この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、各国の標準化団体 (ISO メンバー団体) の世界的な連合です。国際規格の作成作業は、通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。 ISOと連携して、政府および非政府の国際機関もこの作業に参加しています。 ISO は、電気技術の標準化に関するすべての問題について、国際電気標準会議 (IEC) と緊密に協力しています。
この文書の作成に使用された手順と、今後の維持を意図した手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、以下を参照してください。 www.iso.org/iso/foreword.html .
この文書は、技術委員会 ISO/TC 307, ブロックチェーンおよび分散型台帳技術によって作成されました。
序章
デジタル資産管理者は、顧客のデジタル資産を保管して、盗難や紛失のリスクを最小限に抑えます。このドキュメントでは、ベスト プラクティス、既存の標準、研究に基づいて、デジタル資産管理者が顧客の資産を保護するために検討、設計、および実装するセキュリティ リスク、脅威、および対策について説明します。たとえば、デジタル資産の署名鍵の管理には、ブロックチェーンと DLT システムの固有の性質とそれらが直面するセキュリティ上の課題を考慮して、特別な注意が必要です。議論された重要なトピックは、権限のない個人による誤用や取引を防ぐために、デジタル資産管理者による署名鍵の適切な管理です。
1 スコープ
このドキュメントでは、以下に関連する脅威、リスク、および制御について説明します。
- デジタル資産管理サービスおよび/または交換サービスを顧客 (消費者および企業) に提供するシステム、およびインシデント発生時のセキュリティ管理。
- デジタル資産の管理者が管理する資産情報(デジタル資産の署名鍵を含む)。
このドキュメントは、デジタル資産アカウントに関連付けられた署名キーを管理するデジタル資産管理者を対象としています。このような場合、特定の推奨事項が適用されます。
以下は、このドキュメントの範囲外です。
- ブロックチェーンと DLT システムのコア セキュリティ コントロール。
- デジタル資産管理者のビジネス リスク。
- 顧客の資産の分離;
- ガバナンスと管理の問題。
2 規範的参照
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、本文で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO 22739, ブロックチェーンおよび分散型台帳技術 — 語彙
3 用語と定義
このドキュメントの目的のために、ISO 22739 に記載されている用語と定義、および以下が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
デジタル資産管理システム
盗難や紛失のリスクを最小限に抑えるために、顧客のデジタル資産を保管するシステム
注記 1:このドキュメントでは、資産の保持は広い意味で考慮されます。たとえば、資産を物理的またはデジタル的に保管する場合だけでなく、資産に関連付けられた秘密鍵を保持する場合も含まれます。資産へのアクセスを保護するキーの 1 つを保持するなど、資産へのアクセスを保護する場合。
3.2
コールドウォレット
冷蔵
秘密鍵と公開鍵の生成、管理、保存、または使用に使用されるオフライン アプリケーションまたはメカニズム
3.3
ホットウォレット
ホットストレージ
秘密鍵と公開鍵の生成、管理、保存、または使用に使用されるオンライン アプリケーションまたはメカニズム
3.4
ハードウェアウォレット
ハードウェア デバイス (HSM など) を利用して秘密鍵と公開鍵を生成、管理、保存、または使用するウォレット
3.5
確定的ウォレット
シードと呼ばれる単一の開始点から複数の鍵ペアが導出されるウォレット
3.6
階層的確定ウォレット
子鍵ペアがマスター鍵ペアから導出さ れる決定論的ウォレット (3.5)
注記 1:子孫鍵ペアは子鍵ペアから階層的に導出できるため、ウォレットの名前が付けられました。マスター鍵ペアを共有しなくても、子鍵ペアを使用および共有できます。これは、参考文献 [7] で定義されています。
参考文献
| [1] | ISO/IEC 979, 情報技術 — セキュリティ技術 — メッセージ回復を提供するデジタル署名スキーム |
| [2] | ISO/IEC 1488, 情報技術 — セキュリティ技術 — 付録付きデジタル署名 |
| [3] | ISO 22739, ブロックチェーンおよび分散型台帳技術 — 語彙 |
| [4] | ISO 23257, ブロックチェーンおよび分散型台帳技術 - リファレンス アーキテクチャ |
| [5] | ISO/IEC 27001:2013, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| [6] | ISO/IEC 27002:2013, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準 |
| [7] | MaciejBaj.「トランザクション タイムスタンプの INT_32 範囲を確認する」、2018 年 6 月、 https://github.com/LiskHQ/lisk/issues/2088 |
| [8] | MITRE Corporation.「CVE-2018-10299」、CVE2018-10299, 2018 年 4 月 22 日、 http: //cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10299 |
| [9] | ビットコイン改善提案 0032, 2019 年 11 月 14 日、 https://en.bitcoin.it/wiki/BIP_0032 |
| [10] | 決済サービス指令 (PSD 2) 2015 年 11 月 25 日の欧州議会および理事会の指令 (EU) 2015/236指令 2002/65/EC, 2009/110/EC および 2013/36/EU および規則を修正する、域内市場での決済サービスに関する指令 ( EU) No 1093/2010, および繰り返し指令 2007/64/EC, https: //eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32015L2366 |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/TC 307, Blockchain and distributed ledger technologies.
