ブロックチェーンアプリケーションのための安全な鍵管理
ブロックチェーンのセキュリティリスク
ブロックチェーンは、不変の暗号記録を生成する能力を持つため、ビジネス取引に有用であり、重要な経済的価値を持つ可能性があります。これにより、盗難や悪用のリスクが必然的に高まります。さらに、Ethereumのようなプラットフォームは「スマートコントラクト」コードの実行をサポートしており、新たなリスクが生じています。ブロックチェーン特有のセキュリティ問題は以下のようにまとめられます:
- 秘密鍵のセキュリティ:秘密鍵は身元およびセキュリティ認証情報と見なされ、金融的価値に結びついているため、攻撃者の標的となります。
- スマートコントラクトのセキュリティ:複雑なスマートコントラクトコードは脆弱性を残す可能性があります。堅牢なプライバシー保護策が欠如していると、機密データの漏洩リスクが生じます。
- コンセンサスのセキュリティ:コンセンサスメカニズムの破壊は最高レベルの侵害と見なされますが、現時点では理論上のリスクです。
ガートナーは、ブロックチェーンプロジェクトのセキュリティリスクを追跡するために以下のモデルを定義しています:
本稿は、企業のブロックチェーン導入における障壁となるアイデンティティおよび暗号鍵管理の課題に焦点を当て、Fortanix Data Security ManagerTMに基づくソリューションを提案します。Fortanixはまた、Intel® SGXを活用したRuntime EncryptionTMを提供しており、ブロックチェーンアプリケーションの使用中データの機密性とプライバシーを強化することに注力しており、これは後続のソリューションブリーフの焦点となっています。
背景
チェーンは分散型台帳であり、分散ネットワーク全体で共有・同期されるデータベースの一種です。データベース内の取引は順番にブロックに連結されるため、「ブロックチェーン」と呼ばれています。ブロックチェーンは、各ブロックが暗号技術を用いて不変的に記録されることで、単一の信頼できる情報源として機能します。クラウドコンピューティングと同様に、ブロックチェーンはパブリック、プライベート、またはハイブリッドの形態があります。ブロックチェーンはもともとビットコインなどの暗号通貨の取引を追跡するためのパブリックな手段として始まりましたが、現在ではビジネス上の利点がそれを上回っています。ブロックチェーンは、サプライチェーン、資産管理、金融サービス、医療、不動産などの業界において、ビジネスプロセスの変革、新たな効率性の実現、新しい市場の創出に期待を示し続けています。プライベートまたはエンタープライズ向けのブロックチェーンは、組織がネットワークへの参加者を完全に管理しながら、その利点を享受することができます。
暗号化と鍵管理の要件
ブロックチェーンは信頼と保証のために暗号技術に依存しています。各ブロックは暗号ハッシュで指紋付けされており、後続のブロックはチェーンを形成するためにこれを参照します。ブロックチェーンはまた、メッセージの認証と完全性を確保するために公開鍵基盤(PKI)に大きく依存しています。プライベートキーはトランザクションにデジタル署名するために使用されます。
プライベートエンタープライズブロックチェーンやハイブリッドブロックチェーンの導入を検討する組織は、いくつかの共通かつ独自の鍵管理上の課題に直面します:
- ブロックチェーンの各参加者はトランザクションにデジタル署名するためのプライベートキーを所有しています。プライベートキーは経済的価値を表す資産としてトークン化されており、盗難や悪用のリスクが高まります。プライベートキーのセキュリティは最重要ですが、キーはしばしばソフトウェアベースのキーマネージャーで生成され、これが侵害されやすいという問題があります。従来のハードウェアセキュリティモジュール(HSM)は複雑で高価であり、ブロックチェーンの要件に対して十分にスケールしません。Coincheck、Bitfinex、Mt. Goxなどの最近のハッキング事件は、このギャップとプライベートキーのより強力な保護の必要性を浮き彫りにしています。
- 取引所などの第三者に部分的な管理権を委譲する場合は、マルチシグネチャ(multisig)をサポートする必要があります。これは複数の当事者間でキーへのアクセスを分割するもので(例:承認に3つの署名のうち2つが必要)、安全性を高めます。
- プライベートキーの使用にレート制限を設けることで悪用リスクを軽減します。頻繁に使用するホットウォレットと、トークンの大部分を安全で改ざん防止のストレージに保管するコールドウォレットを分ける階層モデルは、追加の安全策を提供します。
- 災害による可用性の喪失やキーの紛失も重大な懸念事項です。
- ビットコインなどのブロックチェーンアプリケーションは、ECDSA secp256k1やプライベートキーのシーディングなどの新しい暗号アルゴリズムを使用しています。ブロックチェーンに関する革新が進む中で、新しい暗号スキームやアルゴリズムが次々と登場しています。
- ブロックチェーンにおける信頼の分散性を考慮すると、キー使用の監査は極めて重要です。
- ブロックチェーンは分散環境において大量のキーを必要とし、トランザクションの高いスケーラビリティも求められます。
- ブロックチェーンは、通常モバイルやエンドポイントデバイスベースのウォレットやサーバー側コンポーネントに対して暗号化要件を持つことがあります。
