« 日本のサイバーセキュリティ関連の研究開発状況。。。NISC 研究開発戦略専門調査会第18回会合 | Main | ENISA CSIRT成熟度フレームワークの改訂 »

2022.02.24

Cloud Security Alliance ブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察 (2022.02.16)

こんにちは、丸山満彦です。

Cloud Security Alliance がブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察を公表していますね。。。

 

Cloud Security Alliance (CSA)

・2022.02.16 Blockchain/Distributed Ledger Technology (DLT) Risk and Security Considerations

Blockchain/Distributed Ledger Technology (DLT) Risk and Security Considerations ブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察
There is no shortage of guidance on how to design, configure and deploy Fabric solutions. This paper provides insights into how the three layers of blockchain technology interact with enterprise security services to deliver specific security outcomes. This holistic approach does not shy away from the hard work of operating production blockchain networks within computer networks constrained by critical sector requirements, such as security accreditation, PCI DSS segmentation, etc. These insights offer a method that can help organizations to deploy DLT solutions that are secure, cost-effective, and meet regulatory and compliance requirements for organizations. It also provides recommendations for Hyperledger Fabric that could be applied to other permissioned blockchains. ファブリックソリューションの設計、設定、導入方法に関するガイダンスには事欠きません。本稿では、ブロックチェーン技術の3つの層が企業のセキュリティサービスとどのように相互作用し、特定のセキュリティ成果をもたらすかについての洞察を提供します。この全体的なアプローチは、セキュリティ認定、PCI DSSセグメンテーションなど、重要なセクターの要件に制約されたコンピュータネットワーク内で本番用ブロックチェーンネットワークを運用するというハードワークを敬遠するものではありません。これらの洞察は、安全で費用対効果が高く、組織の規制・コンプライアンス要件を満たすDLTソリューションの展開に役立つ手法を提供しています。また、他の許可制ブロックチェーンにも適用可能なHyperledger Fabricに対する提言も行っています。

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220224-102600

 

 

 

