【後編】開発コストを最大5割削減！　DevSecOpsツールの導入方法

DevSecOpsの重要性

【前編】では、スマートコントラクト監査の重要性について述べました。
現在は、スマートコントラクト監査の重要性は広く認識されつつあり、多くのWeb3プロジェクトで何らかの形で監査を実施されていると考えられます。

Web3セキュリティ企業Hackenのレポート*1によると、2024年にセキュリティインシデントの被害を受けたWeb3プロジェクトのうち、53％はスマートコントラクト監査を実施していませんでした。これは、2023年の65％から減少しており、監査の実施率が徐々に向上していることがわかります。

ただ、監査の実施率が上がる一方で、その実施のタイミングには依然として課題が残っています。多くのプロジェクトでは、開発が一通り完了し、メインネットにデプロイ（＝サービスリリース）する直前になってから監査を実施するケースが多いのではないでしょうか。サービス開始後のセキュリティインシデントを未然に防ぐために、少なくともリリース前に監査を行うことは重要ですが、このように直前のタイミングで監査を実施することには問題があります。

なぜなら、リリース直前で監査を実施した際に、もし多くの脆弱性が発見されると、その修正には多くのコストと時間がかかり、結果として、予算やスケジュールを超過してしまう可能性が高まります。一般に、不具合の修正コストは開発プロセスの後工程になるほど増大し、要件仕様の誤りを「1」とした場合、設計段階では「5倍」、コーディング時は「10倍」、テスト段階では「20倍」、納入時点では「200倍」に膨れ上がると言われています。

そのため、できるだけ早い段階で脆弱性を発見し対処することが重要です。その手法の一つとして、開発プロセスにDevSecOpsを取り入れることが推奨されています。DevSecOpsとは、開発（Development）、セキュリティ（Security）、運用（Operations）を統合したアプローチであり、開発の初期段階からセキュリティを組み込むことで、継続的なセキュリティの改善を可能にします。特に、スマートコントラクトのような高いセキュリティが要求される領域では、このアプローチが非常に有効です。

DevSecOpsをはじめとした開発手法の改善により、スマートコントラクトの開発コストは20〜50%削減されると予測されています。

DevSecOpsを導入することで、開発段階でセキュリティリスクを未然に防ぎ、後工程での高額な修正コストを削減することが可能です。その結果、開発コスト全体の削減と、開発者のセキュリティに対する意識や知見の向上を実現できます。

*1出展
https://hacken.io/insights/q2-2024-security-report/
https://hacken.io/insights/2023-security-report/ 

DevSecOpsの導入方法

　Web3のスマートコントラクト開発において、DevSecOpsを導入するためには、コードの解析ツールを選定し、CI/CDパイプラインに統合する必要があります。これにより、開発者がコードをプッシュした際やプルリクエストを作成した際に、自動でセキュリティスキャンを実行することができます。また、検出された問題は開発チームに即座に通知され、修正を促す仕組みを構築できます。

Mythril、Slitherなどの静的解析ツールをGitHubActionsやGitLabCI/CDと組み合わせて活用し、開発のたびにスキャンを実行することで、セキュリティリスクを継続的に監視できるようになります。また、AuditBaseやSolidityScanなどのAIを搭載したスマートコントラクト解析ツールも存在します。こうした仕組みを導入することで、セキュリティを確保しつつ、開発スピードを維持することが可能となります。

HiAUDITの導入方法

　実際のツールの事例として、開発プロセス自体に自動スマートコントラクト監査を組み込むことができるHiAUDITをご紹介し、その導入方法について解説します。

HiAUDITはTECHFUND社が提供するDevSecOpsのためのAIエージェントです。Githubに統合可能で、自動的に複数のAIセキュリティ監査ツールを起動し、スマートコントラクトの監査を実施します。

HiAUDITの導入方法は、監査対象のスマートコントラクトのソースコードが含まれるGithubリポジトリに、GitHubアプリとしてインストールするだけです。インストール後は、Github上でプルリクエストが作成されるたびに、自動的にセキュリティ監査が実行され、監査結果がプルリクエスト上に表示されます。さらに、監査結果はメールでも通知されます。

