ブロックチェーン・セキュリティーとは

ブロックチェーンは、固有のセキュリティー特性を備えたデータ構造を生成します。これは、トランザクションの信頼を保証する暗号化、分散化、コンセンサスの原則に基づいています。ほとんどのブロックチェーンや分散型台帳技術（DLT）では、データはブロックに構造化されており、各ブロックにはトランザクションまたはトランザクションのバンドルが含まれています。

新しいブロックはそれぞれ、改ざんがほぼ不可能な方法で、暗号チェーン内のすべてのブロックと接続されます。ブロック内のすべてのトランザクションはコンセンサス・メカニズムにより検証および合意され、各トランザクションが真正で正しいことが保証されます。

ブロックチェーン・テクノロジーは、分散ネットワーク全体におけるメンバーの参加による分散化を可能にします。単一障害点はなく、単一ユーザーがトランザクションの記録を変更することはできません。しかし、ブロックチェーン・テクノロジーは、いくつかのクリティカルなセキュリティー面で異なります。

ブロックチェーン・ネットワークでは、参加できるユーザーとデータにアクセスできるユーザーが異なる場合があります。ネットワークには通常、パブリックまたはプライベート（誰が参加できるかを説明する）、および許可または許可なし（参加者がネットワークにアクセスする方法を説明する）のいずれかが分類されます。

パブリック・ブロックチェーン・ネットワークでは通常、誰でも参加でき、参加者は匿名であることができます。パブリック・ブロックチェーンでは、インターネットに接続されたコンピューターを使用してトランザクションを検証し、コンセンサスを達成します。ビットコインは、おそらくパブリック・ブロックチェーンの最もよく知られた例であり、「ビットコイン・マイニング」を通じてコンセンサスを達成しています。

ビットコイン・ネットワーク上のコンピューター、つまり「マイナー」は、複雑な暗号化問題を解決して作業証明を作成し、トランザクションを検証しようとします。このタイプのネットワークには、公開鍵以外には、IDおよびアクセスの制御がほとんどありません。

プライベート・ブロックチェーンは、IDを使用してメンバーシップとアクセス権限を確認し、通常は既知の組織のみが参加できるようにします。これらの組織は協力して、メンバー限定のプライベートな「ビジネス・ネットワーク」を形成しています。許可制ネットワーク内のプライベート・ブロックチェーンは、既知のユーザーがトランザクションを検証する「選択的エンドポイント」と呼ばれるプロセスを通じてコンセンサスを実現します。特別なアクセスと権限を持つメンバーのみがトランザクション台帳を維持できます。このネットワーク・タイプでは、追加のIDおよびアクセス制御が必要です。

ブロックチェーンアプリケーションを構築する場合、ビジネス目標に最適なネットワークの種類を評価することが不可欠です。プライベート・ネットワークや許可ネットワークは厳重に制御でき、コンプライアンスや規制上の理由から望ましいと言えます。ただし、パブリック・ネットワークやパーミッション・ネットワークでは、より分散化と配信を実現できます。

ハッカーや詐欺師は、フィッシング、ルーティング、Sybil、51％攻撃という4つの主要な方法でブロックチェーンを脅かしています。

フィッシングは、ユーザーの認証情報を取得する詐欺行為です。詐欺師は、正規の送信元から送信されているかのように見えるように設計されたEメールを、ウォレット・キーの所有者に送信します。Eメールは、偽のハイパーリンクを使用してユーザーに認証情報を要求します。ユーザーの認証情報やその他の機密情報にアクセスできると、ユーザーとブロックチェーンが損害を受ける可能性があります。

ブロックチェーンはリアルタイムの大規模データ転送に依存しています。ハッカーは、データがインターネット・サービス・プロバイダーに転送される際に傍受できます。ルーティング攻撃では、通常、ブロックチェーン参加者は脅威を確認できないため、すべてが正常に見えます。しかし、その背後で、詐欺師は機密データや通貨を流出させています。

シビル攻撃では、ハッカーが多数の偽のネットワークIDを作成して使用し、ネットワークにフラッディングをしてシステムをクラッシュさせます。シビルとは、有名な本の多重アイデンティティー障害と診断された登場人物を指します。

