スタートアップと金融機関、2つの側面を持つbitbankのセキュリティ対策とは？ ――ビットバンク 橋本健治氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

　取引所システムを支えるサービスサイトのインフラはAWSで、定型的な設定は全てコード化して管理している。さらにOS管理をできるだけしない環境ということでコンテナやLambda、RDSなどを採用。各種アプリケーションのソースコードはGitで管理し、コミットすると自動的にデプロイされるCI/CDパイプラインを構築している。

入口、出口、内部対策や提供するサービスの検査など包括的に対策を推進

　こうした環境を前提にbitbankは、ITと、組織的・人・物理的対策の両面でさまざまな対策を実施してきた。

　まずネットワーク環境については、接続時に二要素認証を必須にしている。ID管理プロバイダーとして「OneLogin」を採用し、IDとパスワードに加え、ワンタイムパスワードがなければ接続できない仕組みだ。さらにVPNアクセスについてはクライアント証明書を用いた認証を組み合わせている。並行して、UTMによる不正端末の検知、端末にはネットワーク制御製品による不正なアウトバウンド通信のアクセス制御なども実施している。

　端末のセキュリティ対策は、Mac PCの利用を前提に、Jamf Proを用いた資産管理・パッチ適用状況管理を実施している。同様に、Jamf Proのセキュリティポリシーを活用してFileVaultの利用を強制し、ディスク暗号化を徹底する仕組みとすることで、紛失時の情報漏洩対策としている。「リモートワークにて自宅で利用していることもあり、マンション内ネットワークの同一セグメントから攻撃される可能性もゼロではないと考え、Jamf Proを使い、OS標準のファイアウォール機能をオンにし、インバウンド通信の遮断を行っています」（橋本氏）

　興味深いポイントとして、フィッシングメールや標的型攻撃への耐性が高いことが挙げられるだろう。社内コミュニケーションの主体がSlackとなっているため、「例えば、社長の名前をかたったなりすましメールが届いたとしても、すぐに『これは偽物だ』と分かる状態になっています」（橋本氏）

　顧客に提供するサービスサイトについては、アクセス元の制限、特にTorなどの匿名ネットワークからの接続を制限するほか、Webアプリケーションファイアウォール（WAF）による防御、CDNやAWSの機能を活用してのDDoS対策などを実施している。またインバウンドの通信量をSIEMに送り、しきい値を超えるような異常な通信がないかも監視している。ちなみに出口対策として、AWSのネットワークACLやセキュリティグループによる通信制限に加え、アウトバウンドの通信量も監視し、同じくSIEMで閾値監視を行っている。

　ユニークな取り組みとして、DNSサーバのレコード監視が挙げられる。「弊社は過去に、DNSハイジャックというインシデントを経験しました。このインシデントの後、DNSレコードの変更監視を行ってアラートを上げる仕組みを導入し、勝手に変更されないかを見ています」（橋本氏）

　提供するサービスに脆弱性がないかを、ネットワーク脆弱性診断と外部のセキュリティ業者によるWebアプリケーションの脆弱性診断、さらに、広くセキュリティエンジニアに脆弱性を探してもらう「バグバウンティプログラム」も実施してチェックしてきた。「Webアプリケーション診断は年次で行っていますが、その間に何か脆弱性があればバグバウンティプログラムなどで検知できるようになっています」（橋本氏）

　入口・出口の対策に加え、ラテラルムーブメントを抑止する内部対策も実施している。まず、何らかのシステムにアクセスする際には必ず「踏み台サーバ」を経由し、かつログイン時にはSlackで通知を行い、通知に対して本人が何かしら返事をしないといけない運用を整えた。これらのログも収集し、モニタリングしている。そして「そもそもOSがなければラテラルムーブメントができるわけはないので、PaaSなどを活用し、侵入後の横展開を難しい構成にしています」という。

　システム間連携はWeb API経由が一般的だが、重要なシステムについてはあえて、いったん間にAmazon S3やRDSなどを挟んで情報のやりとりを行うことで、万一の際の横展開のハードルを設けているという。

　並行して、内部不正や重要なデータの持ち出しを防ぐため、一般的な環境と重要な情報を扱うセキュア環境を分離した。後者についてはVDIを用いてネットワーク端末を隔離した上で、グループポリシーによるソフトウェアのインストール制限やインターネットの利用制限などを実施する形だ。また、システム管理者自身の不正に備え、データベースの監査ログやシステム設定変更ログを取得しモニタリングを実施している。

　このように随所に、Macを利用し、クラウドベースの業務環境を構築しているbitbankならではの対策が実施されている。

　さらに組織的・人・物理的対策も実施しているが、「こちらは、他の会社でもやっていることとほぼ同じだと思います」と橋本氏は述べた。

　具体的には、冒頭に説明した情報セキュリティリスクアセスメントを年次で実施し、経営層に報告するほか、バーチャル組織として情報セキュリティ委員会を設置し、各種施策を推進している。新たにクラウドサービスを採用したり、外部委託を行ったりする際には、SLAやインシデント対応体制をチェックした上で契約を結ぶ形だ。他、セキュリティ演習の実施や日本シーサート協議会を通した他組織との情報連携なども展開している。

　物理的対策については、オフィスの中にセキュリティエリアを設け、監視カメラや入退室管理システムによる管理体制を整備。人については、誓約書の提出とともにe-ラーニングの実施などを行ってきた。

今後もさらなる対策強化を推進、「人」への教育浸透も課題に

　ただ、こうした対策で万全だとは考えておらず、今後もさらなる強化を検討しているという。例えば、コンテナ環境については、コンテナ環境に対応した侵入検知製品の導入に向けて検証を進め、万一侵入されてもすぐに検知できるような仕組み作りに取り組んでいる。

　もう1つ懸念しているのが、サードパーティが提供するJavaScript経由のサプライチェーン攻撃だ。「自社のサービスサイトに外部のJavaScirptを取り入れることはけっこうあると思います。そのJavaScirptを提供しているベンダーが、提供しているJavaScirptの中に、さらに子会社や外部のベンダーが提供しているJavaScirptを使っていることもあります。もしそうした子会社や外部のベンダーのセキュリティが弱ければ、侵入され、JavaScriptが改ざんされる可能性もあるでしょう」（橋本氏）。そうした改ざんを素早く検知できるよう、JavaScirptのコード改ざん検知サービスについても、導入に向けた検証を実施する予定だ。

　また、顧客の利便性とセキュリティ強化に向け、FIDOに基づくパスワードレス認証にも取り組む計画だ。「パスワードを詐取されてなりすましログインされる可能性をなくしていくため、Transmit Security社と一緒に対応を進めているところです」（橋本氏）。改正電気通信事業法への対応の一環として、Cookie同意管理ツールの導入も進めている。

　橋本氏は、今取り組んでいる演習や診断をさらに進化させ、より具体的な演習に取り組んだり、従業員教育をさらに浸透させる方法を考えていきたいと述べた。「やはりeラーニングには限界があると考えており、どういった形で教育していくかを検討しているところです」（橋本氏）。従業員だけでなくセキュリティ担当者自身の教育も進め、スキルをさらに磨いていきたいという。

　最後に橋本氏は「セキュリティ担当者どうしがつながって情報交換できればと思っています」とし、より深く突っ込んだ話、現場に即した会話をできればと呼びかけ、講演を終えた。