NRIセキュア、企業におけるWeb3事業のサイバーセキュリティ向上を総合的に支援
[24/08/23]
提供元:PRTIMES
提供元:PRTIMES
Web3に関するコンサルティング、ガイドライン提供、診断、ソリューション等10種のサービスをラインナップ
NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、ブロックチェーン[i]や分散型ID技術[ii]を活用したWeb3事業の検討段階から運用開始に至るまでを総合的に支援する「Web3セキュリティ総合支援」を、本日開始します。10種の関連サービスを通じて、安全なWeb3サービスの実現に必要なセキュリティ対策を提示し、それぞれの工程で求められる各対策の実行支援を行います。
Web3とは何か
現在注目を集めているWeb3とは、ユーザが自分の情報(データ)を自身で保持・管理し、ユーザ同士でそれらの情報をやり取りする分散型の環境を指します。一方、中央集権型のWeb2.0環境においては、データは企業や組織のプラットフォームで保持・管理され、そのプラットフォームを介してユーザに連携されてきました。Web3が実現できたのは、ブロックチェーンをはじめとした分散型技術の登場によります。昨今、これらの技術は、金融やデジタルアートの取引、身元証明等に取り入れられています。
図1:Web2.0とWeb3の概念図
[画像1: https://prcdn.freetls.fastly.net/release_image/52432/149/52432-149-0447334dd3635996b11d0b60694b2e90-857x391.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
Web3事業が普及する中、サービスの仕様上の脆弱性をついた悪用や、スマートコントラクト[iii]の脆弱性、ウォレット[iv]の秘密鍵管理の不備等、ブロックチェーン上の実装・運用の不備をついたインシデントが数多く報告されています。例えば、スマートコントラクトはブロックチェーン上にデータを公開後は修正ができないことや、ウォレットの秘密鍵は一度窃取されると多大な被害につながる可能性が高いことから、Web3サービスの開発においては、上流工程で脆弱性を作りこまないことが一層重要です。
「Web3セキュリティ総合支援」の概要
Web3事業に取り組む企業が増える一方で、Web2.0環境で行っていたセキュリティ対策をそのままWeb3環境に適用し、Web3で検討すべき観点を見落としたままサービス開発を進めているケースも少なくありません。Web3セキュリティ総合支援は、コンサルティングだけでなく独自開発のガイドラインの提供やセキュリティ診断、ソリューションの提供等、10種のサービスから構成されています(図2を参照)。これらのサービスを各社の状況に応じて提供することで、Web3のセキュリティレベル向上を総合的に支援します。
図2:「Web3セキュリティ総合支援」の全体像
[画像2: https://prcdn.freetls.fastly.net/release_image/52432/149/52432-149-39c854c938d07aee0d29fbe95a1d1a36-1126x529.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
Web3セキュリティ総合支援の各サービスの概要は以下の通りです。サービスの一覧表はご参考を参照ください。
1.Web3事業の上流工程を対象としたコンサルティング(図2の1.〜5.に該当)
「1.Web3セキュリティガバナンス企画・構築」を活用することで、Web3事業の企画・検討段階から運用開始までを見据え、セキュリティ対策の見通しを立てることができます。さらに企画・要件定義の工程では「2.Web3リスク分析」として、Web3サービスにおいて不正を行うことが可能な脆弱性がないかを分析するとともに「3.Web3要件定義支援」では、鍵管理や認証等の要件定義・セキュリティ設計を支援します。
DID(分散型識別子)やVC(デジタル身元証明書)の導入を検討している場合には「4.DID/VC構想・設計支援」で、関連する事例の提供や技術調査、セキュリティ評価を支援します。さらに「5.Web3外部委託・提携先へのガバナンス」として、Web3サービスを開発する際の外部委託先や利用するソリューションの安全性を評価することも可能です。
2.ブロックチェーンセキュリティガイドライン・診断(図2の6.〜7.に該当)
「6.ブロックチェーンセキュリティガイドライン」は、スマートコントラクトやカストディアルウォレット[v]における秘密鍵の鍵管理に関するセキュリティ要件について、ブロックチェーン診断の長年の提供実績に基づく知見を活用して、さまざまな攻撃事例とそれらに対するベストプラクティスをまとめたものです。各開発工程で実施すべき対策に重要度を設定することで、開発システムやビジネスの性質、保護する情報の重要性、公開対象の環境を考慮した判断を効率的に支援します。
「7.ブロックチェーン診断(アーキテクチャ評価、スマートコントラクト診断)」やWeb2.0システムのガイドライン[vi]を組み合わせて利用することで、ブロックチェーンを活用したWeb3システム全体のセキュアな設計・開発を実現できます。
3.Web3ソリューション(Uni-ID Wallet Connector)(図2の8.に該当)
