第3回議事録
概要
- 2018/2/21 8:00-9:30
- 参加者:上原、松尾、楠、松本、崎村、小宮山、島岡、佐藤、中島、林
agenda
- Agenda Bashing, Note Taker
- 第2回議事録案の確認・承認
- TF Status update and WG Status update
- 知財の取扱について
- Issues
- 金融庁および業界団体リエゾン方針
- ドキュメント案
- FB議論まとめ
- AOB / Housekeeping
議事サマリ
agenda1. Agenda Bashing, Note Taker
agenda2. 第2回議事録案の確認・承認
- 承認
agenda3. TF Status update and WG Status update
議長から取引所セキュリティに関する検討とBCPに関する提案があることがなされた。 WG Charterについて、FBで承認する旨を記載することで承認されるというプロセスの確認と、ドキュメントにTBDとなっている項目についてはオンラインで調整を進めるという方針が共有された。
agenda4. 知財の取扱について
- 結論
- 本TFにおける知財の取扱について、資料に基づき説明がなされた。
- 以下の通り質疑がなされ、本提案を採用することで一致した。
- 議論
- 知財を気にしている参加者は存在するか
- 自社の方針として気にし得ざるを得ない
- 潜在的な知財は開示しておく必要がある
- 歴史的には後出しで知財問題が発生し続けている。手の内を晒しているのが大事
- 開示された情報を判断できることが大事
- 今後この成果をISOに持っていこうと思っているが、IETFライセンスしていることが障壁になるか?
- 問題なく、TFできちんと整理されていることが重要である
- bitFlyer社:BitcoinとBlockchainの商標をもっていることを表明する
agenda5-1. 金融庁および業界団体リエゾン方針
- 提案
- 金融庁・警察庁などの省庁並びに業界団体とのリエゾンの方針について提案がなされ、議論を実施した。
- 結論
- 議論の結果、金融庁に対して参加を依頼すること、その他省庁については、オブザーバとしての参加を依頼すること、業界団体についてリエゾンを依頼すること、Coincheck社とBitGo社については参考人として承知することで合意した。
- 各省庁・業界団体などについては、各メンバーが担当することで合意した。
- 質疑・議論
- 本TFがスコープとする業種について
- 組織名にFinanceをつけるというのは決まっているのか?
- 既に2度ほど決議をしている。
- Finance外のトピックも取り扱っていく可能性があるか?
- 非FinanceのFintechも対象になるのか?たとえばwalletは入るのか?
- 規制官庁の問題ではなく、業としてfinanceかどうかが重要
- 各事業者団体で解決できる問題は、事業者団体で解決していただき、そこで解決できない問題について取り組みたいと考えている
- 金融庁リエゾンについて
- 金融庁リエゾンは賛成で、この会を特定して述べていないが有識者で会議をしているという話をしている。金融庁は技術がわかってない。金融庁だと課長補佐クラスの人がいれば、情報ルートとしていいのではないか
- (省庁に話をすると)メンバーがどのような人なのか?というのを必ず聞かれるが、メンバーに含めれて困る人はいないか?
- 警察庁リエゾンについて
- 警察庁は含めなくていいのか?
- こちらからあえて呼ばず、呼ぶとしたら金融庁から呼んでもらうのがよいのでは?
- JBAには警察庁のサイバーセキュリティ担当を呼んでいる。参加してもらうことで、Coincheck事件についての情報が見えてくると良い。
- 警察庁情報技術犯罪対策課が対応している。
- 最終的なドキュメントに問題が起きたときのBCPを含めるとすると、警察関係が含められているとよい。
- 警察とは毎日やり取りをしている
- 経済産業省リエゾンについて
- 経産を含めるとしたらどこか?
- 情報機器課が担当になる
- 鍵の所有権について
- (秘密)鍵が誰のものかという議論はスコープに含めるのか?
