大胆な新時代: 暗号通貨の保管への進化

暗号資産の保管の進化は、信頼を再構築するために厳格な監査管理と新時代の鍵管理を必要とする差し迫った課題です。

2022年の仮想通貨市場の暴落を受けて、取引相手リスクに関する懸念が仮想通貨リスク管理の議論で話題になっており、2023年以降の保管の将来を形作る主要な要因の1つとなるでしょう。

この未来が現実となり、保管に関する規制の枠組みがより明確になるにつれ、運用上賢明でない、あるいは不適切とみなされるものはすべて厳しい精査を受けることになるだろう。 FTXがこれまで採用してきた暗号通貨のアプローチ（クラウドサーバー上に資産を保存する単一キーウォレット、サイバーセキュリティチームの不足、体系的なキー管理の確立の失敗）は、顧客や規制当局に受け入れられなくなるだろう。

Bullish の保管責任者であるミック・ホーガン氏は、次のように語っています。「FTX のウェブサイトの 1 つを閲覧し、彼らの保管について、その基盤となる保管システムを理解しようとしたことを覚えています。大規模な取引の引き出し時間が短い一方で、資産のほとんどを安全に保管しているようだと読んでいました。どうやってそれを実現したのでしょうか? 私にはわかりませんでした。もちろん、答えは、FTX が Bullish の運営方法とまったく逆の方法で運営されているということです。」

デジタル資産の採用が拡大し続け、 2022年の失敗が過去のものとなるにつれ、第三者のデジタル資産保管人が資金の安全性をどのように確保するかが、暗号資産の参加者と、暗号資産業界のための新しいより安全な基準を確立しようとしている規制当局の両方から、かつてないほどの注目を集めることになるだろう。

この進化の鍵となるのは、鍵管理と厳格な監査制御という 2 つの基本的な柱に基づく多層的な保管システムを広く導入したことです。そうすることで、資産管理者にとってのセキュリティの最低限の許容レベルが引き上げられ、突然の取引プラットフォームのクラッシュなどの新たなブラックスワンイベントを防ぎながら、制度的信頼を再構築して強化することで暗号通貨の成長をより促進することができます。

1. キーは最も重要です

暗号通貨業界への参加に関しては、資産の安全な保管以上に重要なことはないと言えるでしょう。では、なぜサードパーティの保管人は鍵管理に関してより高い基準を満たすことが求められないのでしょうか? FTX の場合、同社が最終的にマルチ署名ウォレットを実装したとき、3 つのキーすべてを同じオンラインの場所に保存したため、マルチ署名ウォレットの本来の目的が達成されませんでした。

「これは、安全な高級金庫を購入し、貴重品をすべてそこに詰め込み、ドアを開けたまま立ち去るのと同じことだ」と、Bullish の保管責任者であるミック・ホーガン氏は言う。

よりスマートで強力な業界へと前進するためには、多層的な保管システム内で鍵管理を優先することが、サードパーティの保管業者にとって明確な基準となります。以下は、Bullish がすべてのホスティング エージェンシーに実装を推奨する主な機能です。

2. 分散型秘密鍵ストレージ

侵害が発生した場合に単一障害点が存在しないようにするために、秘密鍵を 1 か所だけに保存​​してはなりません。代わりに、それらは互いに分離され、オフラインで保存される必要があります。

適切に設計された多層保管システムでは、コールドウォレット、ウォームウォレット、ホットウォレットを組み合わせて保管人への鍵の配布が行われ、紛失や盗難のリスクを最小限に抑えながら転送が容易になります。ベストプラクティスに従って、ほとんどの資産はオフラインのキーで保護されたウォレットに安全に保管されます。

3. ハードウェア、ソフトウェア、運用上の安全対策を確保する

鍵管理に関しては、保管システムのあらゆる層に安全対策を組み込むことが重要です。これらが確立されると、機関投資家や個人の暗号通貨参加者は、第三者による保管オプションに参加するために必要な自信を得ることができます。実装すべきベストプラクティスをいくつか紹介します。

