ビットフライヤーは2014年の創業以来、セキュリティ・顧客資産保護を経営上の最優先課題として取り組んできました。
コインチェックの580億円流出事件を受けて、「bitFlyer セキュリティ・ファースト」主義を発表しました。
1000万円まで保護される投資者保護基金の対象外である仮想通貨においては、業者の信頼性が極めて重要なファクターとなります。
当サイトでは各仮想通貨取引所の状況を徹底調査した結果として、「コインチェックへのリンクは貼らない」という決断を行い、過去一貫してコインチェックは非掲載としていました。
大切な読者様にリスクが高い取引所を紹介することはできないという判断でした。
その代わりに推奨していたのはbitFlyerです。ビットフライヤーのセキュリティに対する取り組みについて、分かりやすく完全網羅で解説します。
目次
「bitFlyerセキュリティ・ファースト」の宣言
この度ビットフライヤーが発表した「bitFlyerセキュリティ・ファースト」主義は以下のとおりです。
- ビットフライヤー及びビットフライヤーグループは、全社一丸となり最新セキュリティ技術を導入し、お客様にご安心いただけるセキュリティ管理体制を維持し続けます。
- ビットフライヤー及びビットフライヤーグループは、顧客資産保護のため必要なセキュリティ対策を策定し実施します。
- ビットフライヤー及びビットフライヤーグループは、万が一セキュリティに関する事故等が発生した場合には、金融庁、警察庁、警視庁及び日本ブロックチェーン協会(JBA)と連携し、速やかに適切な措置を実施するとともにその状況を当局等に報告します。
- ビットフライヤー及びビットフライヤーグループは、セキュリティに関する内部監査体制を構築し、セキュリティ対策の継続的な改善・見直しを実施します。
- ビットフライヤー及びビットフライヤーグループは、セキュリティの重要性を常に認識し、各種法令・内部規程を遵守します。
bitFlyerは金融庁の審査を経て、2017年9月に仮想通貨交換業者としての登録を終えています。コインチェックは登録が許可されない状況でした。
ビットフライヤーは仮想通貨業界のリーディングカンパニーとして、以下のチームを中心に各種法令・内部規則を遵守しています。
- 金融機関、中でも特にリスクに精通した分野出身の経営陣
- CISO(ChiefInformationSecurityOfficer)を中心としたサイバーセキュリティチーム
- 金融機関でのコンプライアンス業務経験者によるコンプライアンスチーム
- 国内大手弁護士事務所出身の弁護士、米国及び欧州の弁護士チーム
また、2017年11月には子会社であるbitFlyer USA, Inc.が米国ニューヨーク州でBitLicenseを取得しています。
2018年1月にはビットフライヤー子会社であるbitFlyer EUROPE S.A.が欧州ルクセンブルクでPayment Institution Licenseを取得しています。
当該ライセンス取得において、AML/CFTやコールドウォレットの管理等は日本で法令上求められる水準よりも厳格な運用が求められています。
日本のビットフライヤーにおいても当該ライセンス取得要件以上の水準にて運用を行っています。
また、米国のNIST800-30、ISO31000等のガイドラインに基づいたIT Security Auditを実施しています。
2018年1月26日に金融庁から出されたセキュリティに関する注意喚起に対しては、ビットフライヤーは求められた対策を迅速に実行しました。
事業における優先順位の見直しを行い、セキュリティ・顧客資産保護のための施策が最優先であることを改めて全社で意識統一・徹底したことを表明しています。
また、ビットフライヤーのシステム全体を対象として、セキュリティの観点から点検を実施して、瑕疵のないことを迅速に再確認しています。
ビットフライヤーは「bitFlyerセキュリティ・ファースト」主義に基づき、各種セキュリティ施策を継続的に実施してくことで、顧客の大切な資産を厳格に守っていくことを約束しています。
コールドウォレットとマルチシグ
個別具体的なセキュリティ対策としては、第一に、ユーザーとビットフライヤーが所有する金額で80%以上の仮想通貨は、ネットワークから隔離されたコールドウォレットに保管されています。
