仮想通貨取引所の Zaif(ザイフ)は、コインチェックで発生した仮想通貨ネム(NEM)の盗難事件を受けて新しくセキュリティ体制を整備し、より円滑化・強化することを発表しました。
従来は管理部と開発部によってセキュリティ対策を実施していましたが、改めて社内にセキュリティ対策室を設置することで Zaif 関連サービスの更なるセキュリティ強化とインシデント対応の迅速化を目指します。
セキュリティ対策室について
・設置日時
2018年1月29日
・対策室
セキュリティ対策室長:朝山貴生氏(Zaif 代表)
対策室メンバー:役員一同とネットワークエンジニア・管理部など
・目的
仮想通貨ウォレットとZaif取引所に関するセキュリティの強化
各省庁とお客様に対する迅速な情報開示
インシデント時の迅速な調査と対応方針策定、実施対応、報告
定期的なセキュリティ調査と監査
外部のサービスや専門家を用いた安全性の確認
セキュリティ専門家の雇用
定期的なセキュリティに関する協議と報告
セキュリティの強化について
更なるマルチシグの強化
ウォレットがすでにマルチシグ化されている通貨を含め、更なるマルチシグ環境の強化を実施します。
・マルチシグにおける署名サーバー環境の更なる分散化
・マルチシグにおける署名手順の更なる複雑化
ホット・コールドウォレット環境の強化
既存の厳格なルールから、更なるセキュリティ強化のためコールドウォレット優先化を実施します。
・ホットの比率の見直しと、コールドの比率の引き上げ
・通常、ユーザーの入出金に合わせた残高をホットウォレットで管理するが、更に高度な残高予測アルゴリズムを導入することにより、その数値を最小限にとどめる。
・ただしコールドウォレット優先化に伴い、引き出し制限により「すぐに引き出せないことがある」など一部ユーザー体験を損なう可能性があるが、セキュリティ優先の旨をユーザーに徹底周知する。
セキュリティ監査体制の強化
専門人員の雇用を含め、社内、社外におけるセキュリティ監査体制の更なる強化を実施します。
社内の監査と社外の監査の連携、およびそれらの相互活用により監査の実効性の更なる向上を図る
・セキュリティ対策室に専門家を起用
・外部セキュリティ対策・監査サービスの利用
・セキュリティツールの導入
インシデント時における対策と体制の強化
セキュリティ対策室の設置により、過去インシデント対応で直面した問題への対応を含め、以下のような現状の改善を実施します。
・顧客への個別ヒアリング、内部ログの監査、取引データの精査など時間を要していたプロセスの迅速化
・オペレーション(サポート)部門との調査における連携の強化と、お客様への情報提供の迅速化
・広報部との連携の強化とお客様やメディアへの情報提供の迅速化
・管理部との連携の強化と各省庁への情報提供・共有
・瑕疵や過失の特定の迅速化
・補償の有無やその内容の意思決定の迅速化