Table of Contents 目次
Acknowledgments 謝辞
Lead Author 筆頭著者
Peer Reviewers 査読者
CSA Global Staff CSAグローバルスタッフ
Editor 編集者
Executive Summary エグゼクティブサマリー
1. Introduction 1. はじめに
1.1 Overview 1.1 DLTの概要
1.2 DLT Security Incidents 1.2 DLTセキュリティインシデント
1.2.1 Blockchain/DLT and Critical Sector Ransomware Attacks 1.2.1 ブロックチェーン/DLTとクリティカルセクターのランサムウェア攻撃
1.3 Blockchain Technology Layers 1.3 ブロックチェーン技術のレイヤー
1.4 Purpose of the Document 1.4 本文書の目的
1.5 Scope 1.5 範囲
1.6 Audience 1.6 オーディエンス
2. Blockchain Technology Basics 2. ブロックチェーン技術の基礎
2.1 Distributed Ledger and DLT defined 2.1 分散型台帳とDLTの定義
2.2 Permissioned versus Permissionless Blockchain Networks 2.2 パーミッションドブロックチェーンネットワークとパーミッションレスブロックチェーンネットワークの比較
2.3 Hyping Blockchain Business and Security Properties 2.3 ブロックチェーンビジネスとセキュリティの特性を誇張する
2.4 Hyperledger Greenhouse Structure and Fabric 2.4 ハイパーレジャー・グリーンハウスの構造とファブリック
2.4.1 Fabric 2.4.1 ファブリック
3. Fabric Security and Risk Context 3 ファブリックのセキュリティとリスクのコンテクスト
3.1 Regulatory Risk Context for Fabric 3.1 ファブリックへの規制リスクの背景
3.1.1 Concerns of Financial Regulators 3.1.1 金融規制当局の懸念
3.1.2 Concerns of Energy Regulators 3.1.2 エネルギー規制当局の懸念事項
3.2 Enterprise Risk Context for Fabric 3.2 ファブリックの企業リスクの状況
3.2.1 Business Drivers for Security 3.2.1 セキュリティに関するビジネスドライバー
3.2.2 Business Attribute Profile 3.2.2 ビジネスアトリビュートプロファイル
4. Fabric Solution Overview 4. ファブリックソリューションの概要
4.1 System Context Diagram 4.1 システムコンテクスト図
4.2 Fabric Key Users and Interfaces 4.2 ファブリックの主要ユーザーとインターフェイス
5. Fabric Threat Assessment 5. ファブリックの脅威の評価
5.1 Technical Risk Assessment Approach 5.1 技術的リスク評価のアプローチ
5.2 Threat Sources 5.2 脅威の発生源
5.2.1 Threat Source Capability and Priority Assessment 5.2.1 脅威源の能力と優先順位の評価
5.2.2 Threat Source Types 5.2.2 脅威源の種類
5.2.2.1 Modeling Fabric Threat Sources 5.2.2.1 モデリングファブリックの脅威源
5.2.2.2 Nation-State Sponsored Groups 5.2.2.2 国民国家のスポンサーグループ
5.2.2.3 Criminal Organizations 5.2.2.3 犯罪組織
5.3 Threat Actors 5.3 脅威の行動者
5.3.1 Threat Actor Capability and Priority 5.3.1 脅威の主体の能力と優先順位
5.3.2 Threat Actor Types/Categories 5.3.2 脅威の行為者のタイプ/カテゴリー
5.3.3 Threat Actor Metrics 5.3.3 脅威の行為者の指標
5.3.4 Security Clearance 5.3.4 セキュリティ・クリアランス
6. Risk Assessment 6. リスク評価
6.1 Compromise Methods 6.1 危殆化の手法
6.1.1 Example – Privileged User Compromise Methods 6.1.1 例 - 特権ユーザによる危殆化の方法
7. Risk Mitigation 7. リスクの軽減
7.1 Risk Mitigation Approach 7.1 リスク低減のためのアプローチ
7.2 Logical Security Services 7.2 論理的セキュリティサービス
7.2.1 Logical Security Services, Fabric and Enterprise Security Mechanisms 7.2.1 論理的セキュリティサービス、ファブリック、エンタープライズセキュリティメカニズム
7.2.2 Overview of Logical Security Services 7.2.2 論理的セキュリティサービスの概要
8. Fabric Reference Security Architecture 8. ファブリックリファレンスセキュリティアーキテクチャ
8.1 Blockchain Reference Architecture 8.1 ブロックチェーンリファレンスアーキテクチャ
