こんにちは、Moneytreeの技術責任者のロスです。最近、金融(ファイナンス)と技術(テクノロジー)の造語であるフィンテックが、日本でも大きな盛り上がりを見せています。このフィンテックの急成長と同時に、人々のセキュリティとプライバシーへの関心が非常に高まっています。今日は少し専門的な内容ですが、Moneytreeのセキュリティについて、多少掘り下げてお話したいと思います。
今回の記事では、Moneytreeがどうやって、プライバシー保護とセキュリティに対する取り組みに力を注ぎ、信頼を得るための対策を実行しているかについてご紹介します。
Moneytreeのセキュリティ対策は、セキュアコーディングプラクティスおよびレビュープロセス、と呼ばれるセキュリティガイドラインに沿って開発されています。
また、Moneytreeはすべての従業員に対し、プライバシーとセキュリティのトレーニングを実施し、これらを常に徹底しています。幾つかの項目に分けて、説明しましょう。
サーバー
当社のサービスは、業界トップレベルのセキュリティを誇る、Amazon Web Services(AWS)およびHerokuのホスティングサーバーを利用しています。
また、APIやクライアントを含むすべてのプラットフォームへ侵入テストを実施し、安全性が保たれているかをチェックしています。
データの保護
Moneytreeは中間者攻撃(MITM)とよばれるハッキングをブロックするために、SSL ピニングを採用しています。これは、我々のアプリケーションが、自社のサービスと本当にやりとりしているか、確認することができます。
そうすることで、アプリケーションでは認識されない他のサーバーとのデータのやりとりを拒否します。これらの対策は簡単に実装できるので、フィンテック業界のスタンダードにするべきです。
自分の使っているファイナンスサービスが、SSL ピニングを採用しているか、確認してみると良いかもしれませんね。
さらにMoneytreeは、SSLの後継であるTLSを用いて転送時はつねにデータを暗号化し、保存する時はプラットフォームが提供する安全性の高い技術を使って暗号化しています。
次回のブログでは、iPhone/iPadのiOSと先月から提供を開始したアンドロイドのセキュリティについて、書きたいと思います。お楽しみに。
後編はこちら
参照ウェブサイト
- OWASP Secure Coding Practices – Quick Reference Guide
- Amazon Web Service
- Heroku
- 中間者攻撃
マネーツリー最高技術責任者・共同創業者。米国にてWEB・アプリ開発に携わる。訪日後、エンワールド・ジャパンを経てMoneytreeアプリの立ち上げに参画。マネーツリー最高技術責任者としてプロダクト・テクノロジーチームを統括。2018年オーストラリア市場のエグゼクティブディレクターに就任。
当社ウェブサイトは、外部サイトへのリンクを含んでおります。リンク先サイトでの個人情報への取扱いに関しては、そのリンク先サイトでの個人情報保護方針をご確認ください。 当社の個人情報保護方針はそのリンク先サイトで提供されている内容に責任を負うものではありません。
自分に合った資産管理をMoneytreeで見つけよう
