1
/
5

巨大なリスクに対処せよ!暗号資産業界に求められる「最高難度のセキュリティ」とは?【社員インタビュー】

※本記事は2021年3月にnoteにて公開された記事の転載です。各情報は掲載当時のものです。


お客様の膨大な資産を預かるビットバンク。金融機関としてのセキュリティ基準をクリアすることはもちろん「暗号資産(仮想通貨)取引所ならではのリスク」にも対応できるよう体制を構築しています。

今回インタビューするのは、その厳しいセキュリティ環境の構築を担ってきたbitbank SIRT(Security Incident Response Team:セキュリティの問題が生じた際、原因解析や影響範囲の調査を行うインシデント対応組織)の長を務める橋本 健治(はしもと けんじ)。

様々な業界でセキュリティ業務に携わってきた橋本は、これまでの経験を活かして、どのような対策を進めてきたのでしょうか?ビットバンクで取り組んできたことや今後の展望について、話を聞きました。


新しいチャレンジを求め、過渡期を迎えていた暗号資産業界へ

──まずは、ビットバンクに入社するまでの経歴を教えてください。

通信事業者や決済事業者など様々な業界で、セキュリティ分野のスキルをコアにキャリアを形成してきました。経験を重ねる中で「セキュリティが最も厳しい業界である金融機関で研鑽を積みたい」と考えるようになったのが転職のきっかけです。

ただ、金融機関の中でも、既にがっちりと固まった態勢がある銀行や証券会社においては「セキュリティ部門の仕事≒既存のルールに則った運用」になりがちなことが懸念点でした。

私はどちらかというと、高度なセキュリティを有する態勢をイチから構築していきたいと考えていて。そこで、発展途上にある暗号資産領域に目を向けたのです。

中でもビットバンクに注目したのは、取扱高が高かったからですね。やはり、取引が多ければ多いほど態勢構築の難易度は高くなりますし、それゆえにやりがいがありそうだと感じました。

──橋本さんの入社時期には、発展途上ゆえの課題も多かったのでしょうか?

そうですね。私がビットバンクに入社したのは2018年の9月。その年の1月に起きたCoincheck事件をきっかけに、暗号資産業界のセキュリティ強化が本格的に求められるようになった頃でした。
業界としての大きな変革期に、この業界に飛び込むことになったんです。

確かに、外部から入ってきた私から見ると、当時の業界全体としてガバナンスが効いていないと感じる部分もありました。暗号資産業界は爆発的に成長したので、そのスピードに「金融機関としての態勢構築」が追いついていなかったんだと思います。

入社直後からガバナンス強化に着手


──そんな中で最初に担当された業務は何でしたか?

システムリスク管理態勢に関する規程と、マニュアルの見直しです。
まずはコンサル会社が作成したベースとなる規程を、ビットバンクに適したものに調整することからスタート。システム部門の責任者にヒアリングしながら、具体的なマニュアルに落とし込んでいきました。

さらに当時は、まだ会社として情報漏洩に対するトレーニングを受けていなかったので、金融庁主催のセキュリティ演習へ経営陣を巻き込んで参加しました。
また、組織体制の強化に向けた採用活動の強化や、メンバー育成の一環として認定脆弱性診断士講習の受講も推進しました。

──まずは会社としてのガバナンス強化を推進していったんですね。

はい。全社的なセキュリティ管理の基礎自体は、どの会社でも共通です。

まずは、しっかり規程とマニュアルを整えて運用していくこと。そして、社内にセキュリティ重視の価値観を徹底的に根付かせていくこと。

前職までの経験をフルに活かして、この基礎をきっちり押さえていきました。

この時期には、SIRTの構築も進めていましたね。2019年には、日本CSIRT協議会に加盟しています。

──当たり前のことを当たり前にできる環境を整えるところからだったんですね。その後はどんな業務を担当してきたのでしょうか?

