Synopsys 「ブロックチェーンアプリケーションは ソフトウエアセキュリティのベストプラクティスを どのように適応・採用することができるのか?」

前向きなアプローチを

ブロックチェーンに由来するソフトウエアがいまだ黎明期にあるとはいえ、テクノロジーはさらに多くのユースケースに対応する方向で競い合っています。しかしコミュニティーはまだソフトウエアセキュリティの原則を真剣に受け止めているようには見えません。その証拠に、先ごろ行ったイーサリアムのスマートコントラクトのスキャンでは3万4200もの脆弱なコントラクトが見つかりました。

別の見方をすると、スマートコントラクトは口座をあちこちに移動し、あるいはブロックチェーン上に保管してあるキー値のペアを変更するためのビジネスロジックを含むソフトウエアの一つであるといえます。

イーサリアム・バーチャルマシン、およびスマートコントラクトのプログラミング言語(Solidityなど)のアーキテクチャ設計で選択を間違えば、セキュリティを意識しているデベロッパーでさえ単純な間違いから深刻な事態を招きかねません。ブロックチェーンソフトウエアのスタートアップ企業に巨額が投じられている現在、コミュニティーはソフトウエアを構築するプラットフォームを改善するためにさらなる努力が求められます。

 

新たな脅威についての考察

安全なソフトウエア開発のための従来のツールは、今のところまだブロックチェーン中心のソフトウエアに適応していません。高度に分散された管理者不在のシステムによって、まったく新しい脅威があらわれ、ソフトウエアの欠陥を論証するための新たな方法が求められています。

新たな研究論文やそれに付随するツールは毎週発表されますが、コミュニティーはデベロッパーが頼れるベストプラクティスに関して合意に至っていません。いったん脆弱性が見つかってしまえば、ブロックチェーンテクノロジーの本質は変わらないため、既存のコントラクトにパッチングするのを難しくすることもできるし、あるいは効果的に不能にしてしまうことも可能です。このように柔軟性に欠けることを考慮すると、セキュリティにもっと前向きなアプローチを採用しなくてはなりませんし、バグがブロックチェーンに入りこむ方法を見つける前にそれを排除するツールやベストプラクティスを開発しなければなりません。

 

次のようなソフトウエアセキュリティ行動をあらゆるスマートコントラクトの開発サイクルに取り入れるのがふさわしいといえます。

▼コードのフレームワークを確保
デベロッパーが共通のパターンから安全なコードを生みだすには、十分に検証され実績のあるフレームワークが必要です。これには安全な演算操作やデータ確認、権限の付与、あるいは金融取引処理が含まれます。

▼静的コード分析およびコードのlint処理
最新のツールは、Solidityのコードに含まれる、いわゆる「コードのにおい」を嗅ぎ分け、退治しやすいバグを排除することができます。将来的には、これらのツールがフレームワークを意識するようになり、セキュリティに関連する一連のルールがもっと含まれるようになるに違いありません。

▼動的コード分析ツール
シンガポール国立大学の研究者らが脆弱なスマートコントラクトを発見するために使ったMaianというツールは、具体的な実行をともなったハイブリッドな静的分析の一例で、記号的実行を欠いた従来の静的分析ツールでは見逃されてしまうような複雑な欠陥を発見するものです。多くの新しいスマートコントラクト分析ツールはソースコードを必要とせず、パブリックブロックチェーン全体をスキャンして潜在的な脆弱コントラクトを発見するのに使えます。

▼脅威のモデリング
ブロックチェーンテクノロジーで展開される重要なアプリケーションのためには、システムのすべてのコンポーネントや潜在的な脅威アクター、プラットフォームが提供するコントロールをシステマチックに識別する脅威モデリングプロセスが必要です。それによって、セキュリティチームはシステムのセキュリティ全体について、また識別した脅威の埋め合わせをするために追加的なセキュリティ対策をどこに加えるかといった結論を引きだすことができます。

▼安全なガバナンスとポリシー作成
従来、ブロックチェーンコントラクトは変更することができず、ユーザーはコントラクトコードが正確であることを信頼してきました。現在、ハッキングやバグに対して安全なコントラクトなど存在しません。だからこそ、コントラクトベンダーは消費者と資産の保護に関するポリシーを設定する必要があるのです。スマートコントラクトのデベロッパーもまた、現行のコントラクトにパッチをあてインシデント対応を扱う際のメソッドのためにポリシーを考慮しなければなりません。

 

(Synopsysシニアセキュリティコンサルタント スターク・リーデセル)

オートメーション新聞は、1976年の発行開始以来、45年超にわたって製造業界で働く人々を応援してきたものづくり業界専門メディアです。工場や製造現場、生産設備におけるFAや自動化、ロボットや制御技術・製品のトピックスを中心に、IoTやスマートファクトリー、製造業DX等に関する情報を発信しています。新聞とPDF電子版は月3回の発行、WEBとTwitterは随時更新しています。

購読料は、法人企業向けは年間3万円(税抜)、個人向けは年間6000円(税抜)。個人プランの場合、月額500円で定期的に業界の情報を手に入れることができます。ぜひご検討ください。

オートメーション新聞の詳細・購読お申し込みはこちらから
お試しPDFのお申し込みはこちらから
オートメーション新聞/ものづくり.jp Twitterでは、最新ニュースのほか、展示会レポートや日々の取材こぼれ話などをお届けしています

コラム・論説の最新記事8件

>FA・自動化、デジタル化、製造業の今をお届けする ものづくり業界専門メディア「オートメーション新聞」

FA・自動化、デジタル化、製造業の今をお届けする ものづくり業界専門メディア「オートメーション新聞」

オートメーション新聞は、45年以上の歴史を持つ製造業・ものづくり業界の専門メディアです。製造業DXやデジタル化、FA・自動化、スマートファクトリーに向けた動きなど、製造業各社と市場の動きをお伝えします。年間購読は、個人向けプラン6600円、法人向けプラン3万3000円

オートメーション新聞とは?媒体プロフィール
CTR IMG