セキュリティ

セキュリティ

サイバー・セキュリティの脅威は、個人の金融資産を危険な状態に晒します。bitwalletはセキュリティ対策を最重点課題と認識し、お客様の大切な資産を脅威から守ることに尽力しています。

そのため、bitwalletは、国際的に業界最高水準のセキュリティ対策を実施します。具体的には、アメリカ合衆国大統領令「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」にのっとり、セキュリティとレジリエンスを向上させるためのリスク管理原則およびベストプラクティスを適用します。これは、アメリカ国立標準技術研究所(NIST)が定めた情報セキュリティ対策のフレームワークで、フレームワークコア、フレームワークインプレメーションティア、フレームワークプロファイルの3つからなります。

フレームワークコア

フレームワークコアは、特定・防御・検知・対応・復旧の5つのプロセスから成り立っています。

1. 特定

(1) 資金保管(カストディ)業務によりお客様の資産の分別管理

bitwalletはお客様の大事な資産を全力で守ります。そのため、お客様の通貨などの資産は、bitwalletが管理する資産と分離して管理しており安全です。

(2) 上位金融商品取引業者の水準の管理体制

セキュリティ対策はシステムだけでは不十分です。上位の金融商品を取り扱う業者であれば、組織やプロセスの整備がなくてはなりません。bitwalletは上位の金融商品取引業者として、セキュリティ・フレームワークを整備しました。これにより、異常を検知したら速やかに原因を究明し復旧できるように、リカバリープロセスを明確化しています。さらにこのプロセスの適用と改善に努めています。

2. 防御

2.1 暗号化技術の導入

(1) SSLの導入

bitwalletはSSLを導入し暗号化しています。なお、SSLとは免許証のような本人確認の役割を果たす電子版の証明書のことです。暗号化を行うことで、ウェブサイトの信頼度が増しています。

(2) SSL-VPNの導入

仮想専用ネットワークにおいては、SSL-VPNを導入し、データを暗号化して送信しています。仮想専用ネットワークの通信データを暗号化することによって、第三者による改ざんや盗聴を防いでいます。

2.2 ファイアウオールによる防御

(1) ファイアウォール

コンピューター・ウイルスやハッキングなど、セキュリティ上の脅威はさまざまあります。これらを防ぐ手段としてパケットを監視し、怪しいパケットをブロックするファイアウオールを設定しています。

(2) ウェブ・アプリケーション・ファイアウオール

さらに、ウェブ・アプリケーション・ファイアウオールを利用し、ウェブ・アプリケーションの脆弱性を悪用した攻撃からウェブ・アプリケーションを保護しています。これにより脆弱性を悪用した攻撃を検知し、防御を行います。bitwalletのWAFは、専用の機器、ソフトウエア、サービスの3種類でパターンを設定し、防御しています。

(3) IP Anycast導入

サービスを妨害させる方法として、DoS(Denial of service)攻撃があります。これには、大量のメールを送り付けるmail bombや大量のPingコマンドを送るping floodなどさまざまな攻撃があります。また、DoS攻撃を分散して行うDDoS攻撃もあります。こうしたDoS攻撃やDDoS攻撃に対し、bitwalletではIP Anycastを導入することでリクエストを分散させ回避しています。

(4) 侵入検知システム(IDS)

短時間に多数のアクセス要求を行った場合、ファイアウオールだけでは、攻撃パケットを判断できません。そこで、bitwalletでは侵入検知システム(IDS)も採用しています。侵入検知とは、ネットワークの不正な侵入を検知するシステムのことを言います。bitwalletでは不正な侵入を検知する方法として、ネットワーク型とホスト型の２つでブロックしています。ネットワーク型は、ネットワーク上のパケットを監視して、パターン照合することで不正な侵入を検知しています。ホスト型は、監視対象のサーバーにインストールし、ファイルの改ざんなどの検知を行っています。

(5) 統合脅威管理(UTM)

ファイアウオールだけでは、怪しいパケットを通過させてしまい脅威を防げない可能性があります。そこで、bitwalletでは、IDSやIPSおよびWebコンテンツフィルタリングといった複数の機能を網羅した統合脅威管理(UTM)を導入しています。これにより、複数の脅威の検知を総合的に監視しています。

2.3 個人認証

(1) パスワードの強度

第三者が類推しやすいパスワードを設定していると、アカウントを乗っ取られてしまします。したがってbitcoinなど第三者から類推されやすいパスワードは使用できません。パスワードの強度として、英数字や記号を組み合わせ、かつ十分な長さをもつパスワードかチェックしています。

