仮想通貨取引所がセキュリティに関するお知らせを発表

f:id:fx-woman:20180203003410p:image

こんばんは！
今日は、Coincheck(コインチェック)の騒動を受けて、主要な仮想通貨取引所が次々に顧客資産の保全方法やセキュリティに関して発表があったのでいくつかの業者を紹介します。

GMOコインの顧客資産保護体制について

GMOコイン
【顧客資産の分別管理】
・法令に則り、顧客資産は全て当社資産と分別して管理。
・仮想通貨は、当社保有分とお客様保有分で物理的に分離して保管しており、またお客様から預託を受けた金銭につきましても、当社の自己資金とは別口座で管理している。
また、顧客資産と当社資産につきましては、毎営業日、過不足が生じていないかを算定・照合することにより、分別管理を徹底している。

【仮想通貨の保管方法（コールドウォレット管理とマルチシグ対応）】
・即時送付に必要な分以外の仮想通貨は、インターネットから隔離された「コールドウォレット」にて保管。
さらに、コールドウォレットからホットウォレットに仮想通貨を移動する際には複数部署の承認が必要な体制となっているため、複数名によって厳重に監視された状態でのみ、コールドウォレットからの仮想通貨の移動が可能となっている。
また、仮想通貨送付の際に複数の秘密鍵を必要とする「マルチシグ（マルチシグネチャ）」についても、当社のセキュリティ基準を満たす各仮想通貨に導入しており、秘密鍵をセキュリティ構成の異なる複数の場所に保管することでリスク低減を図っております。
【サイバー攻撃対策】
当社では、悪意のある第三者によるサイバー攻撃に対し、「お客様アカウントの乗っ取り」「システムへの侵入」の2つの観点から対策を講じております。
「お客様アカウントの乗っ取り」に対しては、下記の対策を実施しております。
・日本円出金や仮想通貨送付の際に、2段階認証を必須化
・ログイン実績のない環境からログインがあった際に、2段階認証を必須化
・ログイン履歴の記録とメールによるお客様への通知

「システムへの侵入」に対しては、下記の対策を実施しております。
・システムの24時間365日監視
・外部のセキュリティ専門家による定期的なシステム脆弱性診断
・グループ会社と連携した脆弱性情報の収集

【今後のさらなる体制強化】
当社では、外部専門家と連携しながら、サイバー攻撃等の各種リスクを定期的に評価、分析し、顧客資産保護体制を継続的に改善していく体制を構築しております。

Zaifのセキュリティ対策室設置について

この度、テックビューロ株式会社（以下、弊社）では、「テックビューロ（Zaif）セキュリティ対策室」を設置いたします。
弊社は、従前よりデータの暗号化やマルチシグ（複数者署名）の採用をはじめ、コールドウォレット化（サービスのネットワークから完全に切り離されたウォレット）の採用等、あらゆる手法を用いて顧客財産の保護に努めてまいりました。
今回、セキュリティ対策室を設置することにより、あらためて弊社セキュリティ対策状況の点検、対策手法の再検討および内部体制を充実させ、より一層のセキュリティ強化、インシデント対応の迅速化を目指してまいります。

【設置日時】
2018年1月29日
【対策室】
セキュリティ対策室長：朝山貴生
対策室メンバー：役員一同とネットワークエンジニア、管理部など
【目的】
仮想通貨ウォレットとZaif取引所に関するセキュリティの強化
各省庁とお客様に対する迅速な情報開示
インシデント時の迅速な調査と対応方針策定、実施対応、報告
定期的なセキュリティ調査と監査
外部のサービスや専門家を用いた安全性の確認
セキュリティ専門家の雇用
定期的なセキュリティに関する協議と報告

【セキュリティの強化】
更なるマルチシグの強化
ウォレットがすでにマルチシグ化されている通貨を含め、更なるマルチシグ環境の強化を実施します。
マルチシグにおける署名サーバー環境の更なる分散化
マルチシグにおける署名手順の更なる複雑化
ホット・コールドウォレット環境の強化
既存の厳格なルールから、更なるセキュリティ強化のためコールドウォレット優先化を実施します。