コインチェックが580億円ものNEM(仮想通貨)をインターネットにつながっているホットウォレットに管理していたことは記憶に新しいですね。
コールドウォレットは多重の物理的セキュリティ対策により保護され、24時間監視システムにより強固に守られています。
ビットフライヤーでは各種取扱仮想通貨に関して、一定の基準を設けてコールドウォレットで管理をしており、今後は基準のさらなる厳格化を実施する予定です。
また、コールドウォレットに限らず、秘密鍵は常に暗号化されており、万が一漏洩した場合でも第三者が秘密鍵を利用することは不可能です。
また、送金に複数の秘密鍵を要求することができる技術「マルチシグ(マルチ・シグネチャ)」を導入しています。
マルチシグを採用することで高セキュリティのウォレットを構築できます。コインチェックはこれを怠っていました。
マルチシグを適切に構成することで、最重要データである秘密鍵が仮に1つ漏洩したとしても別の秘密鍵が無ければ仮想通貨の送付ができないように設定できます。
一般的に攻撃者が2つ以上の異なる設計のプラットフォームに同時に侵入することは非常に困難です。
ビットフライヤーでは各種取扱仮想通貨に関し一定の基準を設けてマルチシグ化をしており、今後も基準のさらなる厳格化を実施する予定となっています。
自社開発のビットコインデーモン
一般的に利用されているビットコインデーモンはソースコードが公開されているために脆弱性を突かれ攻撃されるリスクがあります。
ビットフライヤーは自社開発のビットコインデーモンを利用することで脆弱性を突かれるリスクが低くなっています。
また、自社開発のビットコインデーモンと一般的に利用されているビットコインデーモン(bitcoind)を併用し常に相互チェックしています。
したがって、ビットフライヤーのビットコインデーモンに万が一の不具合があった場合でもすぐに検知、修正することができます。
暗号学的に安全な擬似乱数生成器の使用
暗号学的に安全な疑似乱数生成器(CryptographicallySecurePseudo-RandomNumberGenerator:CSPRNG)は、以下2つの条件を満たします。
- (1)生成されたビット列からその次に生成されるビットを50%を超える確率で推測する方法が存在しない。
- (2)乱数生成器の途中の内部状態が明らかになってもそれまでに生成された過去の乱数列を再現できない。
(1)の条件により乱数の品質が保証され、(2)の条件により乱数器の内部状態を知る者による攻撃に耐えることが保証されます。
秘密鍵の生成などにこのような乱数生成器を使用することで、情報が推測されることを防止します。
セキュリティ上問題のないコインに限った取り扱い
アルトコインの中には匿名性が高く取引が追跡できないことで、マネーロンダリングに使用され問題視されているものがあります。
ビットフライヤーは金融庁とも協議した上で社内のエンジニアや社外の専門家の意見を交え、セキュリティ上問題ないと判断したコインのみを取り扱っています。
詐欺コインのような危険性・リスクが高い仮想通貨の取扱いはないので、一定の基準に基づいて安全性が高い仮想通貨のみを取引することが可能です。
セキュリティ技術に関する施策・通信
セキュリティビットフライヤーは顧客の個人情報を確実に保護するために、ユーザーからの全てのデータ通信を暗号化しています。
ビットフライヤーは大手金融機関よりも強度の高い暗号化技術をユーザーとの通信に使用しています。
Qualys, Inc.によりA+のSSL評価を獲得しており、bitFlyerの暗号化技術は客観的に高く評価されています。
顧客がビットフライヤーサービスに接続する際は、通信プロトコルとしてTLS1.2、暗号化方式としてAES_128_GCM、鍵交換メカニズムとしてECDHE_RSAを使用することができます。
FW/WAF FW(ファイア・ウォール)によって、外部のネットワークからの攻撃や不正なアクセスから常時、ビットフライヤーのネットワークやコンピュータは防御されています。
不審なURL、実行ファイルは自動的にブロックされます。
また、WAF(ウェブ・アプリケーション・ファイアウォール)によりFWでは制限できないウェブ・アプリケーションへの通信内容を検査し、不正な通信を遮断しています。
DDoS攻撃も二重のWAFによりブロックされます。また、顧客情報は全て暗号化し保管しています。
