仮想通貨取引所のセキュリティ・ハッキング対策について
仮想通貨を預けている取引所がハッキングされて仮想通貨が盗まれてしまう。という大きな事件が日本だけで2018年は2件(コインチェック・Zaif)も発生しています。
ただ、預けていたユーザーの資産はハッキングで盗まれた取引所側が補填・補償するという事にはなっているようですが。。
ですが、そもそも信頼して取引所に口座を開設して仮想通貨取引をしているのに、ハッキングされて盗まれてしまったとなったら、とてもじゃないけど安心して仮想通貨取引なんてできないですよね。。今回は補償するという事になっているので、まだ良かったのですが、そのまま取引所が破綻や倒産してしまった場合はそのまま無くなってしまう、返還されないという可能性もゼロではないのです。
そもそものお話なのですが、仮想通貨はインターネット上にあるお金の事ですよね。
みなさん銀行にもお金を預けていると思いますが、銀行のお金を盗む場合だと、泥棒は金庫をドリルでこじ開けるか、暗証番号を解読してルパン三世みたいに盗むとかしかないですよね。つまり実際に銀行に出向かないと盗めないです。
でも仮想通貨はインターネット上に存在しています。つまりわざわざ取引所に出向かなくてもインターネット上からハッキングさえ出来れば簡単に盗まれちゃうんですよね・・・
そこが仮想通貨の問題点でもあると思うんです。でもその問題点を解決するにはセキュリティを強化する他ないって事ですよね。
セキュリティ対策は自分で出来る部分もありますが、そもそも仮想通貨の売買をする取引所自体がしっかりとセキュリティ対策・ハッキング対策をしていないと、とてもじゃないけど安心して仮想通貨取引をはじめるなんて無理ですよね。
そこで今回は僕が個人的に国内でセキュリティ・ハッキング対策が強いと思うBITPoint(ビットポイント)のセキュリティ対策はどうなっているのか調べてきたので、詳しく解説したいと思います。
https://encryption-currency.xyz//bitpoint-characteristic/
第3者機関のセキュリティ格付会社から「A」という評価!
ビットポイントは2018年10月11日付けで第3者機関である情報セキュリティ格付専門会社「株式会社アイ・エス・レーティング」から「A(シングルエー)」という評価を受けています。
取引所自体が「安心・安全」という事はとても簡単ですが、実際に第3者機関のお墨付きをもらうというのは消費者にとっても安心に繋がりますね。ただ、この格付けはどのぐらいの信憑性があるのか?信頼できるのか?という疑問もあったので、調べてみました。下の記事をご参考ください↓
BITPoint(ビットポイント)のセキュリティ・ハッキング対策
- 独自のウォレット管理
- マルチシグ対応
- 365日24時間の監視体制
- EV-SSL暗号化
- 顧客資産の分別管理
- 定期的な外部システム監査
- サイバーセキュリティソフト「AppGuard」
独自のウォレット管理
ビットポイントはコールドウォレットとホットウォレットの2つの利点を組み合わせた独自で開発したウォレットで仮想通貨を管理しているようです。
コールドウォレットとは?
コールドウォレットはインターネット上に繋がっていない状態で、ハッキングの心配がない環境に仮想通貨を保管しているという意味です。
ホットウォレットとは?
ホットウォレットはインターネット上に繋がっている状態で、仮想通貨の取引(売買)ができる環境に仮想通貨を保管しているという意味です。
マルチシグ対応
ビットポイントはマルチシグ対応になっていて、分散管理された秘密鍵によってハッキングや内部犯を防止しています。
マルチシグとは?
マルチシグは、複数の秘密鍵で仮想通貨を管理しているという意味で、万が一ハッキング攻撃で1つの秘密鍵が盗まれてしまった場合でも、その1つだけでは仮想通貨を盗み出すことはできないようになっています。
つまりハッカーは複数の秘密鍵を手に入れる必要があるので、同時にサーバーや端末などにハッキング攻撃をする必要があります。
イメージは金庫の鍵を2つ3つと複数で施錠するという感じですね。1つの鍵より2つ・3つと施錠をした方がセキュリティは高くなるのは容易にイメージがつくと思います。
このマルチシグに対応するだけでセキュリティレベルとしては格段に上がるという事になります。
365日24時間の監視体制
ビットポイントは不正侵入検知・防御システムを導入しています。不正アクセスや不正な情報持ち出し等の異常時にはアラートが出力されて、すぐに異常を検知できる24時間365日の監視体制になっています。
EV-SSL暗号化
SSL認証とはインターネット上でデータを暗号化して送受信する仕組みの事で、個人情報やクレジットカード情報などを暗号化して送信する事ができる仕組みの事です。ブラウザのアドレス部分を見るとわかりますが、SSL暗号化に対応しているサイトには「鍵マーク」がついていて、対応していないサイトは「保護されてない通信」と表示されます。
サイトURLでもhttpの後に「s」が付いているかどうかで簡単にSSL認証に対応しているかどうかは判断する事ができます。
■SSL認証に対応していないサイトURL「http://~」
■SSL認証に対応しているサイトURLにはhttpの後に「s」が付く「https://~」
