イベントレポート
日本の仮想通貨交換所のセキュリティを考える人たち=FIN/SUM 2019
松尾氏「交換所の中に日銀ネットの一部があるも同然。金融機関レベルの安全性は必須」
2019年9月11日 06:00
日本経済新聞と金融庁主催の国際イベント「FIN/SUM 2019」は、9月3日から6日までフィンテックの活用をテーマに議論する。第2日目午前のセッションでは、仮想通貨交換所のセキュリティがテーマとなった。
暗号資産のセキュリティ再考
FIN/SUM 2019の第2日目、午前のセッションは「暗号資産のセキュリティ再考」と題して、100分間の討論が行われた。登壇者は下記の6名。
- メルカリ・R4Dシニアリサーチャーの中島博敬氏
- セコム・IS研究所主任研究員の佐藤雅史氏
- ジョージタウン大学・リサーチプロフェッサーの松尾真一郎氏
- ディーカレット・CTO/システムグループヘッドの白石陽介氏
- Coinbase・日本法人代表取締役の北澤直氏
【モデレーター】 - Japan Digital Design・CTOの楠正憲氏
【パネリスト】
まずは登壇者のバックボーンについて説明する。メルカリの中島氏とセコムの佐藤氏、ジョージタウン大学の松尾氏、Japan Digital Designの楠氏は、Cryptoassets Governance Task Force(以下、CGTF)にて、仮想通貨の安全対策基準策定に向けて活動している。組織の活動としては、「日本国内における仮想通貨ウォレットの実態調査」などの文書を発行しているほか、自主規制団体である日本仮想通貨交換業協会(JVCEA)の技術委員会を通して知見の共有を行っているという。
ディーカレットは、仮想通貨の規制が厳格化した後に業登録を終えた仮想通貨交換業者。白石氏はCTOとして、そのシステムの統括を行っている立場の人物だ。Coinbaseは米国最大手の仮想通貨交換所であり、現在国内での業登録に向けて準備中。北澤氏はその国内法人の代表だ。
会の冒頭で司会の楠氏は議論のレベルを合わせるため、来場者の仮想通貨知識についてアンケートを行った。ホットウォレットとコールドウォレットの違いを知っているか、実際に仮想通貨を持ったことがあるか、使ったことがあるかなど、基本的な質問には来場者の半数程度が挙手で肯定を示した。
ディーカレットのセキュリティ
CGTFが取り組みについて説明した後、最初の質問としてディーカレットのセキュリティ意識が問われた。白石氏は、「設計時点で、既存の交換所ではなく既存の金融機関をベンチマークにした」と応じ、同交換所の安全性への自信を示した。
ディーカレットの親会社はIIJだ。同社は、官公庁や金融機関など最高レベルのセキュリティ要件がある組織に向けてシステムを提供している。ディーカレットのシステムは、IIJに関わる金融機関に直接ヒアリングし、密に確認を取りながら要件定義を進めたという。結果的に、当初の想定より2倍の人員が必要になったが、盤石の体制を敷くことができているという。
仮想通貨交換所のコールドウォレット
7月に発生した仮想通貨交換所BITPointが被害を受けた不正流出事件で、被害はホットウォレットに集中した。これまでに起きた仮想通貨の流出事件でも、標的にされたのはホットウォレットである。このホットウォレットが、「ネットワークに接続しているウォレット」だという解釈は万人共通だ。一方で、その対義語にあたるコールドウォレットは人によって考え方が異なる。
古くはペーパーウォレットもコールドウォレットと考えられた。楠氏によると、2014年のマウントゴックスが破綻した流出事件時、大量のペーパーウォレットが山積みされていたという。ペーパーウォレットには、一瞬でも監視カメラに映ってしまうと安全を担保することができず、金属探知機による持ち出し対策もできないなど、問題点が多い。
一般的にコールドウォレットというと、ネットワークに接続していない端末を用いたハードウェアウォレットを指すことが多い。だが、長年鍵を預かる業務を担ってきたセコムの佐藤氏は「これでコールドウォレットと言うにはおっかない」と述べる。解体するとチップを仕込める隙間があるし、解体時点で鍵が消失することもないので、物理的に不正改造の余地があるという。
それでは仮想通貨交換所が用いる「コールドウォレット」という言葉が何を指すのか、まずはディーカレットの白石氏が答えた。ディーカレットでは、他の設備や執務室とは隔てた専用の部屋を使ってコールドウォレットを管理しているという。入退室の管理は徹底され、入室時には権限を持った複数名が鍵を持ち寄る必要がある。
一方で米Coinbaseのコールドウォレットはひと味違う。北澤氏によると、同交換所のコールドウォレットへのアクセス時には、郊外の複数箇所に電波を遮断したテントを設営する。テントは1つを除いてダミーであり、権限を持つ人物が機材を持ってテントへ入る。初めて電源を入れるPCとプリンターを使って、ウォレットへアクセスするという。処理が終わると、使用したPCとプリンターは物理的に破壊するという徹底ぶりだ。北澤氏自身、「前時代的なのか先進的なのか、もはや分からない」とコメントしている。
要点は鍵をどう強化するかではない
ディーカレットの白石氏は、同交換所の鍵の仕組みを説明する傍ら、「鍵だけを強化しても意味が無い。いかに鍵を取られないように水際で防ぐことが重要」と論じていた。たとえば7月のBITPointへの攻撃がマルウェアを用いたもので、5月のBinanceへの攻撃は高度標的型攻撃(APT攻撃)だった。これは仮想通貨交換所に限らない、通常のハッキング手法だ。
白石氏の論に、メルカリの中島氏とセコムの佐藤氏も同調した。「(仮想通貨交換所は)鍵をどう守るかではなく、全体を見てセキュリティマネジメントをする必要がある。だが、実際に被害が起きると、次の被害をどう抑えるかが目先の目標になってしまう。全体ではなく部分部分の安全性強化をやっているのが現状だ。短期的にはそれでいいのかもしれないが、安全性対策は中長期的な視点で行うべきだ」(中島氏)
仮想通貨交換所のセキュリティを上げるには
セキュリティは外部はもちろん、内部に対しても対策が必要だ。伝統的なセキュリティマネジメントを行うには、コストの問題があると楠氏は言う。たとえば金融機関は新卒を採用し、10年以上かけて教育を行っている。時間と費用をかけて人的リスクを最小化しているのだ。日本では法律の関係で、バックグラウンドチェックが容易ではなく、大きな企業ほど、このような手法を取る傾向がある。
米国企業であるCoinbaseの場合は事情が違う。社員全員に対して、採用時に前々職以前の経歴まで、信用調査会社によるバックグラウンドチェックを実施しているという。そこには、「人的リスクの排除が大前提」という考え方がある。
松尾氏は国内の仮想通貨交換所の現状を指して、「各交換所の中に日銀ネットの一部が入っているような状態」と説明する。当然、金融機関と同等の対策が必要になると論じる。「ブロックチェーンの専門家にセキュリティを学ばせるには数年がかかる。だが、セキュリティの専門家がブロックチェーンを学ぶのは数週間で済む」(松尾氏)とし、国内でもリスクとコストの折り合いをつける方法があることを示した。
