Mysten Labsとの対話:Suiは時代の最先端に立ち、安全性を最優先とするL1の構築に尽力
TechFlow厳選深潮セレクト
Mysten Labsとの対話:Suiは時代の最先端に立ち、安全性を最優先とするL1の構築に尽力
Suiコミュニティには、ネットワークおよびSuiプラットフォーム上でアプリケーションを開発する開発者を含む、エコシステム全体の利益を守る責任があります。
Web3業界の深掘り報道に専念し潮流を洞察最近、我々はMysten Labsの副最高情報セキュリティ責任者(副CISO)であるクリスチャン・トンプソン氏と対面で対談し、彼が考えるセキュリティ実践の相互関係性や、Sui開発者のセキュリティ慣行に関する洞察と評価について話を伺った。
以下はそのインタビュー内容である。
テクノロジー企業にとって、CISOの役割とは何ですか?
最高情報セキュリティ責任者(CISO)の責任は非常に広範であり、デジタル環境の保護において極めて重要な役割を果たしています。その中核的な任務の一つが脅威インテリジェンスの収集であり、潜在的な攻撃者の思考を深く理解することです。彼らは誰か、なぜ当社を標的にする可能性があるのか、いつ攻撃を仕掛けてくるのか、どのような動機を持ち、攻撃手法にどの程度精通しているのかという点です。
潜在的な敵対者について明確な認識を持ち、彼らの能力を把握することで、私たちはシステムを積極的に守るための措置を講じることができます。これはパズルゲームに例えることができます。パズルを解こうとしているプレイヤーが誰で、どのように行動するかを理解していれば、断片をより効果的に組み立てられるのです。たとえば、彼らの知られている戦術と、私たちのシステムの中で最も脆弱になりやすい領域を結びつけることができるのです。まるで防御システムを構築するように、誰かがデジタル境界を突破しようとした瞬間に警報が鳴るようにできます。
まるで誰かが自宅に侵入しようとした際に警報システムが私たちに知らせてくれるのと同じように、このような防御体制は疑わしい活動が発生した時点でリアルタイムで警告を発することができます。つまり、潜在的な脅威に対して迅速に対応し、リスクを軽減する適切な措置を取ることが可能になるのです。
これらの重点分野には、サイバーセキュリティ、データ管理、各分野におけるリスク、アーキテクチャ、コンプライアンス、ガバナンス、レジリエンス、報告体制などが含まれます。
CISOの役割の一部は、内部チームメンバーの保護にも及びます。私たちは、チームメンバーがどれだけリスクにさらされているかを理解するために多くの時間を費やしています。特に、チームメンバーが暴力的傾向のある地域やその他の不安定な地域へ渡航する場合、これらのリスクは大きく変化する可能性があります。
SuiのようなL1ブロックチェーンを考慮する際、セキュリティ上の課題はどのように異なるのでしょうか?
Suiブロックチェーンのような内聚的な防御戦略を構築するには、複数の機能とサービスを統合する必要があります。この戦略は、脆弱と考えられる領域に焦点を当てるだけでなく、Suiコミュニティ全体がネットワークおよびSuiプラットフォーム上でアプリケーションを開発する開発者を含むエコシステム全体の利益を守る責任を負っています。セキュリティの卓越性を達成することは高価で困難な作業であり、特にスタートアップにとっては大きな挑戦です。
この問題に対処するため、Sui財団は、セキュリティ対策をより広いエコシステムに拡大する製品を開発しています。具体的には、通常は大規模組織にのみ提供されるセキュリティツールやサービスを、中小企業にも提供するのです。これにより、より安全な環境で開発を行うことが可能になり、エンドユーザーと規制当局の信頼も高まります。私たちの目標は、Sui上で開発する人々が、効率的であるだけでなく、安全性も確保できるようにすることです。
ブロックチェーンのセキュリティ維持には、どのようなツールやサービスが使用されていますか?
