金融庁はこのほど、暗号資産(仮想通貨)の流出を防ぎ、国富を守るため、「暗号資産交換業等におけるサイバーセキュリティ強化に向けた取組方針」(案)を公表し、意見公募を開始しました。意見の受け付けは3月11日まで。
暗号資産の流出につながるサイバー攻撃が世界中で多発しています。暗号資産を移転するには「署名鍵」(秘密鍵)が必要となりますが、従来の管理方法だけでは守り通すことができないケースが発生しています。
常時インターネットに接続していない電子機器に署名鍵を記録して管理する方法(コールドウォレット)は有効な対策ですが、近年の流出事案では、人の心理の隙を突くソーシャルエンジニアリングや外部委託先から侵害するなど、手口が巧妙化してきているためです。
暗号資産特有のリスクもあります。暗号資産はインターネット上で移転できる財産的価値であるため、攻撃者が資産そのものを瞬時に窃取できる上、国境をまたいだ資産移転や資産洗浄もやりやすいという点です。また、外貨獲得を目的とした国家の関与が疑われる攻撃もあります。
公表された方針案では、サイバーセキュリティの基本として自助、共助、公助の3要素を挙げ、それぞれの取り組みを推進します。
自助では、事業者の経営陣に対してセキュリティ対策を最低限の基準を満たすための「コスト」と捉えるのではなく、事業の収益や国富を守るための「戦略的投資」として認識するよう強く促しています。
また、暗号資産交換業者向けに「事務ガイドライン」(金融庁)を見直し、サイバーセキュリティの要求水準を引き上げることを検討すると記されています。具体的には、人的構成(サイバーセキュリティに必要とされる専門性の確保、適切な人員配置、責任者が持つべき権限のあり方)▽外部監査の明確化(システムリスク管理や署名鍵の管理などを対象とした監査のあり方)▽委託先管理の要件見直し――です。
さらに2026年事務年度以降は、すべての暗号資産交換業者に対して「サイバーセキュリティセルフアセスメント(CSSA)」の実施を求めると記されています。
共助では、業界全体の取り組みを促し底上げしていくことを促進します。具体的には、各事業者が「JPCrypto-ISAC」など情報共有機関を積極的に活用するよう勧奨しています。
公助では、金融庁が行うサイバーセキュリティ演習「Delta Wall」において暗号資産交換業者向けのシナリオを継続的に改善します。一部の組織に対しては、2026年中に実際の運用環境に対して実践的なサイバー攻撃を擬似的に仕掛ける「脅威ベースのペネトレーションテスト(TLPT)」も実施します。テストを通じて抽出された共通課題を業界全体に還元することを目的としています。
