ブロックチェーン技術を活用した電子マネーとして利用されている「暗号資産」。年々市場が拡大している一方で、取引所のハッキングなどのニュースを見聞きし、セキュリティ面に不安を感じている方も多いのではないでしょうか。
国内トップクラスの取扱銘柄数と暗号資産取引量を誇る暗号資産取引所「bitbank」を運営しているビットバンク株式会社では、透明性の高い暗号資産技術であらゆる価値を流通させることに取り組んでいます。
今回は、暗号資産のサイバーセキュリティ対策のポイントや、エンジニアに求められるスキル、ユーザーが注意するべき点などを、執行役員 CCRO 橋本 健治氏に伺いました。
橋本 健治 氏
ビットバンク株式会社 執行役員 CCRO(Chief Compliance Risk Management Officer) 通信事業、エンターテイメント事業、決済代行事業のサービスおよび社内の情報セキュリティ業務を経験し、2018年9月よりビットバンクにSIRTとして参画。コンプライアンス・リスク管理部門を統括し、セキュリティ技術、ISMS、セキュリティ関連法規制対応等、情報セキュリティ業務全般の責任者。CISSP/CISAを保有。
暗号資産の「取引所」と「販売所」の違いは?
暗号資産の基本から教えてください。そもそも、「仮想通貨」と「暗号資産」は何が違うのでしょうか?
通貨としての違いはありません。元々は仮想通貨と呼ばれていましたが、2020年に金融庁が「暗号資産」に呼称を改めています。
暗号資産は従来の金融取引と比べて、どのようなリスクがありますか。
暗号資産はこれまでにない自由な資産であるため、「マネーロンダリング」など、一般的な貨幣であれば摘発される可能性が高い犯罪行為をかいくぐるケースもあります。技術と法的規制の整合性を取るのが難しい分野ですが、日本では2018年の暗号資産流失事件をきっかけに、業界全体で規制やセキュリティの強化が進んでいます。
なるほど。貴社では、暗号資産の「取引所」と「販売所」を運営していますが、この2つはどのように違うのでしょうか?
まず「取引所」は、利用者同士に暗号資産の売買の場を提供します。売却を希望しても買い手がいないと売買が成立せず、成立したときにだけ運営している当社が手数料を受け取ります。
もう1つの「販売所」は、利用者と暗号資産交換業者が直接取引します。業者が売り買いするためすぐに取引が成立しますが、取引所に比べると手数料が高い傾向にあります。暗号資産取引が初めての場合、「販売所」の方が使いやすいのですが、ある程度慣れてくるとオープンな「取引所」にシフトする方が多いですね。
そういった違いがあるんですね。貴社の特徴や強みについても教えてください。
暗号資産交換業者は、金融機関とスタートアップ両方の側面があります。金融機関としてお客様の大切な金融資産を守るために「資金決済法」などの法整備がされており、遵守する必要があります。その一方で、最先端のデジタル技術を活かし、既存の枠組みを越えた通貨である暗号資産を取り扱う点では、スタートアップといえます。
エンジニアの開発環境についてはいかがですか?
外部に開発を委託するのではなく、エンジニアを自社で採用し、セキュリティ対策も考慮してシステム開発を内製化するようにしています。取引所システムのみならず、暗号資産やブロックチェーンについても知見を持ったエンジニアが活躍しています。
暗号資産を守る「コールドウォレット」
暗号資産のセキュリティについて詳しく伺う前に、暗号資産の土台となるブロックチェーンシステムの仕組みについて教えてください。
ブロックチェーンは日本語では「分散型台帳技術」とも呼ばれます。分散型台帳技術は、端末同士でデータファイルを共有できる「P2P(ピアツーピア)ネットワーク」を採用しており、一般的な情報システムやデータベースのように特定の管理者が集約的にデータを管理するわけではありません。
ユーザーが取引を行うと、取引データが、P2Pネットワークに繋ながっているPCやサーバー上の分散台帳へ記録が残る仕組みです。内容自体も暗号化などはされておらず、台帳情報を見るとどのウォレットアドレスからどのウォレットアドレスへ送金を行ったかの送金履歴が全てが記録されています。そのため、非常に透明性が高いといえます。
ありがとうございます。暗号資産はサイバー攻撃を受けることも多いと思いますが、今までに起こったセキュリティに関する事件としては、どんなものがありますか?
代表的なものは2018年に起きた、不正アクセスによって、暗号資産の一つである「NEM(ネム)」が約580億円分流出したという事件です。
暗号資産関係の会社はセキュリティに細心の注意を払っていたのですが、それでも事件が起きてしまいました。その他に、2019年に約35億円分の暗号資産流出事件が起きるなど、その頃は国内の他取引業者でも被害に遭っていましたね。
事件後にはどのようなセキュリティ対策が行われたのでしょうか?
