ニュースリリース

IBM X-Force Red、ブロックチェーンのセキュリティー・テストに向けた新サービスを開始

新しいサービスが、ブロックチェーンの設計と実装におけるセキュリティーの脆弱性を明らかにし、対処を支援
2019年03月14日

TOKYO - 14 3 2019: 
2019年3月14日

 

[米国カリフォルニア州サンフランシスコ - 2019年3月5日(現地時間)発]

IBM(NYSE:IBM)のセキュリティー・チームX-Force Redは本日、新しいブロックチェーン・テスト・サービスの開始を発表しました。このサービスは、急速に成長するブロックチェーン・テクノロジーを組み込んだ幅広いソリューションの弱点を特定し、セキュリティーを強化するのに役立ちます。このサービスは、X-Force Redのペネトレーション・テスト担当者が有する、セキュリティーと開発の広範な専門知識を活用し、ブロックチェーン・ネットワークの管理に使用されるバックエンド・プロセスと、実際の台帳の環境とを評価します。

2021年までに、ブロックチェーン・ソリューションへの支出は世界全体で97億ドルに到達すると予測されており、ブロックチェーンの実装数は、あらゆる業界で急激な伸びを示す模様です。1同時に、ブロックチェーン・ネットワークはネットワーク効果によるメリットを伴うため、広範な分散型エコシステムを必然的に組織にもたらしますが、これによって、従来のアプリケーションとは異なる攻撃進路(ベクター)が生まれ、ブロックチェーンで共有されているデータを操作したり、そのデータから利益を得たりしようと試みるサイバー犯罪者に、犯行のチャンスが与えられてしまいます。

IBM X-Force Redの見解によると、ブロックチェーンを組み込んだソリューションの70%が、認証やデータ処理、API(アプリケーション・プログラミング・インターフェース)などのバックエンド・プロセスに関し、従来型のテクノロジーに依存しています。X-Force Redのブロックチェーン・テスト・サービスは、チェーンコード、公開鍵基盤、Hyperledgerを含めた、実装の全体を評価します。X-Force Redは、アクセスのコントロールとブロックチェーン・ネットワークの管理を担うバックエンド・プロセス、アプリケーション、物理ハードウェアも検証します。

IBM X-Force Redのグローバル・ヘッドであるチャールズ・ヘンダーソン(Charles Henderson)は、次のように述べています。「ブロックチェーンは、データの完全性を保護するための画期的なテクノロジーですが、だからといって、ブロックチェーンを活用するソリューションが攻撃者に対する免疫を持っているわけではありません。そのため、開発中や導入後のセキュリティー・テストは欠かせません。モバイル・アプリケーション、クラウド・コンピューティング、また、パーソナル・コンピューターについても言えますが、このようなイノベーションは、普及後になってから、セキュリティーに対するポリシーや技法の導入が必要になるのが常でした。ブロックチェーンは、このような傾向を断ち切る機会を各企業に与えています。」

企業に導入されるブロックチェーン
当初は仮想通貨の背後にあるエンジンとして作り上げられたブロックチェーン・テクノロジーでしたが、数年足らずで、ビジネス向けの利用が急激な伸びを示してきました。現在、進行中の重要な業務には、全社的にブロックチェーン・テクノロジーを使用するものも存在し、各組織は、ブロックチェーンの利用による実際の効率性やコストの節減を目の当たりにしています。

ブロックチェーン・ソリューションは、データを提供する多様なメンバーでネットワークが構成された場合、最も大きな効果を発揮します。今日の分散型IT環境では、各社が柔軟性を望んでいるため、多くの企業は自社組織内でもさまざまなインフラストラクチャー上でワークロードを稼動させています。つまり、ブロックチェーンに書き込まれるデータは、複数の相異なるデータ構造に由来し、多くのパブリック・クラウドやオンプレミスのシステムでホストされてきて、ばらばらのセキュリティー標準に従っている可能性があるということです。

ブロックチェーンによって、各企業は高い信頼性と透明性を確保しながら、相互にトランザクションを行えるようになります。企業で使用されるブロックチェーン・ネットワークは、ビジネスに重要なセキュリティー上の懸念事項を考慮していますが、それらのセキュリティー・ホールは、必ずしもブロックチェーン自体の範囲を越えるものとは限りません。ブロックチェーン技術がテクノロジーやビジネス・ソリューションの中核を占めている場合でも、相変わらずネットワーク、アプリケーション、ハードウェア、そしてそれに関わる人間が、組織をセキュリティーの脆弱性にさらす可能性を持ち続けているのです。

さまざまな企業にブロックチェーンが広く採用される環境を実現するうえで重要な次の段階は、業界標準をさらに厳格化することです。IBMはエンタープライズ・ブロックチェーンの業界リーダーとして、効果的なエンタープライズ・ブロックチェーンを安全に、規制に準拠しながら実装するのに必要な技術と基準の構築に役立つ、コードやベスト・プラクティスを積極的に提供しています。しかし、すべてのネットワークが同じ標準を遵守しているわけでも、同じベースライン・レベルのセキュリティーを必要としているわけでもありません。そのため一部の開発者は、いち早い展開と市場進出に注力するかもしれず、それが不十分なセキュリティーにつながる可能性があります。セキュリティーに関する重要な配慮を根本から築き上げなければ、ブロックチェーン・ネットワークやその関連テクノロジーをサポートするコンポーネント(API、モバイル・アプリケーション、認証メカニズムなど)が不正利用のリスクに見舞われる可能性があります。

