GMOコインのセキュリティについて徹底解説!

▼おすすめの取引所ランキング

先日コインチェックから大規模NEM流出事件が起き、大きく世間を騒がせました。

取引所を利用されている方も、今回の事件を機に一層セキュリティ面が気になることかと思います。

そこで今回はGMOコインのセキュリティ面を徹底解説していきたいと思います!

取引所のセキュリティの必要性

仮想通貨取引を行う人の多くが取引所を利用していると思われます。しかしながら、この取引所のセキュリティは必ず安全と言い切ることはできません。

先日のコインチェック事件を始め、マウント・ゴックス事件やBitfinex事件等、取引所ハッキングによる巨額の不正流出事件は世界樹で数多く発生しています。

顧客の資産を管理・運用している以上、取引所はそのセキュリティ管理を常に強固なものにしていく必要があるのです。

本記事では仮想通貨取引所のセキュリティについて

どのようなセキュリティ対策が必要とされているのか?

・これまでどのようなセキュリティ対策が行われて来たのか?

・コインチェックの事件を受けてどのようなセキュリティ対策が発表されたか?

といった視点から見ていきたいと思います。

どのようなセキュリティ対策が必要とされているのか?

仮想通貨取引所は、お金を扱うサービスであるため、高いセキュリティが求められます。

例えば、以下の3つのようなセキュリティ対策が必須です。

・暗号通貨特有のセキュリティ対策

・一般的なWebアプリケーションに必要なセキュリティ対策

・従業員の機器感理など運用面のセキュリティ対策

暗号通貨特有のセキュリティ

仮想通貨取引所は、暗号通貨・仮想通貨を取り扱うサービスであるため、他のWebサービスとは異なり、暗号通貨特有のセキュリティ対策が必要です。

これには、コインチェックの事件でも問題になったマルチシグネチャ対応やコールドウォレット対応などがあります。

これについてはこちらの記事で詳しく解説しておりますのでご参照ください。

「Coincheckで大変なことが起きたらしいから、会見を見よう!」 そう思っていざ会見を見ても、用語がわからず、状況が理解できなかった、、、

一般的なWebアプリケーションに必要なセキュリティ

一般的なサーバシステムのセキュリティ対策には、以下のような要素があります。

  • ネットワークのFWやアクセス権限、SSL対応などの対策
  • XSS対策やSQLインジェクションやCSRF、パスワードの管理方法などの対策
  • サーバのソフトウェアの更新などの対策

これらはWebアプリケーションのセキュリティ対策として基礎的なことではあるものの、どのようなセキュリティ対策を発表しているかは重要なポイントです。

従業員の機器管理や情報管理など運用面のセキュリティ対策

Web系のベンチャー企業などにおいて盲点となりやすいのが、従業員の機器感理やネットワーク管理など運用面のセキュリティ対策です。

社内のネットワークにウイルスなどに感染したPCが持ち込まれるリスクや、ネットワークにアクセスするためのVPNの管理などです。

Webサービスや暗号通貨的なセキュリティリスクに気をつけていても、ここに穴があると全てが水の泡になりかねません。

これまでにどのようなセキュリティ対策が行われたのか?

GMOインターネットワーク

GMOコインは、東証一部上場企業であるGMOインターネットを親会社としてもっています。これによりGMOコインは親会社の金融サービス提供や情報インフラ整備等のノウハウを活かせるというメリットが大きいです。

例えば、GMOインターネットは情報セキュリティへの取り組みについて、2017年4月に情報資産を様々な脅威から守り、リスクを軽減させるため、情報マネジメントシステム(ISMS)を構築し、国際標準規格であるISO27001の認証取得をしています。これは、情報セキュリティ管理における国際標準規格であり、この適用範囲の全ての情報資産を対象とした、情報の機密性等を維持していくための規格です。

GMOコインの情報機密を守る際にも、この技術のノウハウが生かされていると思われます。

これにより、一般的なWebアプリケーションに必要とされるセキュリティ対策は信頼できることがわかります。

顧客資産と会社資産の分別管理

※画像は公式HPより引用

GMOコインは利用者から預かった資産は、全て会社の資金と分別して管理していることを明記しています。具体的に金銭の分別管理仮想通貨の分別管理と分けて説明しています。

