ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

本当に安全か Hyperledger Fablicに潜む「不正な操作」を行える可能性(2/2 ページ)

» 2018年10月30日 08時00分 公開
[高橋睦美ITmedia]
前のページへ 1|2       

過去の経験に学び、コミュニティー全体で対策に向けた議論を

 問題は、この仕組みが本当に安全なのかどうなのかということです。SynopsysがTineolaを開発し、オープンソースとして公表した背景には、「エンタープライズブロックチェーンプラットフォーム上に構築されたアプリケーションがどんな問題を抱えているか、安全かどうかを人々が確認できるか」という問題意識があったといいます。

 事実、ビーン氏やリーデセル氏らSynopsysのリサーチチームがTineolaを用いてHyperledger Fablicを解析したところ、残念ながらいくつかの問題が明らかになったそうです。

 Webアプリケーションを介し、Hyperledger Fablicで構築されたファブリックネットワークの中のコードの一部(チェインコード)を外部から呼び出して状態を変更したり、JSON(JavaScript Object Notation)で記述されたリポジトリに対してインジェクションを行ったり、あるいは、メンバーではないユーザーがデータベースを直接操作し、スマートコントラクト(※)として記述された値の一部を変更したり――。エンタープライズブロックチェーンプラットフォームを形作る「信頼」をかいくぐったり、逆手に取ったりして、悪意あるユーザーによる不正な操作が行えることを、リサーチチームは動画デモを用いながら説明しました。

(※)スマートコントラクト……ブロックチェーンを利用し、事前に定めた条件に基づき、取引や契約を自動化すること

photo

 インタビューの中でビーン氏は、「ブロックチェーンという素晴らしい技術が約束する未来を実現するにはソフトウェアの形で実装しなければならないが、その際、安全に開発する術を知らないことが問題の1つだ」と指摘しました。同時に、安定した環境で運用していく必要もあり、開発と運用、両面での取り組みが必要だと述べています。

 「エンタープライズブロックチェーンソフトウェアを安全にするために、ディザスタリカバリー(災害復旧)やオペレーション、あるいはアプリケーションセキュリティの分野など、これまでのITセキュリティのトピックからわれわれは学ばなければならない。同時に新しい実行環境なのだから、ITの世界でこれまで存在してきた課題に加え、新しいタイプの脆弱性も発見されることになるだろう」(ビーン氏)

 同氏によると、この領域に関して「これが定番」というセキュリティ対策の標準はまだ存在しません。ただ幸いにして今のところ、テクノロジーに潜む脆弱性を突いた大規模な問題も起こっていません(多くの企業ではまだパイロットプロジェクトを進めている段階だから当たり前かもしれませんが)。

 だからこそ今のうちに「このプラットフォームがどのようなセキュリティ上の課題を抱えているかを知り、セキュリティ専門家とプラットフォームの提供者、その上でアプリケーションを作る開発者がコミュニティーを形作り、コラボレーションしていくことが必要だ」とビーン氏は述べています。まだ成熟からは程遠いエンタープライズブロックチェーンの領域で、やるべきことは多そうです。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.