先週から世界各地で騒がれている、Heartbleed脆弱性への注目が高まるにつれ、どのようにセキュリティ対策に臨めばよいか、多くのご質問を頂いております。この投稿ではMoneytreeのセキュリティに関する取り組みをいくつかご紹介いたします。尚、以下でご紹介する全て対策は、Heartbleedが発覚する前から講じていたものであります。

サーティフィケート・ピニング

Moneytreeでは「サーティフィケート・ピニング = Certificate Pinning」と呼ばれる技術を採用しています。これは、暗号化証明の検査を行うことで、Moneytreeのサーバーとアプリ間で行われるデータ通信を安全で確実にするものです。 この技術を使わなければ、送られたデータがMoneytreeを偽る第三者により、途中で盗まれてしまう可能性が出てきます。(これは「中間者攻撃 = man-in-the-middle attack」と呼ばれるものです。)例えば公共のWiFiを利用するなど、セキュリティが脆弱だと思われるネットワークをすることで被害にあいやすいので、お気をつけ下さい。

ペネトレーションテスト

「ホワイトハッカー」という言葉をご存知でしょうか。これは、サーバー内にある情報を盗み取る事が目的ではなく、セキュリティの安全さを確認するために、テスト環境でハッキングを行う専門家のことを指します。 Moneytreeでは似たような試みを行い、セキュリティのプロフェッショナルやリサーチャーに、弊社システムの脆弱性を試していただいております。今までのテストで、弊社のシステムが侵入を許した事は一度もありませんが、ハッキングの技術は常に進化しているので、注意し続けたいと思います。

2ファクタ認証

もちろん社内のセキュリティにも万全の注意を払っております。Moneytreeメンバーの全員が2ファクタ認証を行うのも、そうした取り組みのうちの一つです。弊社は特有のハードウェア認証機器を採用し、普段から携帯する事で、自分のユーザー名とパスワードだけでなく、他にユーニークパスワードを発行してログインを行っております。

パスワードの見直し

今回のHeartbleed脆弱制の件は、インターネット上の多くのウェブサービスに影響を及ぼしております。そうしたことから、弊社では社員全員、Heartbleedで影響があったウェブサービスのパスワードを即時変更いたしました。

尚、弊社ではPCブラウザ(ChromeとFirefox対応)のセキュリティを高めるために、以下のエクステンションをインストールすることを推奨しております。(インストールサイトは英語になります。)こうしたエクステンションを利用する事で、Heartbleed脆弱性の有無を確認する事が出来ます。

Chromebleed

Foxbleed


執筆者:マネーツリー編集部

2012年に日本で起業。2013年より自動で一括管理する個人資産管理サービス「Moneytree」を提供し、AppleのBest of 2013、Best of 2014を2年連続で受賞。2015年より金融インフラプラットフォーム「MT LINK」を企業向けに開始し、業界標準の金融系APIを提供している。2017年よりオーストラリア市場でサービスを開始。創業当初よりSalesforce Ventures、SBIインベストメント、三大メガバンク系ファンド、地方銀行系ベンチャーキャピタル、海外大手運用会社から出資を受ける。お金にまつわるもっとも信頼されるプラットフォームの構築を目指す。

ポイントも電子マネーもまとめて管理
さっそくMoneytreeを試してみる

  • Download on the App store
  • Androidアプリ Google Play