検索
連載

Web3を支えるブロックチェーンのリスクとセキュリティ脅威を軽減するにはGartner Insights Pickup(312)

Web3の基盤となるブロックチェーンを使用するアプリケーションは、新たな脆弱(ぜいじゃく)ポイントを抱えることになる。今回は、レポートから15の脆弱ポイントについて紹介する。

[Avivah Litan, Gartner] PC用表示 関連情報
Share
Tweet
LINE
Hatena

ガートナーの米国本社発のオフィシャルサイト「Insights」や、アナリストらのブログサイト「Gartner Blog Network」などから、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 Web3の基盤となるブロックチェーンを使用するアプリケーションは、新たな脆弱(ぜいじゃく)ポイントを抱えることになる。しかも、ブロックチェーンとのインタフェースとなるWeb2.0のレガシーシステムにも、既に脆弱性が存在している。

私たちは、レポート「How to Mitigate Web3 Blockchain Risks and Security Threats」(Web3を支えるブロックチェーンのリスクとセキュリティ脅威を軽減するには)の中で、15の主な脆弱ポイントにハイライトを当てている

 ブロックチェーンアプリケーションのユーザーは、Web2.0プロトコルを使わずに、ブロックチェーンに直接アクセスすることはほとんどない。もし直接アクセスすれば、ユーザーのトランザクションは格段に安全になるはずだ。

 私たちのリサーチは、Web3技術と既存技術の併用によるリスクを軽減する対策を提唱している。中央集権的なアクター(金融機関やいわゆるプラットフォーマーなど、中央で取引ややりとりを管理する主体)に対する規制は、特にカウンターパーティリスク(取引相手の信用リスク)に関する対策の一部を加速させそうだ。だが、ユーザーは、こうした企業による規制順守を待つことなく、詐欺対策プログラムやセキュリティプログラムを進めなければならない。

 下の図は、レポートの中で、私と同僚が分析している15の脆弱な領域を示している。


(出所:Gartner)

レポートの主な所見の一部を以下に紹介する

 ブロックチェーンへの集中管理されたインタフェースが、主な脆弱ポイントとなっている。攻撃者は利益を得るためにこれらを悪用し、取引やアプリケーションの乗っ取り、市場操作、データの改ざんをする。

 これらのインタフェースには、ユーザーのエンドポイントやウォレット、ブロックチェーン間のブリッジ、API、中央集権型の取引所、中央集権型のプロトコルやサービス、その他の隠れた中央集権型の領域が含まれる。

 スマートコントラクトが、ブロックチェーンを使用するアプリケーションにおける主要な新しい攻撃ベクトルであり、特別な制御や対策が必要となっている。

 プライベートブロックチェーンがインサイダー攻撃の脅威を高めている。インサイダー攻撃は、非中央集権型でビザンチン障害耐性のあるブロックチェーンには存在しない.

結論

 これらの脅威を軽減するための推奨事項と、脅威対策を支援する代表的なベンダーについては、レポートで紹介する。

 手短に言えば、ブロックチェーン暗号通貨市場を悩ます脅威や市場操作を阻止するには、やるべきことがたくさんある。

 欧州連合(EU)理事会は2023年4月に暗号資産市場規則法案(Regulation on markets in crypto-assets = MiCA)を可決した(5月に承認されている)。この規則は、暗号通貨取引の安全性を高めるための要件を、暗号プラットフォームやトークン発行者、トレーダーに課す。

 この動きは、米国の業界規制がいかに遅れているか、そしてもしこの状況が変わらなければ、米国を拠点とするブロックチェーン起業家が欧州に移住する可能性もあることを浮き彫りにしている。

 欧州では、規制を順守する目的で、中央集権型のインタフェースやアクターに関連する脅威を軽減する、さまざまな対策の導入が進むのは確実だ。

 だが、他にも多くの脅威がある。スマートコントラクトの脆弱性や、Web2のセキュリティ上の弱点がもたらす脅威が特にそうだ。規制された市場でも、攻撃者がこうした脅威を悪用すると予想される。

 今こそ脆弱ポイントの穴をふさぐときだ。

出典:How to Mitigate Web3 Blockchain Risks and Security Threats(Gartner Blog Network)

※「Gartner Blog Network」は、Gartnerのアナリストが自身のアイデアを試し、リサーチを前進させるための場として提供しています。Gartnerのアナリストが同サイトに投稿するコンテンツは、Gartnerの標準的な編集レビューを受けていません。ブログポストにおける全てのコメントや意見は投稿者自身のものであり、Gartnerおよびその経営陣の考え方を代弁するものではありません。

筆者 Avivah Litan

Distinguished VP Analyst


Copyright © ITmedia, Inc. All Rights Reserved.

[an error occurred while processing this directive]
ページトップに戻る