SaaSベンチャーで働くエンタープライズ部長のブログ

SaaSベンチャーでエンジニア→プロダクトマネージャー→エンタープライズ部長として働いています。

「ブロックチェーンサービスのセキュリティを考える」と題して発表してきました

イベント セキュリティ

f:id:naomasabit:20180820025233j:plain

8月17日、ブロックチェーンサービスのセキュリティを考える、と題して発表してきました。

企画時は、Neutrinoのコミュニティマネージャーとは30人くらい来たら良いねと話していましたが、ふたを開けると最大時で120人ほどの申し込みがあり、急遽枠を増やしていただきました。おかげで資料に力が入りました笑   資料は全て公開してあります。

発表の課題感とモチベーション

国内のブロックチェーン・暗号通貨ビジネスはかなり逆風に立たされています。一定の規制は必要だと思いますし、日本でも大きなハッキング事件が複数回あった事から、センシティブになる理由も十分わかります。

jp.hiroyukishinohara.com

金融庁の資料を読む中で、規制の論点として大事なポイントは、セキュリティとマネーロンダリングなように感じました。

その中でセキュリティに関するモチベーションはいくつかあり、

1つ目は暗号通貨によって人間が動かせる資金量が増大したこと。テクノロジーの可能性とともにリスクが上がったことがあります。

2つ目は、基本的なポイントでのハッキング被害が多く、少しの注意とシステム対応で防げた可能性があること。基本的なセキュリティをきっちりやる必要性を広めた方が良さそうであること。

3つ目は、求められる人材要求の高さと不足感があります。以下は金融庁「仮想通貨交換業者等の検査・モニタリング 中間とりまとめ」主なポイントからです。

マネロン・テロ資金供与対策や、システムリスクなどの監査を実施するために必要な専門性・能力を有する監査要員が確保されていない。

取扱い暗号資産(仮想通貨)の選定に当たっては、暗号資産の利便性や収益性のみが検討されている反面、取扱い暗号資産ごとにセキュリティやマネロン・テロ資金供与等のリスクを評価した上で、リスクに応じた内部管理態勢の整備を行っていない。

https://www.fsa.go.jp/news/30/virtual_currency/20180810-1.pdf

金融庁の発表資料から見られる人材は相当レベルが高く、法令、一般的なIT知識、ブロックチェーン知識、セキュリティ知識が必要とされています。この4ポイントを抑えられる人材は相当いないと思いますし、年収ベースだとおそらく1000万円はくだらないと思います。ベンチャーにこのレベルの人材を求めるのはなかなか酷です。

付け加えると、規制側にもきちんとコードが書けるエンジニア人材も必要だと思いますし、更にそのような人材を集める人事制度や組織体制が必要だと感じます。

実は私も仮想通貨監査の技術アドバイザリーなどしていました。仕事の意義は感じたし面白かったのですが、給与は年齢が20代であることと会計士資格がないということで、新卒1年目の会計士と同額かそれ以下だったりしました。

年齢と資格有無の給与制度である程度のルールが決まっていたので、おそらくWEB系トップ企業などに対して採用の競争力はあまりないだろうな、というのは採用面での課題感。

4つ目として、一番大きく感じているのですが、既存金融に基づいた指摘事項と暗号通貨ビジネス現場感とのギャップがあります。

指摘事項として取引所の人員数などが上げられていますが、本当に力点はそこなのか。システム化が進んでいるビジネスであれば、より力点を置く観点が他にないか。

おそらく、既存金融のガイドラインしかなく、ブロックチェーンビジネス独特の「力点」が分からないので、規制側もおそらく現場が追いつかず苦労している。

さらに規制側で現場の人手不足があった時、他部署から人が来てもなかなか戦力になるまで時間がかかるでしょう。

そのような事情もあって業務、システム全方位の対応を要求せざるを得ないのではないか、と勝手な推測をしています。(すみません)

仮想通貨交換業というライセンスを設けて、認可制として育てていくのは方針として正しいように感じますが、上記などの背景があって、交換業登録が100社待ちの状態になっているように思います。

そんな事を背景に、少なくともセキュリティに関してはナレッジを提供して、仮想通貨交換業の現場の方や規制当局、金融庁の方へ「力点」の理解の一助になるようにと思って作成しました。

現場レベルでのチェックリストが必要そう

交換業において、大まかな観点は金融庁の以下の資料などにまとまっています。

「仮想通貨交換業関係」(金融庁

https://www.fsa.go.jp/news/28/ginkou/20170324-1/19.pdf

一方で、現場で利用しやすい、「これを対応するべき」というチェックリストのようなものがあれば、規制サイド、ビジネスを展開するサイド双方で「共通言語」が生まれやすいのではないかと思います。

CryptoCurrency Security Standardのような内容をイメージしています。スライドにも載せていますがかなり多くの観点が示されています。

なかなか当局に頼るだけだと進まないでしょうから、ブロックチェーン関連のビジネスに携わっている人達で、現場で使えるチェックリストをOSSのように更新して、業界に通じるスタンダードを作ってしまうというのもありかなと思っています。

秘密鍵を預からないDappsについても、取引所と全く同じような内部統制レベルを強いるのはちょっと違和感もありますし、逆にスマートコントラクトの堅牢性などを重点を置いて見る必要があります。

それらについても価値観や言葉のすり合わせから始めるとかなり大変そうですので(そもそもコード監査とはとか)、先々において共通言語を作成してしまうというのはありだと思います。

この業界は好きなので、発展のために何かできることなどがあればお気軽にお声がけください。

関連記事

スライド内で扱った内容について触れている過去の記事は以下などです。

www.blockchainengineer.tokyo

www.blockchainengineer.tokyo

www.blockchainengineer.tokyo

naomasabit 読者になる

コメントを書く