BITPoint(ビットポイント)のセキュリティについて徹底解説!

▼おすすめの取引所ランキング

先日コインチェックから大規模NEM流出事件が起き、大きく世間を騒がせました。

取引所を利用されている方も、今回の事件を機に一層セキュリティ面が気になることかと思います。

そこで今回はBITPointのセキュリティ面を徹底解説していきたいと思います!

取引所のセキュリティの必要性

仮想通貨取引を行う人の多くが取引所を利用していると思われます。しかしながら、この取引所のセキュリティは必ず安全と言い切ることはできません。

先日のコインチェック事件を始め、マウント・ゴックス事件やBitfinex事件等、取引所ハッキングによる巨額の不正流出事件は世界樹で数多く発生しています。

顧客の資産を管理・運用している以上、取引所はそのセキュリティ管理を常に強固なものにしていく必要があるのです。

本記事では仮想通貨取引所のセキュリティについて

どのようなセキュリティ対策が必要とされているのか?

・これまでどのようなセキュリティ対策が行われて来たのか?

・コインチェックの事件を受けてどのようなセキュリティ対策が発表されたか?

といった視点から見ていきたいと思います。

どのようなセキュリティ対策が必要とされているのか?

仮想通貨取引所は、お金を扱うサービスであるため、高いセキュリティが求められます。

例えば、以下の3つのようなセキュリティ対策が必須です。

・暗号通貨特有のセキュリティ対策

・一般的なWebアプリケーションに必要なセキュリティ対策

・従業員の機器感理など運用面のセキュリティ対策

暗号通貨特有のセキュリティ

仮想通貨取引所は、暗号通貨・仮想通貨を取り扱うサービスであるため、他のWebサービスとは異なり、暗号通貨特有のセキュリティ対策が必要です。

これには、コインチェックの事件でも問題になったマルチシグネチャ対応やコールドウォレット対応などがあります。

これについてはこちらの記事で詳しく解説しておりますのでご参照ください。

「Coincheckで大変なことが起きたらしいから、会見を見よう!」 そう思っていざ会見を見ても、用語がわからず、状況が理解できなかった、、、

一般的なWebアプリケーションに必要なセキュリティ

一般的なサーバシステムのセキュリティ対策には、以下のような要素があります。

  • ネットワークのFWやアクセス権限、SSL対応などの対策
  • XSS対策やSQLインジェクションやCSRF、パスワードの管理方法などの対策
  • サーバのソフトウェアの更新などの対策

これらはWebアプリケーションのセキュリティ対策として基礎的なことではあるものの、どのようなセキュリティ対策を発表しているかは重要なポイントです。

従業員の機器管理や情報管理など運用面のセキュリティ対策

Web系のベンチャー企業などにおいて盲点となりやすいのが、従業員の機器感理やネットワーク管理など運用面のセキュリティ対策です。

社内のネットワークにウイルスなどに感染したPCが持ち込まれるリスクや、ネットワークにアクセスするためのVPNの管理などです。

Webサービスや暗号通貨的なセキュリティリスクに気をつけていても、ここに穴があると全てが水の泡になりかねません。

これまでどのようなセキュリティ対策が行われたのか?

大前提として、BITPointは楽天証券の元CTO(最高技術責任者)である原田 勉さんが開発したものです。他にも経営メンバーとして元金融庁長官である日野 正晴さんが特別顧問についています。

BITPointは証券会社の高いセキュリティをノウハウとして持ちながら、それを元金融庁長官が管理するという非常に豪華な経営陣による体制をとっていることがわかりますね。

これにより、「安全」・「安心」・「快適」・「便利」な質の高い仮想通貨インターネット取引サービスを至上命題とし実現しようとしています。

高度なSSL暗号化

BITPointは証券システムのノウハウから、ISO27001(情報マネジメントシステム:ISMSの国際規格)に準拠した多重のセキュリティ管理を実装しています。その中の1つに高度なSSL暗号化があります。

SSLとはSecure Sockets Layerの略称であり、インターネット上でやり取りされるデータ通信を暗号化することやそのやり取りの通信相手の認証を指します。具体的には、インターネットサイトの上部にあるアドレスバーに表示されている「http://~」の表示に「https://~」のような小文字のs(Secureの略称)で簡単に見分けがつくことができます。

従来のSSLサーバ証明書は認証庁が非常な簡単な作業のみで発行してしまう場合もあり、フィッシング詐欺等に使われるような事例も発生しました。つまり、SSLサーバ証明書を持っていれば安心であるとは一概には言えなくなっているのです。

BITPointはSSL暗号化のさらに高度なものであるEV-SSL暗号化を取り入れており、その証明書も獲得しています(EVはExtended Validationの略称)。簡単に言えば、これはSSLサーバ証明書よりもやり取りの通信相手の認証機能を高めたものになります。これには非常に厳格な認証をクリアした企業のみ獲得可能です。これを獲得した証として、アドレスバーに緑色のバーが表示されます。

