PocketWPは、暗号資産(暗号通貨/仮想通貨)の情報を
整理・ストックするサービスです(β)
Own (CHX) Security WP 機械翻訳版
edit 編集

暗号通貨 | Own (CHX) モバイルサイズ・セキュリティ・ホワイトペーパー 機械翻訳版

P2Pのブロックチェーンベースの金融資産トークン化プラットフォーム

1 はじめに

ここ数年の間に、多くの個人や組織が、より民主的で透明性が高く効率的なサービスをブロックするようになってきました。 しかし同様に、業界の評判に悪影響を及ぼし、採用率に悪影響を及ぼす可能性がある、ハイプロファイルのセキュリティ上の脆弱性、ハックや詐欺も数多くありました。 ブロックチェーン企業は、セキュアなソリューションを提供するために必要な人材、プロセス、テクノロジーにもっと投資することができ、またそうしなければならないことを認識しています。
多くの「ブロックチェーンセキュリティ」攻撃は、基本的なブロックチェーンテクノロジとはまったく関係がありません。 多くの成功した攻撃は、非常に基本的なセキュリティ原則を実装していない組織の結果です。
私たちは基本を正しいものにすることを約束します。 セキュリティは、顧客の基本的な基本要件であり、成功すればビジネスの差別化要因であると考えています。 これを認識した創業者は、セキュリティを当初から自分自身の中核機能として組み込みました。
このホワイトペーパーでは、セキュリティ文化、セキュリティ設計、セキュリティ運用を見て、セキュリティの姿勢の概要を説明します。 我々は決して満足していないし、我々はより多くを学ぶにつれ、常に進化して発展するように見える。

2 私たちの安全文化

私たちのセキュリティ姿勢の主な防衛は私たちの人々です。 自身は、全従業員に開放的で、支持的で挑戦的なセキュリティ文化を創造するために懸命に働いてきました。 私たちのセキュリティ文化は一晩で作られたものではなく、維持に時間と労力を要します。私たちは日常のプロセスにセキュリティを組み込み、セキュリティインシデントやニアミスを積極的に報告することで、常にそれに取り組んでいます。 ここでは、セキュリティカルチャを定義するのに役立つ重要な要素の一部を紹介します。

2.1 意識 
自社では定期的な社内ワークショップを開催して、意識を高め、セキュリティの革新を推進しています。 1つの例は、スタッフ(技術的および非技術的)が複合能力チームに参加し、セキュリティ監視データにアクセスして疑わしい活動を探す方法を学ぶThreat Hunting Workshopです。 他のワークショップでは、模擬電子メールフィッシング攻撃などの企業全体のセキュリティイニシアチブの結果を共有しました。

2.2 ビジネスプロセス 
違反を防止することは、当社のビジネスサポートプロセスが安全であることを保証することも含みます。 たとえば、人事部が職場を離脱したり役割を変更したときにIT部門に迅速に通知し、アカウントやアクセスを中断することができます。 当社のセキュリティチームは、すべての業務サポート機能を使用して厳格に作業し、セキュリティ要件がすべての業務に確実に含まれるようにします。

2.3 スペシャリストサポート 
比較的小さな会社であるため、社内で必要とされるすべての専門的なセキュリティ分野にアクセスすることはできません。 私たちは、社内のセキュリティチームの規模と深さを強化するために、多数の第三者のセキュリティコンサルタントとマネージドサービスを使用しています。 また、外部の専門家を使用して、セキュリティインシデント対応計画で定義されている独立したレビュー、監査、テスト、サージサポートを提供しています。 これらの目的のために、私たちは、CHECKとCRESTスキーム(GCHQの一部である英国国立サイバーセキュリティセンターによって承認されたスキーム)の認証メンバーである第三者機関のみを使用します。

2.4 セキュリティ研究者 
自らは、セキュリティ研究コミュニティと密接な関係を構築したいと考えている。 私たちは、責任ある協力的な方法でセキュリティの脆弱性を認識させる研究者に積極的に対応することを約束します。 私たちはこれらの個人に公に感謝し、私たちのプラットフォームの貢献者として挙げます。 私たちは現在奨励金を支払う立場にはいませんが、成長するにつれてこれを検討します。

