Cloud Security Alliance Hyperledger Fabric 2.0 のセキュリティ報告書とチェックリスト (CSF対応)

こんにちは、丸山満彦です。

Cloud Security Alliance が「Hyperledger Fabric 2.0アーキテクチャのセキュリティ報告書」と「Hyperledger Fabric 2.0アーキテクチャのセキュリティ管理チェックリスト」を公表していますね。。。NISTのCyber Seucirity Flameworkに紐づいたものになっているようですね。。。

Hyperledger [wikipedia] Fabric 2.0は昨年1月にリリースされているのですが、このバージョンの利用はどれほど進んでいるのでしょうかね。。。

● Cloud Security Alliance: CSA

・2021.06.28 New Cloud Security Alliance Research Evaluates Hyperledger Fabric 2.0 Security, Provides Guidance Mapped to NIST Cybersecurity Framework

 

セキュリティ報告書

・2021.06.28 Hyperledger Fabric 2.0 Architecture Security Report

・[PDF] Hyperledger Fabric 2.0 Architecture Security Report

 

CSFに紐づいたセキュリティ管理チェックリスト

・2021.06.28 Hyperledger Fabric 2.0 Architecture Security Controls Checklist

・[XLSX] Hyperledger Fabric 2.0 - Security Controls Checklist [downloaded]

---

Executive Summary	エグゼクティブサマリー
Key Findings	主要な調査結果
Introduction	はじめに
Overview - Fabric Implementation of Trade Finance WorkFlow	概要-Fabricによるトレード・ファイナンス・ワークフローの実装
Scope for Fabric’s Architectural Threat Model	Fabricのアーキテクチャ脅威モデルの範囲
In Scope	スコープ内
Out of Scope	スコープ外
Risk Identification Process	リスク識別プロセス
Methodology	方法論
Threat Evaluation of Trade Finance Business Logic	トレード・ファイナンス・ビジネスロジックの脅威評価
Threat Analysis as per STRIDE Model	STRIDEモデルに基づく脅威分析
Step 1 - Identify Fabric 2.0 Permissioned Network’s Subsystems	ステップ1 - ファブリック2.0で許可されたネットワークのサブシステムの特定
Step 2 - Decompose / Delineate Fabric 2.0 Permissioned Network’s Trust Boundaries (Physical and Logical)	ステップ2 - Fabric 2.0 許可されたネットワークの信頼境界（物理的および論理的）の分解と特定
Physical Trust Boundaries	物理的な信頼境界
Logical Trust Boundaries	論理的な信頼境界
Step 3 - Detail the Trade Finance WorkFlow on the Fabric 2.0 Permissioned Network at Runtime	ステップ3 - Fabric 2.0 認可されたネットワーク上でのトレード・ファイナンス・ワークフローの詳細（ランタイム時）
Step 4 - Identify Vulnerabilities in the Trade Finance Workflow at Runtime using STRIDE	ステップ4 - STRIDEを用いたランタイムにおけるトレード・ファイナンス・ワークフローの脆弱性の特定
Step 5 - Determine the Risk by Rating the Likelihood and Impact of the Vulnerabilities	ステップ5 - 脆弱性の可能性と影響を評価してリスクを決定する
Step 6 - Group the Vulnerabilities by Cybersecurity Functional Areas	ステップ6 - 脆弱性をサイバーセキュリティの機能分野ごとにグループ化する
Findings	調査結果
Business Layer (Gartner’s Blockchain Security Model)	ビジネスレイヤー（ガートナー社ブロックチェーンセキュリティモデル）
Threat Evaluation to Trade Finance Business Logic Confidentiality and Privacy	トレード・ファイナンス・ビジネスロジックに対する脅威の評価 機密性とプライバシー
Risk/IAM Process and Technology/IT Layer (Gartner’s Blockchain Security Model)	リスク/IAMプロセスと技術/IT層（ガートナー社ブロックチェーン・セキュリティ・モデル）
Threat Model Analysis of the Trade Finance WorkFlow at Runtime	ランタイムにおけるトレード・ファイナンス・ワークフローの脅威モデル分析
Impact of Findings on Trade Finance Fabric Network	調査結果のトレード・ファイナンス・ファブリック・ネットワークへの影響
Threat Mitigation Strategy Recommendations	脅威の緩和戦略の推奨
Incident Response Readiness Strategy Recommendations	インシデント対応準備戦略の推奨
Cryptography Module Recommendations for Fabric 2.0 Permissioned Network	Fabric 2.0許可制ネットワークにおける暗号モジュールの推奨事項
Glossary	用語集
Bibliography	参考文献