これに対処するために、Sui Foundation はセキュリティ対策をより大きなエコシステムに拡張する製品を開発しています。実際、Sui Foundation は、通常は大規模な組織のみが利用できるセキュリティ ツールとサービスを小規模企業に提供することになります。これにより、より安全な環境を構築できるようになり、エンドユーザーや規制当局の信頼が高まります。私たちの目標は、人々がSuiをベースに構築する際に、生産性が高いだけでなく安全性も確保されるようにすることです。
これらの説明されたサービス (図にリストされている項目) について、Sui Network は特定のツールを利用するか、サービス プロバイダーに依存してそれらを展開します。 Sui Foundation は、これらのコンポーネントをパッケージ化し、それらを最大限に活用したい企業が利用できるようにする予定です。したがって、図内の区画化された領域は、セキュリティの強化を求めるエンティティが利用できる、探索対象となる適切に構造化されたリポジトリを表しています。
Mysten Labs 副最高情報セキュリティ責任者との対話: セキュリティの考慮事項、Sui ブロックチェーンの設計と実践
最近、Mysten Labs の副最高情報セキュリティ責任者である Christian Thompson 氏と直接会話し、セキュリティ実践の相互関連性に関する洞察や、Sui 開発者のセキュリティ実践に関する観察やコメントについて学びました。
今回のインタビュー内容は以下の通りです。
Q1. テクノロジー企業にとって、CISO の責任は何ですか?
最高情報セキュリティ責任者 (CISO) の責任は広範囲にわたり、デジタル環境のセキュリティを確保する上で重要な役割を果たします。重要なタスクの 1 つは、脅威インテリジェンスを収集することです。これには、潜在的な攻撃者が誰であるか、なぜ私たちを狙うのか、いつ攻撃するのか、何が動機になっているのか、攻撃方法の熟練度など、潜在的な攻撃者の心の中を洞察することが含まれます。 。
潜在的な敵対者を明確に把握し、その能力を理解することで、システムを保護するために積極的な措置を講じることができます。これをジグソーパズルに例えることができます。ジグソーパズルのプレイヤーが誰で、どのように機能するかを知っていれば、より効率的にピースを組み立てることができます。たとえば、彼らの既知の戦術を、システムの中で最も脆弱になる可能性が高い領域と組み合わせることができます。それは、誰かがデジタル境界を突破しようとした瞬間に警報を鳴らす防御システムを備えているようなものです。
誰かが家に侵入しようとしているときに警報システムが警告するのと同じように、この防御設定は不審な活動をリアルタイムで警告します。これは、潜在的な脅威に迅速に対応し、リスクを軽減するための適切な措置を講じることができることを意味します。
これらの焦点は、サイバーセキュリティ、データ管理、ドメイン全体のリスク、アーキテクチャ、コンプライアンス、ガバナンス、回復力、レポートなど、幅広い分野をカバーしています。
CISO の役割の一部は、社内チーム メンバーの保護にも当てはまります。私たちはチームメンバーがどれほど危険にさらされているかを理解するために多くの努力を費やしています。これらのリスク レベルは、特にチーム メンバーが暴力的な地域やその他の危険な地域に旅行する場合に大きく変化する可能性があります。
Q2.Sui のような L1 ブロックチェーンを検討した場合、セキュリティ問題はどのように異なりますか?
スイブロックチェーンのような総合的な防衛戦略を構築するには、複数の機能とサービスを組み合わせる必要があります。この戦略は、弱いと思われる領域に重点を置く必要がありますが、それだけにとどまりません。Sui コミュニティには、ネットワークや、Sui プラットフォーム上でアプリケーションを構築する開発者を含む、エコシステム全体の利益を保護する責任があります。優れたセキュリティを実現することは、特にスタートアップ企業にとって、費用がかかり、困難な作業です。
これに対処するために、Sui Foundation はセキュリティ対策をより大きなエコシステムに拡張する製品を開発しています。実際、Sui Foundation は、通常は大規模な組織のみが利用できるセキュリティ ツールとサービスを小規模企業に提供することになります。これにより、より安全な環境を構築できるようになり、エンドユーザーや規制当局の信頼が高まります。私たちの目標は、人々がSuiをベースに構築する際に、生産性が高いだけでなく安全性も確保されるようにすることです。
Q3. ブロックチェーンのセキュリティを維持するプロセスではどのようなツールやサービスが使用されますか?
