NRIセキュア、企業におけるWeb3事業のサイバーセキュリティ向上を総合的に支援

Web3に関するコンサルティング、ガイドライン提供、診断、ソリューション等10種のサービスをラインナップ

NRIセキュアテクノロジーズ株式会社

2024-08-22 11:00

NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、ブロックチェーン[i]や分散型ID技術[ii]を活用したWeb3事業の検討段階から運用開始に至るまでを総合的に支援する「Web3セキュリティ総合支援」を、本日開始します。10種の関連サービスを通じて、安全なWeb3サービスの実現に必要なセキュリティ対策を提示し、それぞれの工程で求められる各対策の実行支援を行います。
◆Web3とは何か
現在注目を集めているWeb3とは、ユーザが自分の情報(データ)を自身で保持・管理し、ユーザ同士でそれらの情報をやり取りする分散型の環境を指します。一方、中央集権型のWeb2.0環境においては、データは企業や組織のプラットフォームで保持・管理され、そのプラットフォームを介してユーザに連携されてきました。Web3が実現できたのは、ブロックチェーンをはじめとした分散型技術の登場によります。昨今、これらの技術は、金融やデジタルアートの取引、身元証明等に取り入れられています。

図1:Web2.0とWeb3の概念図

Web3事業が普及する中、サービスの仕様上の脆弱性をついた悪用や、スマートコントラクト[iii]の脆弱性、ウォレット[iv]の秘密鍵管理の不備等、ブロックチェーン上の実装・運用の不備をついたインシデントが数多く報告されています。例えば、スマートコントラクトはブロックチェーン上にデータを公開後は修正ができないことや、ウォレットの秘密鍵は一度窃取されると多大な被害につながる可能性が高いことから、Web3サービスの開発においては、上流工程で脆弱性を作りこまないことが一層重要です。

◆「Web3セキュリティ総合支援」の概要
Web3事業に取り組む企業が増える一方で、Web2.0環境で行っていたセキュリティ対策をそのままWeb3環境に適用し、Web3で検討すべき観点を見落としたままサービス開発を進めているケースも少なくありません。Web3セキュリティ総合支援は、コンサルティングだけでなく独自開発のガイドラインの提供やセキュリティ診断、ソリューションの提供等、10種のサービスから構成されています(図2を参照)。これらのサービスを各社の状況に応じて提供することで、Web3のセキュリティレベル向上を総合的に支援します。

図2:「Web3セキュリティ総合支援」の全体像

Web3セキュリティ総合支援の各サービスの概要は以下の通りです。サービスの一覧表はご参考を参照ください。

1.Web3事業の上流工程を対象としたコンサルティング(図2の①~⑤に該当)
「①Web3セキュリティガバナンス企画・構築」を活用することで、Web3事業の企画・検討段階から運用開始までを見据え、セキュリティ対策の見通しを立てることができます。さらに企画・要件定義の工程では「②Web3リスク分析」として、Web3サービスにおいて不正を行うことが可能な脆弱性がないかを分析するとともに「③Web3要件定義支援」では、鍵管理や認証等の要件定義・セキュリティ設計を支援します。

DID(分散型識別子)やVC(デジタル身元証明書)の導入を検討している場合には「④DID/VC構想・設計支援」で、関連する事例の提供や技術調査、セキュリティ評価を支援します。さらに「⑤Web3外部委託・提携先へのガバナンス」として、Web3サービスを開発する際の外部委託先や利用するソリューションの安全性を評価することも可能です。

2.ブロックチェーンセキュリティガイドライン・診断(図2の⑥~⑦に該当)
「⑥ブロックチェーンセキュリティガイドライン」は、スマートコントラクトやカストディアルウォレット[v]における秘密鍵の鍵管理に関するセキュリティ要件について、ブロックチェーン診断の長年の提供実績に基づく知見を活用して、さまざまな攻撃事例とそれらに対するベストプラクティスをまとめたものです。各開発工程で実施すべき対策に重要度を設定することで、開発システムやビジネスの性質、保護する情報の重要性、公開対象の環境を考慮した判断を効率的に支援します。