8.2 Network Security and DLT Networks 8.2 ネットワークセキュリティとDLTネットワーク
8.3 End-to-End Fabric Reference Security Architecture 8.3 エンド・ツー・エンドのファブリック・レファレンス・セキュリティ・アーキテクチャ
8.3.1 Overview of Reference Security Architecture Components 8.3.1 リファレンス・セキュリティ・アーキテクチャのコンポーネントの概要
8.3.2 Assumptions of the Reference Security Architecture 8.3.2 リファレンス・セキュリティ・アーキテクチャの前提条件
8.3.2.1 High Assurance Cross-Domain Guards 8.3.2.1 高保証のクロスドメイン・ガード
8.3.3 Network Segmentation in Reference Security Architecture 8.3.3 リファレンス・セキュリティ・アーキテクチャにおけるネットワークの細分化
8.4 High Security Domain 8.4 高セキュリティ領域
8.4.1 Cryptography Services 8.4.1 クリプトグラフィ・サービス
8.4.1.1 Cryptography-based Blockchain Network Services 8.4.1.1 暗号技術を用いたブロックチェーンネットワークサービス
8.4.1.2 Public-key cryptography (PKC)’s Compliance Defect 8.4.1.2 公開鍵暗号(PKC)のコンプライアンス上の欠陥
8.4.1.3 Public-Key Infrastructure (PKI) 8.4.1.3 公開鍵暗号(PKI)のサービス
8.4.1.3.1 Fabric Certificate Authority (CA) Server 8.4.1.3.1 ファブリック認証局(CA)サーバー
8.4.1.3.2 Use of Public/Commercial PKI Services in Production 8.4.1.3.2 本番環境におけるパブリック/コマーシャルPKIサービスの使用
8.4.1.4 Security recommendation for a Production Root CA 8.4.1.4 本番用ルートCAのセキュリティ推奨事項
8.4.1.5 Quantum Computer Readiness 8.4.1.5 量子コンピュータへの対応
8.4.1.5.1 Shor’s Algorithm 8.4.1.5.1 Shorのアルゴリズム
8.4.1.5.2 Grover’s Algorithm 8.4.1.5.2 グローバーのアルゴリズム
8.4.1.5.3 Quantum-Safe Cryptography 8.4.1.5.3 耐量子暗号技術
8.4.2 Enterprise Security Services 8.4.2 組織体向けセキュリティサービス
8.4.2.1 Network Infrastructure Security 8.4.2.1 ネットワークインフラのセキュリティ
8.4.2.2 Identity and Access Management (IAM) 8.4.2.2 アイデンティティおよびアクセス管理(IAM)
8.4.2.2.1 IAM Security Recommendations 8.4.2.2.1 IAMセキュリティの推奨事項
8.4.2.3 Data Security and Privacy 8.4.2.3 データセキュリティとプライバシー
8.4.2.3.1 Data Security and Privacy Recommendations 8.4.2.3.1 データセキュリティおよびプライバシーに関する推奨事項
8.4.2.4 Security Monitoring 8.4.2.4 セキュリティモニタリング
8.4.2.4.1 Security Monitoring Recommendations 8.4.2.4.1 セキュリティモニタリングに関する推奨事項
8.4.3 Enterprise Systems 8.4.3 企業システム
8.4.3.1 Enterprise Resource Planning (ERP) System 8.4.3.1 エンタープライズリソースプランニング(ERP)システム
8.4.3.2 Transformation and Connectivity 8.4.3.2 トランスレーションとコネクティビティ
8.4.3.3 Directory Services 8.4.3.3 ディレクトリサービス
8.4.3.4 Enterprise Data Store 8.4.3.4 エンタープライズデータストア
8.5 Enhanced Security Domain 8.5 セキュリティドメインの強化
8.5.1 Network Security Controls 8.5.1 ネットワークセキュリティコントロール
8.5.2 Trust Anchor – Blockchain Management and Development 8.5.2 トラストアンカー - ブロックチェーンの管理と開発
8.5.2.1 Blockchain Management 8.5.2.1 ブロックチェーン管理
8.5.2.1.1 Networked HSMs for Intermediate CA 8.5.2.1.1 中間CAのネットワーク化されたHSM
8.5.2.1.2 Channel MSP 8.5.2.1.2 チャネルMSP
8.5.2.1.3 Application Programming Interface (API) 8.5.2.1.3 アプリケーションプログラミングインターフェース(API)
8.5.2.1.4 Automation Tools 8.5.2.1.4 自動化ツール