分散型IDとは、スマートフォン等で利用する「デジタルアイデンティティウォレット」の中にデジタル身元証明書(VC)を保持することによって、様々なサービスの認証・身元確認に活用していくというアーキテクチャです。
「8.Uni-ID Wallet Connector」は、国や事業者等のIdentity Provider(IdP)と呼ばれる管理主体が存在するフェデレーション型ID管理システムと分散型ID管理システムをつなぐ変換用コネクターとして機能します。既存のシステムを大きく改修することなくデジタルアイデンティティウォレットと連携したVCの発行・検証機能を実現でき、新技術を取り込んだサービスの迅速な拡充を可能にします。Uni-ID Wallet Connectorは、NRIセキュアのフェデレーション型IdPソリューション「Uni-ID Libra」[vii]と組み合わせての利用はもちろん、単体での導入も可能です。
図3:Uni-ID Wallet Connectorを利用したシステム間接続のイメージ
[画像3: https://prcdn.freetls.fastly.net/release_image/52432/149/52432-149-962688921ef6464f2ac2f520b1a38c9e-1981x1311.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
4.Web3監視・運用支援(図2の9.~10.に該当)
「9.Web3セキュリティ監視」として、社内で利用しているウォレットやスマートコントラクトにおいて不正が疑われる挙動がないか、ブロックチェーン上で監視するための設計・運用を支援する「外部攻撃及び内部不正検知のためのブロックチェーン監視」のほか、マネーロンダリング防止/テロ資金供与対策(AML/CFT)として、自社が提供するウォレット等でマネーロンダリング等の不正が行われていないかの監視設計と運用を支援する「AML/CFTのためのブロックチェーン監視」を提供します。
※AML/CFTのためのブロックチェーン監視は2024年度中に提供開始予定
また「10.Web3セキュリティ運用」として、Web3サービスにおいてインシデントが発生した場合に求められる対応方針の策定等を通して、SIRT運用を支援します。こういったWeb3特有の課題にあわせて、Web3事業で行うべき監視・運用について、従来行っているセキュリティ監視、SIRT運用と合わせて支援することが可能です。
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。
[i] ブロックチェーン:デジタルデータを分散型ネットワーク上で安全かつ改ざんが難しい方法で記録するための技術です。
[ii] 分散型ID技術:ユーザのアイデンティティ情報をブロックチェーン等のベースレジストリ上に分散管理し、中央の機関に依存せずに自己主権型アイデンティティを実現するものです。
[iii] スマートコントラクト:あらかじめ設定した条件に合致する取引の申請が発生すると、プログラムにより所定の契約が自動的に実行される仕組みです。
[iv] ウォレット:ブロックチェーン技術を利用して取引される、暗号資産やNFT(代替不可能なトークン)を管理するための仮想的な財布の役割を担うシステムのことです。
[v] カストディアルウォレット:ウォレット提供事業者がウォレットの管理主体となり、ウォレットの秘密鍵を事業者側のサーバで管理するものです。
[vi] Web2.0システムのガイドライン:NRIセキュアでは、Webアプリケーション、スマートフォンアプリケーション、IoT機器向けのセキュリティ開発ガイドラインも提供しています。詳細は次のWebサイトを参照ください。https://www.nri-secure.co.jp/service/assessment/guideline
[vii] Uni-ID Libra:NRIセキュアが開発・提供する、BtoCサービス向け統合IAMソリューションです。詳細は次のWebサイトを参照ください。https://www.nri-secure.co.jp/service/solution/uni-id_libra
【ご参考】
「Web3セキュリティ総合支援」関連サービス一覧表
[画像4: https://prcdn.freetls.fastly.net/release_image/52432/149/52432-149-5698f8bdfb3c3368b9374ef1b6a67ea4-792x918.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
※表内のURLはこちらを参照ください
6.ブロックチェーンセキュリティガイドライン
https://www.nri-secure.co.jp/service/assessment/guideline
7.ブロックチェーン診断
・アーキテクチャ評価 https://www.nri-secure.co.jp/service/assessment/blockchain
・スマートコントラクト診断 https://www.nri-secure.co.jp/service/assessment/blockchain_smartcontract
8.Web3ツール導入・構築
・Uni-ID Wallet Connector https://www.nri-secure.co.jp/service/solution/uni-id-wallet-connector