2.5 継続的学習 
私たちは常にプラットフォームのセキュリティを学び、更新しています。 私たちは、攻撃者が革新的で十分な資源を持っていることを知っています。したがって、私たちは決して満足していません。 我々は、スタッフがセキュリティインシデントと「ニアミス」を報告するよう積極的に奨励しています。

3 私たちのセキュリティ設計

自社では、顧客の守秘義務に対する期待に応える安全なプラットフォームを構築するために、「徹底的な防御」の原則を採用しています。
完全性と可用性ネットワーク、物理、人員、論理、およびデータレイヤーに複数のセキュリティコントロールが存在するように、各エリアが失敗した場合には、セキュリティを常に維持するための補償コントロールがあります。

3.1 ネットワーク 
私たちのネットワークの重要な原則は、システムが動作するのに必要な接続だけを許可し、他のすべてのポート、プロトコル、および接続をブロックすることです。 境界保護は、ネットワークエッジのファイアウォールを介して行われます。 私たちのACLは定期的に見直され更新されます。 また、特定のアクセスポイントの保護を強化するために、IPSやWAFなどの他のデバイスも使用しています。
自分のネットワークはさらに内部的に細分化され、デバイスはネットワーク内の定義された境界に配置されます。 さらに、設計上、特定の重要なバックエンドサービスと、電子メールやWebサイトなどの他の企業サービスとの間で完全な物理的分離を実行します。
データがインターネットを介して移動する際に危険にさらされるため、TLSなどの強力な暗号化プロトコルをサポートして、顧客デバイスと当社のプラットフォームおよびAPI間の接続を保護します。

3.2 物理 
当社の物理インフラストラクチャの大部分は、世界で最も厳しい物理的セキュリティ基準の一部を備えた完全に管理されたデータセンターに格納されています。 リキテンシュタインでは、主に開発とテストに使用される控えめなITインフラストラクチャを使用して、独自の物理的なオフィスを運営しています。 しかし、リヒテンシュタイン事務所では、重要性を念頭に、物理的なセキュリティを扱っています。
当社のオフィスは、有人受信、マルチゾーンスワイプおよびピンアクセス制御、侵入警報システム、CCTVおよびセキュリティパトロールを含む強力な物理的セキュリティ制御で設計されています。 オフィス内では、私たちのインフラストラクチャは個別にロックされたラックを備えた専用のアクセスおよび気候制御通信室にあります。
アセットタグを使用して、取得から廃棄までのオフィス内のすべての機器の位置とステータスを追跡します。 ハードドライブを処分する場合は、現場でディスクを物理的に破棄し、安全な処分の証明書を私たちに提供する認定第三者を利用します。
当社の暗号化通貨は、複数のオフラインコールドストアウォレットに格納されます。 秘密鍵はリヒテンシュタインのバンク・フリックによって私たちのために保護されています。 鍵は安全性の高い物理的な保管庫に保管されており、複数の署名者がアクセスする必要があります。

3.3 人員 
以前に議論したように、私たちはしばしば私たちの最初の防衛線であることを認識しています。 このように、私たちは人事安全を真剣に受け止めています。 私たちは、独立した第三者を使用して、すべてのスタッフが財務、信用および犯罪記録のチェックを開始します。 また、候補者の以前の雇用を確認し、第三者参照を受け取ります。 すべてのスタッフは、セキュリティとプライバシーに関する個人的な責任に関するスケジュールを含む正式契約に署名します。
当社のスタッフは、オンボーディングプロセスの一環としてセキュリティトレーニングを受けており、雇用を通じて継続的なセキュリティトレーニングを受けています。 スタッフは、お客様の情報を安全かつ安全に保つことに関する個人的責任を明確に説明する、当社の使用許諾ポリシーに署名する必要があります。 職種によっては、セキュリティの特定の側面に関する追加のトレーニングが必要な場合があります。

