Cloud Security Alliance 暗号資産交換セキュリティガイドライン

こんにちは、丸山満彦です。

Cloud Security Allianceが、「CSAが暗号資産交換セキュリティガイドライン」を公表していますね。。。

そういえば、本日のお昼ごろは暗号資産関係の方と少し話をしておりました。。。

● Cloud Security Alliance: CSA

・2021.04.13 CSA Crypto-Asset Exchange Security Guidelines Abstract

・[PDF]は簡単な質問に答えると入手できます。

 

Key Takeaways:	要点
The types of attacks that threaten crypto-asset exchanges	暗号資産取引所を脅かす攻撃の種類
The details of a centralized exchange reference architecture that applies to a broad spectrum of crypto-asset exchanges	広範な暗号資産取引所に適用される集中型取引所リファレンスアーキテクチャの詳細
Crypto-asset exchange security best practices for end-users, exchange operators, and auditors	エンドユーザ、取引所運営者、監査人向け暗号資産取引所セキュリティのベストプラクティス
Crypto-asset exchange administrative and physical security control measures including: legal considerations, risk management, information access management, security awareness and training, workstation security, and more	法的考察、リスク管理、情報アクセス管理、セキュリティ意識とトレーニング、ワークステーションのセキュリティを含む、暗号アセット取引所の管理および物理的なセキュリティ管理対策

 

目次は、

1. Crypto-Asset Exchange Threat Modeling	1. 暗号資産取引所の脅威モデル
Threat Models Against Exchanges	取引所に対する脅威モデル
2. Crypto-assets Exchange Security Reference Architecture	2. 暗号資産取引所のセキュリティ参照アーキテクチャ
3. Crypto-Asset Exchange Security Best Practices	3. 暗号資産取引所のセキュリティのベストプラクティス
3.1 Security Best Practices from End-User Perspective	3.1 エンドユーザから見たセキュリティのベストプラクティス
3.2 Security best practices from Exchange Operator’s perspective	3.2 取引所運営者から見たセキュリティのベストプラクティス
3.3 Security Best Practices from Auditor’s Perspective	3.3 監査人から見たセキュリティのベストプラクティス
4. Crypto-asset Exchange Administrative and Physical Security	4. 暗号資産取引所の管理的・物理的セキュリティ
4.1 Administrative Controls	4.1 管理的コントロール
4.2 Crypto-asset Exchange Legal Aspects	4.2 暗号資産取引所の法的側面
4.3 Insurance for Exchanges: Internal and External	4.3 取引所の保険：内部・外部
4.4 Exchange Alliance for Security Incidents	4.4 セキュリティインシデントに対する取引所の提携
4.5 Risk Management Process	4.5 リスク管理プロセス
4.6 Assigned Security Responsibility	4.6 割り当てられたセキュリティ責任
4.7 Policies and Procedures	4.7 方針と手続き
4.8 Information Access Management	4.8 情報アクセス管理
4.9 Security Awareness and Training	4.9 セキュリティに関する意識向上とトレーニング
4.10 Security Incident Management Procedures	4.10 セキュリティインシデント管理手順
4.11 Contingency Plan	4.11 コンティンジェンシー計画
4.12 Evaluation	4.12 評価
4.13 Physical Controls	4.13 物理的コントロール

 

3.1 エンドユーザから見たセキュリティのベストプラクティスと3.2 取引所運営者から見たセキュリティのベストプラクティス

3.1 Security Best Practices from End-User Perspective	3.1 エンドユーザから見たセキュリティのベストプラクティス
1. Use reputable and safe exchanges	1. 信頼できる安全な取引所の利用
2. Password management and Two-Factor or Multi-Factor Authentication	2. パスワード管理と2要素または多要素認証
3. Use a separate device	3. 別デバイスの使用
4. Understand the key concepts associated with wallet application	4. 財布アプリケーションに関する重要なコンセプトの理解
Public Key and Address	公開鍵とアドレス
Private Key	秘密鍵
Keystore File	鍵保管ファイル
Mnemonic Phrase (Recovery Phrase)	ニーモニックフレーズ(リカバリーフレーズ)
5. Be careful what you install or click	5. インストール、クリック時の注意
6. Protect sensitive data	6. 大切なデータの保護
7. Keep your device secure	7. デバイスの安全保持
8. Always use secure network connection	8. 安全なネットワーク接続
9. Know different types of wallets and how to use them	9. 財布の種類と使い方の理解
Paper Wallets	ペーパーウォレット
Software Wallets	ソフトウェアウォレット
Hardware Wallets	ハードウェアウォレット
10. Use Multisig for large amount of funds	10. 多額の資金についてのマルチシグの利用
3.2 Security best practices from Exchange Operator’s perspective	3.2 取引所運営者から見たセキュリティのベストプラクティス
1. Distributed Denial of Service Attack (DDoS) protection	1. 分散型サービス拒否攻撃（DDoS）対策
Increase Network Bandwidth	ネットワーク帯域幅の拡大
Use Early Detection and Packet Monitoring DDoS Attack Mitigation	早期発見とパケット監視による DDoS 攻撃の緩和
Manage and Block Malicious Traffic	悪質なトラフィックの管理とブロック
Build Infrastructure Redundancy	インフラの冗長化
Incorporate ISP Redundancy	ISPの冗長性の確保
Blocking DDoS Attacks With a Cloud Solution	クラウドソリューションによるDDoS攻撃の遮断
2. Cross-Site Scripting (XSS-Protection)	2. クロスサイトスクリプティング（XSS-Protection）
3. Do Not Expose Server Information	3. サーバ情報の不開示
4. Web Application Firewall	4. ウェブアプリケーションファイアウォール
5. Database Firewall	5. データベースファイアーウォール
6. Third-Party Components and Patch	6. サードパーティ製コンポーネントとパッチ
7. Clickjacking Attack and X-Frame-Options	7. クリックジャッキング攻撃とX-Frame-Options
8. HSTS (HTTP Strict-Transport-Security) and Secure Socket Layer (SSL)	8. HSTS（HTTP Strict-Transport-Security）とSSL（Secure Socket Layer）
9. Applying Machine Learning for Better Protection	9. 機械学習を利用した保護機能の強化
Flow Analysis	フロー解析
Address Classification	アドレスの分類
Analyzing Trading Behaviors	取引行動の分析
Fraud Detection	不正行為の検知
10. HTTP Public Key Pinning (HPKP)	10. HTTP Public Key Pinning (HPKP)
11. Use Hardware Security Module (HSM) Enabled Wallet	11. ハードウェア・セキュリティ・モジュール（HSM）対応財布の使用
12. Deploy a Zero Trust Architecture	12. ゼロトラストアーキテクチャの導入
13. Error Handling	13. エラー処理
14. 2FA	14. 2要素認証
15. 51% attack	15. 51％攻撃
16. Cloud Service Security Protection	16. クラウドサービスのセキュリティ保護

 

■ 関連

ブロックチェーンのユースケース

・2019.07.31 Documentation of Relevant Distributed Ledger Technology and Blockchain Use Cases v2

・[PDF]は簡単な質問に答えると入手できます。

• 国際決済
• 投票
• 土地登記所
• 食品サプライチェーン
• メディアとエンターテインメント
• 身元
• 使用料
• 保険

 

・2018.11.27 Blockchain DLT Use Cases

・[PDF]は簡単な質問に答えると入手できます。

• 運送
• 航空券販売
• 自動再保険
• Nostro銀行口座の調整
• 医薬品サプライチェーンのセキュリティ
• 食品安全
• 教育
• サプライチェーン
• 不動産