QUOINEXのセキュリティを徹底解説!

▼おすすめの取引所ランキング

先日、コインチェックから約580億円のNEMが流出した事件が起き、大きく世間を騒がせました。

取引所を利用されている方も、今回の事件を機に一層セキュリティ面が気になることかと思います。

そこで今回はQUOINEのセキュリティ面を徹底解説していきたいと思います!

取引所のセキュリティの必要性

仮想通貨取引を行う人の多くが取引所を利用していると思われます。しかしながら、この取引所のセキュリティは必ず安全と言い切ることはできません。

先日のコインチェック事件を始め、マウント・ゴックス事件やBitfinex事件等、取引所ハッキングによる巨額の不正流出事件は世界樹で数多く発生しています。

顧客の資産を管理・運用している以上、取引所はそのセキュリティ管理を常に強固なものにしていく必要があるのです。

本記事では仮想通貨取引所のセキュリティについて

  • どのようなセキュリティ対策が必要とされているのか?
  • これまでどのようなセキュリティ対策が行われて来たのか?
  • コインチェックの事件を受けてどのようなセキュリティ対策が発表されたか?

といった視点から見ていきたいと思います。

どのようなセキュリティ対策が必要とされているのか?

仮想通貨取引所は、お金を扱うサービスであるため、高いセキュリティが求められます。

例えば、以下の3つのようなセキュリティ対策が必須です。

  • 暗号通貨特有のセキュリティ対策
  • 一般的なWebアプリケーションに必要なセキュリティ対策
  • 従業員の機器感理など運用面のセキュリティ対策

暗号通貨特有のセキュリティ

仮想通貨取引所は、暗号通貨・仮想通貨を取り扱うサービスであるため、他のWebサービスとは異なり、暗号通貨特有のセキュリティ対策が必要です。

これには、コインチェックの事件でも問題になったマルチシグネチャ対応コールドウォレット対応などがあります。

これについてはこちらの記事で詳しく解説しておりますのでご参照ください。

「Coincheckで大変なことが起きたらしいから、会見を見よう!」 そう思っていざ会見を見ても、用語がわからず、状況が理解できなかった、、、

一般的なWebアプリケーションに必要なセキュリティ

一般的なサーバシステムのセキュリティ対策には、以下のような要素があります。

  • ネットワークのFWやアクセス権限、SSL対応などの対策
  • XSS対策やSQLインジェクションやCSRF、パスワードの管理方法などの対策
  • サーバのソフトウェアの更新などの対策

これらはWebアプリケーションのセキュリティ対策として基礎的なことではあるものの、どのようなセキュリティ対策を発表しているかは重要なポイントです。

従業員の機器管理や情報管理など運用面のセキュリティ対策

Web系のベンチャー企業などにおいて盲点となりやすいのが、従業員の機器感理やネットワーク管理など運用面のセキュリティ対策です。

社内のネットワークにウイルスなどに感染したPCが持ち込まれるリスクや、ネットワークにアクセスするためのVPNの管理などです。

Webサービスや暗号通貨的なセキュリティリスクに気をつけていても、ここに穴があると全てが水の泡になりかねません。

これまでどのようなセキュリティ対策が行われたのか?

QUOINEでは暗号通貨や現金の保全に際し、以下5つのセキュリティを徹底しています。

  • 100%コールドウォレットとマルチシグ化
  • コインの出金先のアドレスのホワイトリスト化
  • プライベートサーバー
  • 二段階認証の必須
  • API出金の禁止

これらの措置はユーザーの利便性の低下につながっているのかも知れませんが、セキュリティの上では重要なポイントです。

100%コールドウォレット

QUOINEでは100%コールドウォレット&マルチシグ化というのを徹底しています。

先日のコインチェックの事件では全てのNEMがホットウォレット管理されているという報道をされました。

100%コールドウォレット管理の元、具体的にどのように取引所を運営しているのかは定かではありませんが、コールドウォレットは常にオフラインの状態なので盗難されるリスクが激減します。

取引所のオペレーションコストや混雑時の売買や出金の操作性が悪くなるというデメリットが存在しますが、取引所のハッキングによる被害額を考えると致し方ないことなのかも知れません。100%コールドウォレット運用であれば、かなり安全性は高いと思われます。

QUOINEX公式へ

ホワイトリスト化

QUOINEでは出金する際に仮想通貨アドレスを追加し、届いたメールアドレスにある認証トークンを画面に打ち込み、さらに二段階認証を行い、出金処理完了といった流れになっています。

