暗号資産取引所サービスのセキュリティというと「高度なソリューションを駆使して取り組むもの」というイメージがあるが、まず取り組んだのは「自社を知る」という地道な作業から。
暗号資産(仮想通貨)の取引所サービスを提供するbitbankは「ビットコインの技術で、世界中にあらゆる価値を流通させる」というミッションを掲げ、「オープンでフェアな社会を実現する」というビジョンに向けてサービスを開発・提供してきた。2014年5月の設立時は小さなスタートアップだったが、急激な成長を遂げ、今や140人近くの従業員がいる。
ただ、暗号資産取引所はサイバー攻撃者にとって魅力的なターゲットであり、過去には残念ながら被害事例も起こっている。そんな状況の中、bitbankはどのようなセキュリティ対策に取り組んできたのだろうか。同社のコンプライアンス・リスク管理部門 部門長でbitbank SIRTのメンバーでもある橋本健治氏が説明した。
暗号資産取引所サービスのセキュリティというと「高度なソリューションを駆使して取り組むもの」というイメージがある。だが橋本氏がbitbankにジョインしてまず取り組んだのは「自社を知る」という地道な作業だった。
「各部署の業務内容をヒアリングし、その業務に従ってどのような情報を扱っており、どう加工し、その情報がどこに保管されているかを細かく確認しました。そして、社内の他部署や社外の関係者とどういった形で情報のやり方をしているか、その際どんなシステムを使っているかを各部署で全て洗い出してきました」(橋本氏)
さらに、情報システム部門のヒアリングを通してセキュリティポリシーや対策状況を確認し、各部署へのヒアリングで把握している内容と差がないか、情報システム部門の関知していないシステムがないかを確認した。また、顧客に提供するサービスサイトの開発・運用部門にも細かくヒアリングを行って、単なるシステム構成・ネットワーク構成だけでなく、本番システムへのアクセス時の手順やパッチ適用状況など運用環境も含めて洗い出したという。
その上で各部署の情報資産棚卸しを行い、ヒアリング結果と差異がないかを確認、及び情報保管場所であるファイルサーバやクラウドサービスのセキュリティ対策状況の評価を行い、情報資産ベースの情報セキュリティリスクアセスメントを実施した。その結果、どのようなリスクの高い情報資産があるか洗い出した。一方サービスサイトについては脆弱性診断を行って、ヒアリングだけでは把握しきれないリスクを把握していったという。
ユニークなところでは、サービスサイトについては、事業被害ベースの情報セキュリティリスクアセスメントも実施した。IPAが制御系システムのリスクアセスメント向けに公開している手法を採用し、「システムにおける被害と、その攻撃経路におけるシナリオを洗い出し、そのシナリオに沿って、それぞれの攻撃経路のリスクを評価するやり方です。IPAが公開しているシートに自社なりのカスタマイズを加え、どういう攻撃経路があり、どこにリスクがあるかを評価しました」(橋本氏)
こうして徹底的に「自社」と、そこに潜む「リスク」を把握した上ではじめて対策を実施していった。
bitbankは、資金決済法に基づく金融機関と、デジタル技術を生かしたスタートアップ企業という2つの側面を持っている。一般的な企業とは異なる独自の事情や文化も多々あり、それを踏まえながら対策を検討していった。
まず、同社の従業員の約半数はエンジニアで占められており、サービスサイトなどのシステム開発も内製で行っている。このためエンジニア優遇な企業文化で、金融機関でありながらどちらかというとITベンチャーの色が濃い企業文化になっている。また、「秘密」を旨とする古くからの金融機関とはやや異なり、「オープンでフェアな社会を実現するならば、社内もオープンでフェアでなくてはならない」という考え方から、情報は可能な限り社員全員で共有しているという。
一方で、金融機関として絶対に守らなければならない部分もある。特に暗号資産交換業は、世間から厳しい目が向けられがちだ。事実、2018年に発生したある事業者での暗号資産流出事故の後には、金融庁が各事業者に検査に入る事態となっていた。
ただ、これは雨降って地固まるではないが、よい効果をもたらしているという。「弊社も、業務改善命令を受けた経験を機にコンプライアンス意識が高まり、毎日の朝会でも経営者がコンプライアンス情報を発信し、トップダウンでガバナンスを効かせています」(橋本氏)また資金決済法にのっとって、上場企業とほぼ同等の監査対応を行っている。前述の通り経営トップがコンプライアンスを意識していることに加え、CTOのセキュリティ意識も高く、経営層がITやセキュリティといった領域を注視していることも特徴だとした。
そんな背景から、同社のIT環境はいわゆる「日本のエンタープライズIT」とはちょっと異なる。従業員はフルリモートワークで、社内システムは全てSaaSを採用。また、社内コミュニケーションも全てSlackで行っており、メールを使う場面は一部の社外とのやりとりのみという。
端末は基本的にMac PCで、Microsoft Officeは使っていない。「社内ドキュメントはマークダウン形式のドキュメント管理SaaSを、表計算についてはGoogle スプレッドシートを使っています。Officeを使わないため、端末上にアプリケーションを入れて、そこにファイルをダウンロードして編集をすることがなくなり、全てブラウザで完結する環境になっています」(橋本氏)
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授