちですが、実際は運用で強くなります。だからこそ、運用の回し方も含めて伴走する前提で、導入を進めています。

料金体系はどのように決まりますか？

料金は、決済や送金のトランザクション量・金額、API利用数、それから（暗号資産領域で言えば）カストディされている暗号資産の残高などを軸に設計します。トランザクションベースの場合もあれば月額ベースの場合もありますし、初期にAPI連携開発やカスタマイズがある場合は、その分は別途費用が発生します。

まずは「どの重要操作を、どの粒度で守りたいか」を整理していただけると、見積りの前提が作りやすいです。ここが固まると、設計も価格の考え方もすり合わせが早くなります。

暗号資産だと、シードフレーズの紛失が怖くて踏み出せない企業もあります。この点はいかがですか？

シードフレーズは、忘れたりなくしたりするとアクセスできなくなる怖さがありますよね。そこに対しては、当社としてMPC（Multi-Party Computation：秘密鍵全体を生成せず、複数の要素に分散して管理する技術。）の考え方を使って、シードフレーズに依存しない形を作っていきます。イメージとしては、アクセス権限を「自宅」「当社サーバー」「もう一つ別の場所」の3か所に分けて、3つ署名が揃えばリカバリーできるようにする、という形です。

「単一の秘密」を持つ設計に寄せるほど事故が重くなるので、分散させて“詰み”になりにくい形にする。ここも、現場での運用を前提にした設計思想です。

導入ハードルについて確認させてください。

当社は、既存のセキュリティを全部リプレイスしてください、という立て付けではありません。基本のセキュリティに“オーバーレイ”して、より多要素的に強化していく感覚です。なので、まずは「普通のセキュリティツールとしてライトに導入する」という入り方も、十分ありだと思っています。

現場のシステムや業務フローって、一気に変えられないのが普通です。だからこそ、守りたい重要操作のところから現実的に足していける形を、最初から設計に含めています。

最後に、今後の展望も伺えますか？

いくつかセキュリティ技術は特許申請中のものもありますので、まずはそれを確実にサービスとしてローンチしていきます。貿易の観点では、信頼性の高いデジタル資産との連携強化や、セキュリティ精度の向上に力を入れていきます。

セキュリティは「突破されないこと」だけが価値ではなく、「運用として続くこと」も同じくらい重要です。そこを両立させるために、技術だけでなく導入設計や運用面も含めて、しっかり作り込んでいきます。

まとめ・編集部コメント

TRUSTAUTHY（トラストオーシー）は、IDやパスワードなど論理情報に寄せた防御に対して、改ざんしにくい「場所の事実」を認証の鍵として扱うことで、セキュリティのレイヤーを一段積み上げるアプローチが特徴です。また、貿易決済の文脈でも、既存の実務フローを全否定して作り変えるのではなく、「最後の決済執行レイヤー」に絞って現場導入の現実解を狙う、という整理がされています。一方で、貿易決済領域の効果事例についてはPOC段階の話も出ているため、導入検討時は「現時点の提供範囲」と「検証中の範囲」を切り分けて確認しながら進めると、期待値のズレが起きにくくなります。