ICO(Initial Coin Offer)の話題が盛んです。FinTechがらみ。

20170920_blockchain
(Thanks! the photo on flickr by BTC Keychain CC BY 2.0)

今流行りの(?)ブロックチェーン上に実装される独自のトークンを使って資金調達をする新たな Equity 調達手法として脚光を浴びていますね。株式で資金調達するのがIPOなら、デジタルクーポンで資金調達するのがICOというザックリ解説で間違ってはいないでしょう。

テックビューロさんの COMSA が発表されてからというもの、ネット界隈とくにIT系ベンチャー界隈でICOは今が旬なワードです。IPOを越える資金調達が可能だ!とか。かねてより僕はIPOそのものを疑問に思ってるので(参照 : この日本で本当にシード段階の投資が出来るのか)、新たな資金調達手法が開発されるのは喜ばしいことだなぁと注目している次第。

ちなみにICOとは何ぞやという話は以下が詳しいですので宜しければご一読を。

今、国内のICOで最も話題なのは、前述のCOMSAと単独ICOに成功しわずか1週間で3億円超を調達したALISでしょう。COMSAALISも書き出すととても長くなるので割愛しますが、今回はウチがいま主力サービスとしてやっているWeb静的化事業という観点から ALIS がもっと評価されるべきポイントについて書いてみたいと思います。

20170920_alis
(次世代のメディアサイトを目指すALIS)

ICOでWeb改ざんは致命傷

ICOの一般論ですが、仕掛ける側は開発しようとするサービス内で利用できるデジタルなチケット(トークン)を販売します。それをICO参加者は仮想通貨で購入します。将来そのチケットの価値が上がって儲けられるという可能性に期待して。

IPOでは証券会社の口座に金を入れてIPO株を買いますが、ICOでは事業者指定の仮想通貨口座に仮想通貨で支払う訳ですね。そうするとデジタルなチケットがゲットできる。あとはサービスのローンチを待ってそのチケットを使うと。これがICOのよくある形式ですね。

20170920_aliswallet
(ALISのサイトでもICO参加者に支払先を伝えるページがある)

さて、ではICOをやる側が一番やってはダメな事はなにか。それは、

Webページを改ざんされてしまうこと

です。「この口座に仮想通貨を振り込んで下さい」と書いているWebページが改ざんされて、悪意ある第三者の口座番号にすり替えられたらどうなるか。もう目も当てられませんね。信用は地に落ちますし、事業は瀕死状態になるでしょう。実際、そんな事件もありました。

ALISのWebサイトは改ざんされようがない作り

ALISのWebサイトには、サーバサイドプログラムもフレームワークもデーターベースも、なーーんにも置いていません。Google Chrome のプラグインで見ると分かります。

20170920_webapplyzer
(サーバサイドのフレームワークは使ってない)

S3にhtmlファイルを置いているだけですね。いわゆる静的Webサイトです。また、通常、問い合わせフォームのような動的要素は改ざんリスクをあげますが、それも mailchimp という外部サービスを使うことで回避してます。

Webサイトの脆弱性って「サーバサイドプログラムを意図しない形で作動させられること」ですから、そもそもプログラムもDBも何もないなら攻撃しようがないという訳ですね。

ALISのサイトを初めて見た時にやけに軽いなぁ…と思ったのです。

20170920_alisspeed
(Chrome拡張の SONARによる計測。LOAD TIME 1秒台前半は静的化サイトであることが多い)

これは明らかにCMSは動いていない静的サイトだなと。ウチはCMSサイトを静的化するサービスをやってるぐらいですから、Webページの反応速度を見れば動的か静的化ぐらいは何となく分かります。で、ちょっと調べてみたら Medium に ALIS 中の人がちゃんと書いてました。

危険なICOプロジェクトの見分け方(チーム運営編・前編)

動的なアプリケーションが動くということは、つまりクラックされた時にサイトを改ざんされる可能性があるということを意味する。私の意見としては、本当に必要でない限りは静的ページとすべきであり、サーバを運用すべきではない。

これはもう100%同意。CMSサーバをそのままネットに晒すから脆弱性が生まれる訳で。サイトを攻撃されたくないなら、CMSをそのままネットに晒すべきではなく、静的化するまたは静的サイトとして作り直すのが理想です。論理的に攻撃しようがないのですから。(http/https層では)

ページが1ページの single page で作り易かったということもあるのでしょうけど、WordPress + WAF とかで防御するとか、WordPress + WAF + 改ざんチェックという構成ではなく、そもそも改ざんされない構成にしたというのは ICO サイトとして出資者の事を考えれば当然の配慮だし素晴らしいなと、思ったわけです。

技術知見に伴うこういう小さい工夫。とても大事です。ALISは、国内初のICOだとか、事業のコンセプトが良いとか、そういうところが期待感と共に評価されているのを感じますが、ALISのオフィシャルサイトが完全な静的化サイトであるということはもっと評価されて良いと思います。

 

そして、今後のWebサイトは、不必要な攻撃リスクを抱えない為にも静的化を推し進めていくべきだし、そうなっていくだろうと思う次第です。FinTechとWebサイトの静的化ってパッと見、何の関連性も無さそうなんですが実は身近で紐付いたということで書いてみました。

あ、ちなみに、ALISのICOには1ETHだけ参加(出資)してます。関係者皆様には申し訳ないですが、コンテンツ系でのICOは正直中長期的に厳しいだろうなと見ていて大金は投じていません。ICOに参加するならこうあるべしという三大条件を個人的に持ってまして、それはまた改めて書いてみようと思います。