イベントレポート
ブロックチェーン活用型サービスを、いち企業が運用する上でのリスクとは?
「情報セキュリティ5原則を徹底」ガートナーの専門家が語るセキュリティ責任者の役割
2019年8月8日 06:00
「ガートナー セキュリティ&リスク・マネジメント サミット2019」が8月5日に開幕した。会期最終日となる8月7日(3日目)には、ブロックチェーンを組み込んだ製品・サービスの開発を検討する企業向けのセッションが開催された。講師は、本サミットを主催するガートナーでシニア ディレクター アナリストを務めるマーク・ホーヴァス氏。
ブロックチェーンをいざ自社サービスに組み込むとなると……?
ホーヴァス氏による講演のタイトルは「ブロックチェーンの安全性:CISOのためのブロックチェーンのセキュリティ・リスク評価方法」。文字通り、CISO(最高情報セキュリティ責任者)がブロックチェーンとどう向き合い、役職としての責任を果たしていくべきかを示唆する内容となった。
まず大前提として、ブロックチェーンはこれまでの伝統的データベース構造とは異なる、“分散型台帳技術”であることをホーヴァス氏は改めて指摘する。特定の関係を持たない複数のノードが協調して1つ1つのデータブロックを作成していき、ハッシュ値をもとに連結させていく。こうすることで、特定のネットワーク管理者・責任者がいなくても、悪意ある第三者によるデータ改ざんなどを防げる。また、契約や売買を自動化する「スマートコントラクト」の実現にも、ブロックチェーンは欠かせない。
一方で、ブロックチェーンにも限界はある。各ノードがそれぞれ合意しなければブロックを生成できない以上は、取引記録などをリアルタイムに素早く得ることは難しい。数時間・数日レベルの待ち時間が発生するのも普通だ。
また、ブロックチェーンは改ざんに強い構造だが、そのすべてのデータを暗号化している訳ではない。例えばBitcoinは、送金先の判別などに使われるアドレスには一定の匿名性があるが、各アドレスがどのような取引をしたかは、ブロックチェーン上で常に保持され、第三者が簡単に閲覧できる。つまりは平文でデータがやりとりされている。
平文でデータ処理するとなると、医療カルテなどプライバシーに関わる情報をブロックチェーンに載せるべきかは議論の分かれるところであろう。では暗号化すればいいのか? しかし、そうなると今度は第三者による検証が難しくなってしまう。
消せないデータと、プライバシー
もちろんブロックチェーンには複数の形態があり、Bitcoinのように誰もがノードとして参加できる「パブリック型」ではなく、参加者を制限する「コンソーシアム型」「プライベート型」であれば、プライバシーにも配慮することはできる。
セキュリティ面での課題もある。従来型のサーバーやデータベースは、長年にわたる発展の歴史があり、付随する形で監視・監査の機能を強めてきた。対してブロックチェーンは多数のノードが参加するといった具合に、そもそも複雑で、相対的に監視すべき部分が多く、責任の所在も分かりづらい。
透明性が高いはずのブロックチェーンを使ったのに、むしろコンプライアンス(法令遵守)が低下する可能性すらあると、ホーヴァス氏は警告する。例えば2016年にヨーロッパで制定されたGDPR(EU一般データ保護規則)では、個人データの削除をサービス事業者へ要求する権利(忘れられる権利)が盛り込まれた。しかし、過去に遡ってデータを改変するのが難しいブロックチェーンにおいて、果たしてデータの削除が可能なのだろうか。
同様の懸念は、スマートコントラクトにも存在する。契約の自動化処理を行うためには、プログラムコードを記述する訳だが、そこにバグが1つもないとは断言できない。誤った記述・処理が、半永久的にブロックチェーンに残る可能性が十分想定される。
ブロックチェーンでも情報セキュリティ5原則の徹底を
ブロックチェーンへの期待は凄まじく、ホーヴァス氏は「過去にはブロックチェーンをやるといった企業が、それだけで株価が2倍になった時代もあった」と振り返る。しかし、そうした熱狂は一時的なもの。ブロックチェーンの特徴を活かしたサービスを実際に生み出そうとすると、CISOにかかる責任は小さくない。
調査・コンサルティングを手がけるガートナーとしては、ブロックチェーン分野においても充実した顧客サポートを提供すべく、全7ステップ・3レイヤーからなる独自のセキュリティ・モデルを制定した。
なんらかの事業目標を立てたとして、それを実現するにはブロックチェーンが必須なのか、それとも別技術で代替できるかの検討に始まり、ビジネス・ライフサイクルのあり方などを総合的に助言するという。
ホーヴァス氏は最後のまとめとして、技術的興味だけでブロックチェーンを志向するべきではないと改めて強調する。特に、ガバナンスや説明責任は、企業活動とは切り離せないため、ブロックチェーン技術とは別に考える必要があるとした。
その上で、情報セキュリティの基本である防御・検知・対応・予測・行動の5原則はブロックチェーンにおいても忘れてはならないと聴講者に呼びかけ、講演を締めくくった。