ブロックチェーンとX-Force Red
IBMブロックチェーン・チームとの協力を通じて、X-Force Redはアーキテクチャー、運用、展開に関する観点から専門知識を共有し、ブロックチェーン・ネットワークをサポートするテクノロジー・スタック内に潜んでいるセキュリティー・リスクを把握できます。X-Force Redチームの技能や経験に、業界をリードするIBMブロックチェーン・ビジネスを合わせることで、お客様がネットワーク設計からブロックチェーン・ソリューションの導入に至るエンタープライズ級の実装を安全に実行できるようにします。

これには、IBMブロックチェーンの実装およびIBM関連会社以外が実行する実装の第三者的なテストが含まれます。

IoT、つながる車、ブロックチェーンなどの新たなテクノロジーにセキュリティー上の問題を認識しているX-Force Redは、セキュリティー・テストの提供を変更しました。製品のライフサイクル全体を通じて実行される、プログラムによるスケーラブルで継続的なセキュリティー・テストが、プロアクティブに脆弱性を検出する最善の方法として台頭してきています。ブロックチェーンを採用する企業は、X-Force Redが持つセキュリティー、開発、「攻撃者のマインドセット」に関する専門知識を活用し、開発および展開の全期間を通じて支援を受けることができます。

X-Force Redの構成員には、犯罪者が使用するものと同じツール、テクニック、方法、マインドセットを活用して、ブロックチェーン・ネットワークへ侵入できるハッカーがいます。脆弱性評価、脆弱性管理プログラム、敵対者のシミュレーション・エクササイズ、手動による侵入テストにより、X-Force Redは犯罪者が発見する前に脆弱性を特定して修正できるよう組織を支援します。

典型的なブロックチェーン・テストに携わる間、X-Force Redは以下を評価します。

  • IDおよびアクセス – アクセスはブロックチェーンの鍵として考えられることから、X-Force Redはブロックチェーンへアクセスする、またはブロックチェーンへ情報を追加するための許可がどのように管理されているかについて評価します。これには、パスワード・ポリシー、ブルート・フォース・アタックへの耐性、2要素認証の実装などが含まれます。
  • 公開鍵基盤(PKI) – ブロックチェーン・ネットワークに関連するデジタル認証およびデジタル鍵を安全に作成、管理、配布することは、データの完全性を確保するうえで不可欠です。
  • スマート・コントラクトの欠陥 - 「チェーンコード」とも呼ばれるスマート・コントラクトでは、ブロックチェーンの参加者が第三者の介在なしに契約を履行できますが、適切な侵入テストを行うことでそれらの契約に内在する、悪用可能な欠陥を発見できます。
  • ソフトウェア・サプライ・チェーンへの攻撃 – 共通のライブラリーやコンポーネントの依存関係に対するハッキングを設計時や実装時にテストすることで、セキュアな依存関係のシグネチャを確保し、信頼できるビルド・パイプラインを担保できます。

2017年、X-Force Redは、セキュリティー・テストのプログラムをエンドツーエンドに可視化(US)できるクラウド・ベースのコミュニケーションおよびコラボレーション・プラットフォーム「The Red Portal(US)」を、お客様およびセキュリティー専門家向けに発表しました。お客様はいつでもテストの実施状況を把握し、テスト担当者による脆弱性の発見をすべての資産について即座にチェックし、推奨される是正措置に関するレポートを確認することができます。The Red PortalではX-Force Redとのあらゆるコミュニケーションが一元化され、簡素化されるため、極めて重大な脆弱性の修復にただちに取り掛かることができます。ブロックチェーン管理者にとって最も重要なポイントは、いついかなる時(ブロックチェーンの運用中であっても)、いかなる理由でもX-Force Redとセキュリティー・テストのスケジュールを組み、テスト担当者と直接やりとりしていただける点です。

米サンフランシスコのモスコーニ・センター(ノース・ホール、ブース#5759)で、3月4日から8日にかけて、X-Force Redとその他のIBMセキュリティーのエキスパートによって最新の製品・サービスのデモが行われます。

X-Force Redによるブロックチェーンのセキュリティー・テストの実施について詳しくは、https://www.ibm.com/security/services/blockchain-testing(US)をご覧ください。

「New IDC Spending Guide Sees Worldwide Blockchain Spending Growing to $9.7 Billion in 2021」、2018年1月(US)

IBMセキュリティーについて
IBMセキュリティーは、エンタープライズ・セキュリティー製品とサービスを集結した最先端といわれるポートフォリオを提供しています。世界的に有名なIBM X-Force®の調査に裏付けられたポートフォリオにより、組織はリスクの管理、新たな脅威に対する備えを効果的に行うことができます。IBMは、セキュリティーの研究・開発、デリバリーを行う世界最大級の組織を運営し、130を超える国で毎日700億件のセキュリティー・イベントを監視しています。また、世界中で保有するセキュリティー関連の特許は10,000を超えています。詳しくは、www.ibm.com/security(US)、Twitter(@IBMSecurity)、または IBMセキュリティー・インテリジェンスのブログ(US)をご覧ください。

当報道資料は、2019年3月5日(現地時間)にIBM Corporationが発表したプレスリリースの抄訳です。原文は下記URLを参照ください。
https://newsroom.ibm.com/2019-03-050-IBM-X-Force-Red-Launches-New-Service-for-Blockchain-Security-Testing(US)

Release Categories

プレスリリース、各種取材のお申込みに関するお問い合わせ先(報道関係者様専用窓口)

※報道関係者様以外からのお問い合わせは受け付けておりませんのでご了承ください。

日本IBM 広報代表

電話: 03-3808-5120

e-mail: PRESSREL@jp.ibm.com

 

その他お問い合わせ窓口一覧