見出し画像

相次ぐ流出事件、スマートコントラクト監査が目指すもの(コラム)

【note版】Web3ポケットキャンパス

2022年には数百億円規模の暗号資産(仮想通貨)が流出する被害が発生しており、その原因の一つにスマートコントラクトの脆弱性が挙げられます。対策として、スマートコントラクトを外部機関に監査してもらうという方法があります。国内外の様々な企業に対し、「スマートコントラクト診断(ブロックチェーン診断)」を展開するNRIセキュアテクノロジーズ株式会社(NRIセキュア)に、スマートコントラクト監査の今を聞きました。


ブロックチェーン技術の革新を進めるために

――スマートコントラクト診断を始めたきっかけを教えてください。

NRIセキュア:ブロックチェーン技術を通じた革新の可能性に高揚感を抱いていましたが、The DAO事件(2016年)をはじめとするセキュリティ上の事件が起きたことでブロックチェーンが冷ややかにされ、革新を進めることができずにいるのは、IT技術者としてもセキュリティに関わる人間としても、受け入れがたい状況でした。また、このような新しい技術を利用する場合、信頼できる相談相手がいないことが、顧客にとって最大の悩みであると考えられます。「ブロックチェーンセキュリティについては、NRIセキュアに相談すればいいと思われる存在になりたい」という思いから、2017年にスマートコントラクト診断を始めました。スマートコントラクト診断以外にも、アーキテクチャ評価というサービスも展開しており、トータルでサポートできるのがNRIセキュアの強みだと思います。アーキテクチャ評価では、秘密鍵を管理するウォレットの設計・運用方式やWebアプリケーション・サーバといった個々の要素のセキュリティ対策状況などシステムアーキテクチャ全体を俯瞰(ふかん)し、外部・内部犯行それぞれの視点で不正トランザクションへの耐性が担保されているかを評価しています。

――スマートコントラクト診断をどのようにして行っているのでしょうか。

NRIセキュア:お客様のスマートコントラクトに対して、各種脅威を想定した観点でセキュリティ上の問題がないかを評価します。具体的には、ソースコードを解析して問題を発見するとともに、危険性を正しく評価するため、弊社プライベートネットワークで発見した問題を実際に攻撃して悪用可能かどうかも確認しています。診断観点については、世の中で整理されているスマートコントラクトのセキュリティプラクティスをベースに、弊社独自の診断項目を用意しています。また、ブロックチェーンやスマートコントラクトに関する最新動向をウォッチし、新しい攻撃手法や対策観点が出てきた場合は評価観点として取り込んでいます。発見した問題については、修正方法も含めてお客様に報告しています。お客様側で修正した後に問題が解消しているか確認するために、再診断を行うことも可能です。

スマートコントラクトの主な脅威(出典:NRIセキュアテクノロジーズ株式会社)

――2017年にスマートコントラクト診断を始めてから今日まで、お客様の要望に変化はありますか。

NRIセキュア:ブロックチェーンのブームと比例していると思います。事業開始当初はICOに関する相談が多かったです。2020年にSTの位置付けを明確化にした改正金融商品取引法が施行されてからは、STやSTOに関する相談が増えました。最近は大手企業も含めてNFTの導入が増えた関係で、NFTに関する相談も増えています。

開発者に技術支援と意識の浸透を

――国内にはスマートコントラクト監査事業をしている企業はまだ多くはありませんが、今後、どのように市場が変わっていくと思いますか。

NRIセキュア:Web3のブームを受け、Web3やブロックチェーンに関わる事業開発を進める企業が増えています。そうなるとスマートコントラクト監査も、これまで以上に需要が高まっていくと見ています。

――スマートコントラクトの課題をどのように感じていますか。

NRIセキュア:現在、ブロックチェーンを活用したサービスの被害が相次いでいますが、スマートコントラクトが原因になっているケースも多く、セキュリティ面の課題は多い状況にあると思います。例えば、従来のWebアプリケーションなどの技術と比べて開発におけるセキュリティプラクティスが整備されておらず、開発時にセキュリティ面において何を拠り所とすべきか分かりづらいといった課題があるかと思います。私たちとしても、セキュリティ診断やスマートコントラクトセキュリティに関する情報発信などによって、スマートコントラクトやブロックチェーン活用サービスのセキュリティ向上に貢献できればと考えています。

――開発者だけでなく、ブロックチェーン技術を用いたサービスを提供する企業・自治体に対し、監査をする側から見て、どのような意識をもって行動してほしいと思いますか?

NRIセキュア:昨今のブロックチェーン関連の被害事例を見ても、スマートコントラクトの脆弱性だけでなく、秘密鍵の漏えいやガバナンスの不備など、被害の原因となる要素は多岐に渡ります。もちろん、スマートコントラクトの脆弱性対策もとても重要な対策要素の一つですが、サービス全体のセキュリティを考える上では、システム全体を俯瞰して多層防御の観点で必要となる対策を分析、講じることが重要であると考えます。

――スマートコントラクト診断に関わる中で、どんなことに面白さややりがいを感じていますか。

NRIセキュア:スマートコントラクトならではの言語や仕様や脆弱性に触れられることに面白さを感じています。また、何か一つでも脆弱性があると数百億円規模の資金が流出するというとんでもない被害が起きてしまうので、セキュリティを守ることの使命感もあります。そのような問題につながる脆弱性を発見した際やお客様から感謝の御言葉をいただいた際は、とてもやりがいを感じます。

取材協力:NRIセキュアテクノロジーズ株式会社

野村総合研究所グループのサイバーセキュリティ専門企業として2000年に設立。コンサルティングから診断、マネージドセキュリティサービス・SOC、セキュリティ教育・研修、セキュリティソリューションの5つのサービスカテゴリーで、情報セキュリティに関わるあらゆる課題の解決を支援しています。セキュリティ診断として、Webアプリケーション診断やプラットフォーム診断、ブロックチェーン診断、クラウド設定評価サービスなど、ユーザーのニーズに合わせて様々な診断を展開しています。

Web3ポケットキャンパスはスマホアプリでも学習ができます。
アプリではnote版にはない「クイズ」と「学習履歴」の機能もあり、
よりWeb3学習を楽しく続けられます。

ぜひご利用ください。

▼スマホアプリインストールはこちら

この記事が気に入ったらサポートをしてみませんか?