ブロックチェーン・テクノロジーは、独自のセキュリティー品質を持つデータ構造を構築します。 これは暗号化、分散化、コンセンサスの原則に基づいており、取引の信頼性を保証します。 大半のブロックチェーン、または分散台帳テクノロジー(DLT)では、データはブロック構造化され、各ブロックに取引または一まとめにされた取引が記録されます。 それぞれの新規ブロックはその前に、暗号化されたチェーンですべてのブロックと繋がっているため、改ざんはほぼ不可能です。 ブロック内のすべての取引はコンセンサス・メカニズムによって有効化および同意されており、各取引が本物で正しいことを保証します。
ブロックチェーン・テクノロジーは、メンバーが分散ネットワークに参加することによる分散化を実現します。 単一障害点は存在せず、単一ユーザーが取引履歴を変更することはできません。 ただし、ブロックチェーン・テクノロジーは一部の重大なセキュリティー面が他とは異なります。
ブロックチェーン・ネットワークは、だれが参加できるか、また誰がデータへのアクセス権を有しているのかによって異なるものとなり得ます。 ネットワークは通常、だれが参加を許可されているかを示すパブリック型またはプライベート型に、また参加者がネットワークへのアクセスをどのように得ているのかを示す許可型または自由参加型に分類されます。
パブリック型およびプライベート型ブロックチェーン
パブリック型ブロックチェーン・ネットワークでは、通常、誰でも参加でき、参加者は匿名のままです。 パブリック型ブロックチェーンはインターネット接続されたコンピュータを使って取引を有効化し、コンセンサスを実現します。 ビットコインはおそらくパブリック型ブロックチェーンの最もよく知られた例であり、 「ビットコイン・マイニング」 を通じてコンセンサスを実現します。ビットコイン・ネットワーク上のコンピューター、つまり 「マイナー」 は、複雑な暗号化の問題を解決して、プルーフ・オブ・ワークを作成し、それによってトランザクションを検証しようとします。 公開鍵 (パブリックキー)を除けば、この種のネットワークでの ID およびアクセス管理はほとんど存在しません。
プライベート型ブロックチェーンは ID を使用して、メンバーシップとアイデンティティーとアクセス権を確認し、通常は既知の組織のみに参加を許可します。 一緒に、組織はプライベートな、メンバー専用の 「ビジネスネットワーク」 を形成します。許可されたネットワークのプライベート型ブロックチェーンは、既知のユーザーがトランザクションを検証する 「選択的承認」 と呼ばれるプロセスを通じてコンセンサスを実現します。 特別なアクセス権と許可を持つメンバーのみが、取引台帳を保持することができます。 このタイプのネットワークでは、より厳格な ID およびアクセス管理が求められます。
ブロックチェーン・アプリケーションを構築する際には、どのタイプのネットワークがお客様のビジネス目標に最適なのかを評価することが非常に重要です。 プライベート型で許可型のネットワークは厳格な管理が可能で、コンプライアンスや規制面の理由から好まれます。 ただし、 パブリック型で自由参加型のネットワークは、より大きな分散を実現できます。
パブリック型ブロックチェーンは開かれており、誰でも参加して取引を有効化できます。
プライベート型ブロックチェーンには制限があり、通常はビジネス・ネットワークに限定されています。 単一のエンティティー、またはコンソーシアムがメンバーシップを管理します。
自由参加型ブロックチェーンには、プロセッサーに関する制限がありません。
許可型ブロックチェーンは、認証を使用したIDを与えられた、選別されたユーザー群に使用が限定されています。
ブロックチェーン・テクノロジーは、耐タンパー性のある取引台帳を作成しますが、ブロックチェーン・ネットワークはサイバー攻撃および詐欺行為に対し免疫があるわけではありません。 悪意のある人物は、ブロックチェーン・インフラストラクチャーにおける既知の脆弱性に付け入ることができ、過去何年にもわたってさまざまなハッキングや詐欺行為に成功してきました。 以下にいくつかの例を紹介します。
分散型ブロックチェーンを通して運営される、ビットコインに触発されたベンチャーキャピタル・ファンドである自律分散型組織(DAO)は、コードの悪用によって6,000万米ドル以上のデジタル通貨「イーサ」(ファンド価値の約3分の1)を盗まれました。