以下の図表は、熟練したセキュリティチームが現在使用しているサービスやツールの種類を示しています。これらは堅牢なセキュリティ基盤を構築するために不可欠な多様なサービスを表しています。真の効力を発揮するのは、個々のサービスが単独で存在することではなく、それらが複雑に連携し合うことにあることを認識することが重要です。すなわち、それらの相互関係、導入順序、そして生み出される相乗効果を理解することです。
この図に列挙された各サービスについて、Suiネットワークは特定のツールを活用したり、サービスプロバイダーに依存して展開しています。Sui財団は、これらのコンポーネントをパッケージ化し、利用を希望するあらゆる企業に提供することで、その実用性を最大限に引き出す計画です。したがって、図中の分割された領域は、セキュリティ強化を目指す組織が利用可能な、構造化された豊かなリポジトリを象徴しています。
この図には多くの要素がありますが、それらはすべて同列で密接に関連しているのでしょうか? それとも優先順位があるのでしょうか?
はい、優先順位があります。この図の背後にある考え方はよく練られています。ゼロから始めて何に即座に注目すべきかを見極めるように、基礎的なセキュリティのブロックを構築していくと考えてください。あるいは、基本的なセキュリティツールキットと捉えることもできます。このツールキットには「ブランド防衛」という側面が含まれており、企業の評判に影響を与える可能性のあるいかなる損害に対しても警戒を怠らないことを意味します。これは、ネガティブなブランド影響を監視・軽減するためのインテリジェンス収集を伴います。さらに、「誠実性(Integrity)」も重要な要素であり、ブランドイメージを損なうような行為を検出し、対処する能力を備えている必要があります。
ただし、このツールキットは万人に共通のものではありません。異なる組織はそれぞれ独自の目的に合わせてカスタマイズされたツールキットを必要とするでしょう。たとえば、コーディングと密接に関わる企業であれば、「脆弱性検出能力」の強化を優先するかもしれません。これは、システム内の潜在的な脆弱性を詳細に調査し、「ファジングテスト(fuzz testing)」などの手法を通じてコードにストレスをかける作業を含みます。一方、DeFi企業とゲーム会社を比較してみましょう。DeFi企業は、規制リスク、ガバナンス、コンプライアンスに重点を置いたツールキットを選ぶかもしれません。一方、ゲーム会社は運用、インテリジェンス、特定レベルのセキュリティエンジニアリングに重点を置くかもしれません。
本質的に、この図は、異なる文化や優先事項を持つさまざまなタイプの企業にセキュリティ戦略を適応させるという考え方を要約しています。
企業は通常、「これが私のすべてのリスクだ。どうやってそれらを軽減すればいいか?」という視点から始めますが、他にも視点はあるのでしょうか?
その通りです。
ツールキットは、ブロックチェーンエコシステム全体の安全性を保つ鍵となる方法のように見えます。しかし、パブリックチェーンの本質は、それが非中央集権的で許可不要である点にあります。技術的には、誰でもアクセス・参加できる状態で、どのようにしてネットワークのセキュリティを保っているのでしょうか?
はい、ツールキットという概念は、エコシステム全体のセキュリティ維持において極めて重要な役割を果たしています。パブリックチェーンの素晴らしさは、非中央集権的かつ許可不要であることであり、多くの人々がそのあらゆる側面を検証できることにあります。そのため、必要なツールを構築し、教育を促進することが極めて重要です。
想像してください。エコシステム内の個人は、何が起きているかを理解するだけでなく、利用可能なツールが何か、そしてそれをどのように効果的に活用するかを理解する必要があります。注目すべきは、エコシステムに影響を与える多くの要因が、ブロックチェーンそのもの以上に及ぶことです。ソーシャルメディアでの議論、恐怖・不確実性・疑念(FUD)、潜在的な詐欺行為などもエコシステムに影響を与える可能性があります。ここから、包括的な意識の重要性が浮き彫りになります。
三つ目の重要な要素は、コミュニティ内の情報交換です。個人がコミュニケーションを取り、協力できるとき、集団的な知識基盤が強化されます。つまり、教育が知識習得を促進し、情報が業界の洞察を促進し、ツールが実際の行動を促進するという三本柱のアプローチです。この組み合わせにより、コミュニティは単に理解するだけでなく、さまざまな行動に積極的に影響を与える能力を得るのです。
Suiエコシステム内では、現在どのようにコミュニケーションが行われていますか?