セキュリティおよびリスク管理に関する業務を幅広く管掌してきました。

まず暗号資産取引所を始めとする各種システム上のセキュリティ管理ですね。それから、防犯カメラやパーティションの設置、端末やメディアの管理などの物理的な情報漏洩対策にも関わっています。

全社的な内部統制の一環として、IT統制の強化も推進してきました。
ビットバンクは、暗号資産交換業者として、財務諸表監査、分別管理監査を公認会計士又は監査法人から受ける必要があります。J-SOX法(金融商品取引所に課せられる内部統制報告制度)と同等のIT統制活動が必要であり、本番システムの変更管理の証跡となるログの保存やモニタリングについても改善を進めました。

参考:暗号資産(仮想通貨)取引所のモニタリング環境整備の取り組み

暗号資産業界ならではのリスク管理

──これまでに経験したセキュリティ業務と比較したとき、暗号資産業界ならではの難しさとは、どんな部分にあると思いますか?

一般的な会社の情報セキュリティは、情報の漏洩・毀損・消失のリスクに対するものが中心です。しかし暗号資産業界では、情報だけでなく「暗号資産そのもの」の流出・消失リスクまで考える必要がある。そこが独特の難しい部分ですね。

例えば、暗号資産を管理する秘密鍵。この秘密鍵が悪意を持った第三者に知られてしまったら、その時点で“アウト”なんです。

具体的に説明しましょう。例えばECシステムから顧客情報を盗むために、情報を保存しているデータベースのIDとパスワード、いわゆる金庫の鍵にあたる情報を入手したとします。しかし、データベースへ接続するための鍵を入手しただけでは、データベースから情報を盗むことはできません。なんとかしてデータベースに接続するための環境を用意することが必要になります。

しかし、暗号資産は違います。ブロックチェーンを活用して流通している仕組み上、暗号資産を管理している秘密鍵さえ入手できれば、侵入したシステム上で何かしら追加の作業を行うことなく、手元で暗号資産を移転させることが可能になります。

ですから、一般企業のシステムでは、多層に仕掛けている防御機構のうちいくつか突破されても助かるケースが多いですが、暗号資産交換業のシステムでは、数個の防御機構が突破されただけで、暗号資産の流出という大きなインシデントへ繋がります。

だからこそ、求められるセキュリティ水準が非常に高く、独自のシステムを構築する必要があるのです。

また同時に、外部からの不正アクセス対策はもちろん、内部でも不正が起きない仕組みづくりが不可欠です。こちらも一般的な企業に比べて、より高度なセキュリティで厳しく管理する必要があります。

──なるほど。その他にもビットバンクのセキュリティ業務の特徴だと感じることはありますか?

やはり金融機関ならではの厳しさは感じますね。

金融機関では、システムリスクの管理体制を非常に厳しく監査されます。
システムの停止などのトラブルは「絶対にあってはならないこと」として、お客様からの目だけでなく、監督官庁からも常に鋭い視線が向けられています。

2020年10月、東京証券取引所のシステムに障害が発生して、終日取引停止になった事件がありましたよね。事件の結果、東証の社長は退任に追い込まれました。例えば、これがソーシャルゲームを提供している会社だったらどうでしょう。社長交代といった事態にまでは発展しないはずですよね。

金融機関には、それだけ可用性が高い情報システムの構築が要求されているのです。


もちろん、現在のビットバンクのシステムは、金融機関として要求される水準には十分に達しています。しかし、この領域において「完全」はありません。まだまだやれることはあると思っています。

最新技術を取り入れ、より高度なセキュリティ環境を


──最後に、今後の展望を教えてください。

セキュリティにかけられるコストや人的資源といったリソースは、無限ではありません。セキュリティにお金をかけ過ぎて、会社そのものが立ち行かなくなっては意味がありません。そのため、限られているリソースの中で「いかに漏れなく、ダブリなく、整合性のある統制活動ができるか」は、永遠の課題ですね。

だからこそ、常に会社全体の最適を考え、リスク受容の落とし所を探りながら、他部門と協力して「インシデントの発生しない環境づくり」を推進していきたいです。

私個人としては、今まで体制や環境の整備を中心に担当してきたので、今後はもう一段階深く現場に入り込みたいと思っています。自分自身も手を動かし、エンジニアとしてのスキルレベルをさらに上げていければと。

近い将来には、機械学習などの最新技術も取り入れ、より高度なセキュリティ環境を構築していきたいですね。

こうした経験を重ねていき、ゆくゆくはCISO(最高情報セキュリティ責任者)として全社のセキュリティ統括を担いたいと考えています。

――橋本さん、ありがとうございました!

ビットバンク株式会社's job postings
1 Likes
1 Likes

Weekly ranking

Show other rankings
If this story triggered your interest, go ahead and visit them to learn more