こんにちは、Moneytreeの技術責任者のロスです。最近、金融(ファイナンス)と技術(テクノロジー)の造語であるフィンテックが、日本でも大きな盛り上がりを見せています。このフィンテックの急成長と同時に、人々のセキュリティとプライバシーへの関心が非常に高まっています。今日は少し専門的な内容ですが、Moneytreeのセキュリティについて、多少掘り下げてお話したいと思います。今回の記事では、Moneytreeがどうやって、プライバシー保護とセキュリティに対する取り組みに力を注ぎ、信頼を得るための対策を実行しているかについてご紹介します。

マネーツリーのセキュリティー構造

Moneytreeのセキュリティ対策は、セキュアコーディングプラクティスおよびレビュープロセス、と呼ばれるセキュリティガイドラインに沿って開発されています。

また、Moneytreeはすべての従業員に対し、プライバシーとセキュリティのトレーニングを実施し、これらを常に徹底しています。幾つかの項目に分けて、説明しましょう。

サーバー

当社のサービスは、業界トップレベルのセキュリティを誇る、Amazon Web Server(AWS)およびHerokuのホスティングサーバーを利用しています。

また、APIやクライアントを含むすべてのプラットフォームへ侵入テストを実施し、安全性が保たれているかをチェックしています。

データの保護

Moneytreeは中間者攻撃(MITM)とよばれるハッキングをブロックするために、SSL ピニングを採用しています。これは、我々のアプリケーションが、自社のサービスと本当にやりとりしているか、確認することができます。

そうすることで、アプリケーションでは認識されない他のサーバーとのデータのやりとりを拒否します。これらの対策は簡単に実装できるので、フィンテック業界のスタンダードにするべきです。

自分の使っているファイナンスサービスが、SSL ピニングを採用しているか、確認してみると良いかもしれませんね。

さらにMoneytreeは(SSLの後継であるTLSを用いて)転送時はつねにデータを暗号化し、保存する時はプラットフォームが提供する安全性の高い技術を使って暗号化しています。

次回のブログでは、iPhone/iPadのiOSと先月から提供を開始したアンドロイドのセキュリティについて、書きたいと思います。お楽しみに。

後編はこちら

参照ウェブサイト

OWASP Secure Coding Practices – Quick Reference Guide

Amazon Web Service

Heroku

中間者攻撃

OWASP Secure Coding Practices – Quick Reference Guide Amazon Web Service Heroku 中間者攻撃