ブロックチェーンはセキュリティの特効薬ではない：その信頼性とは

世界経済フォーラムは、2025年までに世界のGDPの10％までがブロックチェーン上に蓄積されるようになると予測しています。商品IDや診療記録から、土地登記、学位、保険契約に至るまで、ブロックチェーンと分散型台帳技術（DLT）は既に多くの分野で活用されています。世界経済フォーラムは、2025年までに世界のGDPの10％までがブロックチェーン上に蓄積されるようになると予測しています。商品IDや診療記録から、土地登記、学位、保険契約に至るまで、ブロックチェーンと分散型台帳技術（DLT）は既に多くの分野で活用されています。

ブロックチェーンは、21世紀におけるソーシャル・コモンズの復興を支え、権力を人々の手に取り戻すバックボーンとなるテクノロジーといっても過言ではありません。今世紀、かつてないほど、データは権力の源となっています。ブロックチェーンは、そのデータ管理する力を人々に取り戻すもの。ただし、そのためには、私たちがテクノロジーを信頼し、本来の機能を果たしていると信じられることが必要となります。

つまり、ブロックチェーンにより、公証人や保険業者、銀行家といった仲介者を信用する必要がなくなるかわりに、テクノロジーを信頼しなければならなくなる、という矛盾が生まれます。しかし、もしそのテクノロジーが繰り返し第三者からの侵害を受けているのなら、果たしてどれくらい信頼できるでしょうか？

もし、2050年までにGDPの10％といわず50％がブロックチェーン上に蓄積されているとしましょう。実務的な問題を抜きにするとしても、もし社会の根幹となるテクノロジーが信頼できないとしたら、私たちはどんな社会に生きることになるでしょうか。もし安全に管理するのがあまりにも困難なテクノロジーだと判明すれば、ブロックチェーンはデジタルの深淵の果てに消えるだろう、という議論になるかもしれません。しかし、最近では、セキュリティの脆弱性はテクノロジーを採用する際の障壁にはなっていないようです。

返上すべき汚名

まだ幸運な少数の人たちだけがビットコインに投資していた2010年、あの悪名高いハッキング事件により、コードの脆弱性が突かれ、1回の取引で1840億ビットコインが偽造される、という事態が起こりました。一体どのように起きたのでしょう。原因はコードの脆弱性であり、ブロックチェーンのロジックではありませんでした。速やかに修正対応がなされ、問題は収束しました。

2016年には、the DAO というプロジェクトから何者かの手により7500万ドルが一時盗まれるという事態が発生。またしてもコードの脆弱性を利用したもので、今回はスマートコントラクトが狙われました。根本的なDLTのロジックは、この時も影響を受けることはありませんでした。

記憶に新しい2019年には、ある暗号資産管理ファンドのCEOが死去し、彼が管理していた1億5000万ドル以上相当の暗号通貨にアクセスする暗号鍵が失われる、という事件が起き、今も回収は不可能な状態です。ブロックチェーンに問題があったのでしょうか。いいえ、このような事態を防ぐためのチェック・アンド・バランス（権力の均衡と抑制）を、会社が適切に行っていなかったのが原因でした。加えて、CEOが生前にファンドの資金を私的に流用していたことも発覚しています。

ブロックチェーンは新しいテクノロジーで、単純なものではありません。問題が起こる頻度を減らすためのセキュリティ基準を、ブロックチェーンのコミュニティ内で取りまとめるには、何年かかかるでしょう。とはいえ、このように混乱が起きる頻度が加速している中で、汚名返上にかけられるだけの時間が、本当にブロックチェーンにあるのでしょうか？

ブロックチェーンは実のところ安全なのか？

ブロックチェーンというテクノロジー概念それ自体は、安全です。これはMITが言っていることです。しかし、理論上の話でブロックチェーンを論じたところで、ほとんど意味はないでしょう。

1. どんなテクノロジーにも共通するように、セキュリティの問題が発生するのは開発者が製品やサービスへ要件をプログラムする時。ソースコードの内容や、コンセンサス・メカニズム、コミュニケーション・プロトコル等、全てにおいて、悪用できる脆弱性を宿す可能性があるからです。しかし、現段階においてブロックチェーンははまだ統一性のないテクノロジーで、多数のプロトコルやプログラミング言語の使われ方にばらつきがあります。それゆえに、開発者はコードのセキュリティを向上させるのに必要な経験を積むのが難しい状態。そして、ほとんどの開発者が厳しい納期のプレッシャーにさらされているのです。