・Walletech https://www.nri.com/jp/news/info/cc/lst/2023/0803_1
NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、ブロックチェーン[i]や分散型ID技術[ii]を活用したWeb3事業の検討段階から運用開始に至るまでを総合的に支援する「Web3セキュリティ総合支援」を、本日開始します。10種の関連サービスを通じて、安全なWeb3サービスの実現に必要なセキュリティ対策を提示し、それぞれの工程で求められる各対策の実行支援を行います。
Web3とは何か
現在注目を集めているWeb3とは、ユーザが自分の情報(データ)を自身で保持・管理し、ユーザ同士でそれらの情報をやり取りする分散型の環境を指します。一方、中央集権型のWeb2.0環境においては、データは企業や組織のプラットフォームで保持・管理され、そのプラットフォームを介してユーザに連携されてきました。Web3が実現できたのは、ブロックチェーンをはじめとした分散型技術の登場によります。昨今、これらの技術は、金融やデジタルアートの取引、身元証明等に取り入れられています。
図1:Web2.0とWeb3の概念図
[画像1: https://prcdn.freetls.fastly.net/release_image/52432/149/52432-149-0447334dd3635996b11d0b60694b2e90-857x391.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
Web3事業が普及する中、サービスの仕様上の脆弱性をついた悪用や、スマートコントラクト[iii]の脆弱性、ウォレット[iv]の秘密鍵管理の不備等、ブロックチェーン上の実装・運用の不備をついたインシデントが数多く報告されています。例えば、スマートコントラクトはブロックチェーン上にデータを公開後は修正ができないことや、ウォレットの秘密鍵は一度窃取されると多大な被害につながる可能性が高いことから、Web3サービスの開発においては、上流工程で脆弱性を作りこまないことが一層重要です。
「Web3セキュリティ総合支援」の概要
Web3事業に取り組む企業が増える一方で、Web2.0環境で行っていたセキュリティ対策をそのままWeb3環境に適用し、Web3で検討すべき観点を見落としたままサービス開発を進めているケースも少なくありません。Web3セキュリティ総合支援は、コンサルティングだけでなく独自開発のガイドラインの提供やセキュリティ診断、ソリューションの提供等、10種のサービスから構成されています(図2を参照)。これらのサービスを各社の状況に応じて提供することで、Web3のセキュリティレベル向上を総合的に支援します。
図2:「Web3セキュリティ総合支援」の全体像
[画像2: https://prcdn.freetls.fastly.net/release_image/52432/149/52432-149-39c854c938d07aee0d29fbe95a1d1a36-1126x529.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
Web3セキュリティ総合支援の各サービスの概要は以下の通りです。サービスの一覧表はご参考を参照ください。
1.Web3事業の上流工程を対象としたコンサルティング(図2の1.〜5.に該当)
「1.Web3セキュリティガバナンス企画・構築」を活用することで、Web3事業の企画・検討段階から運用開始までを見据え、セキュリティ対策の見通しを立てることができます。さらに企画・要件定義の工程では「2.Web3リスク分析」として、Web3サービスにおいて不正を行うことが可能な脆弱性がないかを分析するとともに「3.Web3要件定義支援」では、鍵管理や認証等の要件定義・セキュリティ設計を支援します。
DID(分散型識別子)やVC(デジタル身元証明書)の導入を検討している場合には「4.DID/VC構想・設計支援」で、関連する事例の提供や技術調査、セキュリティ評価を支援します。さらに「5.Web3外部委託・提携先へのガバナンス」として、Web3サービスを開発する際の外部委託先や利用するソリューションの安全性を評価することも可能です。
2.ブロックチェーンセキュリティガイドライン・診断(図2の6.〜7.に該当)
「6.ブロックチェーンセキュリティガイドライン」は、スマートコントラクトやカストディアルウォレット[v]における秘密鍵の鍵管理に関するセキュリティ要件について、ブロックチェーン診断の長年の提供実績に基づく知見を活用して、さまざまな攻撃事例とそれらに対するベストプラクティスをまとめたものです。各開発工程で実施すべき対策に重要度を設定することで、開発システムやビジネスの性質、保護する情報の重要性、公開対象の環境を考慮した判断を効率的に支援します。
「7.ブロックチェーン診断(アーキテクチャ評価、スマートコントラクト診断)」やWeb2.0システムのガイドライン[vi]を組み合わせて利用することで、ブロックチェーンを活用したWeb3システム全体のセキュアな設計・開発を実現できます。
3.Web3ソリューション(Uni-ID Wallet Connector)(図2の8.に該当)
分散型IDとは、スマートフォン等で利用する「デジタルアイデンティティウォレット」の中にデジタル身元証明書(VC)を保持することによって、様々なサービスの認証・身元確認に活用していくというアーキテクチャです。
