Zaif(ザイフ)のセキュリティを徹底解説!

▼おすすめの取引所ランキング

先日コインチェックから約580億円のNEMが流出した事件が起き、大きく世間を騒がせました。

取引所を利用されている方も、今回の事件を機に一層セキュリティ面が気になることかと思います。

そこで今回はZaifのセキュリティ面を徹底解説していきたいと思います!

取引所のセキュリティの必要性

仮想通貨取引を行う人の多くが取引所を利用していると思われます。しかしながら、この取引所のセキュリティは必ず安全と言い切ることはできません。

先日のコインチェック事件を始め、マウント・ゴックス事件やBitfinex事件等、取引所ハッキングによる巨額の不正流出事件は世界樹で数多く発生しています。

顧客の資産を管理・運用している以上、取引所はそのセキュリティ管理を常に強固なものにしていく必要があるのです。

本記事では仮想通貨取引所のセキュリティについて

どのようなセキュリティ対策が必要とされているのか?

・これまでどのようなセキュリティ対策が行われて来たのか?

・コインチェックの事件を受けてどのようなセキュリティ対策が発表されたか?

といった視点から見ていきたいと思います。

どのようなセキュリティ対策が必要とされているのか?

仮想通貨取引所は、お金を扱うサービスであるため、高いセキュリティが求められます。

例えば、以下の3つのようなセキュリティ対策が必須です。

・暗号通貨特有のセキュリティ対策

・一般的なWebアプリケーションに必要なセキュリティ対策

・従業員の機器感理など運用面のセキュリティ対策

暗号通貨特有のセキュリティ

仮想通貨取引所は、暗号通貨・仮想通貨を取り扱うサービスであるため、他のWebサービスとは異なり、暗号通貨特有のセキュリティ対策が必要です。

これには、コインチェックの事件でも問題になったマルチシグネチャ対応やコールドウォレット対応などがあります。

これについてはこちらの記事で詳しく解説しておりますのでご参照ください。

「Coincheckで大変なことが起きたらしいから、会見を見よう!」 そう思っていざ会見を見ても、用語がわからず、状況が理解できなかった、、、

一般的なWebアプリケーションに必要なセキュリティ

一般的なサーバシステムのセキュリティ対策には、以下のような要素があります。

  • ネットワークのFWやアクセス権限、SSL対応などの対策
  • XSS対策やSQLインジェクションやCSRF、パスワードの管理方法などの対策
  • サーバのソフトウェアの更新などの対策

これらはWebアプリケーションのセキュリティ対策として基礎的なことではあるものの、どのようなセキュリティ対策を発表しているかは重要なポイントです。

従業員の機器管理や情報管理など運用面のセキュリティ対策

Web系のベンチャー企業などにおいて盲点となりやすいのが、従業員の機器感理やネットワーク管理など運用面のセキュリティ対策です。

社内のネットワークにウイルスなどに感染したPCが持ち込まれるリスクや、ネットワークにアクセスするためのVPNの管理などです。

Webサービスや暗号通貨的なセキュリティリスクに気をつけていても、ここに穴があると全てが水の泡になりかねません。

これまでどのようなセキュリティ対策が行われたのか?

Zaifは暗号通貨や現金の保全に際し、以下の4つのリスクが伴うとしています。

  1. 運営者経営のリスク
  2. 運営者従業員不正のリスク
  3. 運営者セキュリティのリスク
  4. ビットコインネットワーク自体のリスク

これらの観点から最大限の安全性とセキュリティを確保するため、以下の体制をしいています。

①預かり暗号通貨管理の強化

お客様からお預かりした暗号通貨残高のうち、流動しないものについてはコールド・ストレージで保存されています。その再移動にはマルチ・シグネチャを必要とする内部統制制度を導入しています。

②ユーザー情報やバックアップデータ管理の強化

ユーザー情報やバックアップデータにも、マルチ・シグネチャが複数段階に渡り必要としている。

③システムインフラの堅牢性強化

取引所システムを複数層に渡って外部から遮断し、内部への侵入が実質的に不可能なシステムセキュリティ環境を構築しています。これによって外部アクセスからの一切の遮断を可能にしています。

④お客様預かり金の分離

経営資金と、お客様からの預かり金を完全に分離して管理しております。その預かり金が会社の運営やその他の利殖などの資金運用に流用されることは一切ありません。

⑤リスク管理やセキュリティ対策の強化

開発チームには、シリコンバレーで金融サービス開発に携わっていた人材が採用され、欧米型の数理モデルによる不正検知が導入されているほか、日本の金融事情に特化した不正対策も施し、国際的なAML(AntiMoney Lanundering=マネーロンダリング対策)や、KYC(顧客確認)基準にも積極的に対応しています。

⑥経営資金の確保

著名ベンチャーキャピタルであるNTVPより多額の資金調達を行っています。これにより、弊社で実施するマイナス手数料などのキャンペーン費用が、会社の経営を圧迫したり、お客様の預かり金を侵食することはありません。また、利用者の預かり金が会社の経営資金として流用されることはないとしています。

※一部Zaif公式HP『利用リスクと「Zaif」のセキュリティ体制についてより引用

より詳しく見たい方はこちらをご覧ください。

https://corp.zaif.jp/security/

上記にあるコールド・ウォレットやマルチ・シグネチャ等の暗号通貨特有のセキュリティ対策だけでなく、従業員の危機管理や情報管理等の運用セキュリティ対策もしっかり行っていることがわかりますね!

