はじめに

今回この記事では、私たちが最も重視する「暗号資産のセキュリティと規制」をテーマに、管理上の課題とソリューションについて検討を行います。
特に、仮想通貨取引所等の暗号資産ビジネスで安全なセキュリティを実現するために何が必要か、そのためにどんなプロダクトが求められているかについて、実際の現場を知る専門事業者の立場から整理していきます。

この記事を読んで分かること

• ブロックチェーン上の資産を安全に守るためには「秘密鍵の漏出」と「なりすまし」に備える必要がある。
• 必要なセキュリティ措置は「オフライン化」と「マニュアル化」だが、既存のものには課題が残る。
• GEWは徹底したオフライン化とマニュアル化を実現しながら、高い業務効率化を実現する次世代の業務用ウォレットである。

ブロックチェーン活用と規制・セキュリティの重要性

私たちは「暗号資産のセキュリティと規制」に関する知識やノウハウが、ブロックチェーン技術を用いて事業に取り組むために不可欠な知識だと考えています。
2019年にデロイトが実施した「デロイト グローバル ブロックチェーンサーベイ2019」において、最も多くの事業者が投資拡大の障壁として上げたのは「規制面の問題」でした。そして、それに続く問題が「潜在的なセキュリティ上の脅威」です。

 規制とセキュリティの問題を理解し、その対策を行うことはブロックチェーン事業を拡大するために重要なポイントとなります。また、その際にはブロックチェーンを用いたサービスの先駆者であり、規制と真正面から向き合っている取引所の取り組みを参考にすべきでしょう。

2020年に施行予定の改正法で新たに付け加えられたセキュリティトークンに対する規制で、金商業者が仮想通貨取引所と同等の技術的安全措置を義務付けられていることからも分かる通り、交換業規制が今後のブロックチェーン規制の１つの基準となっていくからです。

現行規制が対処するリスク

現在の規制はどのようなリスクに対処すべく定められたものでしょうか。まずは存在するリスクについて理解を深めましょう。
2018年12月に金融庁が作成した『仮想通貨交換業等に関する研究会報告書』では、顧客の資産管理・資産保全に関するリスクとして「資産流出リスク」と「事業者破綻リスク」の２つが挙げられています。
特に、セキュリティが問題視されるのはこのうち「資産流出リスク」にあたります。そこで、より技術的な観点から資産流出リスクが現実の脅威となるケースを考えましょう。
資産流出を引き起こす第一の原因は「秘密鍵の漏出」です。これは何らかの手段によって攻撃者が秘密鍵そのものへアクセスし、以後自由にコントロールできるような状態となる場合を指します。
第二の原因は「なりすまし」です。これは秘密鍵そのものへのアクセスではなく、それをコントロールするビジネス的又は技術的プロセスへ介入することで秘密鍵を一時的に利用される場合を指します。
前者の場合は秘密鍵自体にアクセスされる事態を指すのに対し、後者はその利用プロセスへの不正介入によって本人以外が鍵の操作を行うことを指します。

両者は一見すると非常に似通ってみえるのですが、リスク対策の観点では全くの別物であることに注意してください。前者は秘密鍵の保管方法によってリスクの大部分を低減することが出来ますが、後者は業務オペレーションの問題となるからです。

資産流出リスクへの対処法

これらの攻撃に対する防衛手段は大きく２つに分類することが可能です。
まず基本となるのが「秘密鍵の隔離」です。例えば、ネットへの接続が不可能な端末上で秘密鍵を管理し外部からのアクセスを遮断する方法がこれにあたります。
次に「秘密鍵を利用するオペレーションの制御」です。これは鍵の分散化や送金先のホワイトリスト管理などの方法で、秘密鍵を奪取されたとしても送金を実行できないようにするものを指します。
前者をオフライン化、後者をマニュアル化と呼び、以降の議論を整理していきましょう。

