Flatt Security、ブロックチェーン診断を提供開始

Share This Post

サイバーセキュリティ関連事業を展開する株式会社Flatt Security(代表取締役社長:井手康貴 以下、Flatt Security)は、本日10月25日(火)より、ブロックチェーン関連サービスのセキュリティリスクを調査・検証する「ブロックチェーン診断」(URL:https://flatt.tech/assessment/blockchain)を正式に提供開始することを発表した。

Flatt Securityがブロックチェーン・スマートコントラクトのセキュリティリスクを検証・調査する「ブロックチェーン診断」を提供開始のサブ画像1

「ブロックチェーン診断」では、ブロックチェーンやスマートコントラクト自体のセキュリティリスクを診断することが可能となっており、NFT、暗号資産(仮想通貨)、DeFi(分散型金融)、メタバースをはじめとするブロックチェーンを活用した各種Web3関連サービス開発・実装時に最適な診断メニューとなっている。

さらに、ブロックチェーンやスマートコントラクトと繋がるWebアプリケーションの脆弱性を検証・調査可能な「Webアプリケーション診断」と組み合わせて利用することにより、サービスのバックエンドとして機能するブロックチェーン部分とフロントエンドとして機能するWebアプリケーション部分双方のセキュリティリスクを確認することが可能。

■提供開始の背景

ブロックチェーンは改ざん耐性が高いという特徴を持ち、NFTや暗号資産をはじめとする様々なWeb3関連サービスに活用されている。一方で、その特徴から不正なデータや取引履歴が生じた場合も後から修正することが困難となるため、サイバー攻撃を受けた場合のリスクは、通常のWebサービスより高くなっている。

これまで、Flatt Securityではセキュリティ診断メニューの1つである「Webアプリケーション診断」において、様々なWeb3関連サービスのWebアプリケーションを対象とした脆弱性の調査・検証を行ってきた。昨今のWeb3関連サービスの多様化・普及によるニーズの高まりを受け、この度、ブロックチェーン・スマートコントラクトのセキュリティリスク検証・調査に特化した「ブロックチェーン診断」の提供を開始することなった。

Flatt Securityは、今後も多様化する開発環境・開発者に寄り添い、セキュリティサービスを拡充することで、開発者フレンドリーな専門家集団としてセキュアな次世代プロダクト開発に貢献していくという。

■「ブロックチェーン診断」について(URL:https://flatt.tech/assessment/blockchain

Web3関連サービスのバックエンドとして機能するブロックチェーンやスマートコントラクトのセキュリティリスク調査・検証に特化した診断メニューとなっている。Web3関連サービスのフロントエンドとして機能するWebアプリケーションの脆弱性を調査・検証可能な「Webアプリケーション診断」と組み合わせることで、バックエンドとして機能するブロックチェーン部分とフロントエンドとして機能するWebアプリケーション部分双方のセキュリティリスクを確認することが可能。

Flatt Securityがブロックチェーン・スマートコントラクトのセキュリティリスクを検証・調査する「ブロックチェーン診断」を提供開始のサブ画像2

「ブロックチェーン診断」「Webアプリケーション診断」のいずれにおいても、Web3サービスのみならず、金融やSaaS等の多様な業界・企業に対する豊富な診断実績を持つスキルの高いセキュリティエンジニアが診断を実施し、開発者にもわかりやすい形で脆弱性のリスク・対策をレポートする。

また、ブロックチェーン・スマートコントラクトに関連するサービスの場合においても「Webアプリケーション診断」のみの利用も可能。詳細は、問い合わせを。

<Web3関連サービスの診断観点(例)>

【ブロックチェーン診断】

  • リエントランシー:スマートコントラクト内の不正な反復・連続処理が生じる脆弱性

(例)第三者の口座への暗号資産の転送が不正に連続して行われる

  • フロントランニング:ブロックチェーン内取引が実行される前に内容を閲覧された場合、攻撃者に有利な取引が可能となる脆弱性

(例)NFTオークションにおいて、第三者の入札額を取引実行前に閲覧された場合、攻撃者に有利な取引が成立してしまう

  • その他のロジック不備

(例)アイテムや暗号資産等の盗難・流出

【Webアプリケーション診断】

  • 認証・認可、決済等の重要な機能のロジック不備

(例)Web3関連サービス内でのなりすまし、アイテムや暗号資産等の不正取得

  • XSSやSQLインジェクション等の典型的な脆弱性

(例)ユーザーの個人情報や決済情報等の漏洩

■NFT関連サービスでの診断実施事例(double jump.tokyo株式会社)

Flatt Securityがブロックチェーン・スマートコントラクトのセキュリティリスクを検証・調査する「ブロックチェーン診断」を提供開始のサブ画像3

NFT関連事業を展開するdouble jump.tokyo株式会社に「Webアプリケーション診断」を使ってもらい、double jump.tokyoが提供するビジネス向けNFT管理サービス「N Suite」(URL:https://www.nsuite.io/)を対象とした、Webアプリケーションの脆弱性調査・検証を実施した。診断の経緯や概要についてのインタビュー記事を公開しているので、以下URLを参照。

