fbpx

情報セキュリティにまつわる
お役立ち情報を発信

コインチェックNEM流失問題と仮想通貨の今後|セキュリティの判断目安はISMSとPマーク?

こんにちは。仲手川です。

久しぶりのブログ更新です。

昨年あたりから何かと話題の仮想通貨。

最近私の周りでもマイニングやICOの代理店、仮想通貨に特化した投資アドバイザーなど、
仮想通貨の仕事をしている人が増えてきました。

そんな、ビットコインをはじめとした仮想通貨が私の周りにもいるほど多くの方に認知されてきた矢先、
1月に仮想通貨取引所コインチェック社のNEM流出という、非常に痛ましい事件が起こりましたね。

私自身もコインチェックのユーザーの一人として利用してましたし、NEMやビットコインを始めいろいろなコインも持ってましたので、当時はちょっと焦りました。
冷静さを装いながらも、「このままコインチェックが倒産したら預けている俺のコインはどうなるんだぁ~!汗」と心の中で実はちょっと思っていたものです。
無事にNEM分もJPY(日本円)で保証され、他の全コインも取引ができるところまで復活し、今では安心しております。

事件当初から、コインチェック社の今後については、様々なうわさが飛び交っていましたね。
GMOが買収する!
いやいや、DMMが買う!
中にはビットフライヤーが引き継ぐらしい etc、、、
などなど、今思えば絶対に表に出るはずもないいいかげんな話が、全く根拠のない噂としてネット上を騒がせていたものです。

結局、つい先日なんとなんとあのマネックス証券がコインチェック社の全株式を取得し買収するという展開となりました。

これにより、仮想通貨取引をされている方もされていない方も、「おお~!あのカタくて有名なマネックスが運営するのであればもう安心だ!」と、コインチェック社の今後だけでなく仮想通貨市場全体に対して信頼が高まった方も多いのではないでしょうか。

一連の事件の最終的な落としどころといってもいいのと思うのですが、こうしてコインチェック事件騒動は終息を迎えましたのかもしれません。

と、しかしながらその一方で、まだまだ仮想通貨取引所への不安が払しょくしきれないのも、これまた事実です。

今回は、仮想通貨というものの最大の弁慶の泣き所でもある、「不正アクセス」から大切な情報を守るため、どんな点からセキュリティの安全性を判断するべきかの考え方の一つとしてお伝えしていきます。
これから仮想通貨トレードを始めることを検討している方の参考の一つにでもなれば嬉しいです。

コインチェック以外の取引所への影響とは?韓国ではISMSの取り締まりも強化

さて、日本円で580億円にも相当する金額が不正送金された、コインチェックの事件。
大勢の顧客を不安と混乱に陥れ、補償の問題は解決したものの、現在でも市場自体にはまだまだ不安要素は残ったままであり、根本解決はしていない状態です。

|仮想通貨の流出はなぜ起きたのか?

そもそもこの事件では、コインチェック社側の管理体制に問題があったと言われています。

当然ながら金融庁からはコールドウォレットをマルチシグで管理する体制が推奨されていたにもかかわらず、コインチェックはNEMをホットウォレットに保管したままにし、さらにはマルチシグを導入していなかったというのですから驚きです。汗

ちょっと仮想通貨を齧ってる人ならこれがどれだけ危険な状態かは誰でもわかりますよね。

そう。完全なるヒューマンエラー、つまり人災だったといえるのが今回の事件なのです。

コールドウォレットとは、インターネットから切断された仮想通貨を保管する財布のこと。

それに対して、ホットウォレットとはインターネットに接続された状態のネットバンクタイプの財布。
つまり、財布とはいえ、いつでも取引の為のアクセスが可能な状態のままだったとのことです。

当たり前ですが、ネットから隔離されたコールドウォレットのほうが、圧倒的にセキュリティが高いと考えられているのは簡単に理解できますよね。

また、マルチシグネチャとは、秘密鍵を複数用意し、分散して管理することを指します。
コールドウォレットをマルチシグで管理すると、セキュリティが向上しますが、その反面運用コストが嵩むのが難点です。

たとえば皆さんもご経験があるように、銀行のネットバンキングを利用する際、何重にもパスワードを入れる箇所が出てくるのと一緒です。
銀行はそのための開発費用や設備投資にめちゃくちゃ予算をとっています。

利用者も面倒ですが、大切な資産を守るというセキュリティーの観点からいえば当たり前のことなのです。

コインチェック社は事件後直後の記者会見で、この課題を解決できなかった最大の理由を「人手不足」と説明されてました。

|仮想通貨の今後のセキュリティ対策

とはいえ、幸い今回の事件をきっかけに仮想通貨をめぐるセキュリティ対策が大きく変化し始めました。

これまでは十分に浸透していなかった、「資金決済法」の改正による仮想通貨交換業の登録制度ですが、事件後は改めて金融庁の登録を受けた取引所の信頼性が高まることになるきっかけになったのです。