Introduction
A digital asset custodian holds customers' digital assets for safekeeping in order to minimize the risk of their theft or loss. This document illustrates the security risks, threats, and measures which digital asset custodians consider, design, and implement in order to protect the assets of their customers, based on best practices, existing standards and research. For example, the management of signature keys for digital assets requires special attention, taking into account the specific nature of blockchains and DLT systems and the security challenges they face. A key topic discussed is the appropriate management of signature keys by digital asset custodians in order to prevent misuse and transactions by unauthorized individuals.
1 Scope
This document discusses the threats, risks, and controls related to:
- systems that provide digital asset custodian services and/or exchange services to their customers (consumers and businesses) and management of security when an incident occurs;
- asset information (including the signature key of the digital asset) that a custodian of digital assets manages.
This document is addressed to digital asset custodians that manage signature keys associated with digital asset accounts. In such a case, certain specific recommendations apply.
The following is out of scope of this document:
- core security controls of blockchain and DLT systems;
- business risks of digital asset custodians;
- segregation of customer’s assets;
- governance and management issues.
2 Normative reference
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO 22739, Blockchain and distributed ledger technologies — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22739 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
digital asset custodian system
system that holds customers' digital assets for safekeeping in order to minimize the risk of their theft or loss
Note 1 to entry: In this document, holding assets is considered in a broad sense, as it includes for instance, the case of physically or digitally storing the assets, but also the case of holding the private keys associated with the assets, or even the case of protecting access to the assets, like holding one of the keys protecting the access to the assets.
3.2
cold wallet
cold storage
offline application or mechanism used to generate, manage, store, or use private and public keys
3.3
hot wallet
hot storage
online application or mechanism used to generate, manage, store, or use private and public keys
3.4
hardware wallet
wallet which leverages a hardware device (e.g. HSM) to generate, manage, store, or use private and public keys
3.5
deterministic wallet
wallet in which multiple key pairs are derived from a single starting point known as a seed
3.6
hierarchical deterministic wallet
deterministic wallet (3.5) in which child key pairs are derived from the master key pair
Note 1 to entry: Descendant key pairs can be derived from the child key pairs, in a hierarchical manner, hence the name of the wallet. Child key pairs can be used and shared without having to share the master key pair. It is defined within Reference [7].
Bibliography
| [1] | ISO/IEC 9796 (all parts), Information technology — Security techniques — Digital signature schemes giving message recovery |
| [2] | ISO/IEC 14888 (all parts), Information technology — Security techniques — Digital signatures with appendix |
| [3] | ISO 22739, Blockchain and distributed ledger technologies — Vocabulary |
| [4] | ISO 23257, Blockchain and distributed ledger technologies - Reference architecture |
| [5] | ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements |
| [6] | ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information security controls |
| [7] | MaciejBaj."Check INT_32 range for transaction timestamps", June 2018, https://github.com/LiskHQ/lisk/issues/2088 |
| [8] | MITRE Corporation."CVE-2018-10299", CVE2018-10299, 22 April 2018, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10299 |
| [9] | Bitcoin Improvement Proposal 0032, November 14 2019, https://en.bitcoin.it/wiki/BIP_0032 |
| [10] | Payment services Directive (PSD 2). DIRECTIVE (EU) 2015/2366 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 25 November 2015, on payment services in the internal market, amending Directives 2002/65/EC, 2009/110/EC and 2013/36/EU and Regulation (EU) No 1093/2010, and repealing Directive 2007/64/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32015L2366 |