ビットコインをはじめとする仮想通貨は、その価格変動の激しさなどから世界中で投資・投機の手段として注目される機会が増えています。日本においても2017年4月1日に試行された資金決済法の改正により、法定通貨に準ずる支払い手段として認められるなど金融資産としての存在感を高めています。
それにともない仮想通貨を保有したり投資をしている個人が急増していますが、同様に仮想通貨を事業に活用したいと考える企業も増えています。企業が事業に仮想通貨を安全に活用していくためには、顧客資産を守り、顧客が安心してサービスを利用できるようにするためのセキュリティ 対策が欠かせません。サイバー攻撃による被害から仮想通貨資産を守るためには、どのようなセキュリティ対策が必要でしょうか。
目次
1. 仮想通貨を狙うサイバー攻撃とその対策の重要性
1-1 仮想通貨を狙うサイバー攻撃の増加
仮想通貨に関連する犯罪やサイバー攻撃による被害は増加傾向にあります。仮想通貨資を保有する個人がフィッシングによるアカウント情報の窃取やマルウェア感染などの手口による不正送金の被害にあうだけでなく、仮想通貨取引所(仮想通貨交換業者)のように仮想通貨を取り扱う企業においても、不正送金による巨額の損失が発生しています。
現在のところ仮想通貨を取り扱う企業としては仮想通貨取引所が代表的ですが、今後はそれ以外にも仮想通貨を事業において活用する企業が増えることが予想されます。自社や顧客資産の仮想通貨を大量に保有していた場合、サイバー攻撃による不正送金などの被害を受けると巨額の損失につながるおそれがあります。
1-2 仮想通貨のセキュリティ対策
仮想通貨資産を保護するためのセキュリティについては、コールドウォレット(秘密鍵のオフライン保管)やマルチシグ(複数アカウントによるトランザクションの署名)など、個別の機能や技術に焦点が当てられ議論されることが多いですが、それらは仮想通貨を安全に活用していく上でのひとつの要素にすぎません。企業が仮想通貨を取り扱うためのセキュリティを向上するためには、組織やプロセスの整備が技術の活用と同様に重要です。
2. 被害事例~巨額にのぼる仮想通貨の不正送金
仮想通貨取引所など仮想通貨を取り扱う企業において発生するサイバー攻撃被害の代表的なものは不正送金です。近年は、国内外の仮想通貨取引所における不正送金事件も新聞などで大きく報じられる機会が増えました。また、仮想通貨取引所における不正送金被害では、その被害額の大きさにも目を惹かれます。2016年には、香港の取引所であるBitfinexで約65億円相当(当時レート)のビットコインが盗まれました。そして今年2018年1月、日本の取引所Coincheckで約580億円相当(当時レート)の仮想通貨NEMが盗まれる事件が発生してしまいました。
仮想通貨を取り扱う企業の企業規模は、大手銀行などと比べると非常に小規模なものである場合もあります。それにもかかわらず、サイバー攻撃を受け不正送金などの被害が発生した場合、保有していた仮想通貨資産の量によっては、その被害額が銀行など既存の金融機関において発生するものより大きなものになってしまうおそれがあります。
3. セキュリティ対策の見直しに有効なフレームワークの活用
仮想通貨取引所と同様にサイバー攻撃から顧客資産を保護する必要のある銀行など金融機関においては、自社のセキュリティ対策を見直したり対策達成度の客観的な評価を行うためにフレームワークやガイダンスが利用されています。
既存のフレームワークやガイダンスは、仮想通貨のような新しい概念の資産を想定して策定されていない場合があり、そのまま適用することが難しい面もありますが、それでもサイバーセキュリティ対策という目的を達成する上でそれらを土台として検討することは有益です。
ここでは、その中で代表的なもののひとつであるNIST Cybersecurity Framework(NISTサイバーセキュリティフレームワーク)(リンクはPDF)を取り上げます。
NISTサイバーセキュリティフレームワークは、米国にて2013年2月に発布された大統領令「Improving Critical Infrastructure Cybersecurity」を契機に策定され、金融に限らず、防衛産業、エネルギーなどを含む重要インフラストラクチャーにおけるセキュリティ対策を行うためのフレームワークとして広く利用されています。
日本においても、金融庁が2015年2月に公表した「金融分野におけるサイバーセキュリティ強化に向けた取り組み方針」においては、NISTサイバーセキュリティフレームワークにおいてFunction(目的)として定義されている特定、防御、検知、対応、復旧の5つの軸で自己点検を行うことを求めています。
以下ではNISTサイバーセキュリティフレームワークを例にとり、仮想通貨を取り扱う企業にどのようなセキュリティ対策が必要なのか考えてみたいと思います。
4. NISTサイバーセキュリティフレームワーク
NISTサイバーセキュリティフレームワークでは、セキュリティ対策を以下の5つのFunction(目的)に沿って検討します。
IDENTIFY(特定):守るべき資産を洗い出し、重要度に応じて優先度づけをする。
