Web3スタートアップやプロジェクトの運営において、予防としてのセキュリティ強化は欠かせません。過去の事例からもわかるように、サイバー攻撃は、企業に莫大な経済的損失や社会的信頼の低下をもたらしうる、事業の存続に関わる重大なリスクと言えます。
コンピューターやネットワークの安全性をチェックする「セキュリティ監査ツール」は数多く存在しますが、特にWeb3事業において特に高い実績と評価を誇るのがHi AUDITです。
Hi AUDITはわずか数秒で最適な監査ツールを選択してセキュリティ環境を最適化するSaaS(Software as a Service)と、コンサルティングサービスを提供。サービス運営会社TECHFUND社は、Near Protocolが開催したセキュリティ監査プログラムで世界1位を獲得したことでも話題を呼びました。
本記事では「Hi Audit」の基本情報や特徴、そしてサービスの詳細について解説します。
- 目次
1. NEARの監査プログラムで世界1位を獲得した「Hi AUDIT」とは
初めに、Web3監査サービスであるHi AUDITのソリューションについて、Web3が抱えるセキュリティ問題、Hi AUDITの概要や実績も含めて解説します。
1-1. Near Protocolのセキュリティ監査プログラムで世界1位に
*1: The security audit and bug bounty program for Near Protocol’s React on Chain in June 2024 (https://dashboard.hackenproof.com/near/react-on-chain)
始めに、Hi AUDITの過去実績や評価についてもご紹介します。
まず、2024年6月におこなわれたNear Protocolのセキュリティ監査プログラムでは、世界中から200人以上の監査人が参加する中でHi AUDITを運営するTECHFUND社が世界第1位に。Web3領域のセキュリティ監査市場における地位を確かなものにしました。
他にも、Hi AUDITは次のような有名企業や大型プロジェクトのサポートをしてきた豊富な実績があります。
- JPYC:日本円連動のステーブルコイン開発プロジェクト
- SBIグループ:日本の大手金融サービス事業者
- My Crypto heros:取引高・取引量で世界1位を記録したETHベースのWeb3ゲーム
このように、利便性や高い評価、豊富な実績を兼ね備えたWeb3セキュリティ監査サービスのHi AUDITを活用すれば、企業は必要なコストを最小限にしながら、より効率的にセキュリティ対策を進められるでしょう。
1-2. Web3業界のセキュリティ問題と対策の動向
近年、Web3領域ではハッキングの被害が多発していることを背景に、プロダクト開発の段階からセキュリティ対策を見直す企業が増えています。その中で注目されているのが、「開発(Development)」「セキュリティ(Security)」「運用(Operations)」を一体化したプロダクト開発手法「DevSecOps(デブセックオプス)」です。
従来は、開発・運用を連携しておこない、その後にセキュリティを強化する「DevOps」が一般的でした。しかしDevSecOpsでは、開発段階からセキュリティ対策を組み込み、リスクを予防する形でプロダクトの設計を行うことで根本的に安全性を高められます。
DevSecOpsは元々、2000年代の終わりから大手IT企業で使われ始め、IT業界で普及し始めた手法でした。それが近年、Web3市場のセキュリティ意識の高まりや、AIを活用した手軽に使えるDevSecOpsツールが増加傾向にあることも相まって、Web3関連企業の間でも急速に普及し始めています。
1-3. DevSecOpsを最適化するHi AUDIT
ただし、セキュリティ監査ツールをどれだけ効果的に使いこなせるかは、各企業の専門性に大きく依存します。例えばツールごとに強みや弱みがあり、特定のプロジェクトに最適な監査ツールを選定するのは簡単ではありません。
監査ツールの例:
| 名称 | 監査実績 | 価格 | 特徴 |
|---|---|---|---|
| Mythril | 非公開 | 無料 | スマートコントラクトの静的・動的解析ツール |
