暗号資産決済企業は高度持続的脅威(APT)グループの標的リストの上位に位置しており、セキュリティ責任者の業務負担は増大し続けている。CoinflowのCISOであるMalcolm Portelliは、マルタから同社のセキュリティプログラムを統括している。Coinflowは米国に本社を置き、複数の法域にわたって事業を展開している。PortelliはSpan Cyber Security Arenaカンファレンスでこのインタビューに応じた。
Portelliは、脅威モデルを左右するのは所在地よりも業種だと述べる。「重要なのは、私たちが属する業界です。金融サービス、Web3、暗号資産、そしてそれに付随するすべてのものです。暗号資産は大きな標的であり、特に大規模なAPTにとってそうです。彼らは常に暗号資産企業への侵入方法を模索しています。なぜなら、それが彼らの選んだ資金源だからです。」
マルタは活発なフィンテック・ブロックチェーンの拠点となっており、企業本社を島内に誘致することを目的とした政府のインセンティブ策に支えられている。Portelliは、この政策が地域経済とIT業界全体の発展に貢献していると評価している。
機能しなくなった意識向上トレーニング
Portelliは、毎月のセキュリティ啓発動画がコンプライアンスのための形式的な作業になったと判断し、プログラムから廃止した。「私がやめたことの一つが、定期的な月次動画です。短いクリップを用意して視聴させる、あれはただのチェックボックスです。」現在は四半期ごとのトレーニングを好み、1四半期あたり30分以内のコンテンツに絞り、注意を引きつける形式で補完している。また、年1回だけというアプローチも不十分として否定しており、中程度の頻度を目指している。
数字で取締役会に語りかける
取締役会はここ10年でサイバーリスクにより強い関心を持つようになっており、一部のメンバーは実際よりもリスクを理解していると思い込んで会議に臨む場合もある。Portelliは公表されたデータを引用することで意見の相違に対処している。Verizon データ侵害調査レポートやIBM データ侵害コストレポートを参照しており、後者は損失をドル換算で示すため取締役会メンバーにも伝わりやすい。また、欧州の個人データが関係する場合には、GDPR違反による全世界売上高の最大4%に相当する制裁金についても言及する。
「数字は共通言語です」とPortelliは語る。「会計士であれ、IT担当者であれ、業務担当者であれ、数字は誰でも理解できます。」財務的なリスクを把握した取締役会メンバーは、CISOの判断に委ねる傾向があると彼は言う。「理解してくれれば、あとは任せてくれます。私を採用したのだから、信頼してくれているのです。」
主要な経済紙誌による大規模な情報漏洩報道もこうした対話を後押ししている。Portelliは、最近のMarks & SpencerやCo-opでの被害、および英国政府が支援に乗り出したJaguar Land Roverへの攻撃を例として挙げ、これらがサイバーセキュリティを技術系以外の経営幹部も読むフロントページに載せる契機になったと述べている。
引退させるべきアドバイス
時代遅れになったセキュリティガイダンスについて尋ねられると、Portelliは強制的なパスワードローテーションを挙げた。英国のNational Cyber Security CentreとMicrosoftは2016年から2018年頃にこの慣行から離れている。一部の標準やフレームワークでは依然として要求されており、Portelliはこれを定着した指針との矛盾だと表現する。
また、LinkedInやセキュリティブログに氾濫するAI生成コンテンツの量についても不満を示す。オリジナルの投稿は数日以内に言語モデルによって書き直され、数百のサイトに再掲載されることで、帰属の明確性が失われ、脅威インテリジェンスチャネルのシグナルが弱まる。彼はセキュリティの概念をわかりやすく解説することに特化した個人サイトを運営しており、投稿は自分自身で執筆することにこだわっている。
API防御と不正行為の変化
CoinflowはAPIを主軸として運営されており、Portelliによればこれにより特定の管理が簡素化されるという。同社はAPIキーに対して多要素認証メカニズムを導入しており、運用効率への影響を最小限に抑えながら、既存のデータを活用してクライアントの検証・認証を行っている。この仕組みは開発者にとって実装が容易でありながら、高い効果を発揮すると彼は説明する。
不正行為は、顧客や従業員を騙して自ら支払いを承認させる詐欺へとシフトしている。Portelliは、不審な取引を検知するAIベースの異常検知とパターン認識への投資を進めるとともに、従業員とエンドユーザー向けの継続的な教育も行っている。銀行や政府機関は現在、グローバル規模で啓発キャンペーンを展開していると彼は述べる。
パッチ適用の遅れ
Portelliは、非常に低コストで脆弱性を発見するAIツールに牽引され、今後3年間は攻撃件数が増加し続けると予測している。
彼はFirefoxで多数の問題を発見したとされるAI脆弱性発見システムMythosに言及する。また、TrendAIの最近の研究では、広く使われているWordPressプラグインに約300件の脆弱性が1件のゼロデイあたり約20ドルというコストで発見されている。防御側のAIは発見のペースに追いついていると彼は言う。一方、アプリケーションの機能を保持しながら自動的にパッチを適用することは依然として未解決の課題だ。すでに大量の脆弱性バックログを抱えている企業のCISOにとって、修復ツールが追いつかない状況で数百件もの新たな項目を積み上げる発見ツールには恩恵が少ないと彼は主張する。
翻訳元: https://www.helpnetsecurity.com/2026/05/27/malcolm-portelli-coinflow-crypto-payments-security/