(2) アカウントロック

短期間に一定回数以上のパスワード入力を間違えた場合、第三者によるアカウントの乗っ取りと判断し、アカウントをロックするようになっています。なお、本人がパスワードを忘れたことによりアカウントをロックされた場合は、アカウントロックの解除手続きが必要になります。

(3) ２段階認証による承認セキュリティの強化

ログイン方式がパスワードのみの場合、パスワードが第三者に盗まれると不正に送金される可能性があります。そこで、bitwalletは、パスワードに加えセキュリティキーを必要とする２段階認証プロセスを導入しています。２段階認証プロセスにより、まずはお客様が設定したパスワードで解除し、これをパスすると認証パスコードを入力、これもクリアすればログインが可能になります。すなわち、「パスワード情報」と「保有する端末に送られる情報」の２つの条件の成立が必要になります。これにより悪意のある第三者がパスワードをハッキングしても、端末がなければパスコードを知り得ないため、ログインを防ぐことができます。２つの壁でブロックしているためセキュリティが強化され、安全に利用できます。

(4) ログイン履歴の管理

ログインの履歴は、アクセス・ログとしてサーバーに保存しています。したがって、不正ログインなどが判明した場合は、アクセス・ログを用いて解析し、アクセスした日時や端末などから不正ログインの原因を特定します。

(5) 自動タイムアウト

ログイン後にパソコンから離れて長時間使用しない場合、第三者が不正に利用する可能性があります。こうしたリスクを防ぐため、ログインして一定時間使用しない場合、自動でタイムアウトとなりロックされます。

2.4 プログラム対策

(1) クロスサイトスクリプティング対策

クロスサイトスクリプティングとは、ウェブサイトに外部から任意のスクリプトを組み込んで実行し、脆弱性をつく攻撃です。bitwalletではこうしたクロスサイトスクリプティング対策として、サニタイジングを行っています。すなわち、入力データから危険な文字を置換または除去することで無力化しています。

(2) SQLインジェクション対策

SQLインジェクションとは、外部からSQL文を実行してデータベースを不正に操作し、脆弱性をつく攻撃です。bitwalletではこうしたSQLインジェクション対策として、バインド機構の利用やエスケープ処理を行っています。これは、特別な意味を持つ記号を普通の文字として置き換え、SQL文が実行されないようにする対策です。

(3) クロスサイトリクエストフォージェリー対策

クロスサイトリクエストフォージェリーとは、罠を仕掛けユーザーの要求を偽ってリクエストを送り脆弱性をつく攻撃です。bitwalletでは問題の原因となる脆弱性を作り込まないようにセキュアなコーディング規約を制定し、遵守しています。また定期的にセキュリティ監査を実施しています。

(4) ブルードフォース攻撃対策

ブルードフォース攻撃とは総当たり攻撃と言われるもので、さまざまなパスワードを入力し、力ずくで突破する方法です。これに対しては、前述の個人認証の項で記載していますが、強力なパスワードの設定、２段階認証、一定回数以上入力を間違えた場合のアカウントロックといった、各種の方法により防いでいます。

(5) パスワード保存時の暗号化

お客様が入力したパスワードをデータベースに保存する場合、暗号化し、さらにソルト処理を付与しています。ソルト処理とは、パスワードにプログラムで文字列を付与し保存する方法です。これにより、データベースのパスワード情報をのぞかれても解読することができないようになっています。

(6) 登録されたIPアドレス以外からの操作の制限

bitwalletでは、登録されたIPアドレスでなければ決済手続きができないようになっています。したがって、第三者が別の端末から不正な操作をしても、IPアドレス制限によりブロックされます。

2.5 運用

(1) セルフィーのご提出

身分証明書、住所証明書の他に、セルフィー画像のご提出をお願いしています。セルフィーとは、近年、欧米各国で導入されているオンライン上での本人確認手段です。これによりオンライン上であっても、対面認証に近い本人確認が可能となります。

(2) 郵送またはSMSによる認証

カード決済の限度額を上げるために、郵送または携帯電話番号へのSMS送信による認証を行っています。お客様にご登録いただいた携帯電話、またはご住所にランダムな数値をお送りし、一定時間内にその数値をサイト上で入力することで、本人確認を行うことができます。

(3) 出金銀行口座情報の確認

お客様にご登録いただいた銀行口座情報は、銀行や支店名、または口座番号などに不正な箇所がないか、人の目視により毎回チェックを実施しています。

(4) 銀行入金時の送金元チェック

銀行振り込みによる入金の際は、送金元口座情報をチェックし、場合によっては送金控えをお送りいただくなどして正当性を確認いたします。送金元名義に、ユーザーそれぞれに割り振られた口座識別番号（口座ID＋3桁の数字）をご入力いただくことで、ご本人の認証を行っています。