世界最大の暗号通貨取引所の1つである、香港を拠点とするBitfinexから、7,300万米ドル近くにのぼる顧客のビットコイン盗難は、暗号通貨が依然として大きなリスクを孕んでいることを示しました。 可能性の高い原因は、個人のデジタル署名である秘密鍵(プライベートキー)が盗まれたことでした。
イーサリアムおよびビットコイン暗号通貨の最大の取引所の1つであるBithumbが先日にハッキングされた際、ハッカーは3万人のユーザーデータを漏えいし、87万米ドル相当のビットコインを盗みました。 ハッキングされたのはコア・サーバーではなく、ある従業員のコンピューターだったにもかかわらず、このイベントは全般的なセキュリティーへの疑念を生じさせました。
ハッカーや詐欺師は主に4つの方法(フィッシング、ルーティング、シビル、51%攻撃)でブロックチェーンを脅かします。
フィッシングは、ユーザー資格情報を取得しようとする詐欺行為です。 詐欺師は信頼できる発信元から送られたかのように設計されたEメールを、ウォレットキーのオーナーに送信します。 このEメールは偽のハイパーリンクを使用して、ユーザーに資格情報を尋ねます。 ユーザーの資格情報やその他の機密情報へのアクセスを取得することで、ユーザーとブロックチェーン・ネットワークに損失をもたらす場合があります。
ブロックチェーンはリアルタイムで大容量のデータ転送に依存しています。 ハッカーは、データがインターネット・サービス・プロバイダーに転送される間にこれを傍受できます。 ルーティング攻撃では、ブロックチェーンの参加者は一般的に脅威を目にすることができないため、すべてが通常に見えます。 しかしその裏では、詐欺師が機密データまたは通貨を引き出しているのです。
シビル攻撃では、ハッカーはネットワークにフラッディングを起こし、システムをクラッシュさせるため、多くの偽のネットワークIDを作成、使用します。 シビル とは、有名な本に登場する、多重人格性障害と診断された人物を指しています。
マイニングは、特に大規模なパブリック型ブロックチェーンに関し、膨大なコンピューティング能力を必要とします。 しかし、マイナー、またはマイナーの集団が十分なリソースを結集できる場合、ブロックチェーン・ネットワークのマイニング能力の50%以上を獲得する可能性があります。 能力の50%以上を持つということは、台帳を制御し、これを操作する能力を持つことを意味します。
注:プライベート型ブロックチェーンは 51 %攻撃に対する脆弱性はありません。
今日のデジタル・ワールドでは、ブロックチェーンの設計と環境の両方のセキュリティーを確保するための対策を取ることが不可欠です。 X-Force Redのブロックチェーン・テスト・サービスは、まさにその実行を支援できます。
エンタープライズ向けブロックチェーン・アプリケーションを構築する際には、テクノロジー・スタックのあらゆる層でセキュリティーを検証し、またネットワークのガバナンスと許可を管理する方法を検証することが重要です。 エンタープライズ向けブロックチェーン・ソリューションのための包括的なセキュリティー戦略には、従来型のセキュリティー管理とテクノロジー独自の管理が含まれます。 エンタープライズ向けブロックチェーン・ソリューションに特化したセキュリティ・コントロールには、以下のようなものがあります。
- ID 管理とアクセス管理
- 鍵管理
- データ・プライバシー
- 安全な通信
- スマート・コントラクト・セキュリティー
- トランザクション・エンドースメント
専門家を採用し、コンプライアンスと安全性の高いソリューションの設計を支援することで、ビジネス目標の達成をサポートします。 オンプレミスであっても、あるいは希望するクラウド・ベンダーであっても、選択するテクノロジー環境でデプロイ可能なブロックチェーン・ソリューション構築のための、プロダクション・グレードのプラットフォームを追求します。
ブロックチェーン・ソリューションを設計する際には、以下のような重要な質問を検討する必要があります。
- 参加組織やメンバーのガバナンス・モデルについて
- 各ブロックで取得されるデータについて
- 関連する規制要件と、それを満たす条件について
- アイデンティティー管理の詳細について ブロック・ペイロードは暗号化されているのか キーの管理および失効の方法について
- ブロックチェーン参加者の災害復旧プランについて
- ブロックチェーン・クライアントが参加するための最低限のセキュリティ態勢について