| Echidna | 30社以上に導入 | 無料 | スマートコントラクトのプロパティベーステスト向け潜在バグ・脆弱性検出ツール |
| Certora | 250億ドル以上のTVL保護 | 無料~ | 数学的証明を使用したスマートコントラクト形式検証ツール |
| OpenZeppelin Defender | 400社以上に導入 | 無料~ | 自動学習・カスタマイズ可能なAIベースのセキュリティ監査ツール |
| AuditBase | 非公開 | $299~ | 500種類以上の検出器を備えるAIベースのセキュリティ監査ツール |
| SolidityScan | 合計3.5億行以上のコード監査 | $29~ | 200種類以上の検出器を備えるAIベースのセキュリティ監査ツール |
| Hi AUDIT | NEAR監査プログラムで世界1位 | 無料~ | 最適な監査ツールを複数選定、環境構築、脆弱性やバグ検出、レポート生成まで自動で実行するAIベースのセキュリティ監査ツール |
Hi AUDITは、そういったセキュリティ監査ツール選定時の問題を解決するツールを提供。プロジェクトやコードの特徴から最適なセキュリティ監査ツールを複数選定し、監査のための環境構築、脆弱性やバグの検出からレポート生成までを自動で実行します。
Hi AUDITなら、Githubと連携するだけで以上のサービスを利用できるうえ、日本で唯一の成果報酬型セキュリティ監査を提供。仮にHi AUDITツールを通した監査の過程で脆弱性が発見されなかった場合は監査コストが低額となり、選択された監査ツールによっては無料になる場合すらあります。そのため、最小限の手間・コストでセキュリティ監査を実施できるのが最大の特徴です。
Hi AUDITは、Web3スタートアップ企業がDevSecOpsを実行するための魅力的なソリューションとして、多くの企業に評価されています。
2. Hi AUDITのサービス詳細
Hi AUDITでは、主に自動セキュリティ監査ツール(SaaS)とコンサルティングの2種類のソリューションを組み合わせることで、監査の効果を最大化しています。
2-1. 自動セキュリティ監査ツール
Hi AUDITの自動監査ツールは、Web3の世界で必要なセキュリティ対策を簡単に、素早く実現するためのSaaS(Software as a Service)です。自動監査ツールの特徴は、主に以下の4つです。
- ノーコード・5分で監査
- 開発ツールとの統合が容易
- 多角的なバグ検知
- 低価格での利用も可能
まず、Hi AUDITは、ユーザー登録してスマートコントラクトをアップロードするだけでセキュリティ監査を開始できるため、手軽に監査を実施できるのが特徴。また、普段使っている開発ツールとの統合も容易で、例えば監査結果をコード管理ツールの「Github」と接続し、開発プロセスとセキュリティ対策を自然に統合できます。
また、Hi AUDITは複数のセキュリティチェックツールを自動で設定し、いろいろな角度から脆弱性を見つけられるカバレッジが大きな魅力。脆弱性の見逃しを回避し、安心して使えるWeb3環境の構築が可能になります。
加えて、利用価格を最適化できる点も、Hi AUDITが高い評価を得ているもう一つの理由です。コードに合わせたセキュリティ監査ツールが自動選定されるため多くのツールにコストを浪費することがなく、最初の3回のプルリクエスト(コードの変更提案)は無料で試せるうえ、その後も脆弱性の数に合わせて49米ドルから使用が可能。もし脆弱性が見つからなかった場合は最低限の料金しか発生しないため、費用を必要最低限に抑えられる点が大きな魅力と言えるでしょう。
2-2. 監査人によるセキュリティ監査(コンサルティング)
Hi AUDITのSaaSを活用することで効果的にプロダクトのセキュリティを改善できるものの、依然としてツールのみでは100%完全に脆弱性やバグを検出・解決できるわけではありません。
Web3業界では、たった一個の脆弱性がプロダクト全体に深刻なダメージを与えることもあるため、セキュリティ性の高さはユーザーや投資家にとっても非常に重要なポイントです。