HPでは以下のように記述しています。

・金銭の分別管理

利用者から預かった資産は、GMOコインとは別口座で管理しています。

・仮想通貨の分別管理

仮想通貨の保管場所は、GMOコインの保有分と利用者保有分とは物理的に分離しています。

また、これらの資産は毎営業日に過不足がないかを確認することで、分別管理を行っています。

仮想通貨の保管方法

GMOコインは仮想通貨に秘密鍵は即時送付に必要な分以外、すべてコールドウォレットにて管理しています。

コールドウォレットとは、インターネットから完全に切り離されたウォレットのことです。

オフラインのPCやスマートフォンに秘密鍵を保持しておいたとしても、オンラインになることがあるのならば、それはコールドウォレットではありません。コインチェックはNEMをオンラインで管理(ホットウォレット)していたために流出が起こりました。

通常コールドウォレットは、アドレスと秘密鍵を紙に書き記して保存する「ペーパーウォレット」や専用のハードウェア等で秘密鍵を保管する「ハードウェアウォレット」で実現されます。

コールドウォレットは非常にセキュリティ性が高い仮想通貨の保管方法ですが、全てをそこで管理することは現実的ではありません

送金等を手動で行う必要が生じ、オペレーションコストが高くなるからです。

GMOコインでは、仮想通貨の秘密鍵は即時送付に必要な分以外、コールドウォレットで管理しています。

コールドウォレットからホットウォレット(オンライン環境)に移送する際や、そのオンラインウォレット自体にもマルチシグネチャ(秘密鍵の分散管理方法)を採用しており、リスク低減を図っています。

※画像は公式HPより引用

これにより、暗号通貨特有のセキュリティ対策にも力を入れていることがわかります。

セイバーセキュリティ保険への加入

GMOコインは、三井住友海上火災保険株式会社と連携し、サイバー対策攻撃への対策を行っています。この会社は中小企業をへの無償サービスを始めとした、企業向けサイバーセキュリティ支援を数多く行っています。これにより、万が一の緊急時にも、その専門分野の知識を持つ企業と対処することができます。

以上を見てみると、一般的なWebアプリケーションに必要なセキュリティ対策暗号通貨特有のセキュリティ対策の二点に力を入れていることがわかります。

一方で従業員の機器管理や情報管理など運用面のセキュリティ対策面に関しては積極的に発表していないようです。

コインチェック事件を受けてどのようなセキュリティ対策が発表されたか?

コインチェックの大規模なNEM流出事件を受けて、GMOコインは新たに取り組んでいるセキュリティ面に関しての発表を行いました。

ここでは上記されている顧客資産の分別管理、外部ハッキングからの対策(仮想通貨の保管方法)のほかに、新たにサイバー攻撃対策の具体的な記述がありました。

以下はの記述をまとめたものです。

詳しく記述がみたい方は以下の本文をお読みください。

https://news.coin.z.com/2018/02/615/

サイバー攻撃対策

GMOコインは悪意ある第三者によるサイバー攻撃に対し、「利用者アカウントの乗っ取り」「システムへの侵入」の2つの観点から対策を講じています。

利用者アカウントの乗っ取り

GMOは利用者アカウントの乗っ取りに対して、以下の三つの対策を実施しています。

  1. 日本円出金や仮想通貨送付の際に、2段階認証を必須化
  2. ログイン実績のない環境からログインがあった際に、2段階認証を必須化
  3. ログイン履歴の記録とメールによるお客様への通知

仮想通貨取引所では通常、メールアドレスとパスワードによるログイン機能が提供されています。これだけだともし悪意ある人にパスワードが知られてしまうと、不正ログインにより取引所のお金が勝手に引き出される可能性があります。

二段階認証は、ログインパスワードに加えて更に確認コードによる認証を加えることでアカウントのセキュリティをより強固にする方法です。これにより不正ログイン等のリスクを未然に防ぐことができます。

GMOコインはこれを出送金を行う場合、またはログイン実績のない環境からのログインを行う場合にこれを必須化しています。

システムへの侵入

システムの侵入に関しては以下の施策を実施しています。

  1. システムの24時間365日監視
  2. 外部のセキュリティ専門家による定期的なシステム脆弱性診断
  3. グループ会社と連携した脆弱性情報の収集

GMOコインは外部専門家と協力し、セキュリティの向上に力を入れていることがわかります。また、システム自体も24時間365日監視なので、緊急時の際もすぐに対応することができるとしています。

まとめ

今回はGMOコインのセキュリティに関して最新の情報も踏まえて解説しました。

GMOインターネットを親会社にもち、圧倒的な情報インフラと金融システムのノウハウを持っているGMOコイン。

セキュリティに絶対はないので、ある程度のリスクは必ず残りますが、外部の専門会社と提携することで更なるシステムの改善を目指していることから、セキュリティに対する意欲がうかがえます。

GMOコイン公式へ


GMOコイン 仮想通貨取引所