第1回議事録

概要

• 2018/02/08 8:00-9:30
• 参加者：楠、林、佐藤、鳩貝、荻生、加納、小宮山、落合、志茂、曾川、松尾、丸山、肥後

議事サマリ

頭出しと意識合わせ

• ゴール設定は、仮想通貨交換事業者に対するセキュリティ関係の自主規制というところに絞りたい
• 自主規制として交換事業者が守っていける、そしてかつ金融庁がそれをガイドラインにして何かしらの行政処分なり、ひとつの物差しとして金融庁が判断できるようなものが必要
• 金融庁に出す資料をその当該団体の人たちだけでやるのではなく、一緒にやる意味は？
  • 何かしら日本にひとつのスタンダードができるのがよいと思っていて、有識者に集まってもらっている。
• 二つの団体を統合する議論があり、建てつけができあがってから検討を始めてそこからまた何ヶ月かかるということが本当によいのだろうかと考えている。たとえば海外のルールがどうなっているのかとか、技術的にどういうことを検討しないといけないのかということは、できるだけ早い段階で事業者に閉じない形でアカデミアも入れながらしっかりと議論をしてまとめておく、そうすることによっていろいろな環境が整った時にきちっとしたルールメイキングができるような、そういう土台作りがここでできればいいなあと思っているのが呼びかけの背景
• 逆に言えばゴールが当面インフォマティブなこういったルールを作るための基礎検討と情報収集で一通りをとりまとめるというところまでであれば、任意のグループであったとしてもできるんじゃないか、むしろ業界から一定の距離をおいて中立的にもできるのではないか、という思いがあって今日は呼びかけさせていただいた。なので最終的にどういう形で自主規制なり金融庁のルールとなっていくかというところはもうちょっと状況の中で動いていく想定。

各自自己紹介

非開示

検討の方向性

• 用意された資料を説明
• 目的
  • できるだけ早い時期に安全対策基準を作るということ
  • 仮想通貨の関係者だけでなく、セキュリティの専門家も交えて、基礎的な事実や周辺国での規制、あるいは国際標準や他の近隣のベストプラクティスも含めてどうやって実効性のある安全対策基準を作れるのか、ということについて、役に立つような技術情報を取りまとめる、それによって基準が作れる環境を作っていくというところが当面の目標
• アウトプット
  • 読者は基本的には規制当局と、ルールができた時に守らなければならない事業者
  • そのルールを決めていく人たちは、ここに書いてあることはある程度意識しないと説明ができないという状態までは持っていきたい
  • 部分的にテクニカルレポート等も含めて標準としてアウトプットとして出せるものがあれば、それはぜひ知見を集約してパブリッシュしていきたい。
• 前提
  • 利用者、消費者の保護というところを第一において何を達成すべきかのベストプラクティスをきちっとまとめていく
  • まだまだ流動的で、今後もいろいろなインシデントとか攻撃がある世界だと思うので、基準を守っていれば責任を果たしているということではなくて、不断の見直しが必要である
• 検討の方針
  • セキュリティの分野では、セキュリティマネジメントシステム、リモート署名の検討など、すでにかなり知見が集約している部分もあるので、そういったものとの整合を意識したものにしていく
• スコープ
  • 最初のフェーズは、取り急ぎ喫緊の課題の交換事業者の安全対策基準
  • 将来的には、仮想通貨のエコシステムとして、決済代行業のウォレット管理、あるいは利用者側が使うハードウェアウォレットといったものもあるので、どこまで広げていくかは要議論。
• 検討の観点
  • 仮想通貨固有の問題にだけ足を取られるのではなくて、セキュリティマネジメントも含めて、体系的なものも意識して作る
  • 金融庁の規制との関係でいうとすでにFISC基準みたいな形で他の業界でやっていることもあるので、基礎的なところはここと合わせていかなければいけない
  • 若干特殊性があるかもしれないのは、ブロックチェーンも含めてガバナンスのモデルというのがどうあるのかというところ
  • 基本的にはウェブ上でビジネスをされている事業者さんがほとんどなのでウェブアプリケーションセキュリティ、クラウドセキュリティ、APIセキュリティといったところはトラッドな金融機関以上にクリティカル
  • ブロックチェーンそのもののセキュリティ。トランザクションマリアビリティーはもうすでにSegWitで問題なくなっているのかもしれないですけれど、それ以外のどういう脅威なりがあるのか
  • 他の業界であまり使われない暗号アルゴリズムが真っ先に使われる業界でもあって、特に数学的安全性が担保されていないものであったりとか、ハードウェアサポートがないみたいなものをどういう風に考えていくのか。
  • 一番大事なところとして、鍵管理。鍵管理のプラクティスをどうやって確立をしていくのか。PKIシステムとの違いはrevokeできないことが非常に大きな違いなので、revokeできない中で単なるconfidentialityだけではなくて、availablityをどうやって担保していくかというのが非常に重い課題
  • ネットワークセキュリティ、サイバー攻撃対策は特にインシデントの頻度が他の業界よりも多いので極めて重要
  • 内部不正対策やフォレンジックというところが特にまだ未熟な業界なので、ここきちっとルール作っていく必要がある。トラストフレームワークをどうやって作っていくか
• 最後にそういったことを一個一個これのためだけに考えるというのはあまり現実的ではないので、参照できるものは、どういう文書がしっかりしているのかを洗い出していくことと、逆に今の文書がカバーしていないところをはっきりさせて、そこの部分を専門家の知見を活かして体系をまとめていくというところが大事

