Cloud Security Alliance Hyperledger Fabric 2.0 のセキュリティ報告書とチェックリスト (CSF対応)
こんにちは、丸山満彦です。
Cloud Security Alliance が「Hyperledger Fabric 2.0アーキテクチャのセキュリティ報告書」と「Hyperledger Fabric 2.0アーキテクチャのセキュリティ管理チェックリスト」を公表していますね。。。NISTのCyber Seucirity Flameworkに紐づいたものになっているようですね。。。
Hyperledger [wikipedia] Fabric 2.0は昨年1月にリリースされているのですが、このバージョンの利用はどれほど進んでいるのでしょうかね。。。
● Cloud Security Alliance: CSA
セキュリティ報告書
・2021.06.28 Hyperledger Fabric 2.0 Architecture Security Report
・[PDF] Hyperledger Fabric 2.0 Architecture Security Report
CSFに紐づいたセキュリティ管理チェックリスト
・2021.06.28 Hyperledger Fabric 2.0 Architecture Security Controls Checklist
・[XLSX] Hyperledger Fabric 2.0 - Security Controls Checklist [downloaded]
Executive Summary | エグゼクティブサマリー |
Key Findings | 主要な調査結果 |
Introduction | はじめに |
Overview - Fabric Implementation of Trade Finance WorkFlow | 概要-Fabricによるトレード・ファイナンス・ワークフローの実装 |
Scope for Fabric’s Architectural Threat Model | Fabricのアーキテクチャ脅威モデルの範囲 |
In Scope | スコープ内 |
Out of Scope | スコープ外 |
Risk Identification Process | リスク識別プロセス |
Methodology | 方法論 |
Threat Evaluation of Trade Finance Business Logic | トレード・ファイナンス・ビジネスロジックの脅威評価 |
Threat Analysis as per STRIDE Model | STRIDEモデルに基づく脅威分析 |
Step 1 - Identify Fabric 2.0 Permissioned Network’s Subsystems | ステップ1 - ファブリック2.0で許可されたネットワークのサブシステムの特定 |
Step 2 - Decompose / Delineate Fabric 2.0 Permissioned Network’s Trust Boundaries (Physical and Logical) | ステップ2 - Fabric 2.0 許可されたネットワークの信頼境界(物理的および論理的)の分解と特定 |
Physical Trust Boundaries | 物理的な信頼境界 |
Logical Trust Boundaries | 論理的な信頼境界 |
Step 3 - Detail the Trade Finance WorkFlow on the Fabric 2.0 Permissioned Network at Runtime | ステップ3 - Fabric 2.0 認可されたネットワーク上でのトレード・ファイナンス・ワークフローの詳細(ランタイム時) |
Step 4 - Identify Vulnerabilities in the Trade Finance Workflow at Runtime using STRIDE | ステップ4 - STRIDEを用いたランタイムにおけるトレード・ファイナンス・ワークフローの脆弱性の特定 |
Step 5 - Determine the Risk by Rating the Likelihood and Impact of the Vulnerabilities | ステップ5 - 脆弱性の可能性と影響を評価してリスクを決定する |
Step 6 - Group the Vulnerabilities by Cybersecurity Functional Areas | ステップ6 - 脆弱性をサイバーセキュリティの機能分野ごとにグループ化する |
Findings | 調査結果 |
Business Layer (Gartner’s Blockchain Security Model) | ビジネスレイヤー(ガートナー社ブロックチェーンセキュリティモデル) |
Threat Evaluation to Trade Finance Business Logic Confidentiality and Privacy | トレード・ファイナンス・ビジネスロジックに対する脅威の評価 機密性とプライバシー |
Risk/IAM Process and Technology/IT Layer (Gartner’s Blockchain Security Model) | リスク/IAMプロセスと技術/IT層(ガートナー社ブロックチェーン・セキュリティ・モデル) |
Threat Model Analysis of the Trade Finance WorkFlow at Runtime | ランタイムにおけるトレード・ファイナンス・ワークフローの脅威モデル分析 |
Impact of Findings on Trade Finance Fabric Network | 調査結果のトレード・ファイナンス・ファブリック・ネットワークへの影響 |
Threat Mitigation Strategy Recommendations | 脅威の緩和戦略の推奨 |
Incident Response Readiness Strategy Recommendations | インシデント対応準備戦略の推奨 |
Cryptography Module Recommendations for Fabric 2.0 Permissioned Network | Fabric 2.0許可制ネットワークにおける暗号モジュールの推奨事項 |
Glossary | 用語集 |
Bibliography | 参考文献 |
« 新経済連盟+内閣官房IT推進戦略本部 「ブロックチェーンに関する官民推進会合報告」 | Main | 世界経済フォーラム (WEF) デジタルセーフティの推進:グローバルアクションを調整するためのフレームワーク »
Comments