金融庁がコールドウォレット徹底要請

金融庁が仮想通貨業者にコールドウォレット管理を要請したことがわかりました。

仮想通貨の流出が問題になって久しいですが、どうしてこのタイミングで、金融庁がコールドウォレット管理の徹底要請をしたのでしょうしょうか。

その背景や理由について解説します。

金融庁がコールドウォレット管理を徹底要請した理由

2019年4月16日、金融庁が仮想通貨交換業者に対し、「コールドウォレットの管理体制」を厳守するよう要請したことをロイターが報じました。

コールドウォレットとは、仮想通貨をインターネットから切り離して保管する仕組みのことで、セキュリティが高い状態で通貨を保管できるものです。

Coincheckの流出事件以降、国内取引所が保管する大部分の仮想通貨はコールドウォレットで保管されるようになりました。

金融庁が業者を調査したところ、一部の仮想通貨交換業者で、コールドウォレット自体は活用されているものの、「送金業務を行う担当者を定期的に交代させる」などのルールが作られていなかったことがわかりました。

権限の大きい業務を長期間にわたって担当し続けると、重要情報が不正に扱われるリスクが高まります。

金融庁は、内部による者の不正や事故を未然に防ぐために、問題があった業者に改善を求める予定です。

自主規制ルールの状況

仮想通貨業界の自主規制団体である「一般社団法人日本仮想通貨交換業協会（JVCEA）」は、

自主規制ルールの「利用者財産の管理に関する規則」において、次のように記載しています。

事故・不正行為等防止の観点から、各担当者は定期的に交代させる等の適切な措置をとらなければならない。

引用：利用者財産の管理に関する規則-JVCEA

つまり「担当者を定期的に交代させるルール」を作っていなかった取引所は、JVCEAの自主規制ルールに違反していたということです。

なお、この担当者を交代させる「定期的」の具体的な期間はJVCEAが指定するわけではなく、会員自身が自社のセキュリティリスクを鑑みて妥当とされる期間を設定するとしています。

また、定期的な交代をさせるのではなく、「定期的に連続休暇、研修等により職場を離れる方策をとることも有益」としています。

コールドウォレットが推奨された経緯

コールドウォレットが推奨された背景には、CoincheckとZaifによる仮想通貨流出事件があります。

2018年1月、Coincheckは約580億円相当の仮想通貨ネムをハッキングにより流出させてしまいました。

この流出の原因のひとつが、「ネムの秘密鍵をホットウォレットで保管していた」ことでした。

Coincheckの当時の社長だった和田晃一良氏は、ネムの秘密鍵の保管にコールドウォレットを利用しなかったことについて、次のように語っています。

「技術的な難しさがあり、それを行える人材が不足していた」

「我々としてはやれる時間と範囲の中で、やれることをすべてできる限りやっていた」

また、ネムについては、通貨を外部に送金する際に複数の人の署名を必要とする「マルチシグ」を実装しておらず、このことも通貨を盗難された原因のひとつとして指摘されています。

そして、2018年９月に起きたZaifによるモナコインのハッキング事件においても、モナコインの大部分をホットウォレットへ保管していたことが原因で通貨が流出しています。

コールドウォレットは運営コストが高くつく

コールドウォレットはセキュリティが高い反面、ホットウォレットと比べるとどうしてもコストがかかってしまうことが特徴でもあります。

具体的には、コールドウォレットを保管するための専用室が必要となるほか、出入り口のセキュリティシステムや、管理業務に当たる人材も必要になります。

さらに、通貨を送金するまでの業務も複雑になってしまうために、顧客の出金依頼から送金を完了するまでに時間を要し、顧客満足度が下がる可能性がありました。

CoincheckやZaifが、コールドウォレットをきちんとした体制で運用できていなかったのは、運用が厄介で、しかもコストがかかってしまうことが要因とされています。

Coincheckの事件が起こる直前の2017年末～2018年初は仮想通貨ブームのピークでした。

各取引所は目の前の業務をこなすのに精一杯で、新たなサービスを追加することは考えづらい状況だったのでしょう。

また、同業他社との競争に勝つためにも顧客満足度を下げたくないという意識が働いたのかもしれません。

とはいえ、セキュリティリスクが高い状態で顧客資産を保管するのは、やがては企業の信用を落とし、仮想通貨業界全体に対する不信感を招くことに気づくべきでした。

事件後、業界健全化のため、業界の16取引所が加盟する自主規制団体が発足し、作成された自主規制ルールが2018年10月に施行されています。

コールドウォレットのリスクとは

コールドウォレットはインターネットから切り離されるため、インターネットを通じて行われる攻撃への対策としては有効です。

しかし、物理的な側面ではリスクが残ります。

例えば、強盗・天災・火事です。

悪意を持った人がオフィス内に侵入し、秘密鍵を保管している媒体を盗んだり、天災や火事などで媒体が消失してしまったりするリスクがあります。

このリスクを回避するためには、距離が離れた場所にバックアップを保管し、媒体自体を暗号化しておく必要があります。

もちろん、バックアップに対するセキュリティも万全に行わなくてはなりません。

さらにコールドウォレットの運用は、一部の人に送金業務の権限を付与しなければならないため、その人の行動や正義に全てを委ねることになってしまいます。

何らかの脅迫を受けるなど、その人の意思に反して流出させざるを得ない状態にさせられる場合や、故意に通貨を不正に送金しようとすることがあるかもしれません。

また通貨の送金業務を長期間担当していると、重要情報の取扱が日常化することで緊張感は薄れてきます。

つまり人的なミスで事故を起こす可能性が高まります。

通貨の送金業務を担当する人については、権限を分散化させたり、定期的に担当業務を変更させたりすることが必要となります。

コールドウォレットには大量の通貨が保管されている

ハッキングなどのインターネット経由の攻撃に対する耐性が強いコールドウォレットですが、それでも万が一通貨が流出した場合は経営に与えるダメージが非常に大きくなります。

それは金融庁の指導により、コールドウォレットに保管されている通貨の方が、ホットウォレットより保管されているボリュームが大きいからです。

JVCEAの自主規制のルールによると、利用者が所有する仮想通貨のうち、ホットウォレットで保管して良いとされる基本的な水準は、20％以下に定められています。

つまり、顧客資産の通貨の80％以上がコールドウォレット内に保管されているわけです。

それだけコールドウォレトは、ホットウォレットよりも厳しく管理される必要があると言えるでしょう。

厳しい管理が求められるコールドウォレット

金融庁がコールドウォレット管理を徹底要請したことについて解説しました。

コールドウォレットは確かに安全性が高いといえますが、仮想通貨取引所にとっては手間がかかる、面倒な存在でもあります。

またコールドウォレットで保管されていたとしても、それに関わる人が常に厳格に対応できるかどうかという問題も残されています。

しかし金融庁がコールドウォレットの徹底化を推進しているおかげで、以前よりセキュリティは高まりつつあるといえるのではないでしょうか。