「ブロックチェーン」のビジネスへの活用が注目されている。ブロックチェーンとは、取引や契約などの情報を永続的で透明性の高い状態で管理できる基盤のことで、仮想通貨をはじめとした金融分野での応用が進んでいる。また、この基盤はさまざまなプログラムを稼働させることができるため、ビジネスそのものをブロックチェーンの上で展開することができる。このような特性から、金融以外の業界でもビジネスへの応用が検討されている。
ブロックチェーンでビジネスを変革していくために必要なことは何なのか?そして「セキュリティ」の観点で、留意しておくべき点はどのようなことがあるのか?NRIセキュアにおけるブロックチェーン・セキュリティの第一人者である田篭 照博(たごもり てるひろ)に話を聞いた。
著書:『ビットコイン[技術]入門』(技術評論社 2018年)、『堅牢なスマートコントラクト開発のためのブロックチェーン[技術]入門』(技術評論社 2017年)
ブロックチェーン・ビジネスの方向性
ブロックチェーン技術は、どのようなビジネスに展開されているのか
ブロックチェーンは簡単に言うと、世界中の人が利用できる「改ざんができない台帳」です。この台帳を利用して、金融取引の情報を残しておいたり、契約に関する情報を残しておいたりすることができます。
このような特性を活かして、現状では、ブロックチェーンを使ったビジネスは大きく、「仮想通貨」と「スマートコントラクト」の2つの方向性に分かれて展開されています。仮想通貨については割とイメージが理解されていると思いますが、スマートコントラクトはまだ日本ではメジャーになっていないと思います。
スマートコントラクトとは、ブロックチェーンという基盤の上で動かすことができるプログラムのことです。ビジネスロジックそのものをプログラム化して、自動で処理することができるようになります。
海外ではスマートコントラクトを使って、さまざまなサービスが出始めています。例えば、物流です。ブロックチェーンの技術を活用することで、生産者から消費者へ商品を届ける際の経路において、荷物の現在地だけでなく、商品の状態やそのときの環境などの、詳細な情報を追跡することができるようになります。これによって、責任の所在が明らかになるため、サービスの向上につながります。その結果として、消費者の視点では、「より安全に荷物が届けられる」という価値につながっていくのです。
そのほかには、ID管理基盤や、有価証券のトークン化など、いろいろな業界でのビジネス活用の研究が始まっています。
「セキュリティ」の観点での課題
ブロックチェーンをビジネスに活用する上で「セキュリティ」観点での課題は何か
スマートコントラクトは「プログラム」ですので、十分にセキュリティを考慮した設計がなされていないと、脆弱性が入り込む可能性があります。そして、その脆弱性を突かれた攻撃をされると、「経済的な損失」につながりやすい、という特徴があります。例えば、スマートコントラクトの中に、仮想通貨をデポジット(預り金として管理されているお金)しておくようなビジネスモデルだった場合、攻撃によりそれらの通貨が抜かれてしまう、といったことが起こりうるのです。
経済的損失に直接結びついた事件として、代表的なものが「The DAO事件」です。これは、イーサリアム上の分散投資のプロジェクトであった「The DAO」のシステムが狙われたもので、脆弱性を突かれて当時の価格で約52億円相当の被害が出た、という事件です。最終的にはブロックチェーンを分岐させるハードフォーク(ブロックチェーンの仕様変更)を行って事態を収束させました。
また、イーサリアムウォレットの「Parity」のマルチシグという機能(複数の秘密鍵を必要とするセキュリティを考慮した認証方法)に脆弱性が見つかったケースでは、当時の時価で約300億円以上の仮想通貨の送金等が一切できない凍結状態になりました。これも、スマートコントラクトの脆弱性に起因しています。
これらの事件は、どのようなことが根本的な原因なのか
これらの事件によくある原因は、スマートコントラクト特有の脆弱性もあるのですが、設計そのものに問題がある「ビジネスロジックの不備」に起因することもあります。アクセスコントロール不備を持つといったスマートコントラクト単体での脆弱性だけではなく、システム全体で見たときに脆弱となるような場合も挙げられます。
これらの「ビジネスロジックの不備」は、プログラムの脆弱性を診断するツールなどでは、見つけることが難しいです。きちんと「人」がビジネスのスキームを理解した上で、そこに潜む「矛盾」に気付かなければいけないのです。
「ブロックチェーン診断」とは?