PROTECT(防御):サイバー攻撃による被害発生を防ぐための対策を実施する。
DETECT(検知):サイバー攻撃を受けたり被害が発生したことを検知する。
RESPOND(対応):サイバー攻撃が発生した場合に攻撃を特定し、被害の拡大を食い止める。
RECOVER(復旧):サイバー攻撃により被害を受けた状態から復旧する。
このフレームワークは、金融を含む重要インフラストラクチャーにおけるセキュリティ対策を考える上で共通して利用できるものですが、ここでは特に企業が仮想通貨を取り扱う上でそれぞれのFunction(目的)ごとにどのような対策が必要となるのか具体例と共に見ていきましょう。
4-1 IDENTIFY(特定)
4-1-1 自社の資産を特定する
・自社がどのような資産をどれくらい保持しているかを把握し、セキュリティ対策を行う上での優先度付けをする。
具体例:仮想通貨の種類、市場価値、保有者(自社、顧客)を明確にし、またそれらの仮想通貨を保護するのにどれだけのセキュリティ投資が適切かを経営の観点から判断する。
4-1-2 現状のセキュリティ対策状況を評価する
・自社が現在、実施しているセキュリティ対策とそれがどの程度機能しているか明らかにする(アセスメント、ペネトレーションテストなど)。
具体例:攻撃者による社内ネットワークへの侵入が可能か、また侵入された場合に秘密鍵の窃取や仮想通貨の不正送金が可能となってしまうかを試験する。
4-2 PROTECT(防御)
4-2-1 攻撃者の侵入を防ぐ
・サイバー攻撃により内部ネットワークに侵入されることを防ぐための対策を実施する。
4-2-2 内部不正を防ぐ
・内部犯行によるアカウント情報の窃取や不正送金などの被害が発生することを防ぐための仕組みを実装する。
具体例:マルチシグを使用し、複数アカウントの許可なしに送金できない業務フローを実装する。
4-2-3 機密情報を保管するネットワークを分離する
・内部ネットワークに侵入されても重要な資産まで到達できない仕組みを実装する。
具体例:一般セキュリティレベルのネットワークから隔離した秘密鍵によりトランザクションへの署名を行うコールドウォレットを実装する。
4-3 DETECT(検知)
4-3-1 サイバー攻撃を検知できる体制・システムを整備する
・サイバー攻撃が試みられたり被害が発生した場合に、迅速に検知できる体制・システムを整備する。
具体例:秘密鍵へのアクセス、仮想通貨の異常な送金(時間帯、送金先、送金量などにより判断)を迅速に検知できるシステムと監視体制を整備する。
4-4 RESPOND(対応)
4-4-1 サイバー攻撃を特定し被害拡大を防ぐ
・サイバー攻撃が確認された場合に、被害の発生を防いだり被害を低減するための対応を行える体制を整える。
具体例:不正送金が発生した場合に被害の拡大を防ぐための対応フロー(攻撃と被害状況の調査、サービス停止の判断、被害届け、監督官庁への報告、関連する組織・団体への情報共有など)を整備し、これを迅速に実施できる体制を整える。
4-5 RECOVER(復旧)
4-5-1 サービスを復旧し評判を回復する
・被害が発生した場合に、サービス停止の影響をできるだけ小さくするための復旧作業フローを確立する。
・被害が発生した場合に評判を回復するための情報公開、報道対応のための準備をする。
具体例:緊急時の広報活動(危機管理広報)の訓練を実施する。また、顧客資産に被害が発生した場合の補償スキームを策定しておく。
以上のように、フレームワークを適用してセキュリティ対策を検討することは、技術面だけでなく、組織やプロセスの面においても漏れなく必要となるセキュリティ対策を実施していく上で有用です。ここでは、NISTサイバーフレームワークの5つのFunction(目的)を達成する上で必要なセキュリティ対策を概観するに留めましたが、同フレームワークのカテゴリ、サブカテゴリや参考情報を参照してより詳細にセキュリティ対策の検討を行うことが可能です。
5. 仮想通貨を安全に活用していくためのセキュリティ対策の今後
仮想通貨およびその基盤技術であるブロックチェーンは、私たちの社会や生活をよりよいものにすることができる可能性を持ったテクノロジーです。しかし、現在はまだそれらの技術を安全に活用していくための議論が十分に尽くされているとはいえない状況です。
仮想通貨やブロックチェーンなど新しい技術・概念が社会基盤の一部となりつつあることを踏まえ、既存のフレームワークやセキュリティ技術を活用していくことはもちろんのこと、今後はそれにとどまらずフレームワークの更新や新しいセキュリティ技術の開発を行っていくことも重要となります。
仮想通貨を事業に活用していこうとしている企業にとっては、適切なセキュリティ対策により顧客資産を保護し、安心してサービスを利用することができる環境を提供することが、事業を拡大していく上で必須の条件となるでしょう。
著者:マカフィー株式会社 シニアセキュリティコンサルタント 安田淳一
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)