IPアドレス制限IPアドレスにより接続元を判別し、利用端末・サービスへのアクセスを制限しています。
予め定められたIPアドレスからのみ利用端末・サービスへアクセスさせることで、第三者によるアクセスを防止しています。
不審なアクセスを試みたIPアドレスは自動的にブラックリスト化され、不正侵入を防止します。さらに国ごとにアクセスを遮断しており、特に北朝鮮は厳重警戒の対象国になっています。
2段階認証の推奨ビットフライヤーサービスへのログイン・出金・仮想通貨の外部送付時にはSMS、メールアドレス、または認証アプリによる2段階認証機能を設定することができます。
仮想通貨の外部送付時に2段階認証は必須となっており、重要な機能で強固なセキュリティを担保しています。
ログイン履歴の管理ビットフライヤーにログインするごとに、ご登録のメールアドレスへアカウント凍結リンク付ログイン確認メールを送付する設定が可能です。
これは万が一第三者によるお客様アカウントへのログインがあった際に、即時にアカウント凍結ができるための仕組みです。
また、ログインは全て記録され、お客様の過去のログインの履歴についてIPアドレス・日時を確認することができます。
インフラストラクチャーの管理ビットフライヤーのインフラストラクチャーは最新のOSパッチが自動で適用され、自己診断機能により各サーバーのヘルスチェックが行われるなど、厳格に管理されています。
顧客資産保護に関する施策・各種保険
ビットフライヤーは顧客資産の安全性向上のために、下記2種類の損害保険を国内大手損害保険会社と契約しています。
- ビットフライヤーへのサイバー攻撃等によって発生したビットコインの盗難、消失等に係るサイバー保険
- 二段階認証登録ユーザー様のメールアドレス・パスワード等の盗取により行われた不正な日本円出金に係る補償
また、ビットコインをはじめとする仮想通貨決済サービスに関わる賠償責任保険についても、三井住友海上火災保険株式会社と共同開発しています。
https://www.youtube.com/watch?v=27Ox9G3yM3k
仮想通貨交換業だけでなく、仮想通貨決済等あらゆる仮想通貨サービスにおいて保険の検討・契約を行っていく方針となっています。
社内セキュリティに関する施策・オフィスセキュリティ
ビットフライヤーは2017年10月に本社を東京ミッドタウンに移転しました。
日本国内でも有数のハイスペックのオフィス内において、多数の監視カメラ・24時間常時監視システム・生体認証装置等、厳重なセキュリティシステムを導入しています。
ビットフライヤーでは、すべての職員にセキュリティ研修を行っています。
また、サイバーセキュリティチームにより業務上使用する端末に対して厳重なセキュリティチェックを施しています。
カスタマーサポートエリアは携帯電話の持ち込み禁止、また完全に別のネットワーク設計とし個人情報を厳重に管理しています。
万が一の流出時も補償が期待可能
bitFlyerはセキュリティを重視している姿勢が伺えます。ただし、技術は日進月歩ですし、あらゆるシステムのセキュリティホールが常に発見されている世の中です。
Windowsやスマホのセキュリティ脆弱性やバグ修正のアップデートは常に行われています。
既存の知見では想定できない手法や、あるいは内部の人が犯罪集団と通じたり脅迫されることでハッキング・不正送金されるリスクはゼロではありません。
そのような際もbitFlyerは資本金が日本の仮想通貨取引所の中で最大級の資本があり、かつ三菱UFJ FG、三井住友FG、みずほFG、第一生命、三井住友海上、電通、リクルートなどの資本が入っている点に安心感が有ります。
| 主要株主名 | 概要 |
|---|---|
| 三菱UFJキャピタル株式会社 | 三菱UFJ銀行の三菱UFJ FG傘下のVC |
| SMBCベンチャーキャピタル | 三井住友銀行の三井住友FG傘下のVC |
| みずほキャピタル株式会社 | みずほ銀行のみずほFG傘下のVC |
| 三井住友海上キャピタル株式会社 | 大手損保の三井住友海上のグループ会社 |
| 第一生命保険株式会社 | 日本屈指の大手生保 |
| リクルート インキュベイトファンド | リクルートのグループ会社 |
| 株式会社電通デジタル・ホールディングス | 電通のグループ会社 |
| 株式会社QUICK | 日本を代表する金融情報ベンダー |
