NRIセキュアテクノロジーズ、国内初の「ブロックチェーン診断サービス」を開始「スマートコントラクト」の脆弱性を診断

NRIセキュアテクノロジーズが、ブロックチェーンを対象としたセキュリティ診断サービスを開始。「改ざんが困難」とされるブロックチェーンだが、穴がないわけではない。まず「スマートコントラクト」の脆弱性を診断するメニューを用意した。

» 2017年07月05日 09時00分 公開
[@IT]

 野村総合研究所の情報セキュリティ専門会社 NRIセキュアテクノロジーズは2017年7月4日、ブロックチェーン技術を利用したシステムやサービスを対象とするセキュリティ診断サービス「ブロックチェーン診断」の提供を開始すると発表した。同社によると、日本における中堅・大手セキュリティベンダーが提供する、ブロックチェーンを対象としたセキュリティ診断サービスは、本サービスが国内初という。

photo 「ブロックチェーン診断」のサービス概要図

 FinTech分野を中心に、ブロックチェーン技術の認知とともに、それを活用した新たなビジネスやサービスを開発する企業の意向が高まっている。

 ブロックチェーンは、「暗号化と分散ネットワーク技術を活用し、書き換えや改ざんが不可能な形で何らかの記録(元帳や台帳など)を共有する仕組み」として今後の普及が期待されている。しかしこれまでのITと同様に、新技術の活用領域が広がるにつれて「セキュリティの確保」が課題に挙がってくるのはブロックチェーンも同様だ。例えばブロックチェーンを用いたサービスを構成する要素の1つで、取引・契約のルールをプログラムとして規定する「スマートコントラクト」に脆弱(ぜいじゃく)性が存在すると、サイバー攻撃によって本来意図する動きとは異なる挙動を引き起こし、被害につながる可能性がある。

 実際、過去にパブリックブロックチェーンのオープンソースソフトウェア(OSS)である「Ethereum」がスマートコントラクトの脆弱性を突かれ、スマートコントラクト内の仮想通貨が流出する事件があった。スマートコントラクトには従来のWebアプリケーションなどとは異なるセキュリティ要件があり、それを理解しないままに実装するとセキュリティホールになる危険性がある。また、ブロックチェーンの特性上、スマートコントラクトが1度ブロックチェーン上に流れると修正はできないため、リリース前にいかに脆弱性をなくすかがキモになる。

 ブロックチェーン診断では、こうした課題に対応するために同社の技術や知見を体系化して提供するもの。この第1弾として、スマートコントラクトに対するセキュリティ診断サービスを展開する。診断サービスでは、スマートコントラクトのソースコードを解析する「静的解析」と、実際に攻撃などを試みて検証する「動的解析」の両面で脆弱性を洗い出すという。

 サービス対象のブロックチェーン基盤は「Ethereum」と「Hyperledger Fabric」で、他プラットフォームも今後随時追加予定。また、検証対象のプログラミング言語は「Solidity」「Go」「Java」で、他の言語については相談に応じる。この他、スマートコントラクト以外の要素の診断サービスについても順次追加していくという。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。