“コールド”＝安全だが使いにくい？

これまで日本では、主にオフライン化を指すかたちで"コールドウォレット"という概念が広まり、ハッキングが起こるたびに論点とされてきました。
そのためか「秘密鍵を物理的にオフラインで保管してさえいれば外部からのハッキングを防ぐことが可能なのだ」という考え方が一般的になっているように思われます。
この考え自体が大きく間違っているわけではありません。しかし、実際に仮想通貨取引所のシステムへの組み込みや実運用を行うにあたって、この認識はいくつかの齟齬を生じさせます。
例えば、市販のハードウェアウォレットさえも、分類上"コールドウォレット"として認識されるため、実務に組み込まれかねないこと。これは銀行の最奥部に設置する資産管理庫を、市販の金庫でまかなうようなもので、そもそも安全性的に望ましくありません。
加えて、業務に最適化された設計でもないため、「完全にオフラインで管理された秘密鍵を円滑に運用することが難しい」という課題を抱えてしまうこととなります。
実際に多くの取引所が「コールドウォレットだけでは取引所のビジネスオペレーションを運営しきれない」という悩みを抱えています。事実、これまで交換業者による自主規制団体においても「ホットウォレットで20%まで管理してもよい」という基準が示されてきました（本法改正にともなって修正が想定されます）。
このように、そもそもオフラインかつ業務に最適な秘密鍵の保管システムを構築するのが難しく、運用でカバーする範囲が大きくなるため、「コールド＝安全だけど使いにくい」という認識が一般化してしまっています。

ただ鍵を分散すればいい、訳ではない

単一の鍵では署名が完成しないように鍵を分散する「マルチシグ」も、有効なセキュリティ施策の１つです。鍵を分散化して業務オペレーションを細分化することで、秘密鍵が不正に操作されるリスクを減らすことができるからです。
しかしながら、鍵の分散化はあくまでマニュアル性を高めるための手段であって、目的ではありません。
例えば、同じアクセス権限から複数の鍵を操作できたり、一方の鍵で署名がされていれば自動で追加の署名を行うようなシステム構成であれば、現実世界のオペレーション的に不適切なものであったとしても、システム上では送金を認めてしまいかねません。マルチシグはマニュアル性を高めるために用いてこそ効果があるのです。
さらに、鍵を複数分散すればするほど署名処理のオペレーションコストが増加する傾向にあります。特にオフラインの鍵管理デバイスを用いる場合には業務負担が倍増すると言われており、マルチシグの運用にも課題が残ります。

業務用ウォレットはどうあるべきか？

ここまでの議論を整理しましょう。
ブロックチェーン上のアセットを事業者が安全に管理するためには、顧客資産に紐づく秘密鍵を守るため、「本体の漏出」と「なりすまし利用」というリスクに対処しなくてはなりません。
このための方法としてオフライン化とマニュアル化が必要なのですが、既存のオフライン化・マニュアル化のアプローチにはそれぞれ課題が残っています。
そこで、Gincoでは理想的なウォレットの在り方として以下を定義しました。

1. 秘密鍵は事業者が管理するオフラインデバイス上で生成され、いかなる外部端末とも接続されない（徹底したオフライン化）
2. 署名プロセスを細かく権限分散し、目視または手動での相互牽制を必ず行う（徹底したマニュアル化）
3. 上記安全管理措置の形骸化を防ぐため、高い利便性を備える（業務の効率化）

この設計思想のもとで私たちが開発したソリューションが、事業者のビジネスを停滞させることなく高いセキュリティを実現する「Ginco Enterprise Wallet（GEW）」です。

①どんなときも100%コールド

GEWで取り扱う秘密鍵は、専用のオフラインデバイス上で生成され、一度もインターネットに接続されることはありません。
このデバイスは有線・無線でのいかなる接続も受け付けず、スタンドアロンな状態を維持し続けます。署名処理やトランザクションの受け渡し時においてさえ、その他の端末と接続することがありません。
また、入出力されるトランザクションも暗号化しており、認証された端末間でしか取り扱うことができません。紙やUSB等の中間媒体を介することもありませんので、限りなく安全かつシームレスにトランザクションをやり取りすることが可能です。
ホットウォレットの管理比率が高まる要因である顧客の入出金オペレーションも、原則オフラインのコールドウォレットで受け付ける仕組みになっています。
数万単位の受取アドレスをオフライン環境の秘密鍵から導出しユーザーごとに設定することで「いったんホットウォレットで受け取り、まとめてコールドウォレットへ移す」というホットウォレット前提の入出金オペレーションを見直すことができます。