利用者の預かり金を会社運用資金と完全に分けていると強調していることも、安心できるポイントです。

一方で、一般的なWebサービスにおけるセキュリティ対策に関してはそれほど意識的に発表していないように思われます。

zaifはICOプラットフォームCOMSAを発表していたり、NEMプライベート版であるmijinの開発をしていたりと、ブロックチェーン技術に関しては国内のパイオニア的存在ですが、

一方で、取引所のWebサービス自体は負荷に耐えきれずにサーバが落ちたりといった事件が頻繁に起こっています。

暗号通貨特有の技術力は高そうですが、Webのセキュリティについては若干の不安が残ります・・・。

Zaifの利用者APIキーの不正利用及び不正取引

Zaifのセキュリティを懸念する声も上がっています。

大きな問題になった例として、2018年1月6日から7日未明にかけて発生したAPIキーの不正利用、そして1月9日に報告された不正アクセス及び不正出金があります。

APIキーとは簡単に言えば、外部から特定のサイトを利用する際に要求されるパスワードに似たようなものです。

Zaif公式では、1月6日から7日にかけて10名分のアカウントで合計37の不正出金が実行され、15名分のアカウントで合計137件の不正注文が発行されたことを発表しています。

使用されたAPIキーは合計102個で、その中の18件が削除済みであることが確認されています。

アクセス経路については海外のホスティング会社のIPアドレスからの接続は確認できていますが、現在もこのAPIキーがどのようにして漏洩したのかはつかめていないようです。

さらに3日後の1月9日にも不正アクセス・不正出金があったことが確認されています。

Zaifは事件後にAPIキー利用時にIPアドレスのホワイトリスト登録の利用可能等で対応していくと述べ、利用者に使用していないAPIキーの削除や権限の見直し、2段階認証の設定の呼びかけを行うことで、このような不正出金への対策を行っています。

より詳しい内容を知りたい方はこちらをご参照ください。

https://corp.zaif.jp/info/8265/

コインチェックの事件を受けてどのようなセキュリティ対策が発表されたか?

コインチェック事件を受けてZaifを運営している株式会社テックビューロは、テックビューロ(Zaif)セキュリティ対策室設置についてという記事を公開しました。

以下はその発表した記事の引用・まとめとなります。

詳しく知りたい方はこちらの本文を参照してください。

https://corp.zaif.jp/info/8517/

セキュリティ対策室の設置

テックビューロは、2018年1月29日テックビューロ(Zaif)セキュリティ対策室を設置しました。

室長はZaifの代表でもある朝山貴生さんが就任しています。

セキュリティ対策室設置の目的として、

  • 仮想通貨ウォレットとZaif取引所に関するセキュリティの強化
  • 各省庁とお客様に対する迅速な情報開示
  • インシデント時の迅速な調査と対応方針策定、実施対応、報告
  • 定期的なセキュリティ調査と監査
  • 外部のサービスや専門家を用いた安全性の確認
  • セキュリティ専門家の雇用
  • 定期的なセキュリティに関する協議と報告

以上の7つを挙げています。

具体的な施策については以下でまとめていきます。

セキュリティの強化

・更なるマルチシグの強化

Zaifは既存のウォレットがすでにマルチシグ化されている通貨を含め、更なるマルチシグの強化を行うと発表しました。

具体的に以下の2つを挙げています。

  1. マルチシグにおける署名サーバー環境の更なる分散化
  2. マルチシグにおける署名手順の更なる複雑化

・ホット・コールドウォレット環境の強化

コインチェック事件NEMをオンライン環境(ホット・ウォレット)で管理していたことで起きました。Zaifも厳格なルールによるコールドウォレット管理を行っていますが、これを機に更なる環境の強化を発表しています。

具体的に以下の3つを挙げています。

  1. ホット比率の見直しとコールド比率の引き上げ
  2. ホットウォレット管理において更に高度な残高予測アルゴリズムの導入
  3. コールドウォレット優先化に伴う、利用者の使用感を損なう可能性の発生にも関わらず、あくまでセキュリティの優先とその周知を徹底する。

これにより、暗号通貨特有のセキュリティ対策面の更なる向上が期待できます。

セキュリティ監査体制の強化

Zaifは社内の監査と社外の監査の連携をとることで、専門人員の雇用を含めた更なるセキュリティ監査体制の強化を発表しています。

具体的には以下の3つを挙げています。

  1. セキュリティ対策室に専門家を起用
  2. 外部セキュリティ対策・監査サービスの利用
  3. セキュリティツールの導入

これにより、従業員の危機管理や情報管理等の運用セキュリティ対策面の更なる向上が期待できます。

インシデント時における対策と体制の強化

コインチェック事件のような問題の万が一の発生の可能性を考慮し、過去のインシデント対応で直面した問題や現状の改善を発表しました。

具体的には以下の5つを挙げています。

  1. 顧客への個別ヒアリング、内部ログの監査、取引データの精査など、時間を要していたプロセスの迅速化
  2. オペレーション(サポート)部門との調査における連携の強化と、お客様への情報提供の迅速化
  3. 管理部といの連携の強化と、各省庁への情報提供の迅速化
  4. 管理部の連携の強化と、各省庁への情報提供・共有
  5. 瑕疵や過失の特定の迅速化
  6. 保証の有無やその内容の意思決定の迅速化

上記のようにZaifではAPIキーの不正利用による不正取引が行われ大きな問題となりました。

この過去の事例で起きた問題を教訓とし更なる対応力の向上を目指していることがわかります。

まとめ

今回はZaifのセキュリティについて最新の情報もふまえて解説しました。

セキュリティに絶対はないので、ある程度のリスクは必ず残りますが、コインチェックの発表を受け、新しくセキュリティ対策室を設置するなど、意欲的にセキュリティに取り組んでいることがわかりますね。

zaif公式へ


zaif 仮想通貨取引所