Navigation :
第8回議事録
概要
- 2018/3/29 8:00-9:30
- 参加者:志茂,島岡,佐藤,小宮山,楠,丸山,岩下,林,中島,須賀, 崎村
agenda
- Agenda Bashing, Note Taker
- 過去議事録の確認・承認
- Status update
- TF Site Publish plan
- Security WG Item
- 今後のフェーズ1の進め方
- WG成果物 利用イメージ
- 現状の課題、不足部分
- Standardization Knowledge
- AOB / Housekeeping
- Tasks and To-Dos
議事サマリ
agenda1. Agenda Bashing, Note Taker
agenda2. 過去議事録の確認・承認
agenda3. ステータスupdate
- TF進捗:なし
- WG進捗:本日agendaにて話す
- リエゾン、関連団体:
- 新団体奥山さんとの会話。各企業の業務に対してどこまで細かく規定するのか、は独禁法に抵触する可能性がある。外部が策定したポリシーを勝手にみんなで使うというのであれば問題がないが、業界団体として作るのは難しいのでは、とのことだった
- 意見、コメント
- 金融庁に確認すべき。認定自主規制団体は1つだとすると、そこでルールを決めるのは、筋。それと独禁法との関係。
- 日証協や全銀協の場合はFISCを参照している。それがキャパの問題なのか、独禁法を意識しているのか、の関係性も参考に。
agenda4. Site Publish Plan
- 提案
- 3月末までになにか活動しているということを示したほうがよいという提案。コンテンツについて私案を提出する。
- 概要:「仮想通貨 (Virtual Currency) の分野に関して、消費者保護を主眼とし、中立性の高い意識合わせの為のマルチステークホルダーな組織」
- 事業者団体でカバーできないことも取り扱う。
- 議論
- github.ioで公開するか
- gTLDに懸念がある方もいるかもしれないが、あるものを使えば良いと思う
- Virtual Currencyという用語で良いのか
agenda5-1. SecWG 今後のフェーズ1の進め方
- 提案
- 「仮想通貨交換所セキュリティ検討(Phase 1)の進め方の案」
- 過去経緯のおさらい
- Facebookグループ上で仮想通貨特有の問題について議論を進めていた。
- フェーズ1,2のスコープをわけることにした。
- 取引所のモデル=ベースモデルについて意識合わせができた。フェーズ1,2で議論すべき内容について議論を進めてきた
- 守るべき脅威・リスクについてディスカッションを実施している
- 取引所における脅威を現在検討中・整理中である。
- 外部ガイドラインとの整合性をどう取るかというところも検討中。
agenda5-2. WG成果物 利用イメージ
- 提案
- 5-1の補足
- スコープを4象限にわけるという話(*注:第7回議論)。
- 既存の基準により分類した4象限であるが、既存の基準をどう使うかに少し引っ張られていたところがあり、仮想通貨視点で考えるともう少し複雑になる、と考えている。
- 取引所の外の世界についても考慮しないといけないので、4象限だけで区分するのは限界があるのではないか。
- その区分について見直しをしたほうがよいと考えている。6月まで仕切り直しをしたので、時間はかかるが脅威やスコープについて整理をする必要がある。
- 今後の進め方
- まず脅威とリスクの整理。次に、フェーズ1で扱う脅威を整理。4象限に収まらないかもしれない脅威を洗い出しと、Objectiveの提示を示す必要がある。もう一度やった方が良い。
- 顧客資産の保全とか、可用性、秘密鍵の機密性などがObjectiveになるはずだろう.それらのObjectiveを脅かす、脅威を洗い出した上で,コントロールできるリスク,意図的にコントロールしない(免責含む)リスクを明示していく.