そこでHi AUDITは、リリース直前の最終チェック時にはセキュリティ監査人のサポートを受けることを推奨しています。例えば、開発期間中はHi AUDITの自動セキュリティ監査ツールの活用によってセキュリティを向上させつつ費用を最小化し、浮いたコストで監査人によるセキュリティ監査を依頼することで、致命的な脆弱性を排除した堅牢なプロダクトを構築できるでしょう。
Hi AUDITの監査サービスでは、高度な専門知識を有する監査人が、見落とされがちなセキュリティホールを効果的に洗い出して修正アドバイスを提供します。監査後は、詳細なセキュリティスコアや改善策を提示し、セキュリティの最適化をサポート。監査の対応は迅速で、プロジェクトの進行を妨げることなく適切なセキュリティ環境を構築できる点も特徴です。
Web3プロダクトのローンチ直前には、Hi AUDITの監査サービスを活用しましょう。
3. Hi AUDITが提供するカスタムメイドの監査レポート
Hi AUDITのコンサルティング監査では、サービスやプロジェクトに特化したカスタムメイドのレポートが提供されます。カスタムメイドレポートの特徴を5つ解説します。
まずレポートには、顧客のプロジェクトの安全性を数字で示した「セキュリティスコア」が記載。そのスコアの基準や問題点などの詳細説明も記されています。
次に、レポートでは「OWASPリスク評価方法論」というガイドラインを用いて、発見された問題の危険度・緊急度も評価されます。脆弱性に対する具体的な改善策も含まれているため、セキュリティに関する問題の最短かつ効率的な解消につながるでしょう。
Hi AUDITからのレポートは、最終的にプレスリリースとして発表することで、プロダクトのセキュリティが十分であることを裏付ける証明として活用できます。ただし、レポート公開の有無は選択できますので、例えばトークン価格への影響を避けるために修正が完了するまでセキュリティ情報を外部に知られたくない場合は、非公開での保管も可能です。
Hi AUDITの自動セキュリティ監査ツールと監査サービスは、プロジェクトの安全性を確保し、その信頼性を広く伝えるための強力な味方となるでしょう。
(出典:Hi AUDIT公式サイト)
4. Hi AUDIT運営会社の「TECHFUND」とは
最後に、Hi AUDITを運営するTECHFUND社についてご紹介します。TECHFUNDは、スタートアップや企業内での新規事業開発を支援するイノベーション管理ソフトウェア(Innovation Management Software)の開発を行う企業です。
創業以来続けてきたスタートアップ・アクセラレーター(事業成長を助けるパートナー)としての知見を技術に昇華して300社以上のスタートアップを支援し、国内外の多くの投資家と連携してきました。
| 社名 | TECHFUND Inc. |
|---|---|
| 創業者 | 松山 雄太、川原 ぴいすけ |
| 資本金 | 1億2000万円 |
| 住所 | 本社:東京都渋谷区千駄ヶ谷3−4−24-202
シンガポール支社:1 George St, Level 10, Singapore 049145 |
| 事業内容 | 起業家向け技術投資プログラムの運営 大企業向けイノベーションプログラムの運営 イノベーションマネジメントソフトウェアの開発・提供 サイバーセキュリティ関連サービス |
例えば、TECHFUNDが提供する事業の一つ「Hi INFRA」は、ブロックチェーンサービス開発に必要なメソッド・インフラを提供するクラウドサービス。開発者が効率的にブロックチェーンアプリを開発できる環境を提供しています。
TECHFUNDは、開発の自動化やマーケティング支援にも力を入れており、仮説検証に基づいたマーケティングや資金調達支援など、事業立ち上げのあらゆる側面でスタートアップ企業をサポートしています。
5. Web3スタートアップを軌道に乗せるHI AUDITの監査サービス
Hi AUDITは、自動監査ツールによる迅速なセキュリティチェックや、経験豊富な監査人による詳細なレビューを活用することで、プロジェクトの安全性を低コストかつ多角的にサポートします。Web3業界が直面するさまざまなセキュリティ課題に対して、効果的で信頼性の高いソリューションを提供しています。
セキュリティ監査だけでなく、スタートアップの成長支援や資金調達サポートにも力を入れているTECHFUND社は、Web3業界での成功を目指すスタートアップ企業にとって心強い味方となるでしょう。