Fortanix Data Security Manager™:ブロックチェーンアプリケーションのためのセキュリティと容易な統合
Fortanix Data Security Managerは、エンタープライズブロックチェーンに最適なキー管理ソリューションです。安全でスケーラブル、かつプログラム可能です。
- 柔軟な展開:組織はFortanix Runtime Encryptionアプライアンスノードを中央集権的または分散型で展開できます。いずれの場合も、Fortanix DSMクラスターはあらゆるブロックチェーンアプリケーションやデバイスに対して集中管理されたキー管理機能を提供します。SaaSモデルを好む組織向けには、Fortanix Data Security Manager™がHSMおよびキー管理をグローバルクラウドサービスとして提供します。展開モデルに関わらず、組織はソリューション全体を一元的に可視化・管理できます。複数のクラスターを展開してホットウォレットとコールドウォレットを分けることも可能です。
- HSMレベルのセキュリティ:Fortanix DSMはRuntime EncryptionとIntel® SGXを活用し、秘密鍵の保護に比類なきプライバシーを提供します。認可されたユーザーのみが鍵にアクセス可能です。
- マルチシグネチャ(マルチシグ)対応:Fortanixはネイティブにクォーラム承認(M of N)ポリシーをサポートし、重要な鍵操作の保護を強化します。組織は「5人中3人の承認が必要」や「特定ユーザーの承認が必要」、多段階承認など柔軟なクォーラム承認ポリシーを定義可能です。直感的で使いやすいワークフローにより、安全なリモートコラボレーションが実現します。これは、信託管理を第三者に部分的に委ねるホットウォレットや、複数関係者間の調整が難しいコールドウォレットに有用です。
- Runtime Encryptionプラグイン:Fortanix Runtime Encryptionプラグイン機能により、組織は暗号ロジックをカスタマイズし、Intel® SGXの信頼できる実行環境内で安全に実行できます。これにより、しきい値の適用やアクセス制御など、組織の要件に応じた独自のキー使用ポリシーを実現可能です。プラグインはBIP 32で定義されるHDウォレットの安全なキー派生もサポートします。
https://support.fortanix.com/hc/en-us/articles/360015941372-Plugins-Getting-Started - アクセス制御と監査:Fortanix DSMは強力な多要素認証をサポートし、認証プロバイダーとの統合も柔軟に対応します。グループの概念により、ユーザー、アプリケーション、鍵に対して細かなアクセス制御が可能です。Fortanix DSMは鍵使用を含むすべてのセキュリティイベントを包括的に監査し、SEIMツールと連携できます。
- REST API:Fortanix DSMは多様な暗号インターフェースに加え、RESTful APIもサポートします。そのため、ウェブアプリケーションやモバイルアプリケーションが安全にFortanix DSMに接続し、キー管理を行えます。
- スケールアウト:Fortanix DSMは初期展開時から数百万の鍵を管理可能で、鍵やトランザクションの需要増加に応じて容易にスケールアウトできます。分散システムアーキテクチャを活用し、自動化された高可用性と災害復旧を提供することで、可用性リスクを最小化しつつ運用の簡素化を実現します。
- アルゴリズム:Fortanix DSMはNSA Suite Bの包括的なアルゴリズムをサポートします。さらに、ソフトウェア定義のHSMおよびキー管理アプローチにより、新しいアルゴリズムのサポートを継続的に提供可能です。例えば、Fortanix DSMはBitcoinアプリケーションで使用されるECDSA secp256k1をサポートしています。
https://support.fortanix.com/hc/en-us/articles/360016160411-Algorithm-Support
セキュリティと柔軟性
ブロックチェーンは、取引や資産の追跡、記録の管理を行う企業や組織にとって、変革をもたらす可能性を秘めています。ブロックチェーンスタイルの台帳システムを採用することで、組織は効率を大幅に向上させ、社内だけでなくビジネスエコシステム全体での協力体制を強化できます。
Fortanix DSMは、ブロックチェーン導入の最大の障壁の一つである安全かつコンプライアンスに準拠した鍵管理を解消します。Fortanix DSMは鍵の生成と使用において比類なきセキュリティを提供します。秘密鍵は保存時、転送時、使用時のすべてにおいて安全に保護されます。鍵管理と鍵使用に関するポリシーはIntel® SGXエンクレーブ内で強制され、ポリシーの機密性と完全性が保証されます。Fortanix DSMは、強化された物理的セキュリティを提供するFIPS 140-2 レベル3準拠のFortanix Runtime Encryption Appliances上で稼働します。
Fortanix DSMは、ブロックチェーン環境への容易な統合を目的としたHSMレベルのセキュリティを提供し、展開モデルの柔軟性、REST APIサポートによるアプリケーション統合、強化された暗号アルゴリズムのサポート、さらにマルチシグ、鍵署名、アクセス制御のポリシーにも対応しています。