【セキュリティ診断事例インタビュー】double jump.tokyoのNFT管理サービスのセキュリティ診断。他社では難しかった「認可フローを重点的に診断」「gRPC-Web対応」の2要件をクリア
URL:https://flatt.tech/assessment/voice/doublejumptokyo

■ Flatt Securityが提供する「開発者のためのセキュリティサービス」

セキュリティエンジニアが、Webサービスやスマートフォンアプリを対象として情報漏洩や不正利用につながる脆弱性がないか調査・検証し、レポーティングするサービス。「脆弱性診断」とも呼ばれている。Flatt Securityの「セキュリティ診断」は、SaaS提供企業から社会インフラ提供企業、金融機関まで幅広い業界での診断実績を持つ、経験豊富なセキュリティエンジニアが実施。アプリケーションの実装だけでなく、AWS・GCP・AzureといったパブリッククラウドやFirebaseをはじめとするmBaaSにも幅広く対応しているため、より多角的にリスクを洗い出すことができるのに加え、多様化する開発環境を理解し開発者に寄り添った開発者目線でのフィードバックを提供するのが大きな特徴となっている。

  • セキュアな設計・開発のための学習プラットフォーム「KENRO」(ケンロー)(URL: https://flatt.tech/kenro

エンジニアがセキュアにWebアプリケーションの設計・開発を行うためのクラウド型学習プラットフォーム。開発経験の少ない若手エンジニアの研修などに活用されている。

ただ今、「KENRO」では、メールアドレスの登録だけで無料・期間無制限のトライアルを実施しておいる。詳細は上記URLを参照。

  • ソフトウェアサプライチェーンを守る「Shisho Cloud」(シショウクラウド)(URL: https://shisho.dev/jp

Policy as Codeのような、現代のIT技術者にとってよりフレンドリーなアプローチを取り入れた形で、ソフトウェアの開発から提供までの一連のプロセス(ソフトウェアサプライチェーン)の安全を守る、開発者向けのセキュリティプラットフォーム。セキュリティオペレーションのコストを最適化し、ソフトウェアサプライチェーン全体のリスク管理をサポートする。

その他、診断 × NFTの情報はこちら!

ソース

Related Posts

GALLUSYS、東京ゲームショウ2024展示決定を発表

株式会社GALLUSYS(ギグワークス株式会社(東証スタンダード 2375)子会社 本社:東京都新宿区 代表:大塚敏之 以下、GALLUSYS)が開発するSnap to Earn「SNPIT」は、「東京ゲームショウ2024」に出展する「YGG Japan」内での展示が決定したことを発表した。 ■   ...

バリューコマース、宿泊施設チェックイン業務簡素化実証実験開始

バリューコマース株式会社(本社:東京都千代田区、代表取締役社長 最高経営責任者:香川 仁 以下、バリューコマース)は、Web3/NFT¹領域のサービスを提供する株式会社UPBOND(本社:東京都渋谷区 代表取締役:水岡 駿 以下、UPBOND)と開発する次世代型インターネット概念を用いた「Web3レジカード*²」の利用で、宿泊施設のチェックイン業務簡素化を図る実証実験を、2024年9月17日(火)より都内2か所のホテルで実施すると発表した。 【旅行業界の課題】 コロナ禍で旅行業界から人材が流出し、人手不足の課題が解決しない一方で、インバウンド客の増加によるビジネスの好機を迎えている。 宿泊施設の課題のなかでも、チェックイン時に必要なレジストレーションカード(以下、レジカード)への記入依頼、予約内容の確認、パスポートのコピーなど、旅行業法に基づく欠かせない作業により、フロント業務に人手と時間が必要になる。 また、宿泊客にとってはチェックインで待たされることにより、限られた旅行時間を有意義に使えないストレスや、宿泊先ごとに同じ作業をくり返すことへの不満を抱えているという。 【Web3レジカードで可能になること】 宿泊利用者はホテル予約後に、一部の主体にデータ等が集約されず個人主体の管理が可能となる次世代型インターネット概念「Web3*³」と、レジカードの機能を組み合わせた「Web3レジカード」の登録案内が届く。 「Web3レジカード」利用を希望する場合は、スマートフォンを利用して顔写真を含むパスポート情報を事前に登録する。 宿泊利用者はチェックイン時に「Web3レジカード」に登録済みの情報から選択的に施設へ開示し、宿泊施設はその情報をもとに予約確認やゲストの個人情報の取得・保管をする。 「Web3レジカード」は、個人情報の管理をユーザーが主体的に行うことができ、データ提供先をコントロールできる「Login3.0*⁴」の技術を基盤としている。ユーザーは旅行先で外部サービスが「Web3レジカード」と連携されている場合、個人情報を選択的に開示することで、煩わしい入力作業が不要となり、宿泊を含めた旅全体の顧客満足度が向上する。また、自身のデータがどこに共有されたか管理・把握することが可能なため、安心して利用することが可能。 バリューコマースとUPBONDの共同開発による「Web3レジカード」の実現により、宿泊施設のフロント業務の課題と、人手不足を解消できることで、宿泊客にもメリットが生まれ、より高い顧客体験の提供へつながるとしている。 【実証実験概要】 今回の実証実験では、宿泊当日に行うフロント業務のうち、パスポートの提示を「Web3レジカード」に置き換えられるか、実験への参加を同意した宿泊客を対象として行う。 実験開始日:2024年9月17日(火) 協力施設:MIMARU東京 八丁堀、MIMARU東京STATION EAST 本実証実験は、株式会社コスモスイニシアが開発、株式会社コスモスホテルマネジメントが運営する都市型アパートメントホテル「MIMARU」の2施設で実施するWeb3を利用した新たな旅行体験のための実証実験に参加する形で行われる。 その他、宿泊 × NFTの情報はこちら! ソース