先日も業界団体の結成が行われ、今後はその業界団体が組合形式で方針を一本化する流れがあり、さらには安全管理体制や顧客資産の補償などの項目について、各々で自主規制ルールの整備も行われていくと、仮想通貨事業者TOP勢は記者会見で記者の質問に答えることになりました。

こういった取り組みは遅かれ早かれ起きたとはいうものの、コインチェック事件がそれを大幅に早めたのは事実です。
一大市場である仮想通貨業者にとっては、ユーザーに信頼されていくためにも「手と手を取り合いみんなで一緒に健全な業界にしてこ~」という動きが一気に高まったというわけです。

日本だけでなく、世界各国でもセキュリティ強化の動きが広がっています。
韓国では、1日の売り上げが100億ウォン(日本円で約10億ちょい)以上になる仮想通貨取引所に対して、運営のためにISMS証明書が必要になるなど、政府が国内の投資家の保護や違反の取り締まりを強化する姿勢を見せました。

このように、国際的な動きとして仮想通貨のセキュリティ対策については、今後より一層の発展が期待されているのです。

個人情報を不正アクセスから守るISMSとPマークの違いとは

さて、韓国の取引所でISMS認証(ISO27001)が必要になったと前項でふれましたが、大切な個人情報を不正アクセスから守る認証として、「ISMS(ISO27001)」と「プライバシーマーク(Pマーク)」があります。

余談にはなりますが、ここでは当社もコンサルティングサービスを実施している、両者(2つの認証制度)の情報保護における違いについてお伝えします。

まず、ISMSは「情報セキュリティマネジメントシステム」のことで、個人情報をはじめとした情報資産をすべて保護するのがその役割となります。

それに対して、プライバシーマーク(Pマーク)は企業全体における個人情報の保護が役割です。
ISMSでは情報資産を保護する仕組みに決まりがなく、企業ごとにルールや書類の作成が可能となっています。

一方のPマークでは、定められた手順や書類の規格に適さない場合の取得ができません。
つまり、ISMSは独自の保護する仕組みがあればいいのに対し、Pマークは一定のルールに基づいた仕組みでなければいけないというのが取得条件です。

ただ、上記のような違いがあるものの、いずれも情報セキュリティの高さの目安となる認証という意味においては一緒です。

PマークとISMS(ISO27001)の違いについて

仮想通貨取引所の選び方は金融庁の認可とISMS・Pマーク取得の有無が目安に

今後、より安全に仮想通貨の取り引きをするためには、取引所の選び方が重要になってくるでしょう。

その際に目安となるのが、金融庁による認可の有無、そしてISMSやプライバシーマークなどの認証取得の有無です。
これらを目安に、適切な情報の取り扱いがなされている取引所を選びましょう。

なお、こういった判断は、仮想通貨取引所の選択時に限られたものではありません。
ネット通販でものをかったり、ITサービスを利用したりと、大切な個人情報を預けるサービスを選ぶとき、判断材料のひとつとしてポイントとして理解しておきましょう。

まとめ

コインチェックの事件から、仮想通貨に対する不安が広がった一方で、逆にますますセキュリティ対策の重要性に注目が集まり、皮肉なことに業界の健全化に向かう起爆剤となりました。

冒頭でお伝えした通り、私自身も仮想通貨トレードをやっているコインチェックの一ファンでもあることから、コインチェック社を含める仮想通貨取引所の皆様には今後ますますの成長性を期待しております。

「事件は時代を映す鏡」
と言われますが、そういった意味では今回の一連のコインチェック事件は必然的に発生した出来事だったといえるのかもしれません。

仮想通貨取引所をはじめ、重要な個人情報を預けるサービスを選ぶ際は、金融庁の認可およびISMSやPマークなど、情報保護の観点から検討してみてはいかがでしょうか?

★こちらの記事もおすすめ

→【仮想通貨を支えるブロックチェーン技術の仕組みと取引所のセキュリティってどうなっている?(ISMS取得事業者からよくある質問)】

この記事を書いた人

仲手川

仲手川

■出身地:神奈川県 ■趣味:読書、格闘技観戦 ■苦手なもの:混雑している場所 ■著書:Pマーク・ISMSを取ろうと思ったら読む本(幻冬舎) 東京、名古屋、大阪、福岡にオフィスを構える株式会社UPFです。 日本全国を対象にISMS、プライバシーマークの新規取得と取得後の運用支援コンサルティング事業をしております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846 セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る