1) ハードウェアサポート

すべてのオフライン秘密鍵は互いに分離され、安全なストレージ デバイスに保存されます。

保護されたクラウド サーバー上の安全なモジュールにオンライン キーを保存します。

オフラインで保管されているデジタル資産の大部分をコールドウォレットに保存することで、コールドストレージを効果的に使用できます。

2) ソフトウェア保証

管理対象ソフトウェア コンポーネントとオペレーティング システムはすべて暗号署名されている必要があります。

共謀に対する保護を強化するために、署名プロセスは、マルチ署名ウォレットを介して独立した参加者間で分散される必要があります。

ブロックチェーン ベースのオラクルを活用して、エスクロー操作の出所を検証し、中間者攻撃を防止します。

3) 運用サポート

プロトコルは、どのウォレットが相互にやり取りするか、トランザクションに署名するために必要なキー、トランザクションのサイズと速度の制限を決定します。

資産管理者は、災害復旧システムを実装してキーをバックアップできるため、最悪の場合でもすべてが失われることはありません。

キーのバックアップは世界中の安全な施設内の遠隔地に保存できるため、最大限のセキュリティが確保されます。

4. 世界クラスのコントロール、さもなければ何もない

組織や個人が暗号化の世界を探求するとき、誰もが「鍵を紛失したら、すべてが失われてしまうのか?」という疑問に直面します。

これは今日の暗号通貨業界における大きなボトルネックの瞬間であり、人々は鍵を失うことやその結果を恐れて自分自身に頼るか、それとも控えるかのどちらかを決断します。ほとんどの機関は自らの鍵を管理したくありませんが、自らが選んだ保管人が自らに代わって鍵をどのように管理するかについては深い関心を持っています。十分な信頼は、暗号通貨業界への参入を左右する決定となる可能性があります。

「FTXの失敗は保管の重要性を浮き彫りにしている。保管とは簡単に言えば鍵のセキュリティに関するもので、強力な内部統制、徹底した記録保管手順、顧客資産の安全に対するこだわりがあって初めて真に効果を発揮できる」と、Bullishの保管責任者、ミック・ホーガン氏は語った。

厳格で監査済みの管理を確立することは、サードパーティの保管者に信頼を植え付けることで、機関が困難な状況を乗り越えるのを支援するために不可欠です。これらの制御はさまざまな形式をとることができ、それぞれが包括的な安全システムを構築する上で重要な要素となります。

1) 内部統制

内部統制は顧客資産の保護に役立ちます。正しく実装されていれば、顧客のウォレットに起こり得る問題を検出し、防止し、制限できるはずです。以下は、Bullish が社内で実装した管理策であり、他の企業にとって明確な模範となっています。

- 職務の分離- 共謀による詐欺や盗難のリスクを軽減するために、キーの生成、保管、トランザクションの承認などの職務を分離する必要があります。

- ウォレットの回復- 企業は、キーアクセスの損失を防ぐために、いつでも安全にウォレットを回復するための制御を実装する必要があります。

- 秘密鍵管理- オンライン攻撃のリスクを軽減するために、ほとんどの資産はマルチ署名コールド ストレージ ウォレットにオフラインで保存する必要があります。

- リスク評価と管理- 企業はセキュリティ評価と重要なシナリオ分析を継続的に実施する必要があります。

- 資産の分離- 顧客の資金は会社の資産とは別に保管し、アカウントやブロックチェーン アドレスで混在しないようにする必要があります。

- 監視 -ウォレット/トランザクションのリアルタイム監視と、すべてのウォレットとアカウントの調整を実装する必要があります。最良のシナリオでは、専任のサイバーセキュリティ チームがこの制御を主導します。

- アクセス制御- セキュリティ侵害の 80% 以上がパスワードに関連しており、サイバー攻撃や詐欺に悩まされている業界では、パスワードだけではもはや十分ではありません。すべての特権システムへのアクセスに対して、厳格なアクセス制御と多要素認証を実装する必要があります。

- 従業員- サイバーセキュリティ チームは、会社のあらゆるレベルが不正侵入者から保護されるように、徹底したセキュリティ トレーニング プログラムを実施する必要があります。

すべての内部統制とセキュリティ ポリシーは、外部監査人によって定期的にレビューおよび監査される必要があり、これが外部統制の基礎となります。

2) 外部制御

内部統制を補完し、機関のニーズをよりよく満たすために、サードパーティの暗号資産保管人は、監査を少なくとも従来の金融（TradFi）の基準にアップグレードする必要があります。このため、各保管機関は、資格のある監査人（Big Four 会計事務所など）による定期的な独立監査を受ける必要があります。

これらの監査では、カストディアンの内部統制と全体的なセキュリティを評価し、顧客資産がカストディアンの資産から分離されていることを確認し、準備金証明監査を完了してカストディアンの支払能力を分析する必要があります。

暗号通貨の安全な未来に向けた計画 暗号通貨業界が世界規模での導入に向けて前進し続けるためには、特に暗号通貨の保管に関しては、過去の欠点がそのまま残っていなければなりません。 FTX から学べる教訓が 1 つあるとすれば、暗号通貨は参加者を保護するために政府、監査人、規制当局だけに頼ることはできないということです。むしろ、参加するすべての機関と個人が、資産管理者に責任を負わせるためにそれぞれの役割を果たす必要があります。全員がそれぞれの役割を果たせば、業界は国際金融の透明性、リスク管理、セキュリティのリーダーとして新たな基準に到達するでしょう。