3.4 論理的 
論理層セキュリティの重要な原則は、ユーザーが正当な機能を実行するために最低限の権利を持つ必要があることです。 実際には、これは最小の権利モデルを実施するために厳格なRole Base Access Control(RBAC)を運用することを意味します。 RBACポリシーの逸脱は、要求され、許可され、監査されなければならず、通常、時間制限や監視の強化などの追加の制御が必要となります。
RBACモデルは、オフチェーンとオンチェーンの論理プロセスの両方に使用します。Ethereumブロックチェーン内に構築したスマートコントラクトを含むこのアプローチは、不必要に上昇した権利の蓄積や複数のアカウント間の権利の蓄積に伴うリスクを最小限に抑えることを保証します。
さらに技術的なコントロールとして、商用ソフトウェアパッケージを使用して、管理者の昇格や期限付きセッションを管理し、LinuxおよびWindowsの財産に関するすべての管理者の行動を記録する予定です。
Slack、Facebook、LinkedInなどのサードパーティサービスを含むすべての管理アカウントは、マルチファクタ認証を使用します。 私たちはまた、人的リスクの増大のためにこの方針をスタッフに施行しています。 可能であれば、Googleでは携帯電話の複製に伴うリスクを最小限に抑えるため、SMSではなくGoogle Authenticatorなどの専用アプリを使用しています。

3.5 データ 
自社では、個人的な顧客情報が「オンチェーン」で保持されることはありません。 これにより、重大なセキュリティと監視のオーバーヘッドを必要とせずに、トランザクションデータをパブリックブロックチェーンインフラストラクチャで処理できるようになります。 これを補完するために、Ownは独自の「オフ・チェーン」の構造化された構造化されていないデータベースを持っており、顧客にとって個人的で慎重な個人情報を保持しています。 このオフチェーンデータは、分離、難読化、暗号化などの技術によって保護されます。 多くのデータと入力検証技術が信頼境界で使用され、悪意のある攻撃のリスクを最小限に抑えます。
私たちは、できるだけ完全なディスク暗号化を使用して、安静時のデータを保護します。 私たちは、私たち自身のエンドポイントのためにこれを実装します。 当社のクラウドサービスでは、完全なディスク暗号化オプションの追加料金を支払う。

3.6 難読化 
潜在的な攻撃者を助けるかもしれないように、セキュリティの全体的な位置を詳細に公開することは理にかなっていません。 この点を念頭に置いて、私たちの最後の防衛層は、このペーパーで説明していないいくつかの追加のセキュリティ対策があることです。

4 私たちのセキュリティ運用

当社のセキュリティチームは、セキュリティリスクの全体的な管理を担当しています。チームは、セキュリティ設計要件、攻撃対象の分析、脅威のモデリングなどのプロセスに従います。 彼らはDev-Opsからライフサイクル全体を通じてこのプロセスを実行します。 チームはこれらの緩和策の有効性を評価し、これを定期的に理事会に報告する。
このセクションでは、Ownで実行する主要なセキュリティ操作のいくつかについて説明します。

4.1 基本的なセキュリティ衛生 
Ownは、責任ある金融サービス会社が期待するすべての基本的なITセキュリティ衛生技術を実行します。 これには、URLブラックリスト、電子メールフィルタリング、ホストおよびサーバー上の複数のアンチウイルス/マルウェアエンジンが含まれますが、これらに限定されません。 サーバーとコアアプリケーションは、業界標準の強化指針に従って構築されています。 エンドポイントは標準の強化イメージに組み込まれ、ローカル管理者権限は提供されず、リムーバブルメディアドライブにはアクセス制限があります。

4.2 パッチ適用 
オペレーティングシステムとアプリケーションのアップデート、修正プログラム、およびパッチは、厳格な変更管理プロセスに従って適用されます。 セキュリティパッチが優先され、発行者が指定した時間内に実装されます。