会社の資産とお客様の資産を別々で管理するとともに、お客様の資産は「コールドウォレット」に保管するよう法規制にて義務付けされました。
ウォレットとは、暗号資産を保管する財布のことで、コールドウォレットはインターネットと接続していないクローズドな状態で秘密鍵を管理するウォレットを指します。お客様の資産をコールドウォレットで管理することで、セキュリティの向上につながります。コールドウォレットの義務付けからは、国内で暗号資産の流出事故は起こっていないと思います。
コールドウォレットは非常に効果が大きいんですね。
はい。システムへの侵入など攻撃のほとんどは、インターネットを経由して行われます。インターネット上に提供しているシステムは、何かしら攻撃を受けて情報を抜かれる可能性があります。
ただし、インターネットと接続している「ホットウォレット」も利便性の面で必要です。出金依頼があった時に、コールドウォレットから手作業で出金のオペレーションを行うのは非常に時間と手間がかかり、要請に対してタイムリーにお応えできません。そのため、各社ではホットウォレットに会社の自己資産を置いておき立て替えて出金対応したり、ホットウォレットへ一時保管するお客様資産と同等の会社の自己資産を用意し万が一の際に備えるなど、お客様の利便性とのバランスを取りながらセキュリティ対策を進めています。
貴社ではどのように暗号資産を守っているのでしょうか。
コールドウォレットでお客様資産を管理するのは当然のことながら、ホットウォレットには、お客様の資産は全く置かず、ビットバンクの資産をそこに置いています。万が一、ホットウォレットの暗号資産を盗まれたとしても、被害に遭ったのはあくまでも私たちの資産なので、お客様に影響はありません。さらに、資産コントロールを徹底しており、資産を盗まれても事業継続には支障が出ないようにしています。
なるほど。暗号資産のセキュリティについて、業界全体での取り組みもあればお聞かせください。
暗号資産業界全体の自主規制団体として、「一般社団法人日本暗号資産取引業協会(JVCEA)」があり金融庁から認定を受けています。同協会では、各法令や法令に基づいた事務ガイドラインよりもさらに厳しい基準の規制を設けており、暗号資産交換業を営む場合は同協会への加盟が必要です。当協会から定期的な検査・監査を受け、業界全体のセキュリティ強度が高まっています。
「ドメイン名ハイジャック」を教訓に独自の対策を実施
貴社が遭遇したインシデントがありましたら、お聞かせください。
2020年にドメイン名を乗っ取られる「ドメイン名ハイジャック」の被害を受けました。サービスサイトのドメインは無事でしたが、会社のメールアドレスのドメインがハッキングに遭いました。私たちの管理するシステムではなく、利用していたドメイン登録サービスがハッキングされました。
その後どのような対策をしたのでしょうか?
まずは、2つの認証方法を組み合わせる「2要素認証」に対応したドメイン登録サービスに切り替えました。さらに独自で、ドメインとIPアドレスを紐づける「DNS」の情報が書き換えられていないか、外部から定期的にチェックし、自分たちが何もしていないのにもかかわらず、DNSの変更が起きたらすぐにわかるよう、アラート通知が届く仕組みも構築しています。
「気づき力」がサイバーセキュリティを支える
サイバーセキュリティ業務では、リスクをどのように可視化していくのでしょうか?
当社では、「情報資産ベース」と「事業被害ベース」の両面からセキュリティアセスメントを行っています。「情報資産ベース」の評価は一般的に行われているもので、社内にどのような情報資産があるか洗い出し、情報資産に対して考えられる脅威や脆弱性、セキュリティ対策がしっかりされているかを点数化し、リスクをスコア化します。
「事業被害ベース」の評価は最近登場した考え方で、特定のシステムに対し被害を発生させるために必要な侵入の仕方や経路を洗い出し、対策ができているかを一つひとつ確認して点数化していくという手法です。
「事業被害ベース」の評価を行うと、どんなメリットがあるのでしょうか?
「情報資産ベース」のセキュリティリスクアセスメントだけでは、詳細なリスクを可視化できないため、「事業被害ベース」の評価も行うことで安全性が高まります。
従来の「情報資産ベース」の場合、個人情報が入っているシステムのDBに対するセキュリティ対策を包括的に評価するという流れになります。一方で、「事業被害ベース」の場合は、まずDBのなかの個人情報を盗まれるという事態を事業被害として想定し、そのDBにたどりつくルートなどを全て洗い出し、かなり細かく評価していきます。どのようなルートがあるかを洗い出す工数だけではなく、どのような攻撃手段があるかの想像力も必要になりますが、その分セキュリティの安全性は大きく高まります。
2つの視点から評価することでより強固な対策ができるんですね。貴社の社内システムで実施しているサイバーセキュリティの強化策についても教えてください。
一般的な情報を取り扱う業務環境と、重要な情報を取り扱う業務環境のネットワークや端末を分離し、重要な情報を取り扱う環境はインターネットへの制限等、安易な情報の持ち出しを制限しています。こういった「境界防衛」と、守るべき情報にアクセスするものは常にチェックする「ゼロトラスト」のどちらも考慮してセキュリティ対策を行っています。
端末上で動作するMicrosoft OfficeやAcrobat Readerといったソフトウェアを使用していないのも、セキュリティ対策としてプラスになっています。業務で使うシステムはブラウザで完結しているので、Microsoft OfficeやAcrobat Readerの脆弱性を使ってマルウェアに感染させるといった攻撃は、当社のシステムに通用しません。
なるほど。さまざまな面から対策しているんですね。
当社のセキュリティに関する安心感をより高めるため、情報セキュリティマネジメントシステム(ISMS)の国際標準規格であるISO27001を取得しました。国内の暗号資産取引所が ISMS認証を取得することは初めての事例です。ISO27001は厳しい基準をクリアしないと取得できないので、セキュリティ対策が進んでいることを証明する指標の1つだと考えています。
外部機関の信頼できる評価も受けているんですね。サイバーセキュリティに携わるうえで、どんなスキルが大切なのでしょうか?
