
Web3卓越セキュリティサービスプロバイダーとの対話:クラウドセキュリティの「攻防戦」
TechFlow厳選深潮セレクト

Web3卓越セキュリティサービスプロバイダーとの対話:クラウドセキュリティの「攻防戦」
2023年末に近づくにつれて、ブルマーケットのシグナルが次第に明確になり、クラウドサーバーを活用するWeb3プロジェクトの数は急速に増加すると見られる。クラウドはインフラ層としての役割をますます重要なものにしていく。
執筆:CrossSpace
ブロックチェーン基盤技術(分散型レッジャー)によって構築されたWeb3エコシステムは急速に進化しています。L1およびL2パブリックチェーンの技術革新により、次世代の基盤コンピューティングネットワークとしての実現可能性が高まり、さまざまなインフラストラクチャーが「レゴ」の部品のように継続的に整備され、Web3 BUIDLersは複数のアプリケーション分野で豊かなdAppsを不断に構築しています。

クラウドサービスは、Web3において特に重要な基盤インフラであり、エコシステム全体に不可欠な存在です。毎年何万ものプログラムがクラウドサーバー上で動作しています。セキュリティ機関Immunefiの公開レポートによると、「2022年のセキュリティインシデントによる資金損失の46.5%は基盤インフラから生じており、その中でも秘密鍵の管理・運用および緊急対応計画が最も重要である」とされています。Web3におけるクラウドセキュリティは常に課題に直面しており、秘密鍵の漏洩、不正アクセス、スマートコントラクトの分析と監査、DDoS攻撃、内部脅威、コンプライアンス、安定性などの問題は、Web3 BUIDLersにとって長年の悩みの種であり、クラウドプロバイダーやセキュリティサービスプロバイダーにも新たな挑戦をもたらし続けています。
いち早くクラウドサービスを提供した企業として、Amazon Web Services(AWS)はクラウドサービス分野のリーダー的存在です。現在、AWSはさらに積極的にWeb3エコシステムを支援しており、Web3の先進コミュニティブランドCrossSpaceと協力して、「Web3セキュリティ」シリーズのオンライン・オフライン合同セミナーを開催しています。このセミナーでは、クラウドサービスのセキュリティ領域に深く踏み込み、取引所、パブリックチェーン、インフラ、dAppsなどからの安全実務上の課題を聴き取り、実用的な解決策を探求しています。
本シリーズの一環として行われたインタビューでは、Beosin、CertiK、MetaTrust、SlowMist(慢霧)といった優れたWeb3セキュリティ機関と、AWSのクラウドセキュリティ専門家にご登場いただき、現在のクラウドセキュリティの課題とその解決アプローチについて議論しました。
なぜWeb3のクラウドセキュリティはこれほど重要なのか?
セキュリティはあらゆる企業にとって最重要事項です。クラウドサービスとWeb3は相互に補完し合う関係にあります。2009年にBitcoinメインネットが立ち上がり、2015年にEthereumメインネットが開始されて以来、セキュリティインシデントと資産損失は年々増加しており、セキュリティはWeb3世界の基盤として一層重視される必要があります。中央集権型取引所(CEX)であろうと、DeFi、GameFi、NFT、DAO、Social、Bridgeなど非中央集権型のさまざまなシーンであっても、トークンを基盤としたアプリケーションが多数存在します。このトークン処理プロセス全体の安全性を確保することは、Web3 BUIDLersが慎重に検討すべき課題です。AWSはクラウドセキュリティの専門機関として、多数のWeb3プロジェクトをサポートしてきました。ブロックチェーンおよびWeb3分野のセキュリティに注目し続け、プロジェクトチームとの密接なコミュニケーションを通じて、多様なWeb3セキュリティに関する情報共有やトレーニングを実施しています。
2023年末に差し掛かり、ブルームarketの兆しが徐々に明確になっており、クラウドサーバーを利用するWeb3プロジェクトの数は急速に増加すると予想されます。クラウドは基盤インフラとしての役割をますます強めており、クラウドセキュリティはすべての開発者やBUIDLersが注目しなければならない必須の要素となっています。
現在、クラウドセキュリティはどのような重大な課題に直面しているのか?
