約7分で読めます
ホワイトリストモード:受信トレイを信頼できる送信者に絞り込む
ホワイトリストモードは、アイデンティティごとに設定できる CardanoWall の受信トレイフィルターで、信頼済み連絡先からのレコードを優先表示します。Label 309 のレコード形式を変更するものでも、Cardano 上の誰かをブロックするものでもありません。
ホワイトリストモードは、アイデンティティごとにオンにできる CardanoWall の受信トレイフィルターです。オンにすると、受信トレイは既定で「信頼済みのみ」ビューになり、すでにアドレス帳に登録済みの送信者が署名したレコードを表示します。「すべて表示」タブはワンクリックで切り替えられます。これは表示上の利便機能であって、権限の仕組みではありません。Label 309 のレコード形式を変えることはなく、Cardano 上で自分宛てにレコードを公開しようとする人を止めることもできません。
これは受信トレイの制御であって、ブロックチェーンの制御ではない、と考えてください。
受信トレイにホワイトリストが必要になるのはなぜか
公開された受信アドレスには、こちらが求めていないトラフィックが集まるからです。
ウェブサイト、公開プロフィール、サポートページなどに受信アドレスを掲載すると、誰でもそこへレコードを封印できます。その開放性こそが狙いです。アカウントを持たない見知らぬ相手でも、それを通じて連絡を取れるからです。しかし同時に、まったく聞いたことのない相手からのレコードで受信トレイが埋まり得る、ということでもあります。
ホワイトリストモードは、大量のトラフィックや公開された文脈に置かれるアイデンティティのために、整理された作業ビューを保ちます。たとえば次のようなものです。
- 誰でも見つけられる公開プロフィール用のアイデンティティ
- 報道窓口や受付用のアイデンティティ
- 法務またはコンプライアンスチーム用のアイデンティティ
- セキュリティ開示用のアイデンティティ
- カスタマーサポートの証拠管理用のアイデンティティ
- 主にパートナーからのトラフィックだけを見たいアイデンティティ
ホワイトリストモードは具体的に何をフィルターするのか
受信トレイのビューだけをフィルターします。それ以外には何もしません。
あるアイデンティティでホワイトリストモードがオンのとき、受信トレイには 2 つのタブを持つ小さな切り替えが表示されます。信頼済みのみ(既定)とすべて表示です。信頼済みビューには、送信者の署名がアドレス帳の公開鍵と一致するレコードが入ります。それ以外はすべてすべて表示に残り、ワンクリックで開けます。
何も削除されません。オンチェーンのレコードは依然として存在し、暗号化されたペイロードはそのままで、ほかのアイデンティティにも影響しません。受信トレイは、何を最初に見せるかを選んでいるだけです。この区別が重要なのは、Cardano が公開され、追記専用だからです。アプリケーションが変えられるのは「あなたが見るもの」であって、「公開されたもの」を変えることは決してできません。
ビューの切り替えそのものは一時的なものです。あるセッションで「すべて表示」に切り替えても、ホワイトリストモードがオフになるわけではありません。アイデンティティごとの設定は保持され、現在のビューだけが保持されません。
ホワイトリストモードはブロックチェーン上で送信者をブロックするのか
いいえ。それはできませんし、そういう目的のものでもありません。
Cardano トランザクションを送信できる人なら誰でも、こちらが相手を知っているかどうかにかかわらず、ご自分の受信鍵宛てに準拠した Label 309 レコードを公開できます。ホワイトリストモードは、オンチェーンの権限・許可リスト・ブロックを一切作りません。アカウント内の 1 つのアイデンティティについて、CardanoWall が受信トレイをどう整理するかを変えるだけです。
標準は開かれたままです。インターフェースは静かになります。(CardanoWall には、特定の署名鍵を各ビューから隠す別の「送信者をブロック」機能もあります。これもローカルな UX の選択であって、オンチェーンの操作ではありません。)
アドレス帳はこの仕組みをどう支えているのか
ホワイトリストモードの精度は、連絡先の質で決まります。
アドレス帳は、送信者の署名公開鍵を、名前と、それを検証した文脈に対応づけます。受信する各レコードには、任意の作成者署名を載せられます(Ed25519 鍵によるレコードレベルの COSE_Sign1 署名です)。その署名鍵が信頼済み連絡先のいずれかと一致すると、受信トレイはそのレコードを既知の送信者からのものと認識し、信頼済みビューに配置します。
