Web3エクセレントセキュリティサービスプロバイダーとの対話:クラウドセキュリティの「攻めと守りの戦い」

ブロックチェーン(分散型台帳)の基盤技術を備えたWeb3によって構築されたエコシステムは急速に反復されており、パブリックチェーンL1およびL2の技術革新により、次世代の基盤となるコンピューティングネットワークになることが可能になり、さまざまなインフラストラクチャが「レゴ」コンポーネントのように絶えず改善されており、Web3 BUIDLersは複数のアプリケーショントラックで豊富なdAppsを構築し続けています。

Web3の基盤となる重要な機能として、クラウドサービスはWeb3エコシステム全体にとっても不可欠であり、毎年数万のプログラムがクラウドサーバー上で稼働しています。 Immunefiの治安機関が公表したデータによると、「2022年の経済的損失の46.5%は基盤となるインフラストラクチャによるものであり、秘密鍵の管理、慣行、緊急対応計画が最も重要である」とのことです。 Web3クラウドセキュリティは、秘密鍵の漏洩、不正アクセス、スマートコントラクトの分析と監査、DDoS攻撃、インサイダーの脅威、コンプライアンスと安定性、およびWeb3 BUIDLerを悩ませてきたその他の問題などの課題に直面し続けており、クラウドサービスプロバイダーやセキュリティサービスプロバイダーにも新たな課題をもたらしています。

Amazon Web Services(AWS)は、クラウドサービスを立ち上げた最初の企業として、常にクラウドサービス分野のリーダーであり続けてきましたが、現在、AWSはWeb3エコシステムを積極的に取り入れており、Web3コミュニティのリーディングブランドであるCrossSpaceと共同で、「Web3セキュリティ」に関する一連のオンラインおよびオフラインセミナーを開始し、クラウドサービスセキュリティの分野を深く掘り下げ、取引所、パブリックチェーン、インフラストラクチャ、dAppsからセキュリティプラクティスの課題に耳を傾け、実用的なソリューションについて議論します。

このシリーズでは、Beosin、CertiK、MetaTrust、SlowMistの4つの主要なWeb3セキュリティサービスプロバイダーとAWSクラウドセキュリティの専門家にインタビューし、クラウドセキュリティの現在の課題とその解決方法について話し合います。

***なぜWeb3クラウドセキュリティが重要なのですか?

セキュリティは、あらゆるビジネスにとって最優先事項です。 クラウドサービスとWeb3は相互に補強し合っています。 2009年にビットコインメインネットがローンチされ、2015年にイーサリアムメインネットがローンチされて以来、セキュリティインシデントや資産損失は年々増加しており、Web3の世界の礎としてのセキュリティにもっと注意を払う必要があります。 中央集権型取引所であろうと、分散型DeFi、GameFi、NFT、DAO、Social、Bridgeなどのシナリオであろうと、トークンに基づくさまざまなアプリケーションシナリオがあります。 トークン処理プロセス全体のセキュリティをどのように確保するかは、Web3 BUDLerが慎重に検討する必要がある問題になっています。 AWSは、クラウドセキュリティ分野の専門家であり、多くのWeb3プロジェクト関係者にサービスを提供してきた組織として、ブロックチェーンおよびWeb3分野のセキュリティに細心の注意を払い、プロジェクト関係者と積極的にコミュニケーションを取り、さまざまな形態のWeb3セキュリティの共有とトレーニングを開催してきました。

2023年末にかけて、強気相場のシグナルが徐々に明確になり、クラウドサーバーを展開するWeb3プロジェクトの数が急速に増加し、インフラストラクチャレイヤーとしてのクラウドの役割がますます重要になっているため、クラウドセキュリティはすべての開発者とBUDLerが注意を払わなければならないセキュリティ要素です。

***今日のクラウドセキュリティが直面している主な課題は何ですか?

このインタビューで、セキュリティ企業のBeosinは、「クラウドサービスデータプロバイダーの攻撃は、主にDDoS攻撃、アカウントの乗っ取り、悪意のある埋め込みなどを通じて、クラウドサービスデータプロバイダーが提供するコンピューティングおよびストレージサービスに対する最近の主要なタイプの攻撃の1つであり、その結果、機密データの漏洩とサービスの中断が発生します」と述べています。 チームは、「Mixin NetworkとFortress IOは最近、クラウドサービスプロバイダーへの攻撃により、それぞれ2億ドルと1500万ドルの損失を被りました。 "