セキュリティ会社Beosinは今回のインタビューで、「クラウドサービスプロバイダーに対する攻撃が最近の主要な攻撃タイプの一つであり、DDoS攻撃、アカウント乗っ取り、悪意あるコード挿入など複数の手段を用いて、クラウドサービスが提供する計算およびストレージサービスを標的にしています。その結果、機密データの漏洩やサービス停止が生じています」と述べました。同チームはまた、「最近、Mixin NetworkとFortress IOは、それぞれクラウドプロバイダーが攻撃されたことで2億ドルおよび1500万ドルの損失を被りました」と紹介しています。
機密データの漏洩、特に秘密鍵の漏洩は、今回のインタビューで各セキュリティ専門家が繰り返し言及したインシデントの原因です。CertiKの四半期セキュリティレポートも、「秘密鍵の漏洩は今四半期における重大な損失の一因であった」と指摘しています。14件の秘密鍵盗難事件により、合計2.04億ドルの損失が発生しました。
データ漏洩以外にも、SlowMist(慢霧)チームはクラウドセキュリティに関連する他の主な脅威を以下のように挙げています:
-
アカウントの漏洩と不正アクセス:ハッカーはパスワードクラッキング、ソーシャルエンジニアリング、弱いパスワード攻撃などを通じてユーザーのアカウントや認証情報を取得し、無許可でのアクセスを可能にする。
-
DDoS攻撃:分散型サービス拒否(DDoS)攻撃は、リソースを占有したりネットトラフィックを飽和させたりすることでクラウドサービスを停止させ、業務中断を引き起こす。
-
内部からの悪意ある脅威:内部ユーザーまたは従業員が権限を悪用し、データの盗難、情報の破壊、その他の悪意ある行為を行う可能性がある。
-
コンプライアンスおよびデータ管理:プロジェクト側がクラウドプロバイダーのプラットフォーム上でデータを処理する際、適切なツールを活用せずにデータ保護を行わず、データの混在や喪失を招くことがある。
ハッカーによる多次元的な攻撃と潜在的な内部セキュリティリスクに対し、Web3セキュリティの専門家たちは、クラウドセキュリティには包括的なセキュリティ戦略が必要であり、単一の防御策だけでは不十分であることを呼びかけています。
クラウドセキュリティの「攻防戦」、どうすれば突破できるか?
クラウドセキュリティの持続的な課題に直面して、「防御」をどう強化し、ユーザーの個人情報と資金の安全を守ることができるのでしょうか?各セキュリティ機関の専門家たちが見解を述べました。
Beosinチーム:
「機密データの漏洩事件が頻繁に発生しているため、技術者はデータの保存および転送時にデータを暗号化し、第三者による不正アクセスを防ぐべきです。特に秘密鍵などの機密データについては、プライバシーコンピューティングや準同型暗号技術の利用を推奨し、秘密鍵の漏洩を回避すべきです。
同時に、プロジェクト側はクライアントが安全なAPI経由でのみクラウドサービスにアクセスすることを確認し、インジェクション攻撃やクロスサイトスクリプティング(XSS)などの悪意ある活動を防止すべきです。APIを利用することで、クラウドサービスへのアクセス前にクライアントの認証とデータ検証が行え、アクセスの安全性とデータの安全性を確保できます。個人用PCはクライアントとしてのセキュリティ保護能力が弱いため、直接PCからAPIを呼び出してシステムのデータアクセスや運用操作を行うことは推奨しません。代わりに、クラウド上の仮想デスクトップや安全なジャンプサーバーを使用してアクセスを行うべきです。」
CertiK最高セキュリティ責任者(CSO)李康教授:
「クラウドプラットフォーム使用時によく見られるリスクは主に二つあります。一つはユーザーによるクラウドデータ設定の不備、もう一つは開発者がクラウドバックエンドサービスをdApp内に隠蔽してしまうことによるリスクです。多くの場合、クラウドは多くのリソース保護機能とデータ制御機能を提供していますが、ユーザーが設定を誤ったために外部からのアクセスが可能になってしまうケースが多いのです。もう一つのリスクは、開発者が自身の利便性のために、プロジェクト内部でのみ使用するつもりのインターフェースを設計し、dAppがモバイルアプリから直接バックエンドにアクセスできるようにしてしまうことです。このインターフェースは外部に公開しないものの、dAppとバックエンドの間で多数のやり取りが発生します。たとえクラウドのAPIに特別な管理が施されていても、依然として大きなリスクがあります。
