セキュリティ診断事例インタビュー

NFTサービスのセキュリティ診断を実施。「ロールバックできないブロックチェーンだからこそ入り口を固める必要がある」

2019年に設立されたAnique(アニーク)株式会社は、「NFTアート×テクノロジー」をテーマに、NFT技術を活用して、アニメ「進撃の巨人」のアートワーク26点のデジタル所有権を抽選販売したところから事業がスタートしました。 アニメやマンガ、ゲームなどのアートワークをNFTに紐付けて、ブロックチェーン上で管理や取引ができるプラットフォーム「Anique」をはじめ、デジタルの利点を活かした新たなエンターテインメントを世界に向けて発信しています。

今回診断を実施された企業様

Anique株式会社 従業員数:50名 ※2022年1月時点 https://anique.company/

コンテンツホルダー向けNFTコレクションサービス「Collection」とは

image2

版権ビジネスを行う事業者様を対象とし、ブロックチェーンを用いたデジタルコレクションサービスの立ち上げを実現するサービスです。エンドユーザー向けのデジタルアイテムの販売UIや決済機能、ユーザー同士でのデジタルアイテムの取引、分析ツール、版権ライセンス管理までをオールインワンで提供しています。

ブロックチェーンには、NBA TopShotが採用するFlowブロックチェーンを採用し、将来的な外部のマーケットプレイスやスマートコントラクトとの接続も想定した展開が可能です。

今回Flatt Securityは「Collection」のGCP診断とGraphQL APIを対象としたホワイトボックス診断を実施しました。Anique様がセキュリティ診断を利用した経緯と感想を開発責任者の稲垣洸雄さんに聞きました。

GraphQLとGCPのセキュリティ診断ができる企業を探していた

image3

開発責任者の稲垣洸雄さん

――まずは、Flatt Securityにお問い合わせしていただいた経緯を教えてください。

稲垣洸雄さん(以下、稲垣さん):Flatt Securityさんのことは、実はAniqueにジョインする前のメガベンチャーで働いていた頃から知っていました。

その後、起業を経て2019年にAniqueへ入社したのですが、「Collection」のセキュリティ診断が必要になったことで、御社のことを思い出しました。また、前職の知り合いから「Flatt Securityさんの診断と報告書はクオリティが高いらしい」という口コミもあり、問い合わせさせていただきました。

――他の診断会社も検討したのでしょうか。

稲垣さん:GraphQLとGCPのセキュリティ診断ができる企業を探していたのですが、これらの診断についてプランに書かれている診断会社さんは見かけませんでした。同僚からの口コミもありましたし、他社は検討していません。

ブロックチェーンはロールバックできないため、セキュリティを強固にする必要がある

――Flatt Securityを選んでいただいた決め手を教えてください。

稲垣さん:Aniqueがセキュリティ診断を外部に依頼するのは初めてなので、どう進めればいいのか分からず、最初は少し不安でした。しかし、問い合わせをしてすぐに私たちのサービス内容を理解したうえで診断内容を提案していただきました。また、タイトなスケジュールの中、スピーディーに対応していただけたので、安心して任せられると思いました。

――ブロックチェーン技術を活用することにおけるセキュリティの重要性を教えてください。

稲垣さん:「改ざんができない」というブロックチェーンの特性上、何か不正なデータが書き込まれてしまった時にサービス提供者側の都合でロールバックをすることはできません。不正な書き込みが永続的に残ってしまうので、入り口であるWebアプリケーションのセキュリティを強固にしておく必要があります。

私たちも、一般的なセキュアコーディングのプラクティスは行っていましたが、第三者視点でよりレベルの高いセキュリティ対策として診断を実施する必要もあると考えました。

口コミ通りクオリティの高い報告書を受け取り、2回目の診断も依頼

――実際にセキュリティ診断をした感想を教えてください。

稲垣さん:まずは、大きな脆弱性が発見されなかったので安心しました。報告書の内容も、想定通りで、指摘事項の再現方法や「どうすればよりセキュリティが強固になるか」という対策方法も分かりやすく書かれていました。

――ありがとうございます!1回目の診断後、2回目の診断を依頼していただくことになった背景を教えてください。

稲垣さん:1回目はタイトなスケジュールの中、ユーザー側の優先度の高い部分を診断していただきました。その際に技術力の高さを確信したので、2回目は版権元様向けの管理画面のセキュリティ診断を依頼することにしました。

自分達だけでは気づけない点を指摘してもらえて、非常に助かりました。

――最後に、Flatt Securityに期待していることや要望などあれば教えてください。

稲垣さん:今回診断いただいた範囲以外にも広く診断を実施してもらえたらと思います。GCPの診断に関しては、弊社がGCP内で使用しているサービスを考慮してカスタマイズの提案をしてくださいました。今後も、画一的でないプロダクトに寄り添った提案を期待します。

Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。