先週から世界各地で騒がれている、Heartbleed脆弱性への注目が高まるにつれ、どのようにセキュリティ対策に臨めばよいか、多くのご質問を頂いております。
この投稿ではMoneytreeのセキュリティに関する取り組みをいくつかご紹介いたします。尚、以下でご紹介する全て対策は、Heartbleedが発覚する前から講じていたものであります。
Moneytreeでは「サーティフィケート・ピニング = Certificate Pinning」と呼ばれる技術を採用しています。これは、暗号化証明の検査を行うことで、Moneytreeのサーバーとアプリ間で行われるデータ通信を安全で確実にするものです。 この技術を使わなければ、送られたデータがMoneytreeを偽る第三者により、途中で盗まれてしまう可能性が出てきます。(これは「中間者攻撃 = man-in-the-middle attack」と呼ばれるものです。)
例えば、公共のWiFiを利用するなど、セキュリティが脆弱だと思われるネットワークを使用することで被害にあいやすいので、お気をつけ下さい。
「ホワイトハッカー」という言葉をご存知でしょうか。これは、サーバー内にある情報を盗み取る事が目的ではなく、セキュリティの安全さを確認するために、テスト環境でハッキングを行う専門家のことを指します。 Moneytreeでは似たような試みを行い、セキュリティのプロフェッショナルやリサーチャーに、弊社システムの脆弱性を試していただいております。今までのテストで、弊社のシステムが侵入を許した事は一度もありませんが、ハッキングの技術は常に進化しているので、注意し続けたいと思います。
もちろん社内のセキュリティにも万全の注意を払っております。Moneytreeメンバーの全員が2ファクタ認証を行うのも、そうした取り組みのうちの一つです。弊社は特有のハードウェア認証機器を採用し、普段から携帯することで、自分のユーザー名とパスワードだけでなく、他にユニークパスワードを発行してログインを行っております。
今回のHeartbleed脆弱制の件は、インターネット上の多くのウェブサービスに影響を及ぼしております。そうしたことから、弊社では社員全員、Heartbleedで影響があったウェブサービスのパスワードを即時変更いたしました。
尚、弊社ではPCブラウザ(ChromeとFirefox対応)のセキュリティを高めるために、以下のエクステンションをインストールすることを推奨しております。(インストールサイトは英語になります。)
こうしたエクステンションを利用する事で、Heartbleed脆弱性の有無を確認する事が出来ます。
2012年に日本で起業。2013年より自動で一括管理する個人資産管理サービス「Moneytree」を提供し、AppleのBest of 2013、Best of 2014を2年連続で受賞。2015年より金融データプラットフォーム「Moneytree LINK」を企業向けに開始し、業界標準の金融系APIを提供している。2017年よりオーストラリア市場でサービスを開始。創業当初よりSalesforce Ventures、SBIインベストメント、三大メガバンク系ファンド、地方銀行系ベンチャーキャピタル、海外大手運用会社から出資を受ける。お金にまつわるもっとも信頼されるプラットフォームの構築を目指す。
当社ウェブサイトは、外部サイトへのリンクを含んでおります。リンク先サイトでの個人情報への取扱いに関しては、そのリンク先サイトでの個人情報保護方針をご確認ください。 当社の個人情報保護方針はそのリンク先サイトで提供されている内容に責任を負うものではありません。
自分に合った資産管理をMoneytreeで見つけよう