「気づき力」が重要だと思います。論理的な思考も必要ですが、そもそも何が問題なのか気づけないと対策を立てられません。そのため、「気づき力」は非常に重要です。
これはサイバーセキュリティだけでなく、情報セキュリティ全般、ひいては仕事全般に言えることかもしれません。また、セキュリティ対策を考えるときには、見つかった脆弱性がどのような攻撃に利用されるか想像しながら、マクロ的な視点とミクロ的な視点両方から対策を想像する必要があります。ミクロ的な視点では「OSに脆弱性があるとしたらどうすればよいのか」など部分ごとに考えていきます。マクロ的な視点では該当のシステムだけでなく利用する人手の運用を含め全体としてどのような手法であれば守れるのかを考えます。
マクロとミクロ、どちらの気づきも必要なんですね。
はい。セキュリティ対策は、1ヵ所でも穴があるとどうしても問題になってしまうので、全体的な視点が不可欠です。セキュリティ相談を受けた場合は、背景や運用フローの組み立てについて想像し全体を俯瞰しながら、問題がありそうなところを予想して詳細に検討する必要があります。
ユーザーが実践するべき暗号資産のセキュリティ対策
暗号資産を利用する一般ユーザーにとって必要なセキュリティ対策についてお聞かせください。
ほとんどの方が、当社のような暗号資産取引所を利用すると思いますが、まず「不正ログイン」への対策が必要です。多くのサイトで、IDがメールアドレスになっています。パスワードリセットにおいて、登録したメールアドレスを使う場合が多いのですが、メールアドレスアカウント自体をハッキングされるケースが少なくありません。
メールアドレスのアカウントを乗っ取られた場合、暗号資産取引所のパスワードリセットすると乗っ取られたメールアドレスに連絡がいってしまいます。また、2要素認証などのセキュリティ対策をしていても、過去にメールで送付した本人確認書類の画像を取られ、2要素認証もリセットされてしまう事態も起きています。
さまざまなリスクがあるんですね。どのように対策すればよいのでしょうか。
メールアドレスのアカウントや暗号資産取引所に利用するパスワードは長めにするなどセキュリティ強度を高めるのがおすすめです。「今日は頑張りましょう」といった文章的なパスワードであれば、ローマ字にすると長くなり、セキュリティが高まりますし、忘れるリスクも軽減できます。また、暗号資産取引所の2要素認証を有効化するとともに、メールアカウントについても、管理画面に2要素認証が設けられているものの方がよいでしょう。
なるほど。不正ログイン以外で気をつけるべき手口はありますか?
偽のサイトに誘導する「フィッシング詐欺」ですね。この手口では、暗号資産交換所を語ったメールやSMSにフィッシングサイトへ誘導するURLのリンクがあるのですが、このURLリンクをクリックせず、暗号資産取引所が用意している専用スマホアプリケーションや事前にブックマークしているものを利用することが一番の対策です。
また、金融系でよくあるパターンとして、恋愛感情を抱かせて騙す「ロマンス詐欺」や儲け話で勧誘する「投資詐欺」にも注意が必要です。「送金して欲しい」と言われたら、まずは警戒しましょう。
「ステーブルコイン」の国内流通解禁で変わりゆく暗号資産
今後の暗号資産はどのように変化していくのでしょうか。
最近、法定通貨と連動することを目的に設計された暗号資産「ステーブルコイン」の国内流通が解禁されました。日本銀行でも、政府公認のデジタル通貨の発行に向けた動きがあります。こういった動きが進むと、一時期行われていたビットコイン決済のように、デジタルアセットの決済手段としての利用が活発化する可能性があると考えています。暗号資産交換業だけではなく、決済周りの業務を行う企業も増えてくるのではないでしょうか。
最後に、貴社で予定している取り組みについても教えてください。
デジタルアセットに特化した信託会社の設立に向けて準備を進めています。というのも、機関投資家の方々は暗号資産を新しい投機先として見ています。それに伴い、暗号資産をどこに保管するのか考える必要があるのです。
社会全体でも、より安全に暗号資産を始めとしたデジタルアセットを管理・保管してもらいたいというニーズは、今後さらに高まっていくのではないでしょうか。これからもビットバンクは、最適な暗号資産技術によってあらゆる価値を流通させ、誰もが自由になれる「オープンでフェアな社会の実現」を目指していきたいと思います。
ライター
編集部オススメコンテンツ
アンドエンジニアへの取材依頼、情報提供などはこちらから