②現場の相互牽制を重視し送金プロセスをマニュアル化

GEWは、権限分散による相互牽制を徹底してシステムに組み込んでいます。
まず、マルチシグ技術によって署名に必要な秘密鍵の数を自由に調整することができます。業務オペレーションとウォレットの利用方法に合わせ、2of3でも3of5でもマルチシグを設定可能です。
次に、署名のみならず送金オペレーション全体の権限分散も実現しています。
GEWではウォレットごとに必要な送金プロセスを「トランザクションの作成」「トランザクションへの署名」「署名済みトランザクションの内容確認・社内承認」「ブロードキャスト」等に細分化することができます。
それぞれの担当者が自身の管掌範囲外のプロセスを進めることができないように制御しながら、送金フローと担当者ロールを設定するため、取引所ごとの送金プロセスをシステム内で完結させることができます。
ロールの追加と削除により、資産管理上のリスクに応じてどの用途・規模の暗号資産管理であっても柔軟に対応できることが強みの１つです。

さらに送金の宛先や一回あたりの送金額もホワイトリストで登録されたアドレスにしか送ることができないよう設定が可能です。これはウォレットからの流出を防ぐのみならず、FATFのトラベルルール対応など今後の規制の発展を見据えて開発された機能です。

③セキュリティが業務の妨げにならないだけの高い利便性

GEW導入のメリットは、これらの安全管理措置が、取引所の業務を妨げないことにあります。
送金トランザクションはAPIから一括で作成し、秘密鍵の管理端末でまとめて署名することが可能です。また、トランザクションの受け渡しを独自の技術により大幅に効率化することに成功しました。
サードパーティのハードウェアデバイスを用いる従来型の署名方式と比較しても、数倍から数十倍の効率でトランザクションを処理することができます（当社比）。
さらに、取引所内部の各セクションがウォレットに関する情報を共有し効率的に連携できるよう、ウォレット／通貨ごとの残高分析や、監査ログの表示／エクスポートなどのダッシュボード機能を備えています。

Gincoの考える業務用ウォレットの理想形

過去のハッキング事件などにおいて「ウォレット」という言葉が話題に上がる時、そこで指し示されるのは「秘密鍵の管理部」または「トランザクションの署名部」のみを指す概念でした。
しかし、私たちが開発するGinco Enterprise Walletは、秘密鍵の安全な保管と円滑な利用によって取引所業務の効率化を実現する統合的なソリューションとなっています。
鍵を安全に管理できることはウォレットの大前提であって目的ではありません。大切なのはそれによってビジネスの成功に貢献できるかどうかなのです。

今後広がるデジタルアセットの世界に向けて

また、ここで蓄えた技術をセキュリティトークンの分野に応用し、ブロックチェーン上で証券や不動産を取り扱う際の管理システムとして利用できるようにしたものが、先日プレスリリースで発表した「セキュリティトークンのカストディOEM」です。

ここでも同様に、デジタルアセットを安全に管理するための理想的なシステムを、お客様の扱う資産形態とビジネスオペレーションに最適化して組み込みます。
そもそもブロックチェーンは「複数のステークホルダー間で価値ある情報を共有するための台帳型データベース」ですから、パブリックであれ、コンソーシアムであれ、重要な情報を取り扱う点は共通しています。
そうである以上、「事業者が本当に適切にデータ更新権限を管理できているか」「不正なデータがブロックチェーン上に混入される事態を未然に防ぐことができるか」という論点は今後多くの事業者が直面する問題になるでしょう。
ブロックチェーン上のアセットが多数登場し、それらを扱うビジネスが発展するほどに、そのエコシステムを脅かすリスクが現れます。これらに備えるためには、「安全な鍵管理」と「その効率的な運用」を実現する必要が生じます。
そして、その答えをGincoは既に持っています。
Gincoは、この鍵管理技術を様々なブロックチェーン活用事例に組み込んでいけるように汎用化し、ブロックチェーンの社会実装へ向けて着実に歩みを進めていきます。