NRIセキュアテクノロジーズ、国内初の「ブロックチェーン診断サービス」を開始:「スマートコントラクト」の脆弱性を診断
NRIセキュアテクノロジーズが、ブロックチェーンを対象としたセキュリティ診断サービスを開始。「改ざんが困難」とされるブロックチェーンだが、穴がないわけではない。まず「スマートコントラクト」の脆弱性を診断するメニューを用意した。
野村総合研究所の情報セキュリティ専門会社 NRIセキュアテクノロジーズは2017年7月4日、ブロックチェーン技術を利用したシステムやサービスを対象とするセキュリティ診断サービス「ブロックチェーン診断」の提供を開始すると発表した。同社によると、日本における中堅・大手セキュリティベンダーが提供する、ブロックチェーンを対象としたセキュリティ診断サービスは、本サービスが国内初という。
FinTech分野を中心に、ブロックチェーン技術の認知とともに、それを活用した新たなビジネスやサービスを開発する企業の意向が高まっている。
ブロックチェーンは、「暗号化と分散ネットワーク技術を活用し、書き換えや改ざんが不可能な形で何らかの記録(元帳や台帳など)を共有する仕組み」として今後の普及が期待されている。しかしこれまでのITと同様に、新技術の活用領域が広がるにつれて「セキュリティの確保」が課題に挙がってくるのはブロックチェーンも同様だ。例えばブロックチェーンを用いたサービスを構成する要素の1つで、取引・契約のルールをプログラムとして規定する「スマートコントラクト」に脆弱(ぜいじゃく)性が存在すると、サイバー攻撃によって本来意図する動きとは異なる挙動を引き起こし、被害につながる可能性がある。
実際、過去にパブリックブロックチェーンのオープンソースソフトウェア(OSS)である「Ethereum」がスマートコントラクトの脆弱性を突かれ、スマートコントラクト内の仮想通貨が流出する事件があった。スマートコントラクトには従来のWebアプリケーションなどとは異なるセキュリティ要件があり、それを理解しないままに実装するとセキュリティホールになる危険性がある。また、ブロックチェーンの特性上、スマートコントラクトが1度ブロックチェーン上に流れると修正はできないため、リリース前にいかに脆弱性をなくすかがキモになる。
ブロックチェーン診断では、こうした課題に対応するために同社の技術や知見を体系化して提供するもの。この第1弾として、スマートコントラクトに対するセキュリティ診断サービスを展開する。診断サービスでは、スマートコントラクトのソースコードを解析する「静的解析」と、実際に攻撃などを試みて検証する「動的解析」の両面で脆弱性を洗い出すという。
サービス対象のブロックチェーン基盤は「Ethereum」と「Hyperledger Fabric」で、他プラットフォームも今後随時追加予定。また、検証対象のプログラミング言語は「Solidity」「Go」「Java」で、他の言語については相談に応じる。この他、スマートコントラクト以外の要素の診断サービスについても順次追加していくという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 銀行員も知っておきたいブロックチェーンの仕組み、業務への応用事例と留意点
本連載では、銀行系システムについて、その要件や歴史を整理しつつ、スマートフォンを使う銀行取引やブロックチェーンなど、新しい技術が及ぼす影響を考察していきます。今回は、ブロックチェーンの仕組みを概説し、その特徴を踏まえて、FinTechや銀行業務での活用形態、システム化に向けた留意点について解説します。 - ブロックチェーン技術「Ethereum」とは何か、アプリのアーキテクチャはどう変わるのか
リクルートテクノロジーズの社内ラボで行っている、主に非金融領域に対するブロックチェーンの活用に向けたR&Dを紹介する連載。今回は、スクリプティング機能をより広汎に使える形にしたブロックチェーンの構築を目指したオープンソースソフトウェア「Ethereum」を利用し、「履歴書データベース」として実装した課程と、その結果を紹介。 - FinTechとは何か? エンジニア、金融業に、不可欠となる技術要件は何か?
「FinTech」が社会一般の注目を集めている。この一大トレンドの中、「決済」をはじめ、あらゆる金融サービスに利便性を求める人々の強いニーズが、今エンジニアたちの創造力を開花させようとしている。 - ブロックチェーン
分散型の仮想通貨システムBitcoinで使われているブロックチェーンの概要を解説。通貨だけに限らず、さまざまな分野での利用が期待されている。