仮想通貨取引所の「顧客資産保護体制」まとめ

2018年1月26日に発生した仮想通貨取引所 coincheck（コインチェック）からの不正流出事件をうけて、各取引所が「顧客資産保護体制」を発表しました。これまでに公開された内容を取引所ごとにまとめました。

bitFlyer（ビットフライヤー）の顧客資産保護体制

ビットフライヤーは、セキュリティ・顧客資産保護を最優先し全力で取り組むことを表明するとともに「bitFlyer セキュリティ・ファースト」主義を発表しました。

仮想通貨技術に関する施策

• コールドウォレット（所有する金額で 80% 以上の仮想通貨）
• マルチシグ（マルチ・シグネチャ）一定の基準で設定。今後基準を強化。
• 自社開発のビットコインデーモンを使用
• 暗号学的に安全な擬似乱数生成器の使用
• セキュリティ上問題のないコインだけを取り扱っている

セキュリティ技術に関する施策

• 通信セキュリティ
• FW/WAF
• IP アドレス制限
• 2段階認証の推奨
• ログイン履歴の管理
• インフラストラクチャーの管理

顧客資産保護に関する施策

• 各種保険（2種類の損害保険を国内大手損害保険会社と契約）(*1)
• 仮想通貨交換業者最大級の資本金

(*1)「当社へのサイバー攻撃等によって発生したビットコイン（bitcoin）の盗難、消失等に 係るサイバー保険」
「二段階認証登録ユーザー様のメールアドレス・パスワード等の盗取により行われた不正な日本円出金に係る補償」

社内セキュリティに関する施策

• オフィスセキュリティ
• 社内セキュリティ研修

詳細は下記の引用元ページ（PDF）に記載されています
>> 「bitFlyer セキュリティ・ファースト」主義、 及びセキュリティ・顧客資産保護に関する取り組みについて（PDF）

Zaif（ザイフ）の顧客資産保護体制

セキュリティ対策室について

設置日時
・2018年1月29日

対策室
・セキュリティ対策室長：朝山貴生氏（Zaif 代表）
・対策室メンバー：役員一同とネットワークエンジニア・管理部など

目的

• 仮想通貨ウォレットと Zaif 取引所に関するセキュリティの強化
• 各省庁とお客様に対する迅速な情報開示
• インシデント時の迅速な調査と対応方針策定、実施対応、報告
• 定期的なセキュリティ調査と監査
• 外部のサービスや専門家を用いた安全性の確認
• セキュリティ専門家の雇用
• 定期的なセキュリティに関する協議と報告

セキュリティの強化について

更なるマルチシグの強化

ウォレットがすでにマルチシグ化されている通貨を含め、更なるマルチシグ環境の強化を実施します。

• マルチシグにおける署名サーバー環境の更なる分散化
• マルチシグにおける署名手順の更なる複雑化

ホット・コールドウォレット環境の強化

既存の厳格なルールから更なるセキュリティ強化のためコールドウォレット優先化を実施します。

ホットの比率の見直しと、コールドの比率の引き上げ

通常、ユーザーの入出金に合わせた残高をホットウォレットで管理するが、更に高度な残高予測アルゴリズムを導入することにより、その数値を最小限にとどめる。

ただしコールドウォレット優先化に伴い、引き出し制限により「すぐに引き出せないことがある」など一部ユーザー体験を損なう可能性があるが、セキュリティ優先の旨をユーザーに徹底周知する。

セキュリティ監査体制の強化

専門人員の雇用を含め、社内、社外におけるセキュリティ監査体制の更なる強化を実施します。

社内の監査と社外の監査の連携、およびそれらの相互活用により監査の実効性の更なる向上を図る

• セキュリティ対策室に専門家を起用
• 外部セキュリティ対策・監査サービスの利用
• セキュリティツールの導入

インシデント時における対策と体制の強化

セキュリティ対策室の設置により、過去インシデント対応で直面した問題への対応を含め、以下のような現状の改善を実施します。

• 顧客への個別ヒアリング、内部ログの監査、取引データの精査など時間を要していたプロセスの迅速化
• オペレーション（サポート）部門との調査における連携の強化と、お客様への情報提供の迅速化
• 広報部との連携の強化とお客様やメディアへの情報提供の迅速化
• 管理部との連携の強化と各省庁への情報提供・共有
• 瑕疵や過失の特定の迅速化
• 補償の有無やその内容の意思決定の迅速化