- 成果物イメージ
- 縦軸にコントロールするリスクが並び,横軸はセキュリティフレームワークや、27002ベースだと7−20節をどうあてていくかをマップしていく.最終的に縦にみていくと、各節に対して、コントロールが出てくる。それを並べると、個社のセキュリティポリシーが出来上がる。
- FBで挙げられている検討課題はリスクや課題など混沌としているので整理しながら進めていきたい。
- 議論
- 脅威に対してリスク・コントロールが1:1対応になっているが実際はリスクとコントロールは1:n対応になりそう。
- これまでコントロールの話がたくさん並んでいたので、一旦、コントロールからObjectiveを抽出する、ということと、Objectiveの前に脅威を置くという構図をしっかり作っていく、ということが重要
- 秘密鍵の保護というのは顧客資産の保護の1例だと思っている。Objectiveに顧客資産の保全というのが含まれていれば、秘密鍵の保護というのが含まれていると思う。抽象度をあげすぎると、秘密鍵の管理と言った重要な点が埋もれてしまうことが懸念。
Agenda5-3 現状の課題、不足部分
- 提案
- リスク分析の専門家が不足している+ディスカッションの時間が必要と考えている。
- 議論
- STRIDEが最適なのかといった問題がある。脅威分析について幅広い知見を有している人から、方針を示してもらえるとよいと思っている。
- こういうのを通しで経験されている方は探して行きたい。
Agenda6 Standardization Knowledge
- 提案
- フォーマットとして利用できるものはここで展開されうる状態か?
- 議論
- ISO文書どうやって入手しますか問題。議論するためには、この場でみんなでシェアできる必要がある。
- 基本的にはISMSにしてもFISCにしてもマネージメントフレームワーク。網羅性を確保するために参照すればいい
- 認定を新団体が担えるかは難しいと思う。金融庁監査も基本的に自己宣言の延長となるのではと考えている。自己宣言と、実際にそれをやっているかの確認、のアプローチ。認定自主規制団体はルールの策定・監査の実施(場合によっては金融庁に代わって査察の実施)。登録の段階では、認定まではやってないと思うがいかがか。
- 一般論としては、FISC安全対策基準(星取表)を金融機関が充足している、これは金融庁検査におけるチェック項目にもなっているので、銀行は自分のシステムとFISCの項目の星取表を作成する。全部丸という表を作って、金融庁に出す(だけ)。金融検査では、本当に丸かどうか確認しに来る。同じようなルールが適用できるのであれば、金融庁は利用したいと思うのではないか。
- 自己宣言したのでOKという形にはならない気がする。現状登録を希望する事業者が、根掘り葉掘りインタビューをされているが、今後もこの役割を金融庁が実施するのか、それとも認定自主規制団体にやってもらうのか。認定自主規制団体がインタビューを担える体制の構築できるのか。金融庁も、モニタリング室の優秀な人々が、一つ一つ詰めている。その体力を新団体が持ちうるのか。
- 本TFの目的は、コインチェック事件のあとにレベル1でいいので最低限の項目作成だけでも意義あるのではないかと思う。チェーン上のバランスと帳簿上のバランスのモニタリングを実施しているのかなど最低限チェックリストを作れるとよい。
- 昔PKIが流行ったときにCAを立ち上げまくった時期があった。誰も立ち入らない部屋作ったり。標準を作って、ちゃんと物事分かっている人がきちんとやってた。今回の交換所は、守るべき規範や先駆者がいなく、手作り的にやっている感がある。CA作った時のみんなの競い方のようなカルチャーが作れると良いように思う。
- なりたちが違うのではないか.PKIは標準作って、ちゃんとマネジメントも考えて作ってきた。bitcoinは草の根的で個人が管理、という真逆のアプローチである.
- とはいえ、ビットコインは当初からちゃんとやっていた。最初にやっていた人が意識していたレベルからどんどん下がっているのではという危惧がある。
- CAでなくともIdentity Provider もやっている。学認なんかでもやっている。そういうところの知見を導入していくことは可能なんじゃないか。
- 監査,つまりクライテリア作ってそれを評価する人・仕組みが必要というのは理解できるが,それがスケールできないと意味がない。そこに難しさがある。チェックリストを作ることに反対している理由は、ルーチンワークになるという点である。CAについても、経営的なチェックだけをして問題を起こしているCAも数多く有り、1つが問題を起こすことで、全体のトラストが損なわれるというリスクがあると思う。監査をする人の質をいかに保っていくか、が大事。
Agenda#7 AOB
- 議事録。誰が何を話したのかについて公開する点についてはセンシティブに扱うべき.
- 現在も議事要旨を作成して頂いているので,それを公開する分は問題ないのではないか
- 貢献する人は欲しいけれど,情報収集だけで来る人もいるだろう.そこをどういう判断基準で人を入れていくか、を考える必要がある
Agenda#8 Tasks & TODOs