Open Standard Repository 日本語訳(非公式)

原文はこちら。翻訳に関する訂正はこちらまでお寄せください。訳者:@_ykbt

暗号通貨*セキュリティ標準 (CCSS) は、取引所、Webアプリケーション、暗号通貨ストレージソリューションなどを含む、暗号通貨を利用するすべての情報システムに対する一連の要件です。 世界中のシステムで使用されている技術や方法論を標準化することにより、エンドユーザーはどの製品やサービスを使用するのか、どの企業選ぶべきか容易に判断することができます。

CCSSは、Bitcoinなどの暗号通貨に関するセキュリティのベストプラクティスを導入することにより、既存の情報セキュリティ基準(ISO 27001:2013)を補完するように設計されています。CCSSは、これらの基準の替わりまたは置き換えるようには設計されていません。 実際、ISO 27001:2013のような標準を無視しつつ、CCSSだけに厳密に従っていても、おそらく不十分なものになるでしょう。 CCSSは、既存の情報セキュリティ標準を補強する暗号通貨の標準要件です。 どのような基準であっても、情報システムを実装する際にはあらゆる種類の攻撃を確実にカバーするために、知識のある経験豊富なセキュリティ専門家やセキュリティ監査により、すべての潜在的リスクを適切に処理する必要があります。

全体概要

CCSSは、暗号通貨を保管、取引、または受け入れる情報システムのための10のセキュリティ観点を用意しています。 情報システムとは、安全な環境を提供するために動作する一連の技術(ハードウェアおよびソフトウェア)、人員、方針および手順の集まりです。 観点とは、情報システムの一部を保護するための個別の技術です。 10のすべての観点には、情報システムの全体的なスコアを決定する3つのレベルがあります。レベルIIIがもっとも高く、包括的なセキュリティを提供しているのに対し、レベルIが最も低く、それでも強いセキュリティ対策を提供しています。

これらの10の観点は、ガイドラインの構造化に役立つ2つの領域に編成されています。 セキュリティ標準の要約は、「レベルI」システムであるAcme Exchangeを監査した後のサンプル結果を示す下の例に示されています。 いくつかの観点でLevel IIおよびLevel IIIのスコアが満たせていますが、Acme ExchangeはレベルIのシステムに分類されています。それは、すべての観点で満たすことができている一番低いスコアがレベルIだからです。

Acme Exchangeの CCSS監査結果: img

スコープ

CCSSは、情報システムの暗号通貨のセキュリティを向上させるコントロールをカバーしますが、情報システムのサイバーセキュリティを向上させるための共通の基準とプラクティスはカバーしません。 このため、CCSSは、他の観点(ビジネス継続性、災害復旧、ネットワーク侵入防御、物理的セキュリティ、脆弱性管理)と同様に、標準のセキュリティプラクティスに追加適用される推奨リストとみなされるべきです。

適用範囲

CCSSは、暗号通貨を利用するあらゆる情報システムに適用されます。これには次のものが含まれます(ただしこれに限定されません)。 *暗号通貨取引所(ユーザが他の形式の通貨と暗号通貨を交換することを可能にする情報システム) *暗号通貨マーケットプレイス(ユーザが他の商品やサービスと暗号通貨の交換を可能にする情報システム) *暗号通貨ゲーム(ユーザーがより多くの勝利のチャンスを得るために暗号通貨を賭けることを可能にする情報システム) *暗号通貨プロセッサ(支払いのための暗号化通貨の受け入れを自動化する情報システム) *暗号通貨ストレージ(他のアクター間で暗号通貨の受信および送信を容易にする情報システム) *ビジネスロジックの一部として暗号通貨を処理する情報システム。

レベル

CCSSはセキュリティを強化する3つのレベルに分かれています。 これらの詳細については、このセクションで概説します。

レベル I

レベル1のセキュリティを達成した情報システムは、監査によって、強力なセキュリティレベルで情報資産を保護することが証明されています。 システムの情報資産に対するほとんどのリスクは、業界のガイドラインを満たすコントロールによって対策されています。 これはCCSSの中で最も低いレベルですが、強力なセキュリティを表しています。

レベル II

レベル2のセキュリティを達成した情報システムは、強化されたコントロールを備えた強力なセキュリティレベルを超えていることが監査によって証明されています。 情報システムの資産に対するほとんどのリスクをカバーすることに加えて、マルチシグなどの分散セキュリティ技術を使用して、業界のガイドラインを超えて、鍵や人が失われたり利用できなくなった場合にも冗長性を提供しています。

レベル III

レベル3のセキュリティを達成した情報システムは、ビジネスプロセスのあらゆる段階で実施される正式な管理ポリシーと手順により、高度なセキュリティレベルが監査によって証明されています。 すべての重要なアクションには複数の作業者が必要であり、高度な認証メカニズムによりすべてのデータの真正性が保証され、資産は地理的にも組織的にも分散保管され、人や組織の情報漏洩を防ぎます。

訳注

日本では仮想通貨の呼称が一般的に普及していますが、本ドキュメントの性質を鑑み暗号通貨という表現を用いています。また、Exchangeの訳には交換所ではなく取引所を用いています。

このリポジトリについて

本リポジトリはオリジナルからフォークされました。

This repository is meant to operate as a collaborative document. Wherever possible, the details of the standard have been separated from the design elements to allow for both to easily evolve independently. Your contribution to either is encouraged.

See the _data directory for discussion on the standard.

See the Jekyll project for more information regarding the structure/design of this static site.