- 3月までにはスコープに含めないといけないと思っている。
- 各省庁とのリエゾンについて
- メンバーより、様々な組織と横断的にリエゾンすることに対する懸念が示されたが、CRYPTORECの例をみても複数の省庁をまたがるのは厳しい。まずは金融庁で消費者保護などに集中して取り組むほうがよいと思う
- 巻き込み方を工夫すべきである。事務局が問題。オブザーバーという形で参加してもらっていれば問題ない。すべて決まってから、持っていくとどういう反応が返ってくるかわからないというリスクがある。今回警察庁が良い悪いどちらの反応となるかわからない。
- 主幹とサブ、そしてそのバランスに気をつけなければならない
- 警察庁は情報窃盗みたいな事案にすごく気を使っており、興味を持っている可能性があるため、ケアしておいたほうが良い
- 金融庁・警察庁・消費者庁で会合を持ったという話を聞いてるので、そこを見ながら座組を組めばよい。
- 局長級のリエゾンであれば、オブザーバーとして入っていただくのがよい。いずれにしても金融庁に相談して進めるのが良い。
- BCCCとのリエゾンについて
- BCCCやJNSAは意識したほうがよいか
- BCCCの副代表理事として、もしBCCCとして参加してもOKなのであれば本会合にBCCCとして参加したいと思う。事業者としての意見と、BCCCとしての意見に相違が発生すると思うがよいか?
- BCCCとしての立場と事業者としての立場が異なるのは問題ない
- フィンテック協会とのリエゾンについて
- フィンテック協会もお誘いしたほうがいいか?
- FinTech協会は現時点ではまだ声をかけなくてもよい。
- 参考人招致について
- (情報を)提供する側ともらうほう側がある。参考人としてcoincheckとbitgoも呼びたい。bitfinex事件について話をしてもらえると思うので、招致してもよいか?
- bitgoも海外のセキュリティ標準を紹介するみたいな話をbitflyerに持ってきている。
- 取締役がcoincheckにいっているので、なんらかのコネクションが期待できる可能性がある
- マルク(カルプレイス) さんも呼びたいと思っているが、リスクはあるか?
- リスクがある可能性もあるが、事情がわかっている人と相談してリスクをクリアできるとよい。
- 彼は保釈されているので、保釈条件に抵触すると収監されてしまうのでそのリスクがあるのではないか。
- Coinbaseの作った自主規制団体情報について
- Coinbaseの作った自主規制団体情報を集めたほうがよいか
- まだ小さいので、現時点ではお声がけはいらないと思う
- 利害関係を表明しておくと、親会社が出資をしているので何か聞けるかもしれない
- 本TFの概要について
- 金融庁に行くにも、警察庁に行くにもこの団体の概要を示さないといけないので、早急に準備する必要がある
- 本TFがスコープとする業種について
agenda5-2. ドキュメント案
- 提案
- はじめに、提出された取引所セキュリティに関する検討資料に基づき説明がなされた。TFの成果としてのドキュメントを作りにあたり、フェーズを直近で成果が求められるフェーズ1と、その後課題に取り組むフェーズ2の2つにわけることが資料に基づき提案された。
- 続いて、仮想通貨セキュリティのBCP(Best Current Practice)に関する私案について説明された。
- 結論
- 議論の結果、フェーズ1として3月末を目標に、仮想通貨交換業を有し、秘密鍵を取り扱うモデルを対象として要件を含めた取引所セキュリティに関する考え方のドキュメントを作成し、監査項目や実装方法、またそれらを含んだチェックシートについてはフェーズ2として夏頃を目標として作業することで合意した。
- 議論
- フェーズわけについて
- ph1, ph2以降の話がある。ph1は直近何か成果を出す。ph2はそのドキュメントを出した後の話。ph1, ph2で何をやるか決めたい。課題を出していくことは、ここで取り扱うか扱わないかを問わず重要である
- システムモデルについて
- システムモデルは加納さん杉井さんに見て欲しい
- コールドウォレットを書いてないのは脅威に対する対策として書いているから
- インターフェイスに顧客じゃないIFが必要。取引所毎に違う話もある。
- 出来るだけ個別のインプリには踏み込まない
- イメージに相違はない。よく聞かれる質問で、勘定とwalletが別なのか?という質問をされる。事業者では常識的な話だが、顧客の資産を守るために、先に資産を受取、その後取引を実施している
- 取引と入出金は異なる。勘定で持っているバランスとブロックチェーン上で持っているバランスを合わせておかないといけない。そこが勘違いポイントなので気をつけたい。
- スコープの整理について
- スコープを4象限マトリクスで考えた。交換業であるかと、秘密鍵を持っているかという2軸で分類ができる
- consumer向けと事業者向けで分けられるのか?