つまりアドレス帳は、単なるコンポーザーのショートカット以上のものです。受信トレイの仕分けも兼ねます。そして照合は暗号的に行われるため、フィルターの質は検証の質に完全に依存します。その鍵が誰のものかを実際に確認せずに連絡先の鍵を追加していれば、ホワイトリストモードは間違った相手を忠実に信頼してしまいます。
署名のない封印付きレコードはどうなるのか
照合すべき送信者が通常存在しないため、「すべて表示」に入ります。
Label 309 の作成者署名は、設計上、任意です。送信者は署名をまったく付けずに封印付きレコードを公開できます。これは、帰属が望ましくない機微な開示において、まさに役立つ仕組みです。しかし署名がなければ、アドレス帳と照合する鍵が存在しないため、受信トレイはそのレコードを未知の送信者からのものとして扱います。
この機能に頼る人には、次のことをはっきり伝えてください。
- 既知の鍵で署名されたレコードは、信頼済みとして認識されます
- 署名のないレコード、または保存していない鍵で署名されたレコードは、未知として表示されます
- 「未知」は悪意があるという意味ではありません
- そして「既定のビューから除外された」は、決して削除を意味しません
これはインターフェース上のポリシーであって、送信者に対する暗号的な判定ではありません。
いつオンにすべきで、いつオンにすべきでないか
届く範囲の広さよりも、必要な情報を逃さないことが重要なときにオンにしてください。
向いている用途は次のとおりです。
- 主に既知のパートナーだけを見るべき社内チーム用のアイデンティティ
- 既定では未知のレコードを表に出すべきでない、経営層や法務用のアイデンティティ
- 無関係なトラフィックに埋もれた公開プロフィール
- 検証済みの顧客の鍵を優先したいサポートワークフロー
- 承認済みの送信者群に絞った監査担当者用のアイデンティティ
発見こそが目的であるときは、オフのままにしてください。
- 公開された内部告発やタレコミの受付
- 公募や、見知らぬ相手からの最初の接触
- コミュニティやクリエイターの受信トレイ
- 未知の送信者が想定され、歓迎されるあらゆるワークフロー
ホワイトリストモードは重要なものを隠してしまうことがあるか
はい。それはトレードオフであり、あらかじめ備えておくべきです。
重要な送信者がアドレス帳になければ、そのレコードは既定の「信頼済みのみ」ビューには表示されません。「すべて表示」には依然として存在しますが、それは誰かが見たときに限られます。重要なアイデンティティについては、次の習慣を決めておいてください。
- 信頼済みビューだけでなく、「すべて表示」ビューも定期的に見直します
- 送信者を検証したら連絡先に追加し、今後のレコードが自動的に表に出るようにします
- どのアイデンティティでホワイトリストモードを有効にしているかを書き留めておきます
- 運用上明確に織り込まれていない限り、公開受付用のアドレスでは有効化しません
フィルタリングは運用を支えるべきものであって、運用を静かに驚かせるものであってはなりません。
ホワイトリストモードはプライバシーを向上させるか
間接的にのみ向上させます。そして、ここは正確にしておく価値があります。
ホワイトリストモードは、公開された受信アドレスを隠すことも、チェーンから何かを取り除くことも、公開を非公開にすることも、見知らぬ相手がご自分宛てにレコードを封印するのを防ぐこともしません。できるのは、予期しないレコードを開き、調べ、反応する頻度を減らすことです。これにより、運用上のミスが起きる可能性が下がります。
本当の機密性は依然として、コンテンツそのものを封印すること、鍵を慎重に扱うこと、そしてメタデータが何を明かすかを考えることから生まれます。実際のプライバシーの境界線がどこにあるかについては、CardanoWall に見えるものをご覧ください。
短くまとめると
ホワイトリストモードは、1 つのアイデンティティに限定された受信トレイの制御です。
受信トレイを既定で「信頼済みのみ」ビューにすることで、検証済みの連絡先からのレコードにアイデンティティを集中させる助けになります。Label 309 プロトコルを変えることも、Cardano トランザクションをブロックすることも、未知の送信者が信頼できないと証明することもありません。管理された大量処理のワークフローで使い、公開受付が目的の場面ではオフのままにしてください。
さらに読む
- 開かれた標準は label309.org、オープンソースのコードは github.com/cardanowall、そして Cardano の CIP プロセスに提出された提案は PR #1205(CIP エディターによるレビュー中)です。