(5) 外部機関データベースによる不正利用ユーザーのチェック

不正利用を目的としたユーザーの利用を防ぐため、外部機関のデータベースと連携し、日々チェックを行っています。不正なユーザーを検知した場合はすぐに利用停止などの措置を取り、他のユーザーへの被害発生を防ぎます。

(6) 適切な返金・出金の取り組み

マネーロンダリング及びクレジットカードの不正利用防止の観点より、返金や出金の際は、過去の取引履歴をチェックし、人の目視により正当性を確認いたします。万が一盗難カードなどによる入金が発生した場合でも、出金側でチェックを行うことで、資金の消失を防止することができます。

3. 検知

(1) サーバー診断

サーバーに異常が発生した場合、定期的な自動診断によりエマージェンシーコールが発動され、全システム強制シャットダウンにより、被害を最小限に抑えます。

(2) 顧客管理情報DBの暗号化

お客様の個人情報はデータベースに格納する時に暗号化しています。データベースの中をのぞかれても、個人情報を解読することが困難になっています。

(3) 独立したトランザクション不正検知監視サーバーの導入

パブリック・ブロックチェーンは複数のノード（中継点）でネットワークが形成されます。これはオープンな環境のため、誰でもネットワークに参加できます。またユーザーが快適に扱えるように、ノードの処理するタスクやパフォーマンスを監視する必要があります。bitwalletは監視専用のサーバーを立て、各ノードの情報を収集しリアルタイムに監視、およびログを保存しています。これにより常にノードを監視し、不正なノードがなく、ノードが処理するタスクやパフォーマンスをチェックしています。そのためノード間のトランザクションを検証し、不正なアクセスやトランザクションがあった場合は、それを早期に発見し、処置することができます。

4. 対応

(1) 障害対応計画の策定

セキュリティ障害発生時に迅速に対応できるように、障害対応計画を策定してします。これにのっとり、対応マニュアルの作成や、障害の発生を想定した防止訓練を実施し、速やかに対応できるようにしています。

(2) インシデントの分析

bitwalletは、開発のプロセスにおいて十分なテスト検証を行っています。またリリース後も、社内のセキュリティチェックを継続して行っております。万が一、セキュリティホールなどが発見された場合は、速やかに原因を特定します。

5. 復旧

(1) 復旧計画の策定

セキュリティ障害発生時に迅速に対応できるように、障害復旧計画を策定しています。障害発生時の対応は、このトラブル対応マニュアルにのっとって行います。マニュアルには対応フローや対応時の操作方法が明記されており、速やかに復旧できるようにしています。

(2) 多くのセキュリティエンジニアらにより安全性を向上させ、新たなリスクへ常に対応

bitwalletでは、暗号に精通したセキュリティ専門家など、多数のプロフェッショナル・エンジニアを社内に配置し、最新のテクノロジーの導入を推進しています。これにより、想定外の新たなリスクに対応できる体制を整えています。

(3) セキュリティ対応プロセスの改善

他社も含め、セキュリティ障害が発生した場合、その知見をデータベースに保存し、当社の全員が情報を共有できるようにしています。さらに対応マニュアルも改善するようにしています。さまざまなセキュリティ攻撃に対応できるように、対応プロセスを日々、改善しています。

フレームワークインプレメーションティア

ティアは、セキュリティリスクを管理するために、どのようなプロセスを実施しているかの基準を示しています。bitwalletでは高いティアを目指し、プロセスを改善しています。

1. リスク管理プロセス

bitwalletでは、セキュリティのリスク管理対策は経営陣によって承認され、ポリシーとして確立しています。従って、セキュリティ対策に最優先で取り組みます。

2. 統合されたリスク管理プログラム

bitwalletにおいてセキュリティリスクの管理は、システム保守部門だけでなく、組織全体による取り組みとして確立しています。従って、サイバーセキュリティ情報を社員全員が共有し、リスク管理プログラムに全員で参加します。

フレームワークプロファイル

bitwalletでは、プロファイルとして、現状のセキュリティレベル、目標とするセキュリティレベル、リスク許容度などをまとめています。これはベストプラクティスを考慮して作成され、サイバーセキュリティリスクを低減するためのロードマップを示しています。

以上のように、bitwalletは、アメリカ合衆国大統領令「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」にのっとっており、国際的に見て業界最高水準のセキュリティ対策を兼ね備えています。

---

附則

本手数料は、2018年7月1日から施行します。

改訂履歴

2018年8月1日　2.5 運用 (1) セルフィーのご提出　一部改訂
2022年1月21日　1. 特定　一部改訂