以下の表は、熟練したセキュリティ チームが現在使用すると考えられるサービスとツールの種類を示しています。これらの要素は、強力なセキュリティ フレームワークを構築するために必要なさまざまなサービスのセットを表します。真の有効性は各サービスの個別の存在ではなく、サービス間の複雑な相互作用にあることを認識する必要があります。これには、それらの相互関係、それらが実装される順序、およびそれらが生み出す相乗効果を理解することが含まれます。
これらの説明されたサービス (図にリストされている項目) について、Sui Network は特定のツールを利用するか、サービス プロバイダーに依存してそれらを展開します。 Sui Foundation は、これらのコンポーネントをパッケージ化し、それらを最大限に活用したい企業が利用できるようにする予定です。したがって、図内の区画化された領域は、セキュリティの強化を求めるエンティティが利用できる、探索対象となる適切に構造化されたリポジトリを表しています。
Q4. このグラフには多くの要素が含まれています。それらは同等であり、密接に関連していますか?それとも優先順位の仕組みがあるのでしょうか?
はい、優先順位があり、このグラフの背後にある哲学はよく考えられています。ゼロから始めて、すぐに対応する必要があるものを見つけ出すのと同じように、基本的なセキュリティ ブロックを構築すると考えることも、基本的なセキュリティ ツールキットと考えることもできます。このツールには、いわゆる「ブランド防御」が含まれる場合があります。これは、会社の評判に影響を与える可能性のあるあらゆる損害に警戒することを意味します。これには、ネガティブなブランドを監視し軽減するための情報収集が含まれます。さらに、「完全性」も重要です。これは、ツールキットがブランドイメージへの損害の可能性を検出して対処する機能を備えていることを意味します。
さて、ツールキットは万能ではありません。組織が異なれば、それぞれの目的に合わせてカスタマイズされた異なるツールキットが必要になる場合があります。たとえば、コーディングに関係の深い企業では、「脆弱性検出機能」の開発を優先する場合があります。これには、システムの潜在的な脆弱性を綿密に検査し、コードのストレス テストを行う「ファジング」などのタスクを実行することが含まれます。一方、分散型金融会社とゲーム会社を考えてみましょう。分散型金融会社は、規制リスク、ガバナンス、コンプライアンスに重点を置いたツールキットに惹かれる可能性があります。逆に、ゲーム会社は、運用、インテリジェンス、およびセキュリティ エンジニアリングの特定の層に重点を置く可能性があります。
基本的に、この図は、さまざまな種類の企業のさまざまな文化や優先事項にセキュリティ ポリシーを適応させるという概念をまとめたものです。
企業はよく、「リスクはこれだけだ。どうすればリスクを軽減できるだろうか?」と考え始めますか?それとも別の視点があるのでしょうか?
そういうことなんですね。
Q5. ツールキットは、ブロックチェーン エコシステム全体を安全に保つための重要な方法のようです。パブリック チェーンのポイントは、分散型でパーミッションレスであることを考えると、技術的に言えば、誰でもアクセスして参加できるネットワークをどのように安全に保つことができるでしょうか?
はい、ツールキットの概念は、エコシステム全体のセキュリティを維持する上で重要な役割を果たします。パブリック ブロックチェーンの利点は、分散型でパーミッションレスな性質であり、多くの人がその側面を精査できる点にあります。したがって、必要なツールを構築し、教育を促進する能力が重要です。
これを想像してみてください。エコシステム内の人々は、何が起こっているかだけでなく、利用可能なツールとそれらを効果的に使用する方法についても理解する必要があります。エコシステムに影響を与える多くの要因がブロックチェーン自体を超えていることは注目に値します。ソーシャルメディアでの議論、恐怖、不確実性、疑い(FUD)、潜在的な詐欺はすべてエコシステムに影響を与える可能性があります。このため、全体的な認識の重要性を強調する必要があります。
3 番目の重要な要素は、コミュニティ内での情報交換です。個人がコミュニケーションとコラボレーションを行うことができれば、集合的な知識ベースが強化されます。つまり、これは、知識のための教育、業界の洞察のための情報、行動のためのツールという 3 つの側面からなるアプローチです。この組み合わせにより、コミュニティはあらゆる種類の行動を理解するだけでなく、ポジティブな影響を与えることができます。
Q6. 現在、Sui エコシステム間の通信はどのように行われていますか?