機密データの漏洩、特に秘密鍵の漏洩は、このインタビュー中にさまざまなセキュリティ専門家によって何度も言及されたセキュリティインシデントの原因です。 また、CertiKの第3四半期セキュリティ四半期報告書では、「秘密鍵の漏洩が四半期の大幅な損失の理由の1つであった」と述べています。 14件の秘密鍵の盗難事件により、合計2億400万ドルの損失が発生しました。 "

データ侵害に加えて、SlowMistチームは、クラウドセキュリティの脅威に関連する他のいくつかのカテゴリも特定しました。

1. アカウントの侵害と不正アクセス: ハッカーは、パスワード クラッキング、ソーシャル エンジニアリング、または脆弱なパスワード攻撃を通じて、ユーザー アカウントと資格情報に不正にアクセスする可能性があります。

2. DDoS攻撃:分散型サービス拒否(DDoS)攻撃は、クラウドサービスを利用不能にし、リソースを占有したり、ネットワークトラフィックをフラッディングさせたりしてサービスを麻痺させ、ビジネスの中断につながる可能性があります。

3. 悪意のあるインサイダーの脅威: インサイダー ユーザーまたは従業員は、権限を悪用してデータを盗んだり、情報を破壊したり、その他の悪意のある行為に関与したりする可能性があります。

4.コンプライアンスとデータ管理:プロジェクトチームは、クラウドサービスプロバイダーのプラットフォームでデータを処理する過程で、データを保護するためのさまざまなツールを効果的に使用しなかったため、データの混乱や損失が発生しました。

ハッカーの多面的な攻撃の角度と潜在的な内部セキュリティリスクに直面して、Web3セキュリティの専門家は、クラウドセキュリティには包括的なセキュリティ戦略が必要であり、それは単なる一面的な単純なセキュリティ防御ではないことを認識するようすべての人に呼びかけています。

***クラウドセキュリティの「攻防の戦い」、ゲームを壊すには?

クラウドセキュリティの継続的な課題に直面して、ユーザーのプライバシーデータと資金のセキュリティを支援するために「防御」を適切に行うにはどうすればよいでしょうか? さまざまなセキュリティ機関の専門家やチームが意見を述べました。

Beosinチーム:

「機密データの侵害は頻繁に発生しており、技術者はデータを保存および送信する際にデータを暗号化して、権限のない第三者によるアクセスを回避することをお勧めします。 秘密鍵などの機密データについては、秘密鍵の漏洩を防ぐために、プライバシー保護コンピューティングと準同型暗号化テクノロジを使用することをお勧めします。

同時に、プロジェクトチームは、インジェクション攻撃やクロスサイトスクリプティングなどの悪意のあるアクティビティを回避するために、クライアントが安全なAPIを介してのみクラウドサービスにアクセスするようにする必要があります。 また、APIを使用して、クラウドサービスにアクセスする前にデータを認証および検証し、アクセスセキュリティとデータセキュリティを確保することもできます。 クライアントであるパソコンのセキュリティ保護機能が弱いことを考慮すると、APIを直接呼び出してパソコンからシステムにアクセスして操作するのではなく、クラウド仮想デスクトップやセキュアジャンプサーバーを介して関連するアクセスを完了することをお勧めします。 "

CertiK、最高セキュリティ責任者、Kang Li教授:

「クラウドプラットフォームを使用する際には、主に2つの一般的なタイプのリスクを観察しています。それは、ユーザーによるクラウドデータの不適切な構成と、ユーザーがクラウドバックエンドのサービスをdAppsに隠すことによって引き起こされるリスクです。 ほとんどの場合、クラウドは多くのリソース保護とデータ制御を提供しますが、多くの場合、ユーザーが構成を不適切に使用しているため、部外者がユーザーのバックエンドに侵入する機会があります。 別のタイプのリスクは、プロジェクト側の開発者がクラウド背景のサービスをdAppから隠すという事実から生じます-一部の開発者は、自分の使用を容易にするために、内部でのみ使用されていると思われるプロジェクト全体のインターフェイスを設計し、dAppが一般に公開されることなくモバイルアプリから直接アクセスできるようにします。 プロジェクトチームのクラウドAPIは特別な制御が可能ですが、それでもdAppとバックエンドの間で多くの相互作用が発生します。

