こんにちは、Moneytreeの技術責任者のロスです。最近、金融(ファイナンス)と技術(テクノロジー)の造語であるフィンテックが、日本でも大きな盛り上がりを見せています。このフィンテックの急成長と同時に、人々のセキュリティとプライバシーへの関心が非常に高まっています。今日は少し専門的な内容ですが、Moneytreeのセキュリティについて、多少掘り下げてお話したいと思います。今回の記事では、Moneytreeがどうやって、プライバシー保護とセキュリティに対する取り組みに力を注ぎ、信頼を得るための対策を実行しているかについてご紹介します。
Moneytreeのセキュリティ対策は、セキュアコーディングプラクティスおよびレビュープロセス、と呼ばれるセキュリティガイドラインに沿って開発されています。
また、Moneytreeはすべての従業員に対し、プライバシーとセキュリティのトレーニングを実施し、これらを常に徹底しています。幾つかの項目に分けて、説明しましょう。
サーバー
当社のサービスは、業界トップレベルのセキュリティを誇る、Amazon Web Services(AWS)およびHerokuのホスティングサーバーを利用しています。
また、APIやクライアントを含むすべてのプラットフォームへ侵入テストを実施し、安全性が保たれているかをチェックしています。
データの保護
Moneytreeは中間者攻撃(MITM)とよばれるハッキングをブロックするために、SSL ピニングを採用しています。これは、我々のアプリケーションが、自社のサービスと本当にやりとりしているか、確認することができます。
そうすることで、アプリケーションでは認識されない他のサーバーとのデータのやりとりを拒否します。これらの対策は簡単に実装できるので、フィンテック業界のスタンダードにするべきです。
自分の使っているファイナンスサービスが、SSL ピニングを採用しているか、確認してみると良いかもしれませんね。
さらにMoneytreeは(SSLの後継であるTLSを用いて)転送時はつねにデータを暗号化し、保存する時はプラットフォームが提供する安全性の高い技術を使って暗号化しています。
次回のブログでは、iPhone/iPadのiOSと先月から提供を開始したアンドロイドのセキュリティについて、書きたいと思います。お楽しみに。
後編はこちら
参照ウェブサイト- OWASP Secure Coding Practices – Quick Reference Guide{: rel="nofollow"}
- Amazon Web Service{: rel="nofollow"}- Heroku{: rel="nofollow"}
- 中間者攻撃{: rel="nofollow"}
- OWASP Secure Coding Practices – Quick Reference Guide
- Amazon Web Service
- Heroku
- 中間者攻撃