2. セキュア通信の手段として暗号に大いに依存しているため、ブロックチェーンはそれ自体で安全が担保されているテクノロジーだという印象を多くの人に与えがちです。ブロックチェーンは安全が確保された通信ネットワークや機器の上に成り立っていなければいけないものなので、このような印象は真実からかけ離れているというわけではありません。しかし、従来の情報セキュリティの課題は、ブロックチェーンにも当てはまります。さらに、他のセキュリティ分野と同様、暗号も変化のスピードの激しい分野です。量子コンピューターにより多数の暗号アルゴリズムが破られるだろうという予測も既にあります。

3. 最後に、暗号鍵の管理、ウォレットのホスティング、ノードへのパッチ適用等に際して不適切なセキュリティ運用があると、それは全てテクノロジーに影を落とすセキュリティ問題につながる可能性があります。こうしたセキュリティ問題の大多数は、システムマネージャーとユーザーにセキュリティ教育を実施することで解決できるはずです。

今できることは？

1. まず、高いセキュリティ意識を有するブロックチェーン技術開発の人材育成が必要です。そのためには、中等教育からのプログラミング授業の実施に始まり、安全なブロックチェーンのコーディングの必修コースを備えた大学の課程に至るまで、教育カリキュラムの整備が求められます。本稿執筆時点では、キプロスのニコシア大学が、ブロックチェーン、特にデジタル通貨に関する理学修士号を取得できる、世界で唯一の大学です。こういった学位をCBSPのような広く認められたブロックチェーンのセキュリティ専門資格が補完するのはもちろん、CISSPのようなサイバーセキュリティの資格でブロックチェーンを取り扱うことも必要です。

2. ユーザーが負うセキュリティリスクや、どうすれば効果的かつ低コストでリスクを軽減できるかについて、ユーザー向けに教育を行う必要があります。それは、ブロックチェーンを導入する人たちに向けてのセキュリティ意識向上キャンペーンや、官民の協力といった措置にあたります。許可型ブロックチェーンは、サトシ・ナカモトの提唱した本来の分散型ビジョンには少々反するものの、ブロックチェーンの価値を証明し円滑な移行を進めるのに役立つことでしょう。ちょうど、1980年代にイントラネットがインターネットの価値を世界に向けて証明したように。その意味で、フェイスブックのような業界の巨大企業が、ブロックチェーンを採用し暗号通貨「リブラ」を流通させようとしているのは、ブロックチェーンを利用するのに何が必要かを広く社会に啓発する上で、喜ばしい機会と言えます。ただし、セキュリティ上の問題が起きなければですが。許可型ブロックチェーンはアクセスが限定されているため、セキュリティを保障するのは比較的容易かもしれませんが、逆に言えば、そういった警戒心の少なさのためセキュリティへの侵入を許すことにつながる可能性もあるでしょう。

3. 官民のリーダーたちに、ブロックチェーンはセキュリティの特効薬ではないと理解してもらう必要があります。つまり、ブロックチェーンのセキュリティに関する誤解を解いた上で、テクノロジーは可用性や完全性といった面では利点をもたらすものの、これらは保持している情報の質を高めるものではない、ということを明らかにしなければなりません。ごみからは、ごみしか生まれないのです。ブロックチェーンのソリューションをしっかりと展開するには時間がかかります。これまでのような情報セキュリティ対策を施した、これまでのようなネットワーク機器を、より広いセキュリティ・エコシステムへ統合させることが結局は必要なのです。

既存の企業では、まずは重役会議や経営陣に対して、ブロックチェーンとは何であり何でないか、そしてどんなリスクをはらんでいるかについてよく理解してもらうことから始めることが大切です。また、最高情報セキュリティ責任者は、ブロックチェーンに対応したインシデント管理計画や手順を策定し、分散型ビジネスモデルを導入した場合のセキュリティ面での影響の検討がをする必要があります。

スタートアップ企業では、未だ92％のブロックチェーン・プロジェクトが失敗に終わっており、平均プロジェクト寿命は約15ヶ月という状態。このような短いプロジェクト・サイクルでは、ほとんどの場合、市場投入までの時間がセキュリティよりも重要視されてしまいます。この現状を変革する最善の方法は、世界経済フォーラムでも推奨するように、投資家を通じて働きかけることです。

現在構築中のブロックチェーンのセキュリティ基準がまとまれば、ブロックチェーンのテクノロジーはより簡潔な形になり、したがって既知のセキュリティ上の問題が縮小することは間違いありません。

しかし、基準だけではできることに限りがあります。テクノロジーの番人は、依然として人間だからです。だからこそ、私たち自身がブロックチェーンのセキュリティ・スキルを磨く必要があります。そうでなければ、未来に待っているのは、ソーシャル・コモンズの復興ではなく終焉になるでしょう。