4.3 DDOS 
会社の不動産のさまざまな要素に対して、意図的に異なるクラウドサービスプロバイダを使用しています。 私たちは、重要なインターネット接続サービスのDDoS保護のための商業契約を締結しています。 いくつかの重要なサービスについては、複数のDDOS保護ソリューションを使用する場合があります。

4.4 脆弱性スキャン 
Ownは、市販のツール、手動の脅威狩猟、独立した侵入テストを使用して、セキュリティ脅威を積極的にスキャンする脆弱性管理プロセスを実行します。 セキュリティチームは、すべての脆弱性を追跡しフォローアップする責任があります。 修復が必要な脆弱性が特定されると、ログに記録され、重大度に応じて優先順位が付けられ、所有者が割り当てられます。

4.5 セキュリティ監視 
当社の社内セキュリティチームは、24時間365日の防御・予防サービスによりサポートされます。 このサービスは、サーバー、エンドポイントセキュリティソフトウェア、およびネットワークデバイスから異種のログデータを集約し、それらを単一のセキュリティインシデント&イベント管理(SIEM)ツールに解析します。 相関ルールは、
脅威のモデル化ユースケースは、疑わしい動作を探すためにデータ全体で実行されます。 アウトプットはほぼリアルタイムで24時間監視されます。 セキュリティ監視サービスは、定義されたSLA、重要なセキュリティアプライアンスのサービス可用性SLA、優先度1イベントの10分以内の通知、セキュリティインシデントを提供します。

4.6 高度な行動分析 
SIEMの監視に加えて、非構造の機械学習をベースラインに使用し、異常な、疑わしいユーザーの行動を特定する最先端の自動行動分析ツールへの投資を計画しています。 このツールセットは、従来のセキュリティ監視ツールを置き換えるのではなく、補完します。

4.7 情報の共有 
当社は、オープンソースおよび商用の脅威情報フィードを多数購読しており、常に最新のシグネチャを確実に実行するために、監視ツールと積極的に統合しています。 セキュリティチームは、より広範なコミュニティを保護するための情報共有フォーラムにも参加しています。 これらのフォーラムでは、顧客情報を共有することはありません。

4.8 データ損失防止 
マルウェアと標的型攻撃はデータ侵害を引き起こす可能性がありますが、実際にはほとんどの組織にとって、ユーザーエラーはデータリスクの原因となります。 このリスクを軽減するため、機密データを識別、監視、保護するDLPソフトウェアを実行します。 たとえば、DLPは、社会保障やクレジットカード番号などの電子メールメッセージの機密情報を事前に特定します。

4.9 インシデント管理 
私たちはすべての努力にもかかわらず、最終的にはセキュリティ上の事故を起こすことを認識しています。 これを念頭に置いて、インシデントが発生したときのインシデントの影響を最小限に抑えることができる、厳密なインシデント管理プロセスを開発しました。 インシデント対応計画のテストは、少なくとも年1回実行されます。 セキュリティインシデントの迅速な解決を支援するため、セキュリティチームは24時間365日通話しています。 インシデントに顧客データが含まれている場合、当社はできるだけ早く顧客に通知することに努めています。

4.10 サードパーティのサプライヤ 
自社は、当社がサービスを提供できるように、信頼できる第三者に依存しています。我々はこれが重大な攻撃の対象となることを認識し、サプライヤーをきめ細かく管理します。 サードパーティのサプライヤを使用する前に、サードパーティサプライヤのセキュリティおよびプライバシーの慣行を評価し、少なくとも自社と同等のレベルのセキュリティとプライバシーを提供するようにします。 私たちは必要な論理的およびデータアクセスのレベルに注意深く事前に同意し、これを実施するための適切な技術的管理が確実に行われるようにします。 また、サプライヤに適切なセキュリティ、機密性、およびプライバシー契約条件を遵守させ、定期的に監査し、これらが満足することを確認します。

4.11 監査 
自らは、以下の独立監査を実施することを約束します。
- UKAS認定審査員によるISO / IEC 27001(2013)
- CHECK承認企業による定期的な侵入テスト
私たちは、監査結果を追跡および監視し、優先順位を付けられ所有者が与えられていることを確認します。