マイニングには、特に大規模なパブリック・ブロックチェーンの場合、膨大な計算能力が求められます。しかし、あるマイニング労働者、またはマイニング労働者のグループが十分な参考情報を集めた場合、ブロックチェーンのマイニング能力の50％以上を達成する可能性があります。50％以上の能力を持つということは、台帳を制御し、それを操作する能力があることを意味します。

注：プライベート・ブロックチェーンは51％攻撃に対する脆弱性がありません。

今日のデジタル世界では、ブロックチェーンの設計と環境の両方のセキュリティーを確保するための措置を講じることが不可欠です。X-Force Redブロックチェーン・テスト・サービスは、まさにそれを行うのに役立ちます。

エンタープライズ・ブロックチェーン・アプリケーションを構築する際には、テクノロジー・スタックのすべての層でセキュリティーを確保し、ブロックチェーンのガバナンスと権限を管理する方法を考慮することが重要です。エンタープライズ・ブロックチェーン・ソリューションの包括的なセキュリティー戦略には、従来のセキュリティー管理とテクノロジー独自の制御の併用が含まれます。エンタープライズ・ブロックチェーン・ソリューションに特有のセキュリティー管理には、次のようなものがあります。

• IDおよびアクセス管理
  
  
• キー管理
  
  
• データ・プライバシー
  
  
• 安全な通信
  
  
• スマート・コントラクト・セキュリティー
  
  
• トランザクションの承認

専門家を雇って、コンプライアンスで安全なソリューションの設計とビジネス目標の達成を支援します。オンプレミスか、希望するクラウド・ベンダーかを問わず、お客様が選択したテクノロジー環境でデプロイできる、ブロックチェーン・ソリューションを構築するための実稼働グレードのプラットフォームを探します。

ブロックチェーン・ソリューションを設計する際には、次の重要な質問を考慮してください。

• 参加する組織やメンバーのガバナンス・モデルはどのようなものか。
  
  
• 各ブロックにはどのようなデータがキャプチャーされるか。
  
  
• 関連する規制要件は何か、またそれらをどのように満たすことができるか。
  
  
• IDの詳細はどのように管理されているか。ブロック・ペイロードは暗号化されているか。キーの管理と取り消しの仕組み。
  
  
• ブロックチェーン参加者の災害復旧計画はどのようなものか。
  
  
• ブロックチェーンクライアントが参加するための最小限のセキュリティー体制とは
  
  
• ブロックチェーンのブロック衝突を解決するロジックとは。

プライベート・ブロックチェーンを確立する場合は、それが安全で堅牢なインフラストラクチャーにデプロイされていることを確認します。ビジネス・ニーズやプロセスに適した基盤となるテクノロジーの選択が不十分だと、その脆弱性を通じてデータ・セキュリティー・リスクが生じる可能性があります。

ビジネスとガバナンスのリスクを考慮します。ビジネス・リスクには、財務上の影響、評判の低下要因、コンプライアンス・リスクなどが含まれます。ガバナンス・リスクは、主にブロックチェーン・ソリューションの分散型の性質に起因しており、決定基準、ガバナンス・ポリシー、IDおよびアクセス管理に対する強力な管理を必要とします。

ブロックチェーン・セキュリティーとは、ブロックチェーン・ネットワークのリスクを理解し、管理することです。これらのコントロールにセキュリティーを実装する計画は、ブロックチェーンのセキュリティーモデルを構成します。ブロックチェーン・セキュリティー・モデルを作成して、ブロックチェーン・ソリューションを適切に保護するためのすべての対策を確実に講じます。

ブロックチェーン・ソリューションのセキュリティー・モデルを実装するには、管理者はすべてのビジネス、ガバナンス、テクノロジー、プロセス上のリスクに対処できるリスク・モデルを開発する必要があります。次に、ブロックチェーン・ソリューションに対する脅威を評価し、脅威モデルを作成する必要があります。次に、管理者は次の3つのカテゴリーに基づいてリスクと脅威を軽減するセキュリティー制御を定義する必要があります。

• ブロックチェーンに固有のセキュリティー管理を適用する
  
  
• 従来のセキュリティー制御を適用する
  
  
• ブロックチェーンのビジネス管理を実施

IBM® Blockchainサービスとコンサルティングは、プライバシー、信頼性、セキュリティーを保証しながら、ガバナンス、ビジネス価値、テクノロジーのニーズに対応するブロックチェーン・ネットワークの設計と活性化を支援します。