将来日本でのビットコイン、フィンテック、そしてデジタル通貨が何故とても恐ろしいのか。11の理由。
2013年5月16日木曜日夜、東京で私は中目黒のクライアントと一緒にビジネスディ
ナー(日本語でいう”接待”)に出席し、ビットコイン業界で最も力のある男、
マルク・カルプレス 氏の向かいに座りました。
私たちは技術について興味深い議論をし、素敵なリブアイステーキを楽しみ、何
本もあるボルドーワインのボトルは空になろうとしていました。
私は楽しい時を過ごし、彼の知性、野心、そしてこんな短い期間に彼のビットコ
インビジネスが繁栄したことに本当に感銘を受けました。
彼は既にオフィスとグローバルチームを何回も展開していたし、世界初のビット
コインカフェを開く計画を立てていて、複数の技術に様々な投資をしていました。
マルクとマウント・ゴックスのチームに会う前はビットコインに関する知識と経
験は限られていました。その後、私はWindowsのマイニングプリケーションを動か
していましたが、それは私のビットコイン採掘の日々の始まりであり終わりでも
ある数日間でした。
ちょうど数週間前、東京のデータセンターでフラッシュメモリのデータストレー
ジアレイクラスタを実装して、増大するマウント・ゴックスのビットコインオン
ライン取引サービスに必要なIOPSの軽減を提供したところでした。
ビットコイン取引はパフォーマンス上の問題に遭遇し、取引サービスは注文を履
行できないと、顧客から際限なく苦情を受けていました。
彼と一緒に夕食を食べてから数日立たずに、今では悪名高いマウント・ゴックス
のセキュリティ侵害について知り、マルクがテレビの画面で謝罪するところを見
ることとなりました。
私は妻に「ちょうど先日彼と一緒にディナーしていたよ!」と叫び、そして自然
にテレビのスクリーンショットを撮って友達とシェアしました。
2017年9月29日金曜日、日本の金融庁は仮想通貨交換業者として11社を認可したと
発表しました。また、17の事業者は継続審査中となっています。
世界の他の国々がICOの取引を阻止し、デジタル通貨取引を閉鎖する中、850,000
ビットコインと2,800万ドル近くの現金という大きな損失があった後に、いかにし
て日本はビットコイン取引をリードしていくのでしょうか?
私を誤解しないでください。私はブロックチェーン技術とデジタル通貨の将来を
強く信じています。私はいくつか個人投資をしており、2013年からこの技術をリ
サーチしています。これは日本が世界を変える技術でリードしていくための大き
な成果であり、明るい未来であると、私は信じています。
日本は停滞、腐敗、新しいイノベーションの不足に悩まされてきました。だから
といって、この大きな発表はとても恐ろしいものになるのでしょうか?
日本のサイバーセキュリティの意識、ポリシー、そしてほとんどの企業における
実装は実に恐ろしいものです。
ちょうど先日、私は大規模な製造会社を訪問し、サイバーセキュリティの実装と
ポリシーについて話し合いました。
彼らは重大なセキュリティ侵害を抱えていて、損害の範囲や侵入者がどれだけ深
いところに到達したかについて全く知らなかったことを思い知らされました。
これについて私は彼らに何を計画しているか尋ねたところ、次のように答えまし
た。
「私たちにはセキュリティのための追加予算はなく、来年の計画に追加しようと
している」
日本の大手製造企業のIT責任者は、2年前にActive Directoryのデータ全体が盗ま
れたことを数日前に発見しましたが、実際の損害の範囲の当たりがつかず、実際
にそれについて何かを行うための予算はありませんでした。
ここでの主な懸念事項は、他のシステムや場合によっては外部のクライアントに
潜在的なもっと多くの侵害があることです。
最高経営責任者から一般社員までにわたるセキュリティ意識は、日本では驚くほ
ど低く、非公式な「聞かざる、見ざる、言わざる」ポリシーが典型的に見られま
す。
セキュリティは、他国ではビジネス戦略として重要であり、企業生命に不可欠で、
ビジネスの中核であることを考慮した追加のコスト、または有益なコストとも
考えられています。
確かに、私は日本がより多くのセキュリティ意識を構築し、専門家を養成し、セ
キュリティレベルを向上させる努力に集中していると多くの報告書で見てきまし
たが、来る東京2020オリンピックに関してはごまかしのように見えます。
では、ビットコインに戻りましょう。
日本において11の仮想通貨交換業者が許認可されたことは驚くべきこと、そして
素晴らしいことでしょうか?