BITPointはこのEV-SSL証明書を獲得していることから、一般的なWebアプリケーションに必要なセキュリティ対策は満たしているといえます。

コールドウォレット

先日のNEM流出事件で大きく話題になったコールドウォレット。コインチェックではNEMが全てホットウォレット管理となっていたのが、今回の事件のポイントでした。

コールドウォレットとは、インターネットから完全に切り離されたウォレットのことです。オフラインのPCやスマートフォンに秘密鍵を保持しておいたとしても、オンラインになることがあるのならば、それはコールドウォレットではありません。

通常コールドウォレットは、アドレスと秘密鍵を紙に書き記して保存する「ペーパーウォレット」や専用のハードウェア等で秘密鍵を保管する「ハードウェアウォレット」で実現されます。

コールドウォレットは非常にセキュリティ性が高い仮想通貨の保管方法ですが、全てをそこで管理することは現実的ではありません。送金等を手動で行う必要が生じ、オペレーションコストが高くなるからです。

BITPointは利用者の資産をすべてコールドウォレットで保管していると明記しています。実際に送金等に使うお金は企業の資産を利用していると考えられます。

これにより、暗号通貨特有のセキュリティ対策も行っていることがわかります。

しかしながら、マルチシグネチャ(秘密鍵の分散管理方法)については触れられていないのが考慮すべき点でもあります、、

不正な外部侵入への防御

BITPointはオフライン環境で起こりうるリスクにも対策しています。

不正な外部からの侵入を防ぐ手段として、不正侵入検知・防御システムを導入しています。

さらに、ローカル環境での不正を防ぐためにある一定の原則を設け、権限徹底管理を実施していることを明記しています。

このことから、従業員の機器管理や情報管理など運用面のセキュリティ対策にも行っていることがわかりますね。

これらの対策を決してこの企業のみで完結させることなく、第三者機関より、ネットワーク診断、ペネトレーションテストを定期的に行い、最新の脆弱性より対応することを明記しています。第三社からの専門的な意見を取り入れることで、更なるセキュリティの向上を目指していることがわかります。

コインチェック事件を受けてどのようなセキュリティ対策が発表されたか?

BITPointではコインチェック事件を受けて、セキュリティ管理態勢について発表を行いました。

これはBITPointの至上命題である「安全」・「安心」・「快適」・「便利」な質の高い仮想通貨インターネット取引サービスを実現するために、セキュリティ対策で何を行っているかを示したものです。

以下はその記述をまとめたものになります。

更に詳しい記述が読みたい方はこちらの本文をお読みください。

https://www.bitpoint.co.jp/2018/01/29/info-43/

情報セキュリティポリシー

BITPointはお客様の情報資産管理の適切性を確保するため、「組織的安全管理措置」、「人的安全管理措置」、「技術的安全管理措置」を踏まえた情報セキュリティポリシーを策定し、情報セキュリティの維持と向上に努めています。

情報セキュリティ委員会

BITPointは代表取締役社長である小田 玄紀さんを最高責任者とした「情報セキュリティ委員会」を発足しました。

当社では、代表取締役社長を情報セキュリティ確保のための最高責任者として「情報セキュリティ委員会」を発足し、その委員長として情報セキュリティを統括管掌する取締役を任命、情報セキュリティ委員会の事務局ならびにサイバー対策を講じる責任部署を「システム管理部」としており、情報漏洩防止に最大限の施策を講じることに加え、仮に情報が漏洩した場合であっても、第三者がこの漏洩情報を解読することの不可能な対策を講じることを当社の情報セキュリティに係るポリシーとしております。

この情報セキュリティ委員会は、サイバー攻撃に対応する手段として、既存の対策の具体例として以下の3つを紹介しています。

  1. ログイン時における二段階認証の導入
  2. 利用者の資金移動時における「認証番号」と「取引暗証番号」の入力を必須化した二段階認証の導入
  3. ホットウォレット管理を含むすべてのセキュリティ施策は、独自のアルゴリズムを使用しており、秘密鍵の漏洩時にも第三者は解読不可能な対策を行っていること

また、これらの監視システムは24時間365日管理を行っており、異常時に即座に感知できることを明記しています。

今回の発表で、既存のセキュリティ対策で行っていた、仮想取引所に必要とされる3要素(暗号通貨特有のセキュリティ対策・一般的なWebアプリケーションに必要なセキュリティ対策・従業員の機器管理や情報管理など運用面のセキュリティ対策)を情報セキュリティ委員会設立による具体的な施策を交えて、さらに強固にしていく方針を示していることがわかります。

まとめ

今回はBITPointのセキュリティ対策を、最新の情報も含めて解説してきました。

セキュリティ対策だけでなく、国内取引所初の信託保全スキームを取り入れ、緊急時のリスクケアのシステムを明記していること等、利用者が安心できるポイントが多い印象です。

BITPOINT公式へ


BITPoint 仮想通貨取引所