【事例】暗号通貨のセキュリティ課題に取り組むためにバグバウンティプログラムを活用
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
暗号通貨がより一般的な投資になるにつれ、保有者はその投資を保護するための手段を講じる必要があります。暗号通貨保有者を支援する組織の1つが、デジタル相続ソリューション「Inheriti」を提供するSafe Haven社です。
この記事では、Safe Haven社のCTO(最高技術責任者)兼CEOであるJürgen Schouppe氏が語る、「暗号通貨セキュリティの課題」と「サイバー犯罪が増加し続ける世界で同社が製品の安全性を確保する方法」についてのインタビューを紹介します。
暗号資産を安全に保管する際に、暗号保有者が抱えている課題について
Jürgen:よろしくお願いします。暗号通貨の保有者は、シークレットキーやシードフレーズを使って最初に作成される「ウォレット」内で暗号資産にアクセスします。しかし、万が一、ウォレットにアクセスできなくなり、プライベートキーやシードフレーズを再入力できなくなった場合、資金を取り戻すためのサポートは存在しません。保有者の通貨は永遠に宙に浮き続けます。
また、保有者が亡くなった場合に暗号財産はどうなるのかという課題もあります。例えば、Matthew Mellon氏のケースを考えてみましょう。Mellon氏は銀行の相続人で、リップル(XRP)に多額の投資を行い、最初の投資額200万ドルを10億ドルをはるかに超える金額にしました。彼は妻と若い家族を持つ家庭的な人物でしたが、54歳の時、彼は心臓発作で急死し、暗号通貨の財産を持ち去りました。
Mellon氏は先見の明を持ってリップルの安全性を確保する手段を講じていましたが、自分の死後、家族が暗号資産にアクセスするためのシークレットキーのコピーや明確な指示書を作成していませんでした。
残念ながら、このようなケースは多くの人に見られます。
2019年のレポートによると、暗号保有者の89%が、自分の死後に愛する人へ暗号資産を渡すための文書化されたものを持っていないことがわかりました。しかし、バックアップを持っている23%の人々にとって、シークレットキーのコピーは、盗まれたり、失われたり、誤った場所に置かれたりする可能性が出てきます。したがって、暗号保有者にとってセキュリティは大きな懸念事項です。そこで、暗号資産を安全に保管する方法という3つ目の課題が浮上します。
暗号通貨の愛好家は、そのアクセス、保存、転送の容易さから、暗号通貨を重宝しています。しかしそれは、暗号通貨の最大の欠点でもあります。悪意のある者があなたのシークレットキーにアクセスした場合、あなたの資産にもアクセスできるのです。
Intigriti:Safe Haven社は、暗号通貨保有者がこれらの課題に取り組むために、どのように支援するのですか?
Jürgen:暗号通貨保有者は、シークレットキーやシードフレーズをコピーしておくことで、不測の事態が発生したときに、鍵が悪人の手に渡る心配なく暗号通貨にアクセスできるようにする必要があります。
Inheriti は当社の主力製品であり、世界で唯一の真に分散化された(そして完全に安全な)デジタル相続ソリューションであることを大変誇りに思っています。
Inheritiは、暗号通貨保有者が死亡した場合に、シークレットキーを安全かつ確実に親族に渡すことを保証するだけでなく、生存中に他の人が鍵にアクセスできないようにする様々なフェールセーフの仕組みも備えています。
Inheritiの「完全に安全」を実現するセキュリティへの取り組み
Jürgen:Inheritiの本質は、ユーザーのデータのセキュリティを守ることが最優先であることを意味していますし、そのために講じた措置は、私たちのソリューションが「完全に安全である」と自信を持って言えることを意味しています。
当社のソリューションは、シークレットキー、秘密データ、その他の重要な情報を、当社のバックエンドシステムやリポジトリに保存しません。この事は実際にRed4Sec Cybersecurity Servicesによる独立した監査で、確認されています。
当社は、ブロックチェーンとハードウェアセキュリティモジュール(HSM)デバイス技術(Safe Haven社独自の「SafeKey」を利用)を使用して、高度に暗号化された相続情報の断片(または「共有」)を個別の低温保存デバイスに安全に配布しています。
Red4Secや他のサイバーセキュリティ専門組織と継続的に行っている様々なセキュリティ監査を通じて、セキュリティのベストプラクティスやセキュリティテストへのアプローチに対する我々の理解は、対話を通じて時間をかけて大幅に向上しています。 私たちは、初期監査の一環として提供される勧告にしっかりと耳を傾けています。 そして、発生した脆弱性に対処するだけでなく、開発・テスト業務全般のどの部分を次回に改善できるかをより広い視野で検討します。
単体テスト、システムテスト、統合テストを確実に実施することに加え、開発ライフサイクルを通じて定期的にセキュリティチェックを実施することも重要です。
バグバウンティを通じてクライアントの資産の安全性を保証する
Jürgen: 当社では、技術を安全に保つために、バグハンターの重要性を認識しています。バグハンターは、デジタルシステムの脆弱性を積極的に探し出し、発見したすべての潜在的なセキュリティリスクを当社に通知します。継続的にシステムをテストすることで、私たちのサイバーディフェンスに常に目を光らせることができるのです。これにより、ユーザーのデジタル資産を守るための努力を怠らないというお約束ができるのです。
Intigritiは、バグバウンティプログラムの立ち上げに不可欠な存在であり、プログラム開始後も継続的なサポートを提供しています。例えば、社内のチームに提出された脆弱性報告書は、品質保証のレイヤーを経て私たちの手元に届きます。つまり、バグバウンティプログラム内のトリアージチームがこれらの報告を選別してくれるので、質の低い脆弱性、範囲外の脆弱性、重複する脆弱性に対処するなどに対しての時間の浪費がないのです。
また、報奨金の支払いによってバグハンターにインセンティブを与えることができ、品質向上に役立っています。例えば、脆弱性の開示に関するポリシーは、より受動的なアプローチです。問題を発見した人には報告してもらいますが、悪用される可能性のある脆弱性を探しに行くような動機付けにはなりません。悪意のあるハッカーと同じように、バグハンターもハッキングの機会を積極的に探しますが、彼らは悪質なハッキングから守ることが目的であり、法律を守りながら活動します。
ハッカーを出し抜くには、ハッカーがどのように考えるのかを考えなければなりません。Intigritiはそれを可能にします。
Jürgen Schouppe 氏について
Jürgen Schouppe氏は、Safe Haven社の創業者であり、最高技術責任者 (CTO) 兼 CEO です。 欧州議会のコンサルタントとして13年以上勤務した経験を含む、セキュリティ・システム・エンジニアリングのバックグラウンドを持ちます。 また、公認ブロックチェーン専門家であり、Inheriti と Inheritance as a Service (InaaS) を支える技術の発明者でもあり、米国、欧州、中国において3件の世界特許を申請中です。
出典:Intigriti
Using bug bounty programs to tackle cryptocurrency security challenges
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。
4万人のバグハンターによる世界レベルでのセキュリティ・サービス品質を実現!
バグバウンティに興味がある方は、お問い合わせ詳細へ記載の上、お気軽にご連絡ください。