仮想通貨交換業者各社のシステム・セキュリティ管理体制について(まとめ)
2018年1月26日に発生した仮想通貨交換業者コインチェックにおける顧客の仮想通貨「NEM(ネム)」を流出(ハッキング)を受けて、各社のシステム・セキュリティ体制に注目が集まっています。1月29日に金融庁が行った記者説明の場においても各社のシステム管理体制について、全業者への注意喚起を行い、どのように自己点検しているか、また結果についてヒアリングを行うとし、必要に応じて立入検査も実施すると発表されました。
ここではコインチェックでの流出を受けて、各社がユーザーに向けて自社のシステム管理体制について公表した内容をまとめていきます。出来れば全社自社の体制について現行の状況を発表していただけるとお客様も安心されることかと思います(少なくとも登録事業者については)
■各社のシステム・セキュリティ管理体制
公表があった企業より順次追加していきます。またWEBに掲載されている企業については当該ページをリンクします。
| 会社名 | 発表日付 | 詳細ページ |
|---|---|---|
| ビットバンク | 01/29 | コールドウォレット・マルチシグ運用体制について |
| ビットトレード | 01/29 | コールドウォレット・マルチシグ運用体制について(※ビットバンク同様) |
| ビットポイントジャパン | 01/29 | 当社の情報セキュリティ管理態勢について |
| bitFlyer | 01/30 | セキュリティ・顧客資産保護に関する取り組み(PDF) |
| テックビューロ(Zaif) | 02/01 | セキュリティ対策室設置について |
| GMOコイン | 02/02 | GMOコインの顧客資産保護体制について |
| フィスコ仮想通貨取引所 | WEB | 利用リスクとセキュリティ体制(※Zaif同様) |
| コインチェック | WEB | サービスの安全性 |
| みんなのビットコイン | WEB | サービスの安全性 |
| Kraken | WEB | セキュリティポリシー |
※ビットトレードはビットバンクのシステムを利用しているため、リリースは常に同様。
※フィスコ仮想通貨取引所はテックビーロ(Zaif)のシステムを利用しているため、リリースは常に同様。
■ビットバンク(&ビットトレード)
▼ビットバンクのコールドウォレット・マルチシグ運用体制について
●当社のマルチシグ・コールドウォレット運用管理について
当社は下記の構成を適用することで、お客様資産の保護に努めています。
コールドウォレットの適用状況
対応:ビットコイン、ライトコイン、リップル、モナコイン、ビットコインキャッシュ、イーサリアム
マルチシグの適用状況
| 仮想通貨の種類 | コールドウォレット | ホットウォレット |
|---|---|---|
| ビットコイン | マルチシグ | マルチシグ |
| ライトコイン | マルチシグ | - |
| リップル | - | - |
| モナコイン | マルチシグ | - |
| ビットコインキャッシュ | マルチシグ | - |
| イーサリアム | - | - |
リップル、イーサリアムへの対応状況・現況については上記運用管理ページに詳細が掲載されております。
■ビットポイントジャパン
当社は、サイバー攻撃に対する対策として、様々な入口対策、内部対策、出口対策を講じております。各対策の具体例の一つとして、ログイン時の二段階認証をはじめ、お客様の資金移動時(口座間資金振替、売買、法定通貨の出金、仮想通貨の送付等)においては、登録メールアドレスへ通知する「認証番号」に加え、予め利用者の登録した「取引暗証番号」の入力を必須とした二段階認証なども導入しております。また、ホット・ウォレットの管理を含む当社のセキュリティに係る全ての施策は、当社独自のアルゴリズムと管理態勢に基づくものであり、例えば、ホット・ウォレットの秘密鍵が漏洩した場合であっても第三者がこの秘密鍵を解読することの不可能な対策を講じております。
■bitFlyer(ビットフライヤー)
▼「bitFlyer セキュリティ・ファースト」主義、及びセキュリティ・顧客資産保護に関する取り組み(PDF)
1.仮想通貨技術に関する施策
・コールドウォレット(所有する金額で 80% 以上の仮想通貨)
・マルチシグ(マルチ・シグネチャ)
・自社開発のビットコインデーモン
・暗号学的に安全な擬似乱数生成器の使用
・セキュリティ上問題のないコインに限った取り扱い
2.セキュリティ技術に関する施策
・通信セキュリティ
・FW/WAF
・IP アドレス制限
・2 段階認証の推奨
・ログイン履歴の管理
・インフラストラクチャーの管理
3.顧客資産保護に関する施策
・各種保険(2種類の損害保険を国内大手損害保険会社と契約)
・仮想通貨交換業者最大級の資本金
4.社内セキュリティに関する施策
・オフィスセキュリティ
・社内セキュリティ研修
■テックビューロ
セキュリティ対策室の設置
セキュリティ対策室長:朝山貴生/対策室メンバー:役員一同とネットワークエンジニア、管理部など
セキュリティの強化
・更なるマルチシグの強化(署名サーバー環境の更なる分散化、署名手順の更なる複雑化)
・ホット・コールドウォレット環境の強化(ホットの比率の見直しと、コールドの比率の引き上げ)
セキュリティ監査体制の強化
・社内の監査と社外の監査の連携、相互活用により、監査の実効性の更なる向上を図る
インシデント時における対策と体制の強化
■GMOコイン
顧客資産の分別管理
当社では、法令に則り、顧客資産は全て当社資産と分別して管理しております。仮想通貨は、当社保有分とお客様保有分で物理的に分離して保管しており、またお客様から預託を受けた金銭につきましても、当社の自己資金とは別口座で管理しております。
また、顧客資産と当社資産につきましては、毎営業日、過不足が生じていないかを算定・照合することにより、分別管理を徹底しております。
仮想通貨の保管方法(コールドウォレット管理とマルチシグ対応)
当社では、即時送付に必要な分以外の仮想通貨は、インターネットから隔離された「コールドウォレット」にて保管しております。
さらに、コールドウォレットからホットウォレットに仮想通貨を移動する際には複数部署の承認が必要な体制となっているため、複数名によって厳重に監視された状態でのみ、コールドウォレットからの仮想通貨の移動が可能となっております。
また、仮想通貨送付の際に複数の秘密鍵を必要とする「マルチシグ(マルチシグネチャ)」についても、当社のセキュリティ基準を満たす各仮想通貨に導入しており、秘密鍵をセキュリティ構成の異なる複数の場所に保管することでリスク低減を図っております。
