相次ぐ仮想通貨の流出事件――再発防止のヒントはDevSecOpsやログ監視にあり?:セキュリティ・アディッショナルタイム(33)
2018年1月に不正アクセスを受け、顧客の約580億円相当の仮想通貨「NEM」が流出した仮想通貨取引所「Coincheck」がクラウドベースのSIEMサービスを導入。その背景を聞いた。
2019年7月12日、ビットポイントジャパン(BPJ)が運営する仮想通貨取引所「BITPoint」で約35億円相当の仮想通貨が流出したことが明らかになった事件を機に、あらためて仮想通貨のセキュリティに対する関心が高まっている。
BPJは2018年6月、セキュリティ対策が不十分などとして金融庁から資金決済法に基づく行政処分を受け、その後約1年間にわたり業務改善に取り組んできた。報道によると、マルチシグ対応、秘密鍵自身の暗号化に加え、第三者によるチェックも行うなど複数の側面から対策を進め、2019年6月に金融庁からの業務改善命令を解除されたばかりだった。
その矢先の流出事件だ。仮想通貨取引所のセキュリティには、これまで以上に厳しい目が注がれることになるだろう。ルールの見直しや不正アクセスを防ぐ対策の徹底に加え、不正流出につながり得る「異常」「予兆」を早い段階で検知し、被害を最小化する取り組みも求められる。
流出事故の再発防止に向け、クラウドベースのSIEMを採用
この2年余りで発生した仮想通貨の流出事件の中でも世間の注目を集めたのは、2018年1月に仮想通貨取引所「Coincheck」が不正アクセスを受け、顧客の約580億円相当の仮想通貨「NEM」が流出した事件だろう。
Coincheckは同年4月にマネックスグループの傘下に入り、セキュリティ体制の整備をはじめとする再発防止策に取り組んできた。その一環としてクラウドベースのSIEM(Security Information and Event Management)サービス「Sumo Logic」を採用したという。その背景を、Sumo Logicジャパンのカントリーマネージャー、ロバート・スチーブンソン氏に聞いた。
さまざまな防御策の導入が一段落付いた今、フォーカスが当たっているのが、脅威を早期に検知し、インシデントに対応する部分だ。EDR(Endpoint Detection and Response)のような製品を導入してエンドポイントの監視に取り組むケースもあれば、SIEM製品を導入し、ネットワークやセキュリティ機器、サーバなど多様なソースからのログを集約し、可視化に取り組むケースもある。
Sumo Logicが提供するのは、このSIEM製品だ。それも、Amazon Web Services(AWS)上に基盤を構築し、SaaS形式のSIEMとして提供することが特徴だ。Sumo Logicは、もともと、オンプレミス環境を前提としたSIEM製品のチーフアーキテクトが立ち上げた企業。「ログとメトリック、イベントという3種類の非構造化データ、マシンデータを効率良く処理するためのプラットフォームとして開発した製品だ」(スチーブンソン氏)。AWS自身が提供する機能はもちろん、外のクラウドネイティブなサービスと連携できることも、クラウドを前提とした環境で歓迎される一因だという。
また、Sumo Logicはデータの「民主化」を意識していることも特徴だ。それがCoincheckがSumo Logicを採用した理由の一つだという。
「セキュリティに限った話ではないが、データは、データサイエンティストのような限られた人だけではなく、さまざまな立場の人が活用すべきだ。SaaS形式ならば、運用担当者やセキュリティ担当、コンプライアンス部門、あるいは事業担当など、さまざまな人が活用しやすい形でダッシュボードを組み合わせたデータ分析プラットフォームを提供でき、ひいては盲点をなくすことができる」(スチーブンソン氏)
それでなくても最近はエンジニア不足が深刻だ。クラウドネイティブで開発、運用が行え、なおかつサイバーセキュリティも理解している人材となると“まれ”な存在といえるだろう。となると、今いるメンバーがデータを共有し、連携させて効率良く動いていくしかない。
「もし問題が発生して今までのダッシュボードでは不十分だと分かったら、すぐに組み替え、別の角度から見ていく、そんな作業をデータの専門家以外でもできることが重要だ。想定外の事態が起きることは避けられないが、そうした事態への対応のスピードや柔軟性を上げることはできる」(スチーブンソン氏)
DevとOps、さらにSecが一体となった取り組みが不可欠に
Coincheckは事故を機にインフラ面を一から作り直した他、モニタリングの強化をはじめ、管理体制面の見直しも進めてきたそうだ。その中で重視したのが、個人情報やデータの保護、セキュリティに配慮しつつ、顧客満足度をいかに高めるかだったという。
顧客満足度の向上は、開発、改善のスピード向上とほぼ同義語といっていい。スチーブンソン氏は「サービスを常に磨き、イノベーションを起こしていくには、DevとOps、Secが別々ではなく一体となって回り、ひとたび問題が起きればすぐに同一の基盤上でログを見ながら会話し、解決に取り組まなくてはいけない」と述べた。
Coincheckでは、そんなDevSecOpsを回す一気通貫の基盤としてSumo Logicを選択したという。「初めてCoincheck側とミーティングを行ったときから、セキュリティ担当だけではなくDevとOps、3つの部署の代表がそろって来ていたことが印象的だった」(スチーブンソン氏)
今、クラウドシフトの流れがDevSecOpsを加速させている。「以前は海外でもクラウドのセキュリティが心配だという声があったが、この数年で急速に変わった。非合理的な部分の多いウオーターフォール式の開発に代わり、クラウドを前提にDevSecOpsを回していくことのメリットが年々浸透している」(スチーブンソン氏)
異常を起こさない「予防」と、早期に異常に気付く「検知」の両面が必要に
CoincheckがSumo Logicを採用した理由はもう一つあるそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
GDPRや仮想通貨を狙う次世代のサイバー攻撃、NTTデータがレポート公開
NTTデータは、サイバーセキュリティに関する「グローバルセキュリティ動向レポート」を公開した。GDPRや仮想通貨を狙ったサイバー攻撃がエスカレートすることを予測した。既存の攻撃に対してはランサムウェア対策を続けるべきだという。
仮想通貨「Coinhive」をどう考えればよいのか
2018年6月のセキュリティクラスタは、「Coinhive」と「ルート証明書」に注目が集まりました。自サイトにCoinhiveを設置していた人物が書類送検された後、このような対応に対して警察や検察を非難するツイートが多くありました。もう一つの話題はルート証明書。銀行のWebサイトが行名の切り替えに当たり、ユーザーにルート証明書をインストールさせようとして、こちらもたたかれていました。6月最終週には「ZERO/ONE」編集長の岡本氏が刺殺されるという痛ましい事件が起こり、TLが悲しみに包まれました。
魔の手が伸びる「仮想通貨」、新手の攻撃
2018年5月のセキュリティクラスタは、引き続き「仮想通貨」関連の話題に注目が集まりました。ブロックチェーンの仕組み自体の弱点を突いた攻撃や、プラグインの改変などさまざまな手段を使って犯罪者がお金をかすめ取ろうとしています。加えて、仮想通貨を採掘させるスクリプトをサイトに設置すること自体が違法だという指摘がありました。仮想通貨以外では、情報漏えい事件の原因が「WAFの設定ミス」なのか「脆弱性」なのかという議論がありました。