【ホットの比率の見直しと、コールドの比率の引き上げ】
通常、ユーザーの入出金に合わせた残高をホットウォレットで管理するが、更に高度な残高予測アルゴリズムを導入することにより、その数値を最小限にとどめる。
ただしコールドウォレット優先化に伴い、引き出し制限により「すぐに引き出せないことがある」など、一部ユーザー体験を損なう可能性があるが、セキュリティ優先の旨をユーザーに徹底周知する。

【セキュリティ監査体制の強化】
専門人員の雇用を含め、社内、社外におけるセキュリティ監査体制の更なる強化を実施します。

社内の監査と社外の監査の連携、およびそれらの相互活用により、監査の実効性の更なる向上を図る
セキュリティ対策室に専門家を起用
外部セキュリティ対策・監査サービスの利用
セキュリティツールの導入

【インシデント時における対策と体制の強化】
セキュリティ対策室の設置により、過去インシデント対応で直面した問題への対応を含め、以下のような現状の改善を実施します。

顧客への個別ヒアリング、内部ログの監査、取引データの精査など、時間を要していたプロセスの迅速化
オペレーション（サポート）部門との調査における連携の強化と、お客様への情報提供の迅速化
広報部との連携の強化と、お客様やメディアへの情報提供の迅速化
管理部との連携の強化と、各省庁への情報提供・共有
瑕疵や過失の特定の迅速化
補償の有無やその内容の意思決定の迅速化

bitFlyer セキュリティ・ファースト主義、及びセキュリティ・顧客資産保護に関する取り組みについて

【「bitFlyer セキュリティ・ファースト」主義】
１．当社及び当社グループは、全社一丸となり最新セキュリティ技術を導入し、お客様にご安心いただけるセキュリティ管理体制を維持し続けます。
２．当社及び当社グループは、顧客資産保護のため必要なセキュリティ対策を策定し実施します。
３．当社及び当社グループは、万が一セキュリティに関する事故等が発生した場合には、金融庁、警察庁、警視庁及び日本ブロックチェーン協会（以下、「JBA」）と連携し、速やかに適切な措置を実施するとともにその状況を当局等に報告します。
４．当社及び当社グループは、セキュリティに関する内部監査体制を構築し、セキュリティ対策の継続的な改善・見直しを実施します。
５．当社及び当社グループは、セキュリティの重要性を常に認識し、各種法令・内部規程を遵守します。
当社は、金融庁の審査を経て、2017 年 9 月に仮想通貨交換業者としての登録を終えております。仮想通貨業界のリーディングカンパニーとして、以下のチームを中心に各種法令・内部規則を遵守しております。
・金融機関、中でも特にリスクに精通した分野出身の経営陣
・CISO（Chief Information Security Officer）を中心としたサイバーセキュリティチーム
・金融機関でのコンプライアンス業務経験者によるコンプライアンスチーム
・国内大手弁護士事務所出身の弁護士、米国及び欧州の弁護士チーム

また、2017 年 11 月には当社子会社である bitFlyer USA, Inc. が米国ニューヨーク州にて BitLicense を取得、2018 年 1 月には当社子会社である bitFlyer EUROPE S.A. が欧州ルクセンブルクにて Payment Institution License を取得いたしました。当該ライセンス取得において、AML/CFT やコールドウォレットの管理等は日本で法令上求められる水準よりも厳格な運用が求められており、当社においても当該ライセンス取得要件以上の水準にて運用を行っております。また米国の NIST800-30, ISO31000 等のガイドラインに基づいた IT Security Audit を実施しております。
JBA より 2018 年 1 月 27 日に発表があったとおり、当社は 1 月 26 日に金融庁からセキュリティに関する注意喚起を受け取っております。当社は当注意喚起において金融庁より求められた対策については既に実行いたしましたことをお知らせいたします。

また、事業における優先順位の見直しを行い、セキュリティ・顧客資産保護のための施策が最優先であることを改めて全社で意識統一・徹底いたしました。当社システム全体を対象として、今一度セキュリティの観点から点検を実施し、瑕疵のないことを確認いたしました。引き続き、不正送金を始めとするさまざまな課題に対処できるよう、全力で取り組んでまいります。
セキュリティ管理体制の整備には終わりはなく、各種不正アクセス手法の変化に応じて最新の技術を取り入れ、日々努力し続けることが要求されます。当社は上記「bitFlyer セキュリティ・ファースト」主義に基づき各種施策を行い、お客様の大切な資産を厳格に守っていくことをお約束いたします。