詳細は下記の引用元ページに記載されています。
>> テックビューロ（Zaif）セキュリティ対策室設置について

GMO コインの顧客資産保護体制

顧客資産の分別管理

• 法令に則り、顧客資産は全て当社資産と分別して管理。
• 仮想通貨は、当社保有分とお客様保有分で物理的に分離して保管しており、またお客様から預託を受けた金銭につきましても、当社の自己資金とは別口座で管理している。
• また、顧客資産と当社資産につきましては、毎営業日、過不足が生じていないかを算定・照合することにより、分別管理を徹底している。

仮想通貨の保管方法（コールドウォレット管理とマルチシグ対応）

・即時送付に必要な分以外の仮想通貨は、インターネットから隔離された「コールドウォレット」にて保管。

さらに、コールドウォレットからホットウォレットに仮想通貨を移動する際には複数部署の承認が必要な体制となっているため、複数名によって厳重に監視された状態でのみ、コールドウォレットからの仮想通貨の移動が可能となっている。

また、仮想通貨送付の際に複数の秘密鍵を必要とする「マルチシグ（マルチシグネチャ）」についても、当社のセキュリティ基準を満たす各仮想通貨に導入しており、秘密鍵をセキュリティ構成の異なる複数の場所に保管することでリスク低減を図っております。

サイバー攻撃対策

当社では、悪意のある第三者によるサイバー攻撃に対し、「お客様アカウントの乗っ取り」「システムへの侵入」の2つの観点から対策を講じております。

「お客様アカウントの乗っ取り」に対しては、下記の対策を実施しております。

• 日本円出金や仮想通貨送付の際に、2段階認証を必須化
• ログイン実績のない環境からログインがあった際に、2段階認証を必須化
• ログイン履歴の記録とメールによるお客様への通知

「システムへの侵入」に対しては、下記の対策を実施しております。

• システムの24時間365日監視
• 外部のセキュリティ専門家による定期的なシステム脆弱性診断
• グループ会社と連携した脆弱性情報の収集

今後のさらなる体制強化

GMO では、外部専門家と連携しながら、サイバー攻撃等の各種リスクを定期的に評価・分析し、顧客資産保護体制を継続的に改善していく体制を構築しているようです。

（引用元ページはこちら）
>> GMO コインの顧客資産保護体制について

bitbank（ビットバンク）の顧客資産保護体制

コールドウォレットの適用状況

対応：ビットコイン（bitcoin）｜ライトコイン（Litecoin）｜リップル（Ripple）｜モナコイン（Monacoin）｜ビットコインキャッシュ（Bitcoin Cash）｜イーサリアム（Ethereum）

マルチシグの適用状況

コールドウォレット・マルチシグの適用
ビットコイン｜ライトコイン｜モナコイン｜ビットコインキャッシュ

ホットウォレット・マルチシグの適用
ビットコイン
※ビットバンクのホットウォレットには顧客資産は含まれず、自己資産のみの運用となっています。

リップル｜イーサリアムのマルチシグの適用に関しては下記の引用元ページに詳細が記載されています。
（引用元ページ）
>> ビットバンクのコールドウォレット・マルチシグ運用体制について

DMMBitcoinの顧客資産保護体制

お客様資産の分別管理について

分別管理

お客様から預託された資産（金銭及び仮想通貨）は全て当社の資産と分別して管理し、毎営業日算定・照合しています。

金銭の分別管理

お客様から預託を受けた金銭は、当社の自己資金とは別口座で管理しております。

仮想通貨の分別管理

仮想通貨の保管場所は、当社保有分とお客様保有分で物理的に分離して管理しております。

※分別管理にてお客様の資産管理を行っておりますが、お客様の資産の全額を返還することを保証するものではございません。

コインチェック（coincheck）の顧客資産保護体制

現在、発表・対応待ちです。