以下、HiAUDITの導入方法の詳細について、具体的な手順を順を追って解説します。

 １．インストール方法

1. 下記リンク先で表示される画面の右上にある「Install」ボタンを押下すると、HiAUDIT（GithubApp）のインストールが開始されます。

https://github.com/apps/hi-audit

2. 下記画面が表示されますので、「Only select repositories」を選択し、監査対象としたいGithubリポジトリを指定して、画面下部にある「Install&Authorize」ボタンを押下します。

3. 自動的にHiAUDITの登録画面に遷移するため、希望するName,Email,Passwordを入力して、画面左下の「Resigter」ボタンを押下します。
   • すでにアカウント登録済みの場合は「Login to your account」をクリックして、登録済みのアカウント情報を入力してログインします。

4. HiAUDITの画面に遷移すれば、インストールと設定が完了です。
   この画面では特に操作する必要はないため、ブラウザを閉じて問題ありません。

２．スマートコントラクト監査の自動実行

1. 監査対象のリポジトリを開き、特定のブランチに監査対象のスマートコントラクトのソースコードを"Commit"します。

2. プルリクエストを作成します。

3. 下記のような画面（赤枠部分）が表示されるので、しばらく待ちます（数分程度）。
   この間、HiAUDITのバックエンドでは、複数のAIセキュリティ監査ツールが自動的に選定・構築・運用され、コードの脆弱性が多角的な視点からチェックされます。

4. 監査結果が表示されます（赤枠部分）。脆弱性があるコードの行数や問題の詳細、および、主な修正方法が記載されているため、それに基づいて容易にコードを修正することができます。複数のファイルやコードに脆弱性が含まれている場合は、それぞれの監査結果が表示されます。

以上のように、本ツールを導入することで、開発時に自動でスマートコントラクトのセキュリティ監査を実施できるようになります。

そしてDevOpsのフローに監査が組み込まれることで、開発者自身がコードに潜む脆弱性に気づくことができ、不適切な追加プログラムを実装してしまうことで修正コストが膨らむリスクを回避できます。
これにより、リリース時の監査と修正コストを大幅に削減することができ、スピード感のあるプロダクト開発とセキュリティの向上を両立させることが可能になります。 

Web2.0からWeb3セキュリティまで包括な保護を提供

　これまで、前編と後編にわたり、Web3のセキュリティ事情や、スマートコントラクトコードの監査の準備と導入方法について詳しく解説してきました。
Web3市場の認知拡大に伴い、セキュリティへの意識も高まり、どのような点にリスクがあり、それをどのように管理すべきか、多くの事業者が注目しています。今回は、DevOpsSecの視点からセキュリティリスクへの対応方法を紹介しました。
さらに、TISとTECHFUNDでは「Web3セキュリティ診断サービス」を提供しています。このサービスでは、Web3プロジェクトにおいて、ツールだけでは発見し切れない脆弱性を、Web2.0領域も含めて診断することが可能です。

　これまでご紹介してきたDevSecOpsツールの導入支援やスマートコントラクトのコードレビューに加え、秘密鍵管理、プライバシーの保護、法規制準拠など、さまざまなWeb3セキュリティ対応を提供します。さらに、既存のWeb2.0システムとの連携もカバーし、Web3プロジェクトのセキュリティを全方位で支援します。

このサービスの最大の特徴は、TISとTECHFUNDのシナジーによって生み出される総合的なセキュリティ対策です。TISは、20年以上にわたりWeb2.0システムに関するセキュリティコンサルティング、監査、診断の実績を積み重ねてきました。また、PCIDSSやFISCなどの監査基準に対応する豊富なノウハウを有しています。一方、TECHFUNDは、日本No.1のWeb3セキュリティ監査実績を誇り、Web3に特化したセキュリティ専門知識を持っています。この両社の協力により、Web3の新たなセキュリティ課題にも効果的なに対応可能です。Web2.0システムとWeb3が連動したサービスにおいても、一貫したワンストップサービスを提供します。

セキュリティの重要性がますます高まる今、DevSecOpsツールの活用や専門家への相談を通じて、堅牢なセキュリティを構築し、ビジネスの成長につなげましょう。

関連リンク

web3セキュリティ診断サービス|TIS株式会社

Hi AUDIT | TECHFUND Inc