まあ、一概には言えませんが。
日本の仮想通貨交換業者のサイバーセキュリティに関する規制は明確に規定され
ておらず、さらに重要なことには、詐欺、放置、損害に対する予期しない影響に
対して、私の意見としては不十分であるということです。
日本の金融庁(FSA)が提供するガイドライン(仮想通貨交換業)は、記録が非常
に脆弱で、潜在的に人命を傷つける可能性があることから、セキュリティポリシ
ーの定義に対してもっと多くを盛り込むべきです。
日本政府によって認可されたこれらの仮想通貨交換業者が個人記録を維持し、デ
ータを交換し始め、最も重要なことには世界中の人々からリアルマネーを処理す
ることとなると、多くの懸念があります。
通信技術に対応するための銀行法に関する文書には、私が興味深いと思ったこと
もいくつか書かれています。
「資金決済法の既存の罰則規定は、仮想通貨交換御者にも適用される(107条から
109条、112条から117条)。罪の主な内容と罰金は次のとおり。
三年以下の懲役若しくは三百万円以下の罰金に処し、又はこれを併科する。(第
107条)」
基本的には罰金は最大3万ドル、懲役は3年、または悪質であればその両方という
のは、もし100万ドル相当のデジタル通貨を世界中から賄っているならば、かなり
軽いと思われます。
確かに、明確な動機を持つ個人には刑事罰がかかる可能性がありますが、果たし
て、十分なセキュリティ対策を実装せず、ハッキングされた場合はどうなるので
しょうか?
サイバーセキュリティリスクとセキュリティ実装ガイドラインについて
このガイドラインでは、アンチウイルス保護ソリューション、IPS/IDS、DDoS、お
よび管理のためのセキュリティ意識トレーニングといった基本的なセキュリティ
訓練について記述していますが、仮想通貨交換業者が実行しなければならない適
切なセキュリティフレームワークに関するガイダンスは不足しており、「デュ
ー・デリジェンス(Due Diligence)」の意味は単純に日本語には存在していませ
ん。
誤った行為に対する罰金や罰則は単に冗談であり、真剣に受け入れることはでき
ません。そして、ガイドラインはセキュリティ用語を含む文が基本的にほとんど
ありません。
ハッカー、ボット、マルウェア、ランサムウェア、ウイルス、DDoS攻撃、データ
漏洩、そして最も重要な「人的要因」といった、際限の無い様々なサイバーセキ
ュリティに対して、適切かつ現実的なセキュリティポリシーを実装するために、
仮想通貨交換業者には、より多くのお金がかかると想定されます。
仮想通貨交換業者のセキュリティ実装は厳格なガイドラインと罰則無しにでも計
画することはできるでしょうから、なぜ彼らは真剣に受け止めるでしょうか?
取引はどのくらい安全ですか?
脆弱性評価を行っていますか?
社員はソーシャルエンジニアリングを見極める適切なトレーニングを受けていま
すか?
フィッシングテクニックは?
疑わしい活動を見つけた場合の対応方法は?
開発がオフショアで行われたら?
投資家を安全にするには?
~ A chain is only as strong as its weakest link. ~
くさりは一番弱いところ以上には強くなれない。
日本は島(日本人はよくガラパゴスと呼ぶ)というかなりアクセスしにくい自然
の防御、人々の全般的な優しさ、信頼の文化の恩恵を受けてきました。
現在、様々な国がインターネット経由で際限なくアクセスしており、様々なセキ
ュリティリスクから仮想通貨交換業者を保護するためには、日本国内のデジタル
通貨取引を強化する必要があります。
デジタル通貨取引に対する攻撃が大幅に増加しており、日本がさらなる凋落を見
る前に、日本、金融庁と、仮想通貨交換業者が一歩踏み出し、行動し、実施し、
サイバーセキュリティをリードするときです。
著者: 渡辺 アラン