メールアドレス認証をして登録されたアドレス以外に送金できないため、メールアドレスへのアクセス権がなければ、出金を行うことができません。

これにより、不正出金の危険性を低くすることができます

プライベートサーバー

QUOINEでは、プライベートサーバーを利用してサービスを運営しているようです。

これは、Microsoftのazureを利用せずにサービスを構築しているということのようです。

これによりセキュリティが向上するかどうかは、場合によりけりですが、サードパーティリスクは抑えることができます。

プライベートサーバーをセキュアに運用するにはそれなりのコストが掛かってしまうというデメリットもありますが、やり方次第では非常に高いセキュリティを実現できます。

二段階認証

二段階認証はアカウントの乗っ取り防止のための手段です。

二段階認証を設定しておけば、ログイン情報が漏れても、事前に設定しておいたアプリによって生成されるワンタイムパスワード(一時的なパスワードで、時間の経過によって変化する)を当てなければログインすることができません。これにより不正ログインが困難になります。

QUOINEではサービス利用におけるユーザーと社内システムへのアクセス時に、全従業員に二段階認証を徹底しています。これによって外部からの不正ログインを防ぎ、より強固なセキュリティのもとユーザー情報が扱われています。

API出金

API出金を禁止しているということはプログラムで動かしているのではなくすべて人の手によって出金を行っているということです。

そのため、不正出金を防ぐことが目視によって確認されますので安全性が高まるということです。

上記の5つ以外にも行っているセキュリティ対策については以下の通りです。

  • 徹底した顧客資産の分別管理
  • 仮想通貨出金における4段階でのチェックプロセスおよび当社によるマニュアルでのダブルチェックプロセスの導入
  • 外部専門家(ホワイトハッカー)によるペネトレーションテスト(システム脆弱性等のチェック)を1年に2度実施
  • 社内システムへのアクセス時のIPアドレスのホワイトリスト化

コインチェックの事件を受けてどのようなセキュリティ対策が発表されたか?

QUOINEはネットワークレベル、プロダクトレベル、オペレーションレベル全てにおいて何重にもセキュリティ対策をしていますが、コインチェックの事件を受けて、

今後さらに強化するために以下の4つのセキュリティの強化に徹底するということです。

  • 柏森CEOを中心とした危機管理委員会の設置
  • 第三者機関・外部専門家によるセキュリティチェック(年二回実施中)
  • コールドウォレットが実装できない仮想通貨の取り扱い禁止
  • 外部だけでなく、内部犯行防止の為の各種施策(既に実施中)

また、以前からQUOINEホームページではセキュリティに関して以下の記事を掲載しております。

QUOINEでは、世界水準のセキュリティー企業と提携することで、業界最高レベルのセキュリティーでサーバーを保護しております。これらはDDoS攻撃やアプリケーションレイヤー攻撃にも十分に耐えうる強固なセキュリティーです。また、お客様(ブラウザーや携帯電話)と弊社サーバー間の通信は全て暗号化されており、さらにパスワードなどの重要な情報は常時暗号化されたデーターベースに保存され、データーの持ち主しかアクセスすることができなくなっております。トレード用ウォレットも常時オフラインのコールドストレージで保管されており、ログイン時の二要素認証の機能も提供しております。

セキュリティを優先してコインの上場が先送りになるなど慎重な運営

2月上旬にQUOINEXに新トークンのリスティングがされる予定でした。

通貨はNEM、LTC、ETCの3つです。しかし、100%コールドウォレットを実装可能としていないため当面は控えるという決断をすることになりました。

今後は金融庁と確認をとりながら話を進めていく予定だそうです。

やはり安全第一に考えたQUOINEの方針であることが十分に伝わってきます。

QUOINEの懸念

かなり安全側に倒した運営をしているようですが、反面人手による承認やプライベートサーバーの管理など、QUOINEの管理・運用技術次第な側面も否定できないかと思います。

まあ、100%コールドウォレットで運用する限り、コインチェックのような事件はほぼ起こらないと思いますが・・・。

まとめ

  • QUOINEは仮想通貨業界よりも金融業界に近いガチガチのセキュリティ対策を取っている印象
  • 100%コールドウォレットの唯一の取引所。
  • とは言え、取引所に預けきるのではなく個人でも注意が必要。二段階認証の設定など。

QUOINEX公式へ


QUOINEX 仮想通貨取引所