コインチェックのセキュリティ監査結果を公開！

株式会社コインチェック（以下、当社）は、お客様に安心して仮想通貨取引をご利用いただくため、セキュリティ対策の強化に継続的に取り組んでおります。その一環として、外部専門機関によるセキュリティ監査を定期的に実施しており、この度、最新の監査結果を公開いたします。本報告書は、当社のセキュリティ体制の現状を詳細に分析し、改善点や今後の対策について明確に示すことを目的としています。

監査の概要

今回の監査は、独立したセキュリティ専門機関である株式会社SecureAudit（仮称）に委託し、2024年1月から2024年3月までの期間に実施されました。監査範囲は、当社の仮想通貨取引プラットフォーム、ウォレットシステム、API、データベース、ネットワークインフラストラクチャ、および関連する運用プロセス全体を網羅しています。監査手法としては、脆弱性診断、ペネトレーションテスト、ソースコードレビュー、セキュリティポリシーの評価、および従業員のセキュリティ意識調査などが採用されました。

監査チームの構成

監査チームは、情報セキュリティ、ネットワークセキュリティ、アプリケーションセキュリティ、暗号技術、および金融セキュリティの各分野における専門家で構成されました。各専門家は、関連する業界資格および豊富な実務経験を有しており、客観的かつ専門的な視点から当社のセキュリティ体制を評価しました。

監査の基準

監査は、以下のセキュリティ基準に基づいて実施されました。

• ISO 27001：情報セキュリティマネジメントシステム
• NIST Cybersecurity Framework：サイバーセキュリティフレームワーク
• OWASP Top 10：Webアプリケーションセキュリティリスク
• 金融庁の仮想通貨交換業者向けガイドライン

監査結果の詳細

監査の結果、当社のセキュリティ体制は全体として堅牢であり、多くの点で高い評価を得られました。しかしながら、いくつかの改善点も指摘されました。以下に、主要な監査結果の詳細を示します。

強み

• 多要素認証の導入： 当社のプラットフォームでは、ユーザーアカウントへの不正アクセスを防止するため、多要素認証が必須となっています。
• コールドウォレットの利用： 仮想通貨の大部分は、オフラインのコールドウォレットに保管されており、オンラインでのハッキングリスクを最小限に抑えています。
• 定期的な脆弱性診断： 当社のシステムは、定期的に外部専門機関による脆弱性診断を受けており、潜在的なセキュリティリスクを早期に発見し、対処しています。
• セキュリティインシデント対応体制： 当社は、セキュリティインシデントが発生した場合に迅速かつ適切に対応するための体制を整備しています。
• 従業員のセキュリティ教育： 当社の従業員は、定期的にセキュリティ教育を受けており、セキュリティ意識の向上に努めています。

改善点

• APIセキュリティの強化： APIへのアクセス制御を強化し、不正なアクセスを防止するための対策を講じる必要があります。
• データベースの暗号化： データベースに保存されている機密情報を暗号化し、情報漏洩のリスクを低減する必要があります。
• ログ監視の強化： システムログの監視を強化し、異常なアクティビティを早期に検知する必要があります。
• サプライチェーンセキュリティの強化： サプライチェーンにおけるセキュリティリスクを評価し、適切な対策を講じる必要があります。
• インシデントレスポンスプランの改善： インシデントレスポンスプランを定期的に見直し、最新の脅威に対応できるように改善する必要があります。

改善策と今後の対策

監査結果に基づき、当社は以下の改善策を実施し、セキュリティ体制のさらなる強化を図ります。

APIセキュリティの強化

APIへのアクセス制御を強化するため、APIキーのローテーション、レート制限、および入力検証の強化を実施します。また、APIの認証・認可メカニズムを最新の標準に準拠させ、不正なアクセスを防止します。

データベースの暗号化

データベースに保存されている機密情報を暗号化するため、透過的なデータ暗号化（TDE）などの技術を導入します。暗号化キーの管理を厳格に行い、不正なアクセスから保護します。

ログ監視の強化

システムログの監視を強化するため、セキュリティ情報イベント管理（SIEM）システムを導入し、リアルタイムでログを分析します。異常なアクティビティを検知した場合、自動的にアラートを発行し、迅速な対応を可能にします。

サプライチェーンセキュリティの強化

サプライチェーンにおけるセキュリティリスクを評価するため、サプライヤーのセキュリティ体制を定期的に評価します。サプライヤーとの契約にセキュリティ要件を盛り込み、セキュリティ基準を満たすことを義務付けます。

インシデントレスポンスプランの改善

インシデントレスポンスプランを定期的に見直し、最新の脅威に対応できるように改善します。インシデントレスポンスチームの訓練を実施し、緊急事態に備えます。また、インシデント発生時のコミュニケーション体制を整備し、関係者への迅速な情報共有を可能にします。

セキュリティ対策の継続的な強化

当社は、セキュリティ対策を一度きりの取り組みとして捉えるのではなく、継続的に強化していくことを重視しています。そのため、以下の活動を継続的に実施していきます。

• 定期的なセキュリティ監査： 外部専門機関によるセキュリティ監査を定期的に実施し、セキュリティ体制の現状を評価します。
• 脆弱性報奨金プログラム： 脆弱性報奨金プログラムを運営し、セキュリティ研究者からの脆弱性情報の提供を奨励します。
• 最新の脅威情報の収集： 最新の脅威情報を収集し、セキュリティ対策に反映します。
• 従業員のセキュリティ教育： 従業員のセキュリティ意識を向上させるための教育を継続的に実施します。
• セキュリティ技術の導入： 最新のセキュリティ技術を導入し、セキュリティ体制を強化します。

まとめ

今回のセキュリティ監査の結果、当社のセキュリティ体制は全体として堅牢であることが確認されました。しかしながら、いくつかの改善点も指摘されました。当社は、監査結果に基づき、APIセキュリティの強化、データベースの暗号化、ログ監視の強化、サプライチェーンセキュリティの強化、およびインシデントレスポンスプランの改善などの対策を講じ、セキュリティ体制のさらなる強化を図ります。当社は、お客様に安心して仮想通貨取引をご利用いただくため、セキュリティ対策に継続的に取り組んでまいります。

今後とも、お客様からの信頼とご支援を賜りますよう、よろしくお願い申し上げます。