「⑦ブロックチェーン診断(アーキテクチャ評価、スマートコントラクト診断)」やWeb2.0システムのガイドライン[vi]を組み合わせて利用することで、ブロックチェーンを活用したWeb3システム全体のセキュアな設計・開発を実現できます。

3.Web3ソリューション(Uni-ID Wallet Connector)(図2の⑧に該当)
分散型IDとは、スマートフォン等で利用する「デジタルアイデンティティウォレット」の中にデジタル身元証明書(VC)を保持することによって、様々なサービスの認証・身元確認に活用していくというアーキテクチャです。

「⑧Uni-ID Wallet Connector」は、国や事業者等のIdentity Provider(IdP)と呼ばれる管理主体が存在するフェデレーション型ID管理システムと分散型ID管理システムをつなぐ変換用コネクターとして機能します。既存のシステムを大きく改修することなくデジタルアイデンティティウォレットと連携したVCの発行・検証機能を実現でき、新技術を取り込んだサービスの迅速な拡充を可能にします。

Uni-ID Wallet Connectorは、NRIセキュアのフェデレーション型IdPソリューション「Uni-ID Libra」[vii]と組み合わせての利用はもちろん、単体での導入も可能です。

図3:Uni-ID Wallet Connectorを利用したシステム間接続のイメージ

4.Web3監視・運用支援(図2の⑨~⑩に該当)
「⑨Web3セキュリティ監視」として、社内で利用しているウォレットやスマートコントラクトにおいて不正が疑われる挙動がないか、ブロックチェーン上で監視するための設計・運用を支援する「外部攻撃及び内部不正検知のためのブロックチェーン監視」のほか、マネーロンダリング防止/テロ資金供与対策(AML/CFT)として、自社が提供するウォレット等でマネーロンダリング等の不正が行われていないかの監視設計と運用を支援する「AML/CFTのためのブロックチェーン監視」を提供します。
※AML/CFTのためのブロックチェーン監視は2024年度中に提供開始予定

また「⑩Web3セキュリティ運用」として、Web3サービスにおいてインシデントが発生した場合に求められる対応方針の策定等を通して、SIRT運用を支援します。こういったWeb3特有の課題にあわせて、Web3事業で行うべき監視・運用について、従来行っているセキュリティ監視、SIRT運用と合わせて支援することが可能です。

NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。

◆ご参考
「Web3セキュリティ総合支援」関連サービス一覧表

このプレスリリースの付帯情報

図2:「Web3セキュリティ総合支援」の全体像

用語解説

[i] ブロックチェーン:デジタルデータを分散型ネットワーク上で安全かつ改ざんが難しい方法で記録するための技術です。
[ii] 分散型ID技術:ユーザのアイデンティティ情報をブロックチェーン等のベースレジストリ上に分散管理し、中央の機関に依存せずに自己主権型アイデンティティを実現するものです。
[iii] スマートコントラクト:あらかじめ設定した条件に合致する取引の申請が発生すると、プログラムにより所定の契約が自動的に実行される仕組みです。
[iv] ウォレット:ブロックチェーン技術を利用して取引される、暗号資産やNFT(代替不可能なトークン)を管理するための仮想的な財布の役割を担うシステムのことです。
[v] カストディアルウォレット:ウォレット提供事業者がウォレットの管理主体となり、ウォレットの秘密鍵を事業者側のサーバで管理するものです。
[vi] Web2.0システムのガイドライン:NRIセキュアでは、Webアプリケーション、スマートフォンアプリケーション、IoT機器向けのセキュリティ開発ガイドラインも提供しています。詳細は次のWebサイトを参照ください。 (リンク »)
[vii] Uni-ID Libra:NRIセキュアが開発・提供する、BtoCサービス向け統合IAMソリューションです。詳細は次のWebサイトを参照ください。 (リンク »)

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]