暗号資産交換業者のサイバー攻撃等の対策と内部統制構築

暗号資産交換業者は、(火災や地震といった自然災害はもちろん)特にサイバー攻撃やシステム障害といった事象が起きた場合の影響が大きく、それらに対する脆弱な内部統制は、事業継続に対する大きなリスクとなります。

 

今回は、こうしたリスクに対して、どのような内部統制を構築すべきかについてまとめています。

 

1.指示・伝達・コミュニケーションの経路の確保

トレッドウェイ委員会組織委員会(Committee of Sponsoring Organizations of the Treadway Commission 以下、COSO)の発行したレポートで提示された内部統制のフレームワークにおいて提示された『情報と伝達』という要素が、暗号資産交換業者のセキュリティ対策の内部統制においても重要になります。

 

暗号資産交換業者は、緊急事態に対処するための指⽰・命令系統及び情報伝達経路、対応⼿順その他緊急時対応として必要な事項を⽂書にまとめ、それらを従業員等にも定期的に周知し、理解させ、可能であれば企業文化として定着させることが望ましいです。

指⽰・命令系統及び情報伝達経路を設定する際には、主たるルートが機能しない場合に備え、単一のルートだけではなく、指⽰・命令者が不在の場合等に備えて、代⾏者の順位及び代替ルートなどを定めなければなりません。

こうした指揮・命令経路は、緊急時対応時であろうとも機能しなければならないからです。

 

また、緊急時に連絡を取るべき関係機関(災害時であれば自治体や消防など)を洗い出し、当該機関への連絡担当者及び連絡⽅法を記した書⾯を作成し、緊急時対応に関わる役職員に交付しておくことも重要です。

 

加えて普段から、関係機関に対し、緊急事態発⽣時の交信⼿段や連絡担当者をあらかじめ伝えておき、緊急時における関係機関との連絡体制の構築をしておく必要があります。

 

2.事前準備のための統制活動

災害やシステム障害、サイバー攻撃などがあった場合の緊急対応も重要ですが、それらに備えた事前の準備も非常に重要になります。

 

たとえば従業員、役員など会社の構成員に対し、適切な訓練などが行われていれば、より緊急事態への対応がスムーズになります。

 

下記のような対策(内部統制)は、緊急事態に対する普段からの対応として非常に効果的となります。

 

①システム障害等の発⽣に備え、最悪のシナリオを想定した上で、必要な対応を⾏う体制を整備し、従業員等への教育及び訓練を実施すること

 

②システム障害等の発⽣に備え、外部委託先を含めた報告体制、指揮・命令系統を通常時より明確にしておくこと

③システム障害等の発⽣に備え、ノウハウ・経験を有する⼈材をシステム部⾨内部や外部委託先等から速やかに招集するための事前登録

 

④コンティンジェンシープランを策定し、それに基づく訓練を定期的に実施すること(暗号資産デリバティブ取引に関する委託を行っている場合等、外部委託先が重要な役割を果たしている場合には、外部委託先等と合同で訓練を実施すること)

 

⑤業務への影響が⼤きい重要なシステムについて、災害、システム障害等が発⽣した場合にも、速やかに業務を継続できる体制を整備しておくこと

⑥暗号資産関連デリバティブ取引の取引システムについては、メインシステムと並⾏運⽤するバックアップシステムを設置するