現在注目を集めているWeb3とは、ユーザが自分の情報(データ)を自身で保持・管理し、ユーザ同士でそれらの情報をやり取りする分散型の環境を指します。一方、中央集権型のWeb2.0環境においては、データは企業や組織のプラットフォームで保持・管理され、そのプラットフォームを介してユーザに連携されてきました。Web3が実現できたのは、ブロックチェーンをはじめとした分散型技術の登場によります。昨今、これらの技術は、金融やデジタルアートの取引、身元証明等に取り入れられています。
図1:Web2.0とWeb3の概念図
Web3事業が普及する中、サービスの仕様上の脆弱性をついた悪用や、スマートコントラクト[iii]の脆弱性、ウォレット[iv]の秘密鍵管理の不備等、ブロックチェーン上の実装・運用の不備をついたインシデントが数多く報告されています。例えば、スマートコントラクトはブロックチェーン上にデータを公開後は修正ができないことや、ウォレットの秘密鍵は一度窃取されると多大な被害につながる可能性が高いことから、Web3サービスの開発においては、上流工程で脆弱性を作りこまないことが一層重要です。
◆「Web3セキュリティ総合支援」の概要
Web3事業に取り組む企業が増える一方で、Web2.0環境で行っていたセキュリティ対策をそのままWeb3環境に適用し、Web3で検討すべき観点を見落としたままサービス開発を進めているケースも少なくありません。Web3セキュリティ総合支援は、コンサルティングだけでなく独自開発のガイドラインの提供やセキュリティ診断、ソリューションの提供等、10種のサービスから構成されています(図2を参照)。これらのサービスを各社の状況に応じて提供することで、Web3のセキュリティレベル向上を総合的に支援します。
図2:「Web3セキュリティ総合支援」の全体像
Web3セキュリティ総合支援の各サービスの概要は以下の通りです。サービスの一覧表はご参考を参照ください。
1.Web3事業の上流工程を対象としたコンサルティング(図2の①~⑤に該当)
「①Web3セキュリティガバナンス企画・構築」を活用することで、Web3事業の企画・検討段階から運用開始までを見据え、セキュリティ対策の見通しを立てることができます。さらに企画・要件定義の工程では「②Web3リスク分析」として、Web3サービスにおいて不正を行うことが可能な脆弱性がないかを分析するとともに「③Web3要件定義支援」では、鍵管理や認証等の要件定義・セキュリティ設計を支援します。
DID(分散型識別子)やVC(デジタル身元証明書)の導入を検討している場合には「④DID/VC構想・設計支援」で、関連する事例の提供や技術調査、セキュリティ評価を支援します。さらに「⑤Web3外部委託・提携先へのガバナンス」として、Web3サービスを開発する際の外部委託先や利用するソリューションの安全性を評価することも可能です。
2.ブロックチェーンセキュリティガイドライン・診断(図2の⑥~⑦に該当)
「⑥ブロックチェーンセキュリティガイドライン」は、スマートコントラクトやカストディアルウォレット[v]における秘密鍵の鍵管理に関するセキュリティ要件について、ブロックチェーン診断の長年の提供実績に基づく知見を活用して、さまざまな攻撃事例とそれらに対するベストプラクティスをまとめたものです。各開発工程で実施すべき対策に重要度を設定することで、開発システムやビジネスの性質、保護する情報の重要性、公開対象の環境を考慮した判断を効率的に支援します。
「⑦ブロックチェーン診断(アーキテクチャ評価、スマートコントラクト診断)」やWeb2.0システムのガイドライン[vi]を組み合わせて利用することで、ブロックチェーンを活用したWeb3システム全体のセキュアな設計・開発を実現できます。
3.Web3ソリューション(Uni-ID Wallet Connector)(図2の⑧に該当)
分散型IDとは、スマートフォン等で利用する「デジタルアイデンティティウォレット」の中にデジタル身元証明書(VC)を保持することによって、様々なサービスの認証・身元確認に活用していくというアーキテクチャです。
「⑧Uni-ID Wallet Connector」は、国や事業者等のIdentity Provider(IdP)と呼ばれる管理主体が存在するフェデレーション型ID管理システムと分散型ID管理システムをつなぐ変換用コネクターとして機能します。既存のシステムを大きく改修することなくデジタルアイデンティティウォレットと連携したVCの発行・検証機能を実現でき、新技術を取り込んだサービスの迅速な拡充を可能にします。
Uni-ID Wallet Connectorは、NRIセキュアのフェデレーション型IdPソリューション「Uni-ID Libra」[vii]と組み合わせての利用はもちろん、単体での導入も可能です。
図3:Uni-ID Wallet Connectorを利用したシステム間接続のイメージ
4.Web3監視・運用支援(図2の⑨~⑩に該当)
「⑨Web3セキュリティ監視」として、社内で利用しているウォレットやスマートコントラクトにおいて不正が疑われる挙動がないか、ブロックチェーン上で監視するための設計・運用を支援する「外部攻撃及び内部不正検知のためのブロックチェーン監視」のほか、マネーロンダリング防止/テロ資金供与対策(AML/CFT)として、自社が提供するウォレット等でマネーロンダリング等の不正が行われていないかの監視設計と運用を支援する「AML/CFTのためのブロックチェーン監視」を提供します。
※AML/CFTのためのブロックチェーン監視は2024年度中に提供開始予定
また「⑩Web3セキュリティ運用」として、Web3サービスにおいてインシデントが発生した場合に求められる対応方針の策定等を通して、SIRT運用を支援します。こういったWeb3特有の課題にあわせて、Web3事業で行うべき監視・運用について、従来行っているセキュリティ監視、SIRT運用と合わせて支援することが可能です。
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。
◆ご参考
「Web3セキュリティ総合支援」関連サービス一覧表
このプレスリリースの付帯情報
用語解説
[i] ブロックチェーン:デジタルデータを分散型ネットワーク上で安全かつ改ざんが難しい方法で記録するための技術です。
[ii] 分散型ID技術:ユーザのアイデンティティ情報をブロックチェーン等のベースレジストリ上に分散管理し、中央の機関に依存せずに自己主権型アイデンティティを実現するものです。
[iii] スマートコントラクト:あらかじめ設定した条件に合致する取引の申請が発生すると、プログラムにより所定の契約が自動的に実行される仕組みです。
[iv] ウォレット:ブロックチェーン技術を利用して取引される、暗号資産やNFT(代替不可能なトークン)を管理するための仮想的な財布の役割を担うシステムのことです。
[v] カストディアルウォレット:ウォレット提供事業者がウォレットの管理主体となり、ウォレットの秘密鍵を事業者側のサーバで管理するものです。
[vi] Web2.0システムのガイドライン:NRIセキュアでは、Webアプリケーション、スマートフォンアプリケーション、IoT機器向けのセキュリティ開発ガイドラインも提供しています。詳細は次のWebサイトを参照ください。 (リンク »)
[vii] Uni-ID Libra:NRIセキュアが開発・提供する、BtoCサービス向け統合IAMソリューションです。詳細は次のWebサイトを参照ください。 (リンク »)
お問い合わせにつきましては発表元企業までお願いいたします。