不安定で進化を続ける暗号資産市場において、暗号資産取引所は、ユーザーのデータと資金を侵害しようとする、より強力な敵に直面しています。今週、私たちはFlipsterの最高情報セキュリティ責任者(CISO)であるジャスティン・ホン氏に独占インタビューを行いました。ホン氏は、認証取得、製品イノベーション、そしてリアルタイムの脅威対応を通じて、暗号資産取引プラットフォームがどのように強化されているかについて語りました。.
ホン氏によると、 Flipsterは今年だけで15回以上の製品レベルのセキュリティアップデートを実施しました。これらのアップデートに加え、ISO/IEC 27001認証とCER.liveによる「AA」評価も取得しており、ユーザーに安全で安心な取引環境を提供しています。
Flipsterで働く
Q: こんにちは、ジャスティン。まずはあなた自身について、最高情報セキュリティ責任者としての役割、そしてそれが Web3 企業にとってなぜ重要なのかについて少し教えてください。.
A: 私は過去16年間、サイバーセキュリティに携わり、銀行、フィンテック、ブロックチェーンの分野で経験を積んできました。それぞれの分野にはそれぞれ課題があり、それらが相まって、私のセキュリティへのアプローチを形作ってきました。特にWeb3の世界では、リスクが特に大きいからです。ここでのセキュリティリスクのレベルは、従来の金融業界とは比べものになりません。ユーザーによる制御がより多く、イノベーションも活発で、そして残念ながら、悪意のある攻撃者からの注目も高まっています。.
Flipsterでは、私はグローバルセキュリティ部門を率いています。リスク管理、コンプライアンス、dent 対応、ISO/IEC 27001などの国際フレームワークの運用への組み込みなど、あらゆる業務を網羅しています。暗号資産は急速に進化し、脅威も同様に急速に進化しています。私たちはそれを念頭に置き、事後対応だけでなく、常に先を見据えたセキュリティの構築に取り組んでいます。.
Q: 暗号通貨取引プラットフォームのペースが速く、リスクの高い世界で、Flipster で働くのはどのような感じですか?
A: 多くのものが懸かっていますが、だからこそこの仕事はやりがいのある仕事です。この分野のセキュリティは受動的なものではありません。テクノロジー業界で最も創造的で、最も強い意志を持った敵と対峙することになります。だからこそ、常に研ぎ澄まされた感覚を保ち、進化し続ける必要があるのです。.
Flipsterの特徴は、全員が一致団結していることです。私たちの使命は明確です。人々が頼れる、安全で信頼性の高い取引プラットフォームを構築することです。その姿勢は、緊密な連携、迅速なフィードバックループ、そして継続的なテストといった私たちの仕事ぶりからも見て取れます。.
Q: Flipster における信頼とはどのように defiていますか? また、チームは信頼を構築し維持するためにどのように取り組んでいますか?
A: 信頼は、透明性、明確性、そして説明責任という一貫性を通して、時間をかけて築かれていきます。私たちは、リスク管理、ユーザーの資金保護、そしてdentへの対応について、常に情報を共有しています。何か問題が発生した場合、ユーザーは何が起こり、どのように対処されているかを知る権利があります。.
バックエンドでは、ゼロトラストモデルを採用しています。社内外を問わず、すべてのシステムとユーザーは同一の監視下に置かれます。この考え方により、フィッシングの脅威やその他の内部リスクに常に先手を打つことができます。しかし、セキュリティはユーザーエクスペリエンスを犠牲にして得られるものではありません。私たちは常に機能の改良に努め、より安全で直感的なサービスを目指しています。この2つが調和して機能すれば、ユーザーは安全性と使いやすさのどちらかを選ぶ必要がなくなります。.
FlipsterのISO/IEC 27001およびCER.live認証
Q: 暗号資産プラットフォームはセキュリティdentの温床となりつつあり、多くの場合、多額の金銭の損失につながっています。Flipsterで働いていた際に、そのような試みに遭遇したことがありますか?また、どのように対応しましたか?
A: DDoS攻撃、フィッシング攻撃、なりすまし攻撃など、私たちはこれまで数多くのdentを経験してきました。こうした脅威は現実のものであり、常に存在しています。.
例えば、DDoS攻撃を例に挙げましょう。攻撃者は当社のプラットフォームを妨害しようとし、身代金要求攻撃まで試みてきました。しかし、当社はあらゆるレイヤーに検知・緩和策を組み込んでおり、対応チームは迅速な対応ができるよう訓練されています。フィッシング攻撃では、悪意のある攻撃者が求職者やパートナーを装い、有害なファイルを開かせるよう当社チームを騙そうとします。当社のシステムはこうした脅威を迅速に検知するように設計されており、インシデント発生後には徹底的なdent 分析を実施することで、防御力をさらに強化しています。.
