ブロックチェーン診断

NRIセキュアテクノロジーズ株式会社  2017年07月04日

ブロックチェーンを構成するいくつかの要素(スマートコントラクト、プラットフォーム接続部、DApps等)に対して、ブロックチェーンならではの観点でセキュリティ診断を実施し、ブロックチェーンセキュリティに対する懸念を低減

製品概要

IoTやAIと並び、ブロックチェーンを活用したビジネス展開が広がりをみせています。
一方で、ブロックチェーンは新しい技術領域であるためにどのようにしてセキュリティを担保すべきかお悩みの方々も多いのが現状です。
実際に、ブロックチェーンは改ざんされにくいなどのメリットがある一方、従来のシステムと異なった観点でセキュリティを考慮しなければならないという側面があります。
そこで、弊社ではお客様がブロックチェーン技術を利用したビジネスを推進する上でのセキュリティ向上にご活用いただきたく、ブロックチェーン診断サービスを提供します。

【ブロックチェーン診断サービス概要】
ブロックチェーンでは様々な技術要素で構成されており、要素毎にセキュリティ観点が異なります。
1.スマートコントラクト
2.ブロックチェーンプラットフォーム接続部
3.DApps/独自アプリケーション
4.ブロックチェーンプラットフォーム設定(※コンソーシアム型の場合)

ブロックチェーン診断では要素毎に各種セキュリティ診断(評価・提言含む)を実施します。
※2017年7月時点でのサービス提供はスマートコントラクト診断のみで今後拡充予定。


【診断メニュー】
●スマートコントラクト診断
ブロックチェーンを活用したシステムにおいては、スマートコントラクトを活用するのが一般的です。スマートコントラクトは常に攻撃者に晒されており、脆弱性が存在する場合には不正な操作をされてしまうなどの危険性があります。
例えば、パブリックブロックチェーンであるEthereumではスマートコントラクトの脆弱性を突かれ、スマートコントラクト内に保持された仮想通貨(Ether)が大量に流出したという事件がありました。スマートコントラクトには従来のWebアプリケーションやスマートフォンアプリケーションに適用されるセキュアコーディングプラクティスとは異なるセキュリティプラクティスがあり、それを知らないままにスマートコントラクトを実装した場合、リリース後に攻撃されてしまうという事が起こりえます。

また、スマートコントラクトは一度ブロックチェーン上に流してしまうと修正が出来ないため、従来のシステムよりもリリース前に如何に脆弱性を潰し込めるかという点が重要なポイントです。ブロックチェーン診断では脆弱性を抱えたスマートコントラクトを実装していないか弊社独自の観点でセキュリティ診断を実施します。

スマートコントラクトに対して、ソースコードの静的解析(主)と動的解析(従)を組み合わせることで静的解析をトリガに問題点を検出し、弊社プライベートネット内で動的解析による追認を行い、高精度の診断を実施。
GIAC認定セキュアコーディングプログラマを証明する資格であるGSSPを有し、かつ、ブロックチェーンとスマートコントラクトに精通したエンジニアが担当。


【対象プラットフォーム】
・Ethereum
・Hyperldger Fabric
※その他プラットフォームに関しては要相談
 対象プラットフォームは随時拡大予定


【対象言語】
・Solidity
・Go
・Java
※その他言語に関しても応相談

特徴

・弊社独自の診断項目にもとづき、各種脅威を想定した観点でスマートコントラクトに対する診断を実施
・主に海外で整理されているスマートコントラクトのセキュリティプラクティスをベースに弊社独自の診断項目を準備
・スマートコントラクト独自の脆弱性が潜んでいないか確認
・その他オーバーフロー脆弱性などの一般的なセキュアコーディング観点の脆弱性診断も併せて実施
・スマートコントラクト開発前後のアドバイスも可能
※関連特許出願中