Sai のエコシステムはさまざまな方法で通信します。最近の Validator Summit は、個人が互いにつながり、洞察を交換するための貴重なプラットフォームを提供しました。 Builder Houses イベントは、あらゆる人にそのような機会を提供します。さらに、Sui Foundation が近い将来、Sui のセキュリティに焦点を当てた一連の記事を発行する予定であることも知りました。
毎日のコミュニケーション チャネルは Discord や Telegram などのプラットフォームにまたがっており、バリデーター、ノード オペレーター、その他の関係者間のやり取りを促進します。これらのフォーラムは、コラボレーションに対する意識を高めるだけでなく、時間の経過とともに拡大し、知識の議論と共有のための進化し続けるプラットフォームを作成しました。
Q7、Sui Move は、他のブロックチェーン プログラミング言語よりも本質的に安全になるように設計されています。これは、Sui のセキュリティ処理方法にどのような影響を与えますか?
Move が他のプログラミング言語よりも安全であることは疑いの余地がありません。付け加えておきたいのは、Sui の開発に携わった当初のチームの多くはセキュリティに重点を置いていたということです。したがって、これは言語だけの問題ではなく、Sui のさまざまなコンポーネントがどのように構築されているかが重要であり、それにより、Sui の回復力が高まり、悪用されにくくなります。もちろん、セキュリティ分野に同様に賢い人材がいないというわけではありません。十分なインセンティブが与えられれば、彼らは抜け穴を見つけるために懸命に努力するでしょう。したがって、専門家は、誰が、いつ、どこで、なぜ、どのようにしてこれが起こったのかを理解する必要があります。それが私たちが焦点を当てていることです。
Q8. Web3 の他の場所で発生した脆弱性イベントは、Sui の進行中の作業にどのような影響を与えますか?
残念ながら、Web3 分野で侵害が発生すると、常に大きな注目を集めます。しかし、これらも貴重な学習経験です。これらは、セキュリティ専門家に、脆弱性の仕組み、つまり、どのように、何を、いつ、誰が、そしてなぜ行うかを詳しく調べるよう促します。これらの洞察は、より広い分野に対するさらなる洞察を提供します。
スイ財団チームは、これらの脅威アクターの正体と能力を理解するために多大なセキュリティ リソースを投入し、彼らが好むターゲットと動機を解読することに重点を置いています。
これらの脆弱性は、2 つの異なる事実を私たちにもたらします。まず、これらの出来事は現実の人々に影響を与えるため、影響を受けた人々に同情が生じます。第二に、これはスイの戦略を強化する機会です。これらの教訓により、Sui は同様のリスクに対する自社の立場を磨き、強化することができました。
Q9. 今後の Web3 におけるセキュリティについてはどう思いますか?
私たちは、Web3 とそれがもたらす人工知能、機械学習、拡張現実、仮想現実などの驚異的なテクノロジーの出現によって特徴付けられる新時代の入り口に立っています。私を興奮させるのは、その中に秘められた信じられないほどの可能性です。私たちは、非常に没入型のインターフェイスを体験し、これまで不可能だった方法でより速く情報にアクセスできるようになっています。
この変化はセキュリティにも及びます。私たちに対する潜在的な脅威を特定できる AI パートナーがいることを想像してください。おそらく AI 対 AI のシナリオさえも特定できます。これが私たちが目指していることであることに疑いの余地はなく、Sui がこれらの先進技術の最前線に立つことを期待しています。