新規記事の投稿を行うことで、非表示にすることが可能です。
2018年01月30日
【ビットフライヤー】注意喚起を受け「セキュリティファースト主義」【より良い環境を】
こんにちわ yuki (@yuki_dubstep)です。
ビットフライヤーに登録されている方はすでにご存じかと思いますが、
コインチェック「不正アクセス」の件で金融庁からシステムの再点検が要求され
国内の仮想通貨交換業者に向けて一斉に注意喚起がされました。
それを受け
ビットフライヤーのセキリュティの取り組みに関する文章が
各メディアに向けて送られたようです。
それに関して補足してみようかと思います。
文章をざっくりとまとめると
「政府公認の交換業者、リーディングカンパニーとしてセキリュティファースト主義でやっていく」
とコインチェックを意識してか否か みなし業者のワードにバチバチきそうな文面でした笑
自身をリーディングカンパニーという辺り、市場でさらに地位を狙う姿勢を感じました。
セキリュティなどに関するチーム
具体的に今回の一件のような事態に備えている内部チームを公開していました。
@金融機関、中でも特にリスクに精通した分野出身の経営陣
ACISO(Chief Information Security Officer)を中心としたサイバーセキュリティチーム
B金融機関でのコンプライアンス業務経験者によるコンプライアンスチーム
C国内大手弁護士事務所出身の弁護士、米国および欧州の弁護士チーム
以上4チームです
Aの「CISO」ですが、馴染みのない言葉でしたので調べてみました
【CISO Chief Information Security Officer 】
一般的には、企業や組織内での役員クラスの役職でセキリュティ部門の管轄だそう。具体的に情報システム等への攻撃に備え、安全対策などを行う。ハッキングなど有事の際の対応なども担うところ。
専門の業者かと思ったら社内の役職のようです。当然と言えば当然ですが、問題前後へしっかり備えている事がわかりますね。
具体的なセキリュティ施策
【仮想通貨に対して】
@コールドウォレット
・顧客と自社の所有する全体の80%以上の仮想通貨はコールドウォレットに保管している。
・それらは多重の物理セキュリティ対策で保護し、監視システムにより24時間監視されている。
・取扱い通貨に対し、基準を設けコールドウォレットに保管しているが今後さらに基準を厳しくする。
・秘密鍵(交換業者に預けている場合、運営の管理する口座の鍵のようなもの)はコールドウォレット以外でも常に暗号化されており、万が一流出しても第三者では解読できないようになっている。
Aマルチシグ
・各種取扱い通貨に対して導入の基準を設けマルチシグ化を行っている。
・基準の厳格化を実施する予定である。
B自社開発のビットコインデーモン
・一般のビットコインデーモン(常駐しているソフトなどを指す。)は脆弱性を突かれるリスクがある。
・ビットフライヤー自社開発のそれを使う事で通常よりリスクが低く、併用し不具合の検知、修正がはやい。
C暗号学的に安全な疑似乱数生成器の使用
・意味不明な言葉にきこえるが、ようは前述した秘密鍵の生成に用いる事により内部攻撃からも対策し、情報を推測させるのを高度に防ぐことができる。
D取扱い通貨
アルトコインの中でも匿名性が高く、取引の追跡のできないものに関してはマネーロンダリング(資金洗浄)が問題視されていることから金融庁と協議し、専門家の意見も踏ま取扱いを決定している。
【セキュリティ技術に関する施策】
@通信セキリュティ
・顧客からのデータ通信を暗号化している。
・大手金融機関より強度の高い技術で、Qualys社(通信セキリュティに関して有名なアメリカの会社)より
高いSSL評価を得ている。
Aファイアーウォールの導入 ウェブ・アプリケーション・ファイアウォール(以下WAF)
・ファイアーウォールについては割愛します。
・ファイアーウォールで制限できない部分をWAFで補っている。DDoS攻撃についても二重のWAFによりブロック。
BIPアドレス制限
C二段階認証、ログイン履歴の管理
Dインフラストラクチャーの管理
・インフラストラクチャー(基盤)は厳格に管理されている。→自動OSパッチ、自己診断機能、ヘルスチェック
・顧客の情報は全て暗号化し管理している。
【顧客資産保護について】
@損害保険
1.当社へのサイバー攻撃等により発生したビットコインの盗難、消失等に係るサイバー保険
2.二段階認証と登録ユーザーのメールアドレス・パスワード等の盗取による不正な日本円出金に係る補償
を国内大手損害保険会社と契約している。
A賠償責任保険
三井住友海上火災保険会社と「仮想通貨交換業、決済等のサービス」において検討・契約を行っていく。
B仮想通貨交換業者最大級の資本金
これをもとに取引所の運営やそのためのセキリュティ対策等に投資を行っていく。
(個人的にはFXの環境を改善してほしい笑)
【社内セキュリティ】
多数監視カメラ 24時間監視システム 生体認証等の導入済み
まとめ
以上の内容について明記されていました。内容に関して難しそうな用語や言い回し、僕も気になった点を調べて補填してみたので。
仮想通貨に関して認識があればある程度理解できるようになっていると思います。
以前から知りえた部分とそうでない部分がありますが
「安心安全な取引所」
「Lightning FX/Futures はレバレッジ最大 15 倍!完全マルチシグ対応、世界最高レベルのセキュリティ」
をうたっているビットフライヤー
文句通りに今後もさらなる向上に期待しながら利用していきたいですね。
今回取り上げたビットフライヤー登録はこちらから。