製品概要
IoTやAIと並び、ブロックチェーンを活用したビジネス展開が広がりをみせています。
一方で、ブロックチェーンは新しい技術領域であるためにどのようにしてセキュリティを担保すべきかお悩みの方々も多いのが現状です。
実際に、ブロックチェーンは改ざんされにくいなどのメリットがある一方、従来のシステムと異なった観点でセキュリティを考慮しなければならないという側面があります。
ブロックチェーンでは様々な技術要素で構成されており、要素毎にセキュリティ観点が異なります。
1.スマートコントラクト
2.ブロックチェーンプラットフォーム接続部
3.DApps/独自クライアントアプリ
4.ブロックチェーンプラットフォーム設定(※コンソーシアム型の場合)
ブロックチェーン診断では要素毎に各種セキュリティ診断(評価・提言含む)を実施します。
※2018年5月時点でのサービス提供はスマートコントラクト診断とブロックチェーンプラットフォーム接続部(アーキテクチャ評価)のみ。今後拡充予定。
<診断メニュー>
■スマートコントラクト診断
スマートコントラクトに対して、ソースコードの静的解析(主)と動的解析(従)を組み合わせることで静的解析をトリガに問題点を検出し、弊社プライベートネット内で動的解析による追認を行い、高精度の診断を実施
■アーキテクチャ評価
マルチシグやコールドウォレットといったブロックチェーンならではの対策が適切になされているかや、Webアプリケーション、サーバ、ネットワークレベルでの個々の対策を評価。その上で、システム・アーキテクチャ全体を俯瞰した多層防御の観点で不正トランザクションへの耐性が担保されているかというリスクベースでの評価を外部・内部犯行それぞれの視点で実施
特徴
・弊社独自の診断項目にもとづき、各種脅威を想定した観点でスマートコントラクトに対する診断を実施
・主に海外で整理されているスマートコントラクトのセキュリティプラクティスをベースに弊社独自の診断項目を準備
・スマートコントラクト独自の脆弱性が潜んでいないか確認
・その他オーバーフロー脆弱性などの一般的なセキュアコーディング観点の脆弱性診断も併せて実施
・スマートコントラクト開発前後のアドバイスも可能 ※関連特許出願中
・マルチシグやコールドウォレットの採用といったブロックチェーンならではのセキュリティ対策が適切になされているかを評価
・Webアプリケーション、サーバといった個々の要素の対策を評価
・ネットワークレベルでのアクセスコントロールを鑑みた侵入経路を想定
・サーバや担当者の端末に侵入されるという前提にたち、システム・アーキテクチャと運用設計を多層防御の観点で評価(リスクベースアプローチ)
・設計書をご連携いただき、主に机上ベースでの評価。(評価の後、実機検証も可能)
・設計前後のアドバイスも可能