自由討議

• どうやってメリハリをつけて実効性のある基準にしていくか
  • 一般的なインターネットセキュリティと、ビットコイン、ブロックチェーンのような仮想通貨関係のセキュリティに分けて考えるべき
  • 前者はある程度プラクティスもあるしスタンダードがあるのでそれを導入するかどうかを検討する
  • 後者に対して議論を深めたい。
    • 鍵管理とその運用。運用という意味では、4年くらいの運用実績があって、その中でもいろいろ攻撃であったり、苦労している部分ではあるので、一定程度共有できたらいい
    • コールドウォレットの定義のばらつき。コールド100%って謳っている事業者もいるが、一日3回コールドにつないでいるとしたらそれはすでにコールドとは呼ばないのでは、といった点が表出している
• 過去事例からどうやって学んでいくか
  • BitGoさんのプラクティスから。BitGo・Bitfinex問題というのがあって、BitGoというのは仮想通貨界隈で唯一といっていいほどのvaultサービスをやっていて、堅牢なサービスですという謳い文句でやっているが、Bitfinexで60数億とられた時にもBitGoがvaultサービスを提供していたが、運用でbitfinexにいわれるがままに出していた。そうするとここもまた運用の課題で、Bitfinexが「コールドから出してくれ」といって「はいいいよ」と毎回言われた通りに出していたら何のためのコールドなのだというのも論点
  • インシデントやサイバー攻撃についての情報は、仮想通貨業界の中では業界団体とか作って共有しているといったことはあるか
    • ほぼできていないと思ってよい
    • インシデントに関しても、なかなか情報開示していただけないが、当人(該当社)の報告を待つしかない
    • 過去に5、6年間で30件とか40件とか世界中で起きていると思うが、それらの大抵のものがはっきりとした情報は出ていない。
    • 特に海外のものは本当にうやむやのまま終わってしまったものも多く、ちゃんとレポートが出てきていない
  • 金融ISAC
    • 金融ISACにちゃんと入れていない事業者というのはかなり今多い状態にある。
    • 仮想通貨の交換業者も金融ISACに入った方がよいでしょうし、交換業者または大方のECのコマースやっているようなところはすべてナレッジを共有するみたいな体制をとっておかないと類似の攻撃を受けるリスクはすごく高いと思う
    • 情報共有。あとはフォレンジックの結果の共有
    • 自主規制団体とか法でやるとかいうのが必要ではないか。
• レギュレーターとの整合性
  • 規制当局との関係をしっかりとやっていかないと規制が穴だらけになる。そのためにどうやっていくのか
  • 同じくBitfinexの話だが、運用がアメリカでも決まっていなくて、法律をそのまま解釈すると非常にゆるいセキュリティ規制になってしまったと聞く。
  • 当局と整合性がとれていないセキュリティスタンダードって非常に危ない。本当はこうするとセキュアなのに法律がこうなっているのでこうやらざるを得ないから盗られちゃいましたというのは本末転倒
• この会の座組みと、セキュリティ基準策定の進め方
  • 春以降どこかのタイミングで新団体ができたとしたら、そこできちっと検討の母体が立ち上がるでしょう。その時に一から、情報収集から始めるのではなくて、ある程度論点整理までできあがっていて、業者の握りの世界までをやれば割と早期に基準ができるぐらいのところまで詰めておけると非常にいいのかなと考えている
  • 事業者団体の方でセキュリティのスタンダードを作りつつ金融庁と連携して、業界に対しての方向性を示しながら、そこでできた基準というものが金融庁がセキュリティの監督をする時のひとつの指針になれば有意義に、作ったもの、考えたもの自身がうまく回るような形が出きると思う
  • この場で一番必要だと考えているのは、中立性と第三者性。
    • 第三者性の方を先に言うと、出来上がったものが消費者保護の観点である程度世の中から見た時に納得できるようなものになっているかどうかというのは極めて重要。4月以降、いろいろなステークホルダー、消費者・利用者も含めて入って、それが消費者保護だったり利用者保護の観点で充足しているかどうかを確認する手順をとらないと、あとあと禍根を残す
    • 中立性に関しては、ある自分のコインの値段を釣り上げるがためにアカデミアを使ったり、逆にアカデミアを攻撃したりすることがままあって、極めてアカデミアで活動することの中立性が問われると考えている
    • 中立性と第三者性というのをどうやって担保するのかというのをみなさんで考えていただければ
  • 中立性
    • 中立性を保つという話でいくと、レポート出してそれで終わりではなくて、一般からパブリックコメントのような形で意見を求めていくような形にするなどで保てるのではないか
    • 中立性を担保できそうな人というと、やっぱり大学の先生かと思う。こういう会議体だと先生が座長になるケースが多くて、本会に関してはその方が適正だと考える。
  • 座組み
    • 意思決定をしていただく3名の先生の下にメンバーが入り、会をまわせれば、中央が誰なのかということを、アウトプットがどういう経緯で出てきたのかということをオープンで透明性をもってやっていけるのではないかと思う
    • 今日共有できたことをふまえてメリハリをつけて、検討のロードマップというのをきちっと持っていくのと、やっぱり多くの取引所に影響する議論をしているのであれば多くの事業者に入ってもらうことが必要。そのことも含めて座組みを考えていく。