- 現実的に起こってないケースの議論をしても仕方がない。
- walletが交換業にあたるかについて
- 誰かが生成した鍵をどこかに配送して利用するというケースは良くない
- blockchain.infoとかは交換業には当たらない
- walletというのは媒介しているので、業にあたる可能性があるが、弁護士含めて議論した見解か?
- breadwalletは業の範囲、blockchain.infoは業の範囲外。交換が発生するwalletは業の範囲。業の範囲外で鍵をもっているというケースもある。分類をしたときに、ph1で対象となるのは業であって、鍵をもっているケースと認識している
- 鍵管理の主体について
- 交換所というコンテクストだと自分たちで鍵を管理しないといけないと言われるのか
- 外部委託して鍵を管理するということも可能なはず
- 委託先の業務もスコープに入るのか
- 入る
- ph1で取り組むスコープについて
- 業ではないが、鍵を持っているというのもスコープに含めるか?
- ph2で実存する事業者をマトリックスにプロットして整理をしたほうがいい。第1象限(交換業者かつ鍵を有している)をやるということについては異論はないか?
- bitgoは業はもっているが、鍵を持っていないという第3象限。
- 当面、第1象限が対象。
- 第一象限のシステムモデルについて
- 第一象限の中でシステムモデルがばらける可能性はあるか?
- ない
- 第1象限にここだけは入らないみたいなのがあればコメントがほしい
- ドキュメントの名称について
- ホワイトペーパの名前、CryptoCurrenct (Exchange) Security BCPという名前が出ているがどうするのがよいか。
- 第1象限に限るのであれば、仮想通貨交換所のセキュリティが適切だが、鍵管理以外の話も含まれている。
- 既存の基準・標準との関係について
- 仮想通貨特有の話に特化して進めるという認識で相違ないか
- FISCなど従来の情報セキュリティドキュメントと重複するので、どういうドキュメントにするのがよいか。
- 成果物としてのドキュメントについて
- 仮想通貨交換事業者の安全管理についての考え方など?
- 世の中が求めているのは仮想通貨交換事業者の安全管理基準みたいなのを求めているが、そこまで出せるかはわからない。
- 3末までは考え方をまとめ、その後付属書として夏ぐらいまでにチェックシートを作るという方向性もある
- 基準じゃなくてもいいが、self checkぐらいがあって、それに従っていると言えると使いやすい
- checkシートとなると粒度が細かくなっていく。
- 考え方で要件まできちんとまとめる。手段とか監査項目とかは別に準備を進めていく。
- PKIで考えると、CPにあたるものを作るべき。具体的にはCPSを作ってそれに基づいて監査を実施するというフェーズに成る。
- チェックリストについて
- チェックリストだとすると、業者に寄って守れる、守れないという話が出てくる。守れないから入れないとなってしまっては意味がない。業者が入って、守れる・できるガイドラインを作って金融庁と握っておくのが重要
- 基準の適用について
- 4月1日に新団体ができるという話があるので、そっちでenforceできると思う。
- 鍵管理について
- 秘密鍵なのか署名鍵なのか、鍵管理という話になったときにわかりづらい
- 資料p9に鍵の種類をまとめているが、鍵の種別にしても整理したい。
- 最初から鍵をバラバラにして管理している。秘密鍵そのものを分割して持っている(非活性化)一般的でない暗号通貨というのもある。bitcoinも最終的には秘密鍵なので、walletはpassphraseで暗号化されているみたいな仕組みが実装されている。
- ステークホルダーについて
- どういうステークホルダがいるかというのがわかるといい。
- 作業方針について
- どこかで会って作業をしたほうがいいので、サブミーティングで実施するでもいいかと思う。
- WGとして作業をする+意見ともらえる人に名乗り出ていただきたい。作業のためのミーティングをしたい
- FBに資料をあげるので、ディスカッションが必要になったら声をかけてほしい
- フェーズわけについて
agenda6. AOB
- なし