Zaif(ザイフ)は現在どんなセキュリティ対策をしているのか?
設立年 | 2016年 |
運営会社 | テックビューロ社 |
所在地 | 大阪府大阪市西区西本町1-4-1 |
代表者 | 朝山 貴生 |
資本金 | 8億3013万円 |
仮想通貨を買ってみたいけど、盗まれたりしないかとすごく不安になりますよね。
2018年、ネムが流失してしまうコインチェックの問題がありました。
そこで、Zaif(ザイフ)のセキュリティがどんなものなのか解説します。
たとえば、財布や預金通帳、金庫とかだったら、目に見えるし、自分の手元にあったりしてひとまず安心です。
これが仮想通貨となると、目には見えないネットワークにつながっていたり、仮想通貨をいれておく財布ウォレットもスマホやPCで表示されるだけで、ほんとに大丈夫なんだろうかと思うのも無理はありません。
ザイフが今おこなっているセキュリティ対策は下の通り。
- 取引所のシステム整備
- ユーザー(お客さん)の資産について取引がしばらくない状態(流動性が低い)のものは、コールドウォレットに移動。
- 預かっている資金の大半をコールドウォレットに移動して保管。
- コールドウォレットにはマルチシグを採用。
- ユーザーに関する個人情報の管理にもマルチシグを応用。
上から順番にわかりやすく説明していきます。
取引所の整備は、システムを複数層にすることで、外部からのアクセスを遮断するもの。
複数層とは、簡単にいうと、いくつものガードをするということです。
次に、コールドウォレット。
コールドウォレットとは、インターネット(ネットワーク)につながっていないウォレットです。
ネットワークにつながらないので、ネットワークから侵入する者を気にしなくて済みます。
仮想通貨は、できるだけ、このコールドウォレットに移しておくのがいいですよね。
ですのでザイフは、大半の、そして流動性の低い仮想通貨を複数のコールドウォレットで保管(分散して管理)しています。
どうやって、流動性が低いと判断するのかは、それを計算するシステムが用意されています。
さらに、このコールドウォレットにマルチシグを使って万全を期します。
マルチシグはイメージでいうと、鍵を一つだけ用意するのではなく、複数用意しておくこと。
たとえば玄関のドアや金庫のロックを複数用意すれば突破は難しいですね。
マルチシグを使えば厳重に管理できます。
鍵が一つだけだと、それを盗られた場合、仮想通貨を失うリスクは高まりますからね。
マルチシグネイチャーの略。日本語で、複数署名。仮想通貨をウォレットから移動させたりする際に、複数の管理者の署名が必要になります。
保管してある仮想通貨は移動時にリスクが高まるから、そういうときにこそマルチシグを使います。
お財布やスマホもとくに移動(外にもっていくとか)するときに盗られたり、紛失したりしますがそれと同じです。
このマルチシグは、ユーザーの情報の管理にも使われます。
ユーザーの情報を移動したり、表示したりするときに複数の管理者の署名が必要になる仕組みです。
このようにコールドウォレットやマルチシグを導入するとそれなりにコストもかかるといわれています。
過去にはセキュリティ上の問題も…
当然ですが、取引所(Zaif)はネットワークやシステム(コンピュータ)を使って運営されています。
仮想通貨に特有のセキュリティだけでなく、こういったシステム上のセキュリティも問題になってきますね。
過去にザイフではセキュリティの問題が発生しました。
それが2018年の年明けにあった不正アクセスそしてAPIキーの不正な利用。
被害の規模こそ小さかったものの、あってはならないことですね。
APIキーというのはある特定のところにアクセスするために要求される鍵(Webでいえばパスワード)です。
それが勝手に利用されました。
そして、不正な(身に覚えのない)注文と不正な出金があったのです。
海外からのアクセスによることも確認されています。
ザイフはすぐに、不正な利用を防ぐためAPIキー利用時のセキュリティ強化で対応することを発表、ユーザーには使用していないAPIキーの削除、2段階認証の設定を呼びかけました。
そして肝心なところですが、不正に出金があった部分については補償されることが決まっています。
今後の課題やセキュリティ強化について
コインチェックの事件後、ザイフを運営するテックビューロ社は、セキュリティ対策室を設置しました。
それだけ影響がでかかったということですね。
代表取締役である朝山さんが室長に就いています。
目的は今まで以上にセキュリティを強化していくというもの。
主なものをご紹介します。
まずホットウォレットとコールドウォレットでの管理について、その比率を見直しました。
今まで以上にコールドで仮想通貨を保管するということです。
ホットウォレットには上述のようにメリットがあり必要なものなのですが、セキュリティが第一ということで極力つかわないというイメージです。
さらに、マルチシグのセキュリティアップを図りました。
電子署名の手続きもっと複雑にし、署名の際に使うサーバーまでをさらに分散させています。
そのほか、一般的な対策として、ユーザーへのサポートを強化、外部からセキュリティの専門家を社内へ呼び込むことをおこなっています。
ユーザーへのサポート強化は、問題が万が一発生した場合、すみやかに対処をするため窓口などを設置するということです。
今後の課題としては、サイトなどを通じ、ユーザーへ積極的にセキュリティ対策について発表を行っていくことが考えられています。
ユーザー側でも積極的に監視していくことが必要。
まとめ
コインチェックの事件をきっかけに、ザイフもさらにセキュリティを高めていこうと取り組んでいるのが見えますので、その点評価できますね。
国内の各取引所と比較しても、遜色のないセキュリティ対策を行っています。
われわれユーザー側もひとつの取引所にすべての仮想通貨を持っておくのではなく、複数に分散させるのがいいです。
- 保有する仮想通貨を失わないために、コールドウォレット、マルチシグは重要なもの。
- コールドウォレットは、ネットにつながっていない仮想通貨を保管しておくためのウォレット(お財布)。
- セキュリティの甘さが、仮想通貨流失の危険につながる。
- コインチェックの事件後、ザイフも含めた取引所はセキュリティをさらに強化、積極的に自社のサイトやメールで対策を発表。
- ユーザー(顧客)側もセキュリティに対する知識を身につけた上で取引所のセキュリティを監視することが必要。
コメントを残す