ビットポイントはこのSSL暗号化にもちろん対応していますが、SSL認証の中でも審査が最も厳しくて、セキュリティレベルが高いEV-SSLの証明書を採用しています。
そして、Qualys SSL LABSのサイトではサイトの安全性を確認する事ができるのですが、実際にビットポイントのURLを入れてチェックしてみました。
判定は最高ランクA+からFで評価しています。
チェックしたところ、ビットポイントは最高評価の「A+」と出ました。このサイトでの評価が必ずしも正しいとは限りませんが、セキュリティ対策の一つの参考の数値にはなると思います。
顧客資産の分別管理
ビットポイントはユーザーから預かっている日本円や仮想通貨の資産と、ビットポイント側の資産を口座を分けて管理していて、ユーザーの資産と混同しないように、コンピュータ上の記録を正確に行っているそうです。
定期的な外部システム監査
ビットポイントはホワイトハッカーと呼ばれるテスト用のハッカーが定期的にシステムの点検や改善。見直しを継続的に行っているようです。
サイバーセキュリティソフト「AppGuard」の導入
ビットポイントは2018年8月からサイバーセキュリティソフトの「AppGuard」を導入しています。このソフトは過去に一度も破られたことのないとても堅牢で強いセキュリティソフトで大手インフラ企業がどんどん採用しています。
従来のセキュリティソフトは検知型といって、ウイルスが入ってきて初めて検知するような仕組みですが、この「AppGuard」はプログラムが正常だと分かってからはじめて稼働するという仕組みになっています。
取引暗証番号の必須でセキュリティが強い
ビットポイントは資金の移動時(口座間資金振替、売買、法定通貨の出金、仮想通貨の送金等)に関しては取引暗証番号の入力を必須にしていて、さらにセキュリティが強くなっています。
例えば他の国内取引所の場合、仮想通貨を送金する際に2段階認証までは当たり前にありますが、さらに取引暗証番号までの入力を必須にしているところはビットポイントだけだと思います。
※取引暗証番号は口座開設時に自分で設定する4桁の数字です。
セキュリティの管理体制に7~8割の人員を使っている
ビットポイントはセキュリティ面に力を入れていて、管理体制に7~8割もの人員を使って「入口対策、内部対策、出口対策」などの対策を行っているようです。
そして特別顧問には元金融庁長官の日野正晴さんもいてしっかりとセキュリティ対策を行っているのが分かります。
情報セキュリティ委員会の発足
ビットポイントは情報セキュリティ委員会を発足していて、セキュリティに対して力を入れているのが分かります。下はビットポイントからの引用です。
お客様の情報資産管理の適切性を確保するため、「組織的安全管理措置」、「人的安全管理措置」、「技術的安全管理措置」を踏まえた「情報セキュリティポリシー」を策定しており、経営陣を中心とした管理体制のもと情報セキュリティマネジメントシステム(ISMS)を構築して情報セキュリティの維持、向上に取り組んでおります。また、当社では、代表取締役社長を情報セキュリティ確保のための最高責任者として「情報セキュリティ委員会」を発足し、その委員長として情報セキュリティを統括管掌する取締役を任命、情報セキュリティ委員会の事務局ならびにサイバー対策を講じる責任部署を「システム管理部」としており、情報漏洩防止に最大限の施策を講じることに加え、仮に情報が漏洩した場合であっても、第三者がこの漏洩情報を解読することの不可能な対策を講じることを当社の情報セキュリティに係るポリシーとしております。
セキュリティの強化対策
二段階認証の必須
ビットポイントは2018年6月30日から「送金(送付)」「取引暗証番号変更」の手続きは二段階認証が必須になっていて、解除不可となっています。
メール通知サービスの開始
ビットポイントは2018年6月30日から「ログイン」、「法定通貨出金」、「仮想通貨送金(送付)」時におけるメール通知サービスを開始してます。
これでユーザー口座へのなりすましでの不正ログインや日本円・仮想通貨を出金した時にメールで通知が届くので、不正をすぐに検知することができるようになるものです。
まとめ
ビットポイントのセキュリティ対策を紹介しました。ウォレットの管理やマルチシグ対応、SSL暗号化、それに定期的に外部からのシステムチェックや改善を行っていて、セキュリティ・ハッキング対策はしっかりとしているという印象を受けます。
私もビットポイントを使っていますが、サーバーも強くて、国内の取引所では唯一電話対応もあるので安心して使える取引所だと思います。
私も仮想通貨の送金手数料が本当に無料なのか信じられなかったので、一度電話してみましたが、担当の女性が丁寧に色々と教えてくれて、対応はとても良かったです。
※仮想通貨の送金手数料は本当に無料だという事です♪通常、他の取引所の場合は手数料がかかるところがばかりなので、無料は凄いと思います。
ハッキングされたコインチェックについて
コインチェックは約580億円分もの仮想通貨ネムをハッキングされました。ですが、その後、マネックスグループに買収され、内部管理を徹底的に見直し、修正。そして金融庁の認可を取得することに成功しました。
コインチェックは苦難を乗り越えた最強の取引所だと考えます。その理由は以下の記事をご覧ください。