スタートアップと金融機関、2つの側面を持つbitbankのセキュリティ対策とは？ ――ビットバンク 橋本健治氏：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

暗号資産取引所サービスのセキュリティというと「高度なソリューションを駆使して取り組むもの」というイメージがあるが、まず取り組んだのは「自社を知る」という地道な作業から。

[高橋睦美，ITmedia]

　暗号資産（仮想通貨）の取引所サービスを提供するbitbankは「ビットコインの技術で、世界中にあらゆる価値を流通させる」というミッションを掲げ、「オープンでフェアな社会を実現する」というビジョンに向けてサービスを開発・提供してきた。2014年5月の設立時は小さなスタートアップだったが、急激な成長を遂げ、今や140人近くの従業員がいる。

　ただ、暗号資産取引所はサイバー攻撃者にとって魅力的なターゲットであり、過去には残念ながら被害事例も起こっている。そんな状況の中、bitbankはどのようなセキュリティ対策に取り組んできたのだろうか。同社のコンプライアンス・リスク管理部門 部門長でbitbank SIRTのメンバーでもある橋本健治氏が説明した。

「自社を知る」ことからスタートしたbitbankでのセキュリティ対策

ビットバンク コンプライアンス・リスク管理部門 部門長 橋本健治氏

　暗号資産取引所サービスのセキュリティというと「高度なソリューションを駆使して取り組むもの」というイメージがある。だが橋本氏がbitbankにジョインしてまず取り組んだのは「自社を知る」という地道な作業だった。

　「各部署の業務内容をヒアリングし、その業務に従ってどのような情報を扱っており、どう加工し、その情報がどこに保管されているかを細かく確認しました。そして、社内の他部署や社外の関係者とどういった形で情報のやり方をしているか、その際どんなシステムを使っているかを各部署で全て洗い出してきました」（橋本氏）

　さらに、情報システム部門のヒアリングを通してセキュリティポリシーや対策状況を確認し、各部署へのヒアリングで把握している内容と差がないか、情報システム部門の関知していないシステムがないかを確認した。また、顧客に提供するサービスサイトの開発・運用部門にも細かくヒアリングを行って、単なるシステム構成・ネットワーク構成だけでなく、本番システムへのアクセス時の手順やパッチ適用状況など運用環境も含めて洗い出したという。

　その上で各部署の情報資産棚卸しを行い、ヒアリング結果と差異がないかを確認、及び情報保管場所であるファイルサーバやクラウドサービスのセキュリティ対策状況の評価を行い、情報資産ベースの情報セキュリティリスクアセスメントを実施した。その結果、どのようなリスクの高い情報資産があるか洗い出した。一方サービスサイトについては脆弱性診断を行って、ヒアリングだけでは把握しきれないリスクを把握していったという。

　ユニークなところでは、サービスサイトについては、事業被害ベースの情報セキュリティリスクアセスメントも実施した。IPAが制御系システムのリスクアセスメント向けに公開している手法を採用し、「システムにおける被害と、その攻撃経路におけるシナリオを洗い出し、そのシナリオに沿って、それぞれの攻撃経路のリスクを評価するやり方です。IPAが公開しているシートに自社なりのカスタマイズを加え、どういう攻撃経路があり、どこにリスクがあるかを評価しました」（橋本氏）

　こうして徹底的に「自社」と、そこに潜む「リスク」を把握した上ではじめて対策を実施していった。

クラウドやSlackを全面活用し、風通しのよいbitbankならではの風土に合った対策を検討

　bitbankは、資金決済法に基づく金融機関と、デジタル技術を生かしたスタートアップ企業という2つの側面を持っている。一般的な企業とは異なる独自の事情や文化も多々あり、それを踏まえながら対策を検討していった。

　まず、同社の従業員の約半数はエンジニアで占められており、サービスサイトなどのシステム開発も内製で行っている。このためエンジニア優遇な企業文化で、金融機関でありながらどちらかというとITベンチャーの色が濃い企業文化になっている。また、「秘密」を旨とする古くからの金融機関とはやや異なり、「オープンでフェアな社会を実現するならば、社内もオープンでフェアでなくてはならない」という考え方から、情報は可能な限り社員全員で共有しているという。

　一方で、金融機関として絶対に守らなければならない部分もある。特に暗号資産交換業は、世間から厳しい目が向けられがちだ。事実、2018年に発生したある事業者での暗号資産流出事故の後には、金融庁が各事業者に検査に入る事態となっていた。

　ただ、これは雨降って地固まるではないが、よい効果をもたらしているという。「弊社も、業務改善命令を受けた経験を機にコンプライアンス意識が高まり、毎日の朝会でも経営者がコンプライアンス情報を発信し、トップダウンでガバナンスを効かせています」（橋本氏）また資金決済法にのっとって、上場企業とほぼ同等の監査対応を行っている。前述の通り経営トップがコンプライアンスを意識していることに加え、CTOのセキュリティ意識も高く、経営層がITやセキュリティといった領域を注視していることも特徴だとした。

　そんな背景から、同社のIT環境はいわゆる「日本のエンタープライズIT」とはちょっと異なる。従業員はフルリモートワークで、社内システムは全てSaaSを採用。また、社内コミュニケーションも全てSlackで行っており、メールを使う場面は一部の社外とのやりとりのみという。

　端末は基本的にMac PCで、Microsoft Officeは使っていない。「社内ドキュメントはマークダウン形式のドキュメント管理SaaSを、表計算についてはGoogle スプレッドシートを使っています。Officeを使わないため、端末上にアプリケーションを入れて、そこにファイルをダウンロードして編集をすることがなくなり、全てブラウザで完結する環境になっています」（橋本氏）