これら2種類のリスクに直面して、CertiKは、コード監査、リスク評価、チームの身元確認、身元調査など、クラウドとクラウドベースのdAppsの両方にセキュリティサービスを確立しました。 「開発チームが信頼できると保証できない場合は、監査の専門家にdAppの完全な監査を依頼することが重要です。 "

Yang Liu教授、MetaTrustの共同創設者:

「インフラストラクチャレイヤーとして、クラウドセキュリティはデータセキュリティとユーザーのプライバシー保護において優れた仕事をする必要があります。 データ保護に特に重点を置いたエンドツーエンドのフルスタックセキュリティを構築します。 不正アクセスを防止するために、さまざまな種類のデータにアクセス許可を設定します。 クラウドサービスのメカニズムは複雑であり、さまざまな種類のデータに独立したアクセスメカニズムが必要です。

さらに、データコンプライアンスも真剣に受け止める必要があります。 現在、クラウド内の多くのデータは同じクラウド内にあり、地域が異なるため制限されている可能性があります。 この状況を理解していないと、国境を越えたデータ侵害によって引き起こされるコンプライアンスの問題に簡単につながる可能性があります。 したがって、アクセス制御と認証も非常に重要です。 不正アクセスを防ぐために、厳格できめ細かなアクセス制御と認証メカニズムを構築する必要があります。 "

SlowMist チーム:

「クラウドセキュリティには、適切なアクセス制御、暗号化、継続的な監視、およびクラウド環境のセキュリティと安定性を確保するためのあらゆる監査、教育、トレーニング、その他の対策を実施する専門のセキュリティ機関を含む包括的なセキュリティ戦略が必要です。 例えば、重要なデータのエンドツーエンドの暗号化は、暗号化が使用される場合、暗号鍵のセキュリティ管理が重要であり、鍵のバックアップを、好ましくはクラウドに保管しない。 例えば、設定ミスなどの基本的な脆弱性を未然に防ぐことで、クラウドセキュリティのリスクを大幅に軽減します。 最後に、個人、中小企業、エンタープライズレベルのクラウドユーザーのいずれであっても、ネットワークとデバイスを可能な限り安全に保つことが重要です。 "

AWS:セキュリティはタマネギ型の多層防御

Web2でもWeb3でも、AWSはさまざまなプロジェクトにクラウドコンピューティングとセキュリティサービスを積極的に提供しています。 AWS Web3の技術専門家は、クラウドコンピューティングのリーディングカンパニーとして、セキュリティは卵モデルの単層保護ではなく、多層保護のタマネギモデルであり、段階的に展開されると考えています。 具体的には、第 1 層は脅威の検出とインシデント対応、第 2 層は ID 認証とアクセス制御、第 3 層はネットワークとインフラストラクチャのセキュリティ、第 4 層はデータ保護とプライバシー、第 5 層はリスク制御とコンプライアンスです。 AWS は、Web3 プロジェクトの所有者がアプリケーションシステム全体をより安全に管理できるように、各レイヤーに完全なソリューションを提供します。

結論:Web3クラウドセキュリティの攻防の戦いに勝つためには、すべての関係者の共同努力に頼る必要があります

Web3エコシステムのセキュリティは、クラウドインフラのセキュリティと不可分であり、プロジェクト関係者、クラウドサービスプロバイダー、セキュリティサービスプロバイダーなど、クラウドインフラに関連するすべての参加者は、包括的なセキュリティ戦略を確立し、定期的な監査を実施し、セルフセキュリティチェックを実施して、最大限のセキュリティを確保する必要があります。

Web3開発者は、自身の倫理レベルを高めるだけでなく、セキュリティ関連のスキルを継続的に向上させる必要があり、Web3 Ethical HackingやSecurity Best PracticeなどのAWSの開発者向けアクティビティやトレーニングに積極的に参加して、一般的な契約リスクを特定することができます。

私たちの共通の目標は、安全なWeb3エコシステムを構築し、業界の持続可能な発展を実現することであり、このインタビューからインスピレーションを得て、日々の実践に積極的に適用していただければ幸いです。

Web3プロジェクトが安全なクラウドアプリケーションを構築する方法を知る必要がある場合は、リンクをクリックして詳細を確認してください。