« 新経済連盟+内閣官房IT推進戦略本部 「ブロックチェーンに関する官民推進会合報告」 | Main | 世界経済フォーラム (WEF) デジタルセーフティの推進:グローバルアクションを調整するためのフレームワーク »

2021.07.01

Cloud Security Alliance Hyperledger Fabric 2.0 のセキュリティ報告書とチェックリスト (CSF対応)

こんにちは、丸山満彦です。

Cloud Security Alliance が「Hyperledger Fabric 2.0アーキテクチャのセキュリティ報告書」と「Hyperledger Fabric 2.0アーキテクチャのセキュリティ管理チェックリストを公表していますね。。。NISTのCyber Seucirity Flameworkに紐づいたものになっているようですね。。。

Hyperledger [wikipedia] Fabric 2.0は昨年1月にリリースされているのですが、このバージョンの利用はどれほど進んでいるのでしょうかね。。。

Cloud Security Alliance: CSA

・2021.06.28 New Cloud Security Alliance Research Evaluates Hyperledger Fabric 2.0 Security, Provides Guidance Mapped to NIST Cybersecurity Framework

 

セキュリティ報告書

・2021.06.28 Hyperledger Fabric 2.0 Architecture Security Report

・[PDF] Hyperledger Fabric 2.0 Architecture Security Report

20210701-123256

 

CSFに紐づいたセキュリティ管理チェックリスト

・2021.06.28 Hyperledger Fabric 2.0 Architecture Security Controls Checklist

・[XLSX] Hyperledger Fabric 2.0 - Security Controls Checklist [downloaded]


Executive Summary エグゼクティブサマリー
Key Findings 主要な調査結果
Introduction はじめに
Overview - Fabric Implementation of Trade Finance WorkFlow 概要-Fabricによるトレード・ファイナンス・ワークフローの実装
Scope for Fabric’s Architectural Threat Model Fabricのアーキテクチャ脅威モデルの範囲
 In Scope  スコープ内
 Out of Scope  スコープ外
Risk Identification Process リスク識別プロセス
Methodology 方法論
Threat Evaluation of Trade Finance Business Logic トレード・ファイナンス・ビジネスロジックの脅威評価
Threat Analysis as per STRIDE Model STRIDEモデルに基づく脅威分析
Step 1 - Identify Fabric 2.0 Permissioned Network’s Subsystems ステップ1 - ファブリック2.0で許可されたネットワークのサブシステムの特定
Step 2 - Decompose / Delineate Fabric 2.0 Permissioned Network’s Trust Boundaries (Physical and Logical) ステップ2 - Fabric 2.0 許可されたネットワークの信頼境界(物理的および論理的)の分解と特定
 Physical Trust Boundaries  物理的な信頼境界
 Logical Trust Boundaries  論理的な信頼境界
Step 3 - Detail the Trade Finance WorkFlow on the Fabric 2.0 Permissioned Network at Runtime ステップ3 - Fabric 2.0 認可されたネットワーク上でのトレード・ファイナンス・ワークフローの詳細(ランタイム時)
Step 4 - Identify Vulnerabilities in the Trade Finance Workflow at Runtime using STRIDE ステップ4 - STRIDEを用いたランタイムにおけるトレード・ファイナンス・ワークフローの脆弱性の特定
Step 5 - Determine the Risk by Rating the Likelihood and Impact of the Vulnerabilities ステップ5 - 脆弱性の可能性と影響を評価してリスクを決定する
Step 6 - Group the Vulnerabilities by Cybersecurity Functional Areas ステップ6 - 脆弱性をサイバーセキュリティの機能分野ごとにグループ化する
Findings 調査結果
Business Layer (Gartner’s Blockchain Security Model) ビジネスレイヤー(ガートナー社ブロックチェーンセキュリティモデル)
 Threat Evaluation to Trade Finance Business Logic Confidentiality and Privacy  トレード・ファイナンス・ビジネスロジックに対する脅威の評価 機密性とプライバシー
Risk/IAM Process and Technology/IT Layer (Gartner’s Blockchain Security Model) リスク/IAMプロセスと技術/IT層(ガートナー社ブロックチェーン・セキュリティ・モデル)
 Threat Model Analysis of the Trade Finance WorkFlow at Runtime  ランタイムにおけるトレード・ファイナンス・ワークフローの脅威モデル分析
Impact of Findings on Trade Finance Fabric Network 調査結果のトレード・ファイナンス・ファブリック・ネットワークへの影響
Threat Mitigation Strategy Recommendations 脅威の緩和戦略の推奨
Incident Response Readiness Strategy Recommendations インシデント対応準備戦略の推奨
Cryptography Module Recommendations for Fabric 2.0 Permissioned Network Fabric 2.0許可制ネットワークにおける暗号モジュールの推奨事項
Glossary 用語集
Bibliography 参考文献

 

|

« 新経済連盟+内閣官房IT推進戦略本部 「ブロックチェーンに関する官民推進会合報告」 | Main | 世界経済フォーラム (WEF) デジタルセーフティの推進:グローバルアクションを調整するためのフレームワーク »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 新経済連盟+内閣官房IT推進戦略本部 「ブロックチェーンに関する官民推進会合報告」 | Main | 世界経済フォーラム (WEF) デジタルセーフティの推進:グローバルアクションを調整するためのフレームワーク »