これらのリスクに対して、CertiKはクラウドおよびクラウド上で稼働するdApp向けのセキュリティサービスを構築しており、コード監査、リスク評価、開発チームの身元確認および背景調査などを提供しています。李康教授は補足して、「開発チームが完全に信頼できるとは保証できない場合、専門の監査者がdAppに対して包括的な監査を行うことが非常に重要です。」
MetaTrust共同創業者劉楊教授:
「クラウドセキュリティはインフラ層として、データの安全とユーザーのプライバシー保護をしっかり行う必要があります。エンドツーエンドのフルスタックセキュリティ体制を構築し、特にデータ保護に重点を置くべきです。データの種類に応じて適切なアクセス権限を設定し、無許可のアクセスを防止する必要があります。クラウドサービスの仕組みは比較的複雑であり、異なる種類のデータにはそれぞれ独立したアクセス管理メカニズムが必要です。
また、データのコンプライアンスも重視する必要があります。現在、多くのデータが同じクラウド上にありますが、地域によってデータへのアクセス制限が異なることがあります。これを理解していないと、データの越境漏洩によるコンプライアンス違反を引き起こす可能性があります。そのため、アクセス制御と身元認証も極めて重要です。細かい粒度で厳格なアクセス制御と身元認証の仕組みを構築し、不正アクセスを防ぐ必要があります。」
SlowMist(慢霧)チーム:
「クラウドセキュリティには包括的なセキュリティ戦略が必要であり、適切なアクセス制御、暗号化、継続的監視、専門セキュリティ機関による包括的監査、教育訓練などの措置を講じることで、クラウド環境の安全性と安定性を確保できます。例えば、重要なデータに対してはエンドツーエンドの暗号化を行い、暗号化キーの安全管理を徹底する必要があります。キーバックアップは保持すべきですが、クラウド上に保存するのは避けた方が良いでしょう。設定ミスといった基本的な脆弱性を防ぐことで、クラウドセキュリティリスクは大幅に低減できます。最後に、個人ユーザー、中小企業、大企業を問わず、ネットワークおよび端末機器のセキュリティを可能な限り高めることが非常に重要です。」
AWS:セキュリティは玉ねぎのような多層防御モデル
Web2でもWeb3でも、AWSは多数のプロジェクトにクラウドコンピューティングおよびセキュリティサービスを積極的に提供しています。クラウドコンピューティングのリーディングカンパニーかつ積極的な参加者として、AWSのWeb3技術専門家は、セキュリティは卵のような単層構造ではなく、玉ねぎのように多層的な防御モデルであると考えています。これは段階的に展開される防御構造であり、具体的には第一層が脅威検知とインシデント対応、第二層が認証とアクセス制御、第三層がネットワークおよびインフラのセキュリティ、第四層がデータ保護とプライバシー、第五層がリスク管理およびコンプライアンスです。AWSは各層に対して包括的なソリューションを提供しており、Web3プロジェクトがアプリケーションシステム全体をより安全に管理できるよう支援しています。
結論:Web3クラウドセキュリティの攻防戦に勝利するには、関係者の協力が不可欠
Web3エコシステムの安全は、クラウドインフラの安全に大きく依存しています。クラウドインフラに関わるプロジェクトチーム、クラウドプロバイダー、セキュリティプロバイダーは、すべて包括的なセキュリティ戦略を構築し、定期的な監査や自主的なセキュリティ点検を実施することで、最大限の安全性を確保する必要があります。
Web3開発者にとっては、倫理観を高めるとともに、セキュリティスキルを継続的に磨くことが求められます。AWSが開発者向けに提供するWeb3 Ethical Hacking and Security Best Practiceなどのイベントやトレーニングに積極的に参加し、一般的なコントラクトリスクを識別できるようにすることが重要です。
私たちの共通の目標は、安全なWeb3エコシステムを構築し、業界の持続可能な発展を実現することです。今回のインタビューから得た知見を日常の実践に積極的に活かしていただければ幸いです。
Web3プロジェクトチームが安全なクラウドアプリケーションの構築方法について詳しく知りたい場合は、こちらのリンクをご参照ください。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News