8.5.2.1.5 Web Console 8.5.2.1.5 ウェブコンソール
8.5.2.2 Blockchain Development and DevSecOPs 8.5.2.2 ブロックチェーン開発とDevSecOPs
8.5.2.2.1 Blockchain Development 8.5.2.2.1 ブロックチェーン開発
8.5.2.2.1.1 Visual Studio Code IDE 8.5.2.2.1.1 ビジュアルスタジオコードIDE
8.5.2.2.1.2 Red Hat® CodeReady Workspaces 8.5.2.2.1.2 Red Hat® CodeReady Workspaces
8.5.2.2.2 DevSecOPs 8.5.2.2.2 DevSecOPs
8.5.2.2.2.1 Continuous Integration and Continuous Delivery (CI/CD) 8.5.2.2.1 継続的インテグレーションと継続的デリバリー(CI/CD)
8.5.2.2.2.2 Code Repository 8.5.2.2.2 コードリポジトリ
8.6 Standard Security Domain 8.6 標準的なセキュリティ領域
8.6.1 Network Security Controls 8.6.1 ネットワークセキュリティコントロール
8.6.2 Blockchain Runtime 8.6.2 ブロックチェーンランタイム
8.6.2.1 Ledger 8.6.2.1 台帳
8.6.2.2 Smart Contract / Chaincode 8.6.2.2 スマートコントラクト/Chaincode
8.6.2.3 Peer Node 8.6.2.3 ピアノード
8.6.2.3.1 Non-Validating Node (Peer) 8.6.2.3.1 非検証ノード(ピア)
8.6.2.3.2 Validating Node (Peer) 8.6.2.3.2 検証ノード(ピア)
8.6.2.4 Local MSP 8.6.2.4 ローカルMSP
8.6.2.5 Fabric SDK / CA Client 8.6.2.5 ファブリックSDK/CAクライアント
8.6.3 Business Applications 8.6.3 ビジネスアプリケーション
8.6.3.1 User Application 8.6.3.1 ユーザーアプリケーション
8.6.3.2 Application Server 8.6.3.2 アプリケーションサーバ
8.6.3.3 Application Programming Interface (API) 8.6.3.3 アプリケーションプログラミングインタフェース(API)
8.6.4 Ordering Service Organizations 8.6.4 オーダリングサービス機関
8.6.4.1 Cryptography 8.6.4.1 暗号技術
8.6.4.2 Ordering Nodes 8.6.4.2 ノードの注文方法
8.6.4.2.1 Raft Protocol versus Apache Kafka 8.6.4.2.1 Raftプロトコルとアパッチカフカの比較
8.7 Restricted Security Domain 8.7 制限されたセキュリティドメイン
8.7.1 Network Security Controls 8.7.1 ネットワークセキュリティコントロール
8.7.2 Blockchain Interconnect 8.7.2 ブロックチェーンの相互接続
8.7.3 Corporate Demilitarized Zone (DMZ) 8.7.3 企業の非武装地帯(DMZ)
8.8 External Security Domain 8.8 外部セキュリティドメイン
8.8.1 Network Security Controls 8.8.1 ネットワークセキュリティコントロール
8.8.2 Trust Anchor – Cloud Platform 8.8.2 トラストアンカー - クラウドプラットフォーム
8.8.2.1 Cloud Infrastructure 8.8.2.1 クラウドインフラ
8.8.2.1.1 Compute, Storage and Network 8.8.2.1.1 コンピューティング、ストレージ、ネットワーク
8.8.2.1.2 Containers 8.8.2.1.2 コンテナ
8.8.2.1.3 Kubernetes 8.8.2.1.3 キューベルネット
8.8.3 Transacting Organization(s) 8.8.3 トランザクションを行う組織
8.8.3.1 Cryptography 8.8.3.1 クリプトグラフィー
8.8.3.2 Local MSP 8.8.3.2 ローカルMSP
8.8.3.3 Transformation and Connectivity 8.8.3.3 トランスレーションとコネクティビティ
8.8.3.4 ERP System 8.8.3.4 ERPシステム
8.8.3.5 Automation Tools 8.8.3.5 自動化ツール
8.8.4 External: Presentation 8.8.4 外部 プレゼンテーション
8.8.4.1 Web Users 8.8.4.1 ウェブユーザー
8.8.4.2 Mobile Users 8.8.4.2 モバイルユーザー
8.9 Conclusion 8.9 結論
9. Glossary 9. 用語集
10. References 10. 参考文献

|

« 日本のサイバーセキュリティ関連の研究開発状況。。。NISC 研究開発戦略専門調査会第18回会合 | Main | ENISA CSIRT成熟度フレームワークの改訂 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 日本のサイバーセキュリティ関連の研究開発状況。。。NISC 研究開発戦略専門調査会第18回会合 | Main | ENISA CSIRT成熟度フレームワークの改訂 »