Q: Flipsterは最近、CER.liveからAA認証を取得しました。この認証にはどのような内容が含まれており、ユーザーにとってどのような意味がありますか?
A: 2018年以来dentの一つです。
ユーザーにとって、このような認証は明確なシグナルとなります。第三者機関が当社のプラットフォームを精査し、セキュリティの品質を検証したという証です。これにISO/IEC 27001認証も加えることで、言葉だけでなく、その運営方法においても、当社が信頼を真摯に重視する企業像が見えてきます。.
Q: CER.live 認証以外に、Flipster が最近実装した、ユーザーが知っておくべき重要なセキュリティ プラクティスやプロトコルは何ですか。
A: 今年は15を超える製品レベルのセキュリティ機能を導入しました。主なアップグレードには、パスキーのサポート、出金ロック、アドレスのホワイトリスト登録などがあります。これらの機能により、ユーザーのコントロールが強化され、保護の層がさらに強化されます。.
出金にはパスキーとアドレス帳の両方を有効にすることを常にお勧めしています。これらの簡単な手順は大きな違いをもたらします。また、ユーザーがアカウントにアクセスしているデバイスを trac・管理できる新しいデバイス管理ツールも開発中です。これも、ユーザーがコントロールを維持できるよう支援するもう一つの方法です。.
Q: いくつかのプラットフォームはCER.liveからAAA評価を獲得しています。これはFlipsterの目標ですか?目標達成に向けてどのようなセキュリティ対策に取り組んでいますか?
A: すでに対応を進めており、着実に進展しています。現在は、サーバー保護の強化、フィッシング対策ツールの導入、そしてデバイス管理機能の強化によるユーザーコントロールの強化に注力しています。.
結局のところ、私たちはバッジを追い求めているのではなく、ユーザーのためにプラットフォームを実際に改善するものを追い求めています。真の価値を付加し、私たちの防御を強化するものがあれば、私たちはそれを構築します。AAA評価はマイルストーンであり、ゴールではありません。.
バグ報奨金制度とセキュリティ機能の強化
Q: Flipster は、取引所の長期的な信頼と透明性の目標に沿った形で、ホワイトハットハッカーにインセンティブを与えることをどのように保証していますか?
Hackenproofと協力し、公開バグ報奨金プログラムを展開しています。これにより、研究者の皆様は発見内容を明確かつ確実に共有していただけます。Hackenproofのチームが報告内容の影響度と品質を審査し、私たちは重大度に応じて公平な報奨金を支給します。
バグを見つけるだけでなく、世界中のセキュリティコミュニティを私たちのミッションに巻き込むことが重要です。研究者は、自分の研究が評価され、実際に行動に移されていると知れば、エコシステムのtronに貢献する可能性が高まります。これは誰にとってもメリットです。.
Q: CISO およびこの分野の思想的リーダーとして、セキュリティ基準の向上に取り組んでいる他の企業にどのようなアドバイスをしますか?
A: まずは基本を正しく理解しましょう。ほとんどの侵害は、パッチの未適用、権限の未公開、アクセス制御の弱さといった基本的な見落としが原因で発生します。これらを正しく理解すれば、リスクの大部分を排除できます。.
さらに、人材とプロセスに投資しましょう。どんなに優れたツールを持っていても、チームのトレーニングやdent マニュアルのテストが不十分であれば、脆弱な状態に陥ります。セキュリティはCISOだけでなく、全員の責務である文化を築きましょう。こうした意識改革には時間がかかりますが、努力する価値は必ずあります。.
Q: 最後に、ソーシャルエンジニアリング攻撃もこの分野で蔓延しています。ユーザーを保護するために、あるいはアカウントへの侵入を試みた場合に通知するために、どのような対策を講じていますか?
A: ソーシャルエンジニアリングは、アカウント乗っ取りと不正送金の2つのカテゴリーに分類されます。まず、パスキー、2段階認証、リアルタイムログインアラート、アドレスホワイトリストといったtronな保護機能を組み込んでいます。近日中にデバイス管理機能も追加予定です。.
ユーザー教育は詐欺防止において重要な役割を果たします。私たちは定期的にセキュリティアップデートを共有し、疑わしいアドレスや既知の詐欺アドレスを警告するツールを開発しています。目標は、ユーザーに安全を確保するための知識とツールの両方を提供することです。十分な情報を持つユーザーは、最善の防御策の一つです。.
