Vechain

VeChainによる世界初の暗号通貨ディザスタリカバリプランがPwCの審査を通過

VeChainは、お客様やパートナーの信頼に応えるために、セキュリティ、保証、そして脅威への備えにおける草分け的存在、あるいはトレンドセッターになる使命を負っています。VeChain はこの使命を果たすために、先陣を切って、取引企業の需要に応える世界初の暗号通貨ディザスタリカバリプラン(CDRP)を作成し、PwCの承認を受けました。この世界初の試みは、企業レベルのDRPの基準のほか、ブロックチェーンソリューションやデジタルウォレット/物理的な財布の中に存在する仮想通貨資産に対する内外の統制がもたらすリスクの管理方法を設定するものです。

PwCによる立会いと監視の結果、承認されたプランの概要を以下に示します。

1. CDRPの目的
VeChain Foundation (「Foundation」)は、暗号通貨の特異性・特殊性に基づいた、世界初の仮想通貨ディザスタリカバリプラン(CDRP)を設計しました。このプランは、SOX 404、System and Organization Control (SOC)、ISO 27001、ならびにWebTrustの監査基準に基づいたライフサイクル管理における主要規制を参照することにより、日々大量に発生する多額の取引が、大企業ユーザーのニーズと規制要件をともに満たすことを保証するものでなければなりません。

2. CDRPの定義
FoundationはCDRPにおいて、重大度と発生確率に基づいた様々な脅威シナリオを設定し、それらの脅威から暗号資産を保護するために適用すべき規制と手続きを定義しています。

タイプ I  —  有害事象(低リスク): 有害事象とは、システム/ネットワーク内で発生し負の結果をもたらす、観察可能な出来事をいいます。これらの事象は、デジタルウォレットや非公開鍵の安全性や完全性に直接影響するものではなく、通常はオペレーターによる限られた手続きによって速やかに収束させることができます。以下に有害事象の例をいくつか挙げてみます。

・Exchangeアカウントのログインパスワードの紛失
・デジタルウォレットが保管されているデバイスのシステムクラッシュ
・ネットワーク内のウィルスやマルウェアの検出
・インターネットや内部ネットワークからの、デジタルウォレットが保管されていないデバイスに対する不審な行動や攻撃の試みの検出

Type II  —  セキュリティインシデント(中リスク): セキュリティインシデントとは、デジタルウォレットや非公開鍵の安全性や完全性に直接影響する可能性があるVeChain のセキュリティポリシー違反や、差し迫った脅威をいいます。これらの脅威にさらされると、デジタルウォレットを復旧するために、独立した第三者の監視下でキーストアの回復手続きや非公開鍵の再バックアップを行う必要があるため、通常多くの人々の参加が必要となります。以下にセキュリティインシデントの例をいくつか挙げてみます。

・システム権限の不正使用や、ネットワーク内の機密データへのアクセス
・ウィルスやマルウェアによる、デジタルウォレットを保管するデバイスへの影響
・キーストアファイルが保管されているコンピュータやUSBデバイスにおけるハードウェア損傷
・デジタルウォレットの取引パスワードの紛失

Type III  — 非公開鍵への不正アクセス(高リスク): デジタルウォレットや非公開鍵の安全性や完全性に直接大きな影響をもたらすセキュリティインシデント、守秘義務違反、ネットワークへの不正アクセス、自然災害、あるいは人為的災害による、非公開鍵やキーストアファイルへの不正アクセスまたはその疑いをいいます。Type III事象が発生すると、CDRPで定義されている手続きが直ちに誘発され、その結果、デジタルウォレットが置き換えられ、すべての暗号資産が新たなアドレスに移行されます。Type III事象には、非公開鍵、キーストアファイル、Exchangeアカウントのパスワード、あるいは2 要素認証システムの危殆化またはその疑いが含まれます。

Foundationは、日常的にオペレーションで使用する分や支出する分の暗号通貨をホットウォレットに保管し、残りはコールドウォレットに保管します。

3. CDRPの訓練プロセス
Foundationは 2018年1月19日、VeChainの上海オフィスにて、CDRPで定義されているすべてのワーストケースシナリオのシミュレーションによる、初の訓練を実施しました。この訓練にはCEOのSunny Lu、CFOのJay Zhang、財務担当重役のCary Sheng、内部統制担当スタッフのほか、PwCの代表者も参加しました。