- ブロックチェーンのブロック衝突を解決するためのロジックについて
プライベート型ブロックチェーンを構築する際には、それが安全で回復力のあるインフラストラクチャーに展開されることを確認する必要があります。 ビジネスのニーズやプロセスに関する、貧弱な基盤テクノロジーの選択は、その脆弱性を通してデータ・セキュリティーをリスクに晒す場合があります。
ビジネスおよびガバナンス面のリスクを検証する。 ビジネス・リスクには財務への影響、風評要因、コンプライアンス・リスクが含まれます。 ガバナンス・リスクは主に、ブロックチェーン・ソリューションの分散特性から生じるもので、これに対処するには意思決定基準、管理ポリシー、 ID およびアクセス管理に関する強力な制御が求められます。
ブロックチェーン・セキュリティーとは、ブロックチェーン・ネットワークのリスクを理解し、これを管理することです。 これらの制御にセキュリティーを実装するプランが、ブロックチェーンのセキュリティー・モデルを構成しています。 ブロックチェーン・ソリューションを適切に保護するために、あらゆる対策が確実に施されるよう、ブロックチェーンのセキュリティー・モデルを作成します。
ブロックチェーン・ソリューションのセキュリティー・モデルを実装するため、管理者はビジネス、ガバナンス、テクノロジー、プロセス面のあらゆるリスクに対処できるリスク・モデルを開発する必要があります。 次に、ブロックチェーン・ソリューションへの脅威を評価し、脅威モデルを作成する必要があります。 その後、管理者は次の 3 つのカテゴリーに基づいて、リスクと脅威を軽減するためのセキュリティー・コントロールを定義する必要があります。
- ブロックチェーン特有のセキュリティー・コントロールの実施
- 標準的なセキュリティー・コントロールの適用
- ブロックチェーンに対応したビジネス・コントロールの実施
IBM ブロックチェーン・サービスおよびコンサルティングは、プライバシー、信頼、セキュリティーを保証しながら、ガバナンス、ビジネス・バリュー、テクノロジーのニーズに対応するブロックチェーン・ネットワークの設計と活性化を支援します。
ビジネス・プラットフォームを対象とする、業界屈指のオープンソース・ブロックチェーンの詳細(開発者ツール、料金体系、製品ツアー、カスタマー・レビュー、ドキュメンテーション)をご覧ください。
専門家に相談し、いくつかのお客様事例を読み、IBMネットワークに参加する方法を学びましょう。
ビジネス向けブロックチェーンを最初から最後まで構築することに関する業界リーダーである、1,600人以上のビジネスおよび技術専門家を抱えるIBMは、ビジネス・ネットワーク向けブロックチェーンに命を吹き込むうえで最も重要な3つの設計ポイント(ガバナンス、ビジネス価値、テクノロジー)への対応を支援します。
ブロックチェーンの基礎を、主要素からブロックチェーン・ネットワークのタイプ、業界による活用方法にいたるまで説明します。
IBMのクライアントとビジネス・パートナーがどのようにブロックチェーンを活用して、消費者信頼感、食品安全、サステナビリティーなどを変革しているのかをご覧ください。 次に、現代美術アーティストがWebセミナー・シリーズの1つであるブロックパーティーで、自らのイノベーションをどのように解釈しているかをご覧ください。
ブロックチェーンは均一に作成されていますか ブロックチェーン・ネットワークのタイプにはどのようなものがあり、どのタイプを設定すべきですか
ビットコインとブロックチェーンは同じものですか いいえ、ただしビットコインがブロックチェーンの最初のアプリケーションであったため、人々はしばしば「ビットコイン」をブロックチェーンを意味するものとして、うっかり使用していました。
この詳細な記事は、さまざまな業界のユースケースやデプロイメントのための、さまざまなブロックチェーン・プロジェクトやソリューションに適用可能な、ブロックチェーン・セキュリティーのリファレンス・アーキテクチャーについて強調しています。
このハンドブックは、お客様がブロックチェーンのユースケースを特定し、エコシステムの動員方法を学び、ガバナンス・モデルをナビゲートするのをお手伝いします。 また、マルチパーティ・システムにおけるスマート・コントラクトの定義と管理、資産のデジタル化、法的考慮、実世界の事例に関する情報が掲載されています。 (7.8 MB)