セキュリティ・ラボについて
クラーケンは、最も安全性の高い仮想通貨取引所の1つです。クラーケンには複数のワールドクラスのセキュリティ専門家やエンジニアが在籍しており、我々のプロダクトやサービスが正常に機能しているか常に監視しています。
しかし、我々のセキュリティがいくら強化されても、仮想通貨全体のセキュリティ向上がなければ意味がないと我々は考えています。
このため、我々はセキュリティの専門家集団が在籍する「セキュリティ・ラボ」を作りました。仮想通貨のエコシステムを守るためにはどうすれば良いのか?セキュリティ・ラボは、以下のような3つの方法を考えています。
テスト
業界で広く使われている第3者企業開発のプロダクトとサービスをテストする。
修復
テストで問題が見つかれば、開発企業と協力して修復する。
知らせる
どうやってセキュリティを高めれば良いのか、コンテンツを通して多くの人々に知らせる。
責任ある情報公開にコミット
もしセキュリティ専門家がプロダクトの脆弱性を発見したら、最善策は開発企業に連絡して脆弱性を直すことです。
単純なことのように思えますが、実際には簡単にはいきません。以下のような多くの困難に直面する可能性があります。
もし開発企業が返答しなかったら?
もしかしたら開発企業は問題を認識したくないかもしれないですし、バグバウンティのプログラムを持っていないかもしれません。
脆弱性修復までどのくらい待てるか?
すぐには修復できない脆弱性も少なくありません。開発企業は脆弱性の修復より新機能を優先させたいかもしれません。
セキュリティ専門家は脆弱性を公開するべきか?もしそうなら、いつが望ましいか?
すべてのホワイトハッカーは、脆弱性がすぐに発見されて悪い人々に悪用されることを心配しています。開発企業による公表が遅れれば遅れるほど、一般の人々が脅威にさらされることになります。セキュリティ専門家にとって情報公開は開発企業に対して圧力をかける唯一の方法です。
ただ、情報公開の必要性は開発企業とユーザーで異なるので、バランスを取ることが必要だと考えています。
我々のようなセキュリティ専門家が開発企業とパートナーシップを結び、脆弱性を修復し、情報を公開することが重要であると考えています。
実際、クラーケン・ラボはこれまで複数の開発企業と協力して脆弱性を修復してきました。脆弱性の公表に関する詳細はこちらです。
仮想通貨ハードウォレット
我々は、全ての仮想通貨を仮想通貨取引所(我々も含む)に保管するべきではないと考えています。
このため、我々はお客様が自分で仮想通貨を管理できるプロダクトを定期的に購入してテストしています。
これまで以下のプロダクトに関する問題を公開し、アドバイスをしました。
Trezor, Trezor One, Trezor Model T
仮想通貨サービス
クラーケンでは、全てのお客様に対して、普段信頼して使っている仮想通貨サービスのテストをすることを勧めています。
これまで以下のサービスに関する問題を公開し、アドバイスをしました。
OneName.io (now BlockStack.org)
情報公開における我々の哲学
クラーケン・ラボによる情報公開と対象企業の間で意見の相違があったケースを聞いたことがありますか?
問題の深刻さについてセキュリティ専門家と企業が異なる意見を持つことは少なくありません。専門家は脆弱性のレポートによる影響力を最大化しようとする一方、企業は最小化しようとします。
深刻さの解釈
セキュリティ脆弱性の深刻さの度合いは、通常、「低い(LOW)」から「重大(Critical)」までの範囲で示されます。クラーケン・ラボによって公表される脆弱性の全てが「重大」ではありません。
しかし、我々は「重大」ではないにしても公開することに意義があると考えています。深刻度合いの小さな脆弱性であっても、他の脆弱性と重なれば重大になることがあるからです。
追加的な恩恵
スピーディーな情報公開によって追加的な恩恵を得られることができます。
他の専門家が脆弱性に関する報告を出す際、すでに報告されている脆弱性を考慮に入れることが良くあります。「重大」ではないからと公開を渋るのは研究目的でも無責任となります。
我々は、お客様に情報に基づく賢い選択をしてもらいため、できるだけ透明性を高めて脆弱性の公開をしたいと考えています。
より強固な業界を
セキュリティ専門家と開発企業の協力によって業界のさらなる発展と安全性の向上を願うのはクラーケンだけではありません。
他の業界関係者が寄せてくださった以下の証言を見て分かるように、セキュリティ・ラボは仮想通貨業界のニーズを満たすことに努めます。
・ サトシ・ラボのCTO
Pavol Rusnak氏
「クラーケンのセキュリティ・ラボがビットコインのエコシステム全体のためにリソースを投入してくれていることを感謝する。このような責任ある情報公開と協力関係に敬意を払う。」
・CoolBitX一同
「CoolBitXはクラーケンのセキュリティ・ラボが、我々のCoolWallet Sのセキュリティを詳細に調べてくれたことに対して最大限の感謝を伝えたい。脆弱性や攻撃可能性について専門的で新鮮な見方をもたらしてくれことは、我々チームや業界全体にとって、この上なく価値があることだ。」
・Ledger一同
「クラーケンの素晴らしい仕事に感謝を申し上げたい。我々のLedger Donjonチームと問題意識を共有しており、共に仮想通貨業界全体のセキュリティ向上に貢献したいと考えている」