「ブロックチェーン診断」とはどのようなサービスなのか
NRIセキュアのブロックチェーン診断では、自作した特製の診断ツールなども使うのですが、メインとなるのは、机上での「ビジネスロジック、あるいはシステムアーキテクチャまで踏み込んだ検証」です。お客様とディスカッションをしながら、お客様のビジネスの各種プロセスに対して攻撃シナリオを考えて、実際にその攻撃が成功するかを机上で検証をし、場合によっては実際に攻撃してみる、というサービスです。
国内では、仮想通貨取引所や、仮想通貨保管業務(カストディ業務)などのビジネスを展開されているお客様や、ICO(イニシャルコインオファリング)で資金調達をされるお客様などを対象に診断させて頂くケースが多いです。
NRIセキュアの強みは何か
お客様と対話をしながら「ビジネスロジックの穴」を見つけるなど、ビジネスの視点で実効性のあるセキュリティを提供できる点です。これを提供するにはビジネスへの知見に加えて、ベースとなる技術力も重要になってきます。
先日行われたイーサリアムのバーチャルハッカソンに参加したのですが、「MythX」というツールを使ったアプリ構築の分野で、グローバルで1位になることができました。
協業企業であるConsenSysの「MythX」のプロジェクトには、過去何度もオンラインで参加をし、開発者として貢献をしています。ブロックチェーンは、未来を大きく変える革新的なエコシステムです。その発展に貢献できているのはエンジニア冥利に尽きます。
また、先日米国の大手調査会社フォレスター・リサーチが発行した調査レポートで、クリプトカレンシー(仮想・暗号通貨)やブロックチェーン向けプログラムのアセスメントを実施するベンダーの1社として掲載されました(ニュースリリース)。NRIセキュアのブロックチェーン・セキュリティの技術力は国際的にも評価が高まっています。
ブロックチェーン・セキュリティの本質
今後、ブロックチェーンでビジネスを立ち上げる企業が留意すべきことは
鍵管理や、スマートコントラクトの脆弱性、システムアーキテクチャ、そしてビジネスロジックなど、事業の立ち上げや設計の段階から、セキュリティを考えておくことが重要です。従来のシステム上のセキュリティ対策はもちろんですが、それ以上に「ビジネスロジックに穴を作らない」という考えが必要になります。
加えて、アプリケーション単体では大丈夫でも、外部のサービスと連携するケースや、他の機能と組み合わせるケースなど、色々な要素が組み合わさったときに脆弱性が生まれるケースもあります。近視眼的にならずに、色々な角度や視点から、リスクを検証していくということが何よりも重要です。
私は6月から米国西海岸にあるNRIセキュアの北米支社に駐在しています。米国はブロックチェーンの技術や、それを応用したビジネスが最も進んでいる国です。この機会に、日本の未来のブロックチェーン・ビジネスを守ることができるよう、最先端の知識・スキルを吸収したいと思っています。
おわりに
ビジネスそのものを変革する可能性のあるブロックチェーン、米国を中心にあらゆるビジネスへの活用が検討され始めている。スマートコントラクトなどは、ビジネススキームを自由にプログラム上で表現し、自動化・効率化に貢献することができる。その一方で、プログラムへ脆弱性が入りこむことで経済的損失につながるようなセキュリティインシデントのリスクもある。
ブロックチェーンでビジネスが変わる。そんな時代には、技術力だけでなく、ビジネスロジックや業務プロセスに潜むリスクも見極められる、「ビジネスの視点」を備えたセキュリティ・プロフェッショナルが求められるのではないだろうか。