5 まとめ

データの機密性、完全性および可用性を確保するために可能な限りすべてを行ったという顧客の信頼を得ていない限り、自らは成功しません。
私たちの創設者は、当初からセキュリティがどれくらい重要であるかを認識していました。 私たちは、他の高い評価を得ているブロックチェーンのセキュリティインシデントからの教訓を学ぶために懸命に働いてきました。 私たちは、特にブロックチェーン業界におけるセキュリティは、攻撃者がトラッドクラフトを変革し進化させるにつれ、絶えず発展している分野であることを認識しています。 また、基本的な権利を得るだけで、かなりの割合の攻撃を緩和することができます。
我々は、成熟したセキュリティの姿勢を作り出すために必要な人やプロセスにすでに投資しており、特に技術を重視したさらなる投資を計画しています。 私たちは満足しておらず、ある時点で深刻な攻撃が不可避であることを認識しており、それに応じて計画しています。
私たちは、お客様の高い安全性の期待を自社のものとして満たすことを約束します。


これにて本文は終わりです

Own (CHX)に関連する他の情報に触れてみる

他のOwnの解説も見る

PocketWPについて

暗号資産(暗号通貨, 仮想通貨)やブロックチェーンは理解が難しく、また一次情報の多くはPCに最適化されている状況にあります。PocketWPでは、下記の3点のアプローチによってその問題を解決しようとしています。
  • ・SmartPhoneFirst - スマホで最適化したスライド/UI
  • ・Stockable - 流れてしまいがちな情報を蓄積し、共有できる
  • ・Followable - 追いかけるべき情報源がわかる
将来的には共同で編集できる仕組みなども設計中です。 暗号資産・暗号通貨の価値を広げるには、良質な情報を読みやすく噛み砕くことが必要だと思っています。 よろしければご意見をこちらからお寄せください (お問い合わせフォーム)
運営者情報① : IXTgorilla
IXTゴリラ
@IXTgorilla
Twitterにて #PocketWP #ゴリ学習メモ なるスマホに最適化した暗号資産の学習情報をスライド形式にて発信しているゴリラ。 これまではTwitterのみの発信を行なっていましたが、蓄積される場所が欲しいという声にお答えし、Web化を行なってみました。
運営者情報② : CryptoGorillaz
暗号通貨に関する情報を共有するコミュニティ。当初はコラ画像などをつくる集団だったが、暗号通貨の魅力や将来性にほだされ、日夜暗号通貨に関する情報共有を行なっている。(IXTゴリラもここに所属しています)

寄付/投げ銭はこちら

  • Ethereum(ETH) / ERC20トークンでの投げ銭
    0x77535cb08CF5Ba3B85A34A3B037766103226c783

森のお友達をご紹介 - PocketWPのオススメ

ゴリラが尊敬する森のお友達をご紹介するコーナー。 個人的に定期的に購読していただきたい!と思うメディアや事業者さまを勝手に紹介させていただいております。
StirLab | クリプト・ブロックチェーンを「深く」知る
StirLab
https://lab.stir.network/
クリプトアセット(仮想通貨・暗号通貨)に造詣が深い方々による寄稿型メディア「StirLab」。 クリプトが「好き」でその発展を純粋に「楽しむ」人たちが集まっており、ハイクオリティな記事が集まっています。 今話題のDeFiからSTOまでトピックは幅広く、知見を深めたい人にぜひとも定期的購読していただきたいサイトです。
StirLabさんのTwitterアカウントはこちら▶️ https://twitter.com/Stir_Lab
Stir | PoS系クリプトアセットのノード事業者
Stir
https://stir.network/
Tezos, Enigma, Cosmos, Ethereum, NEMといったPoS系クリプトアセットのマイニングやノード運用を代行する事業者。ブロックチェーン機構メディアで有名な「StirLab」の運営母体でもあります。
StirさんのTwitterアカウントはこちら▶️ https://twitter.com/stir_network