XANA、ザナ サミット出展決定を発表

AIxWeb3.0メタバースのXANA(CEO:XANARIO)は、時代の最先端を行くプロジェクト、企業、DAO、著名人、アーティスト、クリエイター、コミュニティがメタバース上に2週間にわたって集う次世代型フェスティバル、「XANA SUMMIT 2024」にBitget様が出展することを発表した。 XANA SUMMIT 2024 イベント概要 https://www.youtube.com/watch?v=U1iohucuJD0"> 公式サイト https://xana.net/XANASUMMIT/jp/ 名称 XANA SUMMIT 2024 主催 XANA 開場 XANAメタバース 期間 2024年9月24日(火)〜10月7日(月)(14日間) 本メディアやSNSを通じ、参加するプロジェクト、企業、著名人、クリエイター、コミュニティを随時発表していく。 公式SNS: XANA公式サイト:https://xana.net/jp/ X(グローバル) :https://x.com/XANAMetaverse X(日本語) ...

XANA、XANA SUMMIT 2024に出展決定

XANA SUMMIT 2024 イベント概要 https://www.youtube.com/watch?v=U1iohucuJD0"> 公式サイト https://xana.net/XANASUMMIT/jp/ 名称 XANA SUMMIT 2024 主催 XANA 開場 XANAメタバース 期間 2024年9月24日(火)〜10月7日(月)(14日間) 本メディアやSNSを通じ、参加するプロジェクト、企業、著名人、クリエイター、コミュニティを随時発表していく。 公式SNS: XANA公式サイト:https://xana.net/jp/ X(グローバル) :https://x.com/XANAMetaverse X(日本語)     ...

DeFi、暗号資産・仮想通貨税務サポートを発表

ChainTAXでは、暗号資産/仮想通貨に関する税務サポートを行うサービスを、余裕をもって検討と対応の時間を確保することのできる11月中までに相談できるよう、期間限定で基本サービスの価格を一時的に値下げするキャンペーンを実施すると発表した。このキャンペーンにより、DeFiや海外取引所の取引を含む幅広い税務サポートを、通常料金よりもお得に利用できる。 ■ キャンペーン概要 キャンペーンの対象者: 2024年11月中までに初回相談の申込みをした顧客 対象サービス: 2024年についての個人の確定申告に向けた基本サービス(2025年3月の確定申告まで) 暗号資産/仮想通貨の取引に関わる税法上の解釈、税額の計算方法に関するアドバイス提供 チャットまたはEメールで随時相談可能(対応時間: 月1時間以内) ビデオセッション: 3か月に1回、1時間(11~12月の1回および確定申告前の1回を含む) ※ 外部データの取りまとめについてもアドバイスをするが、作業が発生する場合は取引量に応じて要相談。 ※ 上記は、個人の暗号資産/仮想通貨の取引のみを対象として想定している。 法人の顧客や、個人のその他の所得も併せて依頼する場合は、初回無料相談の上、見積りをするとのこと。 通常価格:  38万円〜 キャンペーン価格:  35万円 ※ 税別・上記の金額に外部の暗号資産会計ツールの費用は含まれていない。 その他、サポート ×...

クルーズ、新作ブロックチェーンゲームリリース決定

クルーズ株式会社(本社:東京都渋谷区、代表取締役社長:小渕 宏二 以下、クルーズ) の100%子会社であるCROOZ Blockchain Lab株式会社(本社:東京都渋谷区、代表取締役社長:古瀬 祥一 以下、CROOZ Blockchain Lab)は、同社と株式会社gumi(本社:東京都新宿区、代表取締役社長:川本 寛之...