Suiエコシステムのコミュニケーション手段は多岐にわたります。最近開催されたバリデーターノードサミットは、個人がつながり、知見を交換する貴重なプラットフォームを提供しました。また、Builder Housesイベントも同様の機会を提供しています。さらに、Sui財団は近い将来、Suiのセキュリティに特化した一連の記事を発表する予定であると聞いています。
日常的なコミュニケーションチャネルとしては、DiscordやTelegramなどのプラットフォームがあり、バリデーター、ノード運営者、その他関係者間のやり取りを促進しています。これらのフォーラムは、協働に対する意識を高めるだけでなく、時間とともに拡大を続け、進化する知識の議論と共有の場を形成しています。
Sui Moveの設計は、他のブロックチェーンプログラミング言語に比べて本質的により安全であると言われています。これはSuiのセキュリティアプローチにどのような影響を与えていますか?
Moveが他のいくつかのプログラミング言語よりも安全であることは確かです。付け加えるならば、当初Suiの開発に携わったチームには、セキュリティに注力していた人が多くいました。つまり、これは言語の問題に留まらず、Suiの各コンポーネントがどのように構築されたかという点にも関わっており、それによりより耐久性が高く、悪用されにくい構造になっています。もちろん、セキュリティ分野にも同様に優れた人材は存在します。十分なインセンティブがあれば、彼らも必死に脆弱性を探そうとするでしょう。そのため、専門家は、誰が、いつ、どこで、なぜ、どのようにしてそれが起こり得るかを理解する必要があります。まさにそこに私たちの注力点があるのです。
Web3の他の場所で発生したハッキング事件は、Suiの取り組みにどのような影響を与えていますか?
残念ながら、Web3分野でハッキング事件が発生すると、常に広範な注目を集めます。しかし、これらは貴重な学びの機会でもあります。セキュリティ担当者は、そのメカニズム――how、what、when、who、why――を徹底的に分析するよう促されます。こうした洞察は、より広い分野に追加の知見を提供します。
Sui財団のチームは、これらの脅威者の正体や能力を理解するために、多数のセキュリティリソースをすでに投入しており、彼らが好む攻撃ターゲットや動機の解明に重点を置いています。
これらのハッキング事件は、私たちに二つの異なる啓示をもたらします。第一に、被害を受けた人々への同情です。こうした出来事は実際に人の生活に影響を及ぼすからです。第二に、これはSuiの戦略を強化する機会でもあります。こうした教訓を通じて、Suiは立場を最適化・強化し、同様のリスクを未然に防ぐことができるのです。
今後のWeb3におけるセキュリティについて、どのようにお考えですか?
私たちは新しい時代の入り口に立っています。そこではWeb3の出現と、人工知能、機械学習、拡張現実、仮想現実といった並外れた技術が登場します。そこに秘められた驚異的な可能性に、私は心が躍ります。私たちは、極めて没入感のあるインターフェースを体験し、前例のないスピードと方法で情報を取得する境地にいます。
この変化はセキュリティ分野にも及びます。潜在的な脅威を事前に察知するAIパートナーがいる世界を想像してみてください。あるいは、AIとAIが対峙するシナリオさえもあり得ます。間違いなく、それが私たちが進む方向であり、Suiがこうした先進技術の最前線に立つことを期待しています。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
Sui Network
