[해외] IBM, 블록 체인의 보안을 테스트하는 서비스
IBM, 블록 체인의 보안을 테스트하는 서비스
3/6(수) 10:52 송신 ZDNet Japan
IBM, 블록 체인의 보안을 테스트하는 서비스를 발표하는 화상
IBM의 사이버보안 팀인 IBM X-Force Red가 블록 체인을 테스트하는 서비스를 발표했다. 기업은 이 서비스를 이용함으로써 실장하고 있는 블록 체인을 감사하거나 그 보안을 강화할 수 있게 된다.
분산대장기술로서 알려진 블록 체인은 블록과 컴퓨터 노드라는 형태로 가상화폐의 교환뿐 아니라 정보의 이송을 위한 피어투피아 네트워크로서 기능한다.
이러한 기술은 현재 가상화폐 이외의 어플리케이션에 대한 이용을 상정하는 많은 기업의 관심을 모으고 있다.
비가역적인 거래를 실현해, 개정이 곤란한 상태로 데이터를 시큐어 시골에서 기록하는 블록 체인의 능력은, 스마트 콘트랙트나, 법적 서비스, 전자 결제, 마이크로 트랜잭션, 국제적인 로밍 앱에 유익하게 될 수 있다.
엔터프라이즈나 신흥기업들은 하나같이 자사의 인프라나 제품에 블록체인을 활용하는 최선의 길을 모색하고 있다.IBM의 조사에 의하면, 근년에 있어서의 블록 체인 실장의 70%는, 인증이나 데이터 처리, API를 포함한 프로세스에서 비대장 시스템에 의존하고 있다고 한다.
X-Force Red는 미국 시간 3월 5일, 이 새로운 서비스가 블록 체인의 시큐러티에 초점을 맞히는 것이며, "신속하게 성장하고 있는 블록 체인 기술의 (이런) 실장"을 보다 시큐어 하는 데 도움이 될 것이라고 말했다.
IBM은, "블록체인은 조금 바뀐 부분으로부터 IT세계에 들어가 왔다. 즉, 그 설계주안은 블록체인내에 유지되는 정보와 프로세스에 대한 신뢰와 시큐리티의 구축이라는 데 있다"라고 하고, "그러나 이것에 의해서, 일부의 실장에 있어서, 블록 체인 이외의 부분에서도 보안이 확보되어 있다고 하는 가정이 놓여져 있다"라고 계속 되었다.
블록 체인을 기반으로 한 제품의 백엔드 프로세스와 대장 자체는 모두 테스트의 대상이 된다. 체인 코드나 공개키 인프라(PKI), 하이퍼레저, 앱, 물리 하드웨어는 모두 평가 대상이 되는 분야이다.
동서비스에서는 이하의 것이 평가된다.
블록 체인상의 정보에 대한 접근 권한과 블록 체인에 대한 정보의 추가 권한을 관리하는 방법.
패스워드의 정책, 즉 2요소 인증(2FA)이 실장되어 있는지 여부.
PKI나 디지털 증명서 배포 시스템
스마트 콘트랙트에서의 보안상의 결함이나 약점
소프트웨어 서플라이 체인(supply-chain)에 대한 공격
이 서비스는 이미 제공이 개시되었다.
이 기사는 해외 CBS Interactive발 기사를 아사히인터랙티브가 일본용으로 편집한 것입니다.
IBM、ブロックチェーンのセキュリティをテストするサービスを発表
IBMのサイバーセキュリティチームであるIBM X-Force Redが、ブロックチェーンをテストするサービスを発表した。企業はこのサービスを利用することで、実装しているブロックチェーンを監査したり、そのセキュリティを強化できるようになる。
分散台帳技術として知られているブロックチェーンは、ブロックとコンピュータノードというかたちで、仮想通貨の交換だけでなく、情報の移送のためのピアツーピアネットワークとして機能する。
こうした技術は現在、仮想通貨以外のアプリケーションへの利用を想定する多くの企業の関心を集めている。
非可逆的な取り引きを実現し、改ざんが困難な状態でデータをセキュアなかたちで記録するというブロックチェーンの能力は、スマートコントラクトや、法的サービス、電子決済、マイクロトランザクション、国際的なローミングアプリに有益となり得る。
エンタープライズや新興企業は一様に、自社のインフラや製品にブロックチェーンを活用する最善の道を模索している。IBMの調査によると、近年におけるブロックチェーン実装の70%は、認証やデータ処理、APIを含むプロセスで非台帳システムに依存しているという。
X-Force Redは米国時間3月5日、この新たなサービスがブロックチェーンのセキュリティに焦点を当てるものであり、「迅速に成長しているブロックチェーン技術の(こういった)実装」をよりセキュアなものにするうえで役立つだろうと述べた。
IBMは、「ブロックチェーンは少し変わったところからITの世界に入り込んできている。つまり、その設計主眼はブロックチェーン内に保持される情報とプロセスに対する信頼とセキュリティの構築というところにある」と述べ、「しかしこれによって、一部の実装において、ブロックチェーン以外の部分でもセキュリティが確保されているという仮定が置かれている」と続けた。
ブロックチェーンをベースにした製品のバックエンドプロセスや台帳自体は、いずれもテストの対象となる。チェーンコードや公開鍵インフラ(PKI)、ハイパーレッジャー、アプリ、物理ハードウェアはすべて評価対象となる分野だ。
同サービスでは以下のものが評価される。
ブロックチェーン上の情報へのアクセス権限や、ブロックチェーンへの情報の追加権限を管理する方法
パスワードのポリシー、つまり2要素認証(2FA)が実装されているかどうか
PKIや、デジタル証明書の配布システム
スマートコントラクトにおけるセキュリティ上の欠陥や弱点
ソフトウェアサプライチェーンに対する攻撃
このサービスは既に提供が開始されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。