「8.Uni-ID Wallet Connector」は、国や事業者等のIdentity Provider(IdP)と呼ばれる管理主体が存在するフェデレーション型ID管理システムと分散型ID管理システムをつなぐ変換用コネクターとして機能します。既存のシステムを大きく改修することなくデジタルアイデンティティウォレットと連携したVCの発行・検証機能を実現でき、新技術を取り込んだサービスの迅速な拡充を可能にします。Uni-ID Wallet Connectorは、NRIセキュアのフェデレーション型IdPソリューション「Uni-ID Libra」[vii]と組み合わせての利用はもちろん、単体での導入も可能です。
図3:Uni-ID Wallet Connectorを利用したシステム間接続のイメージ
[画像3: https://prcdn.freetls.fastly.net/release_image/52432/149/52432-149-962688921ef6464f2ac2f520b1a38c9e-1981x1311.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
4.Web3監視・運用支援(図2の9.~10.に該当)
「9.Web3セキュリティ監視」として、社内で利用しているウォレットやスマートコントラクトにおいて不正が疑われる挙動がないか、ブロックチェーン上で監視するための設計・運用を支援する「外部攻撃及び内部不正検知のためのブロックチェーン監視」のほか、マネーロンダリング防止/テロ資金供与対策(AML/CFT)として、自社が提供するウォレット等でマネーロンダリング等の不正が行われていないかの監視設計と運用を支援する「AML/CFTのためのブロックチェーン監視」を提供します。
※AML/CFTのためのブロックチェーン監視は2024年度中に提供開始予定
また「10.Web3セキュリティ運用」として、Web3サービスにおいてインシデントが発生した場合に求められる対応方針の策定等を通して、SIRT運用を支援します。こういったWeb3特有の課題にあわせて、Web3事業で行うべき監視・運用について、従来行っているセキュリティ監視、SIRT運用と合わせて支援することが可能です。
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。
[i] ブロックチェーン:デジタルデータを分散型ネットワーク上で安全かつ改ざんが難しい方法で記録するための技術です。
[ii] 分散型ID技術:ユーザのアイデンティティ情報をブロックチェーン等のベースレジストリ上に分散管理し、中央の機関に依存せずに自己主権型アイデンティティを実現するものです。
[iii] スマートコントラクト:あらかじめ設定した条件に合致する取引の申請が発生すると、プログラムにより所定の契約が自動的に実行される仕組みです。
[iv] ウォレット:ブロックチェーン技術を利用して取引される、暗号資産やNFT(代替不可能なトークン)を管理するための仮想的な財布の役割を担うシステムのことです。
[v] カストディアルウォレット:ウォレット提供事業者がウォレットの管理主体となり、ウォレットの秘密鍵を事業者側のサーバで管理するものです。
[vi] Web2.0システムのガイドライン:NRIセキュアでは、Webアプリケーション、スマートフォンアプリケーション、IoT機器向けのセキュリティ開発ガイドラインも提供しています。詳細は次のWebサイトを参照ください。https://www.nri-secure.co.jp/service/assessment/guideline
[vii] Uni-ID Libra:NRIセキュアが開発・提供する、BtoCサービス向け統合IAMソリューションです。詳細は次のWebサイトを参照ください。https://www.nri-secure.co.jp/service/solution/uni-id_libra
【ご参考】
「Web3セキュリティ総合支援」関連サービス一覧表
[画像4: https://prcdn.freetls.fastly.net/release_image/52432/149/52432-149-5698f8bdfb3c3368b9374ef1b6a67ea4-792x918.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
※表内のURLはこちらを参照ください
6.ブロックチェーンセキュリティガイドライン
https://www.nri-secure.co.jp/service/assessment/guideline
7.ブロックチェーン診断
・アーキテクチャ評価 https://www.nri-secure.co.jp/service/assessment/blockchain
・スマートコントラクト診断 https://www.nri-secure.co.jp/service/assessment/blockchain_smartcontract
8.Web3ツール導入・構築
・Uni-ID Wallet Connector https://www.nri-secure.co.jp/service/solution/uni-id-wallet-connector
・Walletech https://www.nri.com/jp/news/info/cc/lst/2023/0803_1