イベントレポート

Hi-Con 2018から〜ConsenSysはセキュリティ開発ライフサイクル支援ツールを日本市場に投入

日本のEthereum開発者コミュニティHi-Etherが主催したテックカンファレンスより

 2018年11月10日、Ethereum開発者会議であるHi-Con 2018が開催された。日本のEthereum開発者コミュニティHi-Etherが主催する最初の大型会議である。今回の記事では、この会議からEthereum開発の分野では最有力企業であるConsenSys社に関連する情報をお届けする。Ethereum開発というブロックチェーン最前線で同社は何を考えているのだろうか。

ConsenSysの大きなビジョンは「分散アプリケーションによりあらゆる人々を包摂した摩擦のないグローバルな商取引を実現する」ことにある。

ConsenSysセキュリティ部門はセキュリティ開発ライフサイクル支援ツールをアピール

 この写真はHi-Con 2018のスポンサー一覧である。最もロゴが大きく表示されている会社が米ConsenSys。米ニューヨーク市ブルックリンに本拠地を置く、Ethereum開発の大手だ。ソフトウェアプロダクト、ソリューション、インフラ、教育、そして投資と各種ビジネスを展開している。

Hi-Con 2018スポンサーのロゴ一覧

 ConsenSysは未上場企業で業績は開示されていないが、従業員数は1000人規模でスタートアップの基準では大きな企業といえる。Microsoft、Amazonというクラウド大手のパートナー企業でもあり、Ethereumブロックチェーンを運用するためのインフラサービス提供やソリューション事業、教育事業も手がける。同社は単に急成長の企業というだけでなく、スタートアップ投資も手がけてEthereumエコシステムをドライブする側の企業でもある。未上場の同社が投資事業を手がけるほどの資金を持っている背景は、仮想通貨の値上がりによる含み益があるものと考えられる。もっとも最近の仮想通貨相場の下落は同社にもダメージを与えている可能性はある。最近の同社には事業見直しやリストラ実施の情報も流れている(参考記事)。

ConsenSys事業分野の一覧

 ConsenSysのTom Lindeman氏による講演"Mythril & Security development lifecycle (SDLC)"は、ConsenSysが提供するDApps(分散アプリケーション)開発者向けのプロダクトMythrilと、それを活用した「セキュリティ開発ライフサイクル」に焦点を当てた内容だった。

 ConsenSysではセキュリティ部門「Diligence」が立ち上がっており、講演者のTom Lindeman氏はその共同設立者でもある。同部門はEthereumエコシステムのためのセキュリティサービス、ツール、ベストプラクティスを提供する。主なプロダクトとしてMythrilとPanvalaがある。

 講演の中心はMythrilの説明だった。Mythril(ミスリル)の本来の意味はトールキンの『指輪物語』に登場する軽量で強靱な架空の金属材料だ。鎖かたびらに加工されて主人公の身を守る。ConsenSysのMithrilはCI(継続的インテグレーション)、ソースコードの静的解析、動的解析、シンボリック実行(Symbolic Execution)の各分析機能を備えたSaaSとして提供されるツール群である。プログラムのセキュリティを守る「鎖かたびら」のような防護ツールという命名なのだろう。

Mythrilのアーキテクチャ。3分野のソースコード解析手法すべてを提供する

 Tom Lindeman氏は「セキュリティは、開発プロセスのエンドツーエンドに織り込まれている必要がある」と述べる。つまり開発サイクルのすべてに渡ってセキュリティを織り込むことがMythrilの狙いということになる。例えばConsenSysが提供する開発環境truffleとMythrilとのインテグレーションなど、開発サイクルで用いる他のツールとの連携も進めている。

 従来のWeb開発者が慣れ親しんでいる開発プロセスはアジャイル開発とDevOpsだ。つまり小刻みなリリースとデプロイを繰り返し素早く改善し続けるやり方である。だがEthereumのスマートコントラクト/DAppsでは異なる考え方が必要となる。

 そのことをEthereumの開発者コミュニティが思い知らされた事件があった。2016年の「The DAO事件」である。スマートコントラクトの脆弱性を突いた攻撃により資金が流出し、分散自律型投資ファンドという意欲的なプロジェクトが挫折した。スマートコントラクトに脆弱性があれば、致命的な結果につながる場合がある。この事件を教訓としてEthereum開発者コミュニティは多くの取り組みを進めてきた。

 一つのアプローチは、形式検証によりプログラムの安全性を追求する試みだ。一方Mythrilではソフトウェアのライフサイクル全般にわたりセキュリティ機能を作り込んでいく取り組みを指向している。Mythrilは設計、シミュレーション、開発、テスト、デプロイ、監査、監視、そして評価というスマートコントラクトおよびDAppsのライフサイクル全体を支援する環境を構築する上で、重要な役割を果たす。今後はMythrilのソフトウェアライセンスをトークンにした「MYTH」を利用したエコシステムの立ち上げを計画している。

セキュリティ開発ライフサイクル。分散アプリケーション(DApps)の設計段階から監視や評価までをライフサイクルと考える

 なお、ConsenSysのセキュリティ部門Diligenceのもう一つのプロダクトであるPanvalaは、より安全なスマートコントラクトに対して印を付ける(マークする)ことを支援する非中央集権型(decentralized)のシステムである。同社のBlog記事では「ミシュラン(レストランやホテルの格付けで著名なガイドブック)のようなもの」と説明する。

NRIセキュアテクノロジーズと組み日本市場に乗り出す

 Hi-Con 2018では、ConsenSysと関係がある講演として、野村総合研究所の情報セキュリティ専門会社であるNRIセキュアテクノロジーズの田篭照博氏による「スマートコントラクトの脆弱性と監査ツール」があった。

 Ethereumのスマートコントラクトは「脆弱性が見つかる」前提で開発、運用する必要がある。ブロックチェーンは安全性が売り物だが、ブロックチェーン上で動かすスマートコントラクトはセキュアではなく、間違えればバグや脆弱性を作り込んでしまう。スマートコントラクトならではの脆弱性がいくつも発見されている。

 脆弱性を見つける方法として、一つはツールを使うことだ。同社はMythrilを活用している。ただし、誤検出もありうるので、ツールだけでなく専門家の知見なども必要となる。また、ビジネスロジックに含まれる脆弱性はツールだけでは検知できない。

NRIセキュアテクノロジーズ田篭照博氏のスライドから。ツールの利用は重要だが、それだけでなく専門家による診断が必要としている。

 これらの事情から、スマートコントラクトには開発企業とは別の第三者企業による監査を受けることが望ましい。このため、NRIセキュアテクノロジーズはConsenSysと手を組み「ブロックチェーン・セキュリティ・モニタリング」サービスを展開している。

 スマートコントラクト/DAppsの第三者監査は、Ethereumをめぐるビジネスの中でも重要性が高いものとして浮上しつつある。ConsenSysはこの分野に自社ツールを提供し、また日本でのパートナーとしてNRIセキュアテクノロジーズと組んだ格好となる。

星 暁雄

フリーランスITジャーナリスト。最近はブロックチェーン技術と暗号通貨/仮想通貨分野に物書きとして関心を持つ。書いてきた分野はUNIX、半導体、オブジェクト指向言語、Javaテクノロジー、エンタープライズシステム、Android、クラウドサービスなど。イノベーティブなテクノロジーの取材が好物。