先週から世界各地で騒がれている、Heartbleed脆弱性への注目が高まるにつれ、どのようにセキュリティ対策に臨めばよいか、多くのご質問を頂いております。この投稿ではMoneytreeのセキュリティに関する取り組みをいくつかご紹介いたします。尚、以下でご紹介する全て対策は、Heartbleedが発覚する前から講じていたものであります。
Moneytreeでは「サーティフィケート・ピニング = Certificate Pinning」と呼ばれる技術を採用しています。これは、暗号化証明の検査を行うことで、Moneytreeのサーバーとアプリ間で行われるデータ通信を安全で確実にするものです。 この技術を使わなければ、送られたデータがMoneytreeを偽る第三者により、途中で盗まれてしまう可能性が出てきます。(これは「中間者攻撃 = man-in-the-middle attack」と呼ばれるものです。)例えば公共のWiFiを利用するなど、セキュリティが脆弱だと思われるネットワークをすることで被害にあいやすいので、お気をつけ下さい。
「ホワイトハッカー」という言葉をご存知でしょうか。これは、サーバー内にある情報を盗み取る事が目的ではなく、セキュリティの安全さを確認するために、テスト環境でハッキングを行う専門家のことを指します。 Moneytreeでは似たような試みを行い、セキュリティのプロフェッショナルやリサーチャーに、弊社システムの脆弱性を試していただいております。今までのテストで、弊社のシステムが侵入を許した事は一度もありませんが、ハッキングの技術は常に進化しているので、注意し続けたいと思います。
もちろん社内のセキュリティにも万全の注意を払っております。Moneytreeメンバーの全員が2ファクタ認証を行うのも、そうした取り組みのうちの一つです。弊社は特有のハードウェア認証機器を採用し、普段から携帯する事で、自分のユーザー名とパスワードだけでなく、他にユーニークパスワードを発行してログインを行っております。
今回のHeartbleed脆弱制の件は、インターネット上の多くのウェブサービスに影響を及ぼしております。そうしたことから、弊社では社員全員、Heartbleedで影響があったウェブサービスのパスワードを即時変更いたしました。
尚、弊社ではPCブラウザ(ChromeとFirefox対応)のセキュリティを高めるために、以下のエクステンションをインストールすることを推奨しております。(インストールサイトは英語になります。)こうしたエクステンションを利用する事で、Heartbleed脆弱性の有無を確認する事が出来ます。