| SBIインベストメント株式会社 | 住信SBIネット銀行のSBI HD傘下 |
| GMO VenturePartners 株式会社 | GMOインターネットのグループ会社 |
日本を代表する大企業グループや、その小会社のベンチャーキャピタルがbitFlyerに出資しているので、万が一コインチェックのような流出があったとしても、補償されることが期待できます。
もし補償なしあるいは形式的な残高への反映という補償があったとしても、出金が凍結されたまま破産といった事態になった場合、親会社への批判が殺到するのは確実です。
三菱UFJ FG、三井住友FG、みずほFG、第一生命、三井住友海上、電通、リクルートなどは、事業に占める仮想通貨は微々たるもので、炎上が本業に波及するのは絶対に避けるはずです。
第一生命保険は大手生保です。第一生命の傘下の仮想通貨取引所でビットコインが蒸発して、一家の財産の大部分が消えたという事態があったら、シャレになりません。保険のイメージがストップ安になってしまいます。
第一生命の保険が一斉に解約されて日本生命に流れるという事態は断固として避ける確固たるモチベーションがあるのは明白です。企業体力の側面でも抜群です。
たとえbitFlyerで580億円の被害があったとしても、出資比率に応じて各社が按分して負担という話になる可能性が高いと思います。
そうした観点でも、万が一の事態における資産保護という観点では、bitFlyerが最も安心感があると考えます。
まとめ
仮想通貨は株式・投資信託などの有価証券とは異なり、法令でガチガチに縛られていません。また、1000万円まで保護される投資者保護基金の対象外となります。
コインチェック事件のように、預け入れているビットコイン等の仮想通貨がいつの間にか蒸発するというリスクがつきものです。
したがって、仮想通貨の取引においては最重要なのは業者の体力、セキュリティだと考えています。
セキュリティ管理体制の整備には終わりはなく、ハッカーは常に新しい手法を模索して不正アクセスを試みます。
仮想通貨取引所は、各種不正アクセス手法の変化に応じて最新の技術を取り入れ、日々努力し続けることが要求されます。
日本一の仮想通貨取引所であるビットフライヤーは、仮想通貨交換業者として最大級の資本金にもとづいて、取引所の運営やそのためのセキュリティ対策等に投資を行っています。
ビットコインを売買するならば、三菱UFJ FG、三井住友FG、みずほFG、第一生命、三井住友海上、電通、リクルートなどの資本が入っているbitFlyerが最有力候補です。
日本ではNo.1のビットコイン取引所であり、世界的にも第2位となっています。日本のビットコイン事業者では唯一、監査法人(新日本有限責任監査法人)と契約しています。
仮想通貨交換業者として金融庁の第一号登録も受けています。日本での仮想通貨・ブロックチェーン業界のリーディングカンパニー的な存在です。
有名企業ではヤマダ電機、ビックカメラ、エイチ・アイ・エス、丸井とも提携してビットコイン決済のシステムを提供しています。
bitFlyer VISA プリペイドカードにビットコインをチャージすると、一部を除く世界中のVisa加盟店で利用できるようになり、よりビットコインがリアルの生活でも身近なものに昇華しました。
bitFlyerでのビットコインの買い方については、以下で徹底的に解説しています。
ビットコインの具体的な使い方、利用手順については、以下で丹念にまとめています。
その他、ビットフライヤーについては、以下で精緻に分析しています。
金融業界の関係者になくてはならないブルームバーグ端末に対しては、ビットコイン価格情報の配信を行っています。
ビットフライヤーはブルームバーグ端末で世界中に日本のビットコイン価格情報を提供しているワールドワイドな存在です。
bitFlyerは最高強度のDigiCert次世代暗号で、 コールドウォレットでビットコインを保管しており、高度のセキュリティを確保しています。
顧客のビットコイン保管中のリスクを補償する損害保険を国内大手損害保険会社と契約しています。
ビットコイン販売所、Lightning FX/Futuresのビットコイン売買手数料は当面無料であり、コスト面も優れています。
ビットコインを売買するならば、ビットコイン業界では日本最大で世界的にも大手であるbitFlyerの一択だと考えます。