CDRPのカバー範囲はFoundationが所有する全デジタルウォレットに及んでおり、すべての訓練プロセスが完了するまでに約6時間を要しました。

CDRPにおける大まかな手順:

1. 迫りくる脅威の解釈
2. 潜在的な違反と適切な予防策の分析
3. ハードウェアの準備: 新品のラップトップ、暗号化されたUSBドライブ、オフィスと銀行に設置するセーフティボックス
4. 既存のデジタルウォレットの残高の突き合わせ
5. 新デジタルウォレットの登録(命名規則、1ウォレット当たりの上限額、保有者など)
6. ホットウォレットの生成
7. コールドウォレットの生成
8. 既存のウォレットから新ウォレットへの暗号資産の移行
9. 関連するすべてのパスワードおよびデバイスの保管と管理

4. デジタルウォレットの安全確保における諸原則
・すべてのデジタルウォレットは、未使用時にはオフラインのラップトップに保存された状態で、施錠された物理的なセーフティボックス内に保管されなければならない。必要時にインターネットに接続できるのは、ホットウォレットだけが保存されたラップトップのみとする。
・デジタルウォレットへのアクセスパスワード、ラップトップのログインパスワード、ならびにセーフティボックスのパスワードは区別されなければならない。
・キーストアファイルは、暗号化されたUSBドライブに保存された状態で、物理セーフティボックスに保管されなければならない。
・ 暗号化されたUSBデバイスのパスワード保有者とセーフティボックスのパスワード保有者は別人でなければならない。
・デジタルウォレットを生成する際に発行される非公開鍵は、オフラインプリンターで印刷され、速やかに封筒に入れられ、封印されなければならず、その封筒は銀行に移送され、銀行のセーフボックスに保管されなければならない。
・封印された封筒を移送するのは、銀行のセーフティボックスの鍵の保有者であるが、内部統制担当スタッフと、封筒がセーフティボックスに入れられる前に封印されたままであることを確認する、独立した第三者の検査官の付き添いが必要となる。
・銀行のセーフティボックスへのアクセスは、鍵保有者、内部統制担当スタッフ、独立した第三者の検査官の全員の立会いによってのみ可能となる。
・キーストアファイルが保管されたセーフティボックスは、自然災害の影響を最小限にとどめるために、銀行のセーフティボックスから合理的な距離を隔てた場所に設置されなければならない。

5. CDRPの訓練結果
CDRP訓練は大成功でした。ブロックチェーン技術を活用して暗号資産に投資する企業の数は増え続けており、エンタープライズグレードの暗号資産の管理&セキュリティにおけるベストプラクティスの設定は、すでに必須事項となっています。VeChain ThorおよびVeChainは、PwCおよびグローバル企業が設定する基準に沿ったベストプラクティスの手順を完成させたことにより、一般に受け入れられる状態に一歩近付くことができたのではないでしょうか。

関連記事

  1. Vechain

    VeChain Thorとは何か? | 初心者ガイド

    VeChain(もうすぐVeChain Thorに変更になります)は、…

  2. Vechain

    VeChain、Healthcare株式会社と提携

    VeChainは常にパートナーと緊密に協力し、彼らに長期的なアドバイス…

  3. Vechain

    VeChainの顧問への就任を発表

    この投稿は情報提供のみを目的とするものであり、明示的か黙示的かを問わず…

  4. iXledger

    ポートフォリオ内の有望アルトコインを紹介します。Part 1

    一時期の盛り上がりからはBTCがかなり大人しくなりましたが、自分は相変…

  5. Vechain

    VeChainブロックチェーンソリューション、中国のタバコ産業への参入実現へ

    このたびNRCCと独占パートナーシップを締結したことにより、国家政府機…

  6. Vechain

    VeChain、湖北Sanxin文化メディアと提携し、出版事業能力を追加

    私たちのコミュニティがすでに知っているように、VeChain は現在、…

最近の記事

2019年7月
« 9月    
1234567
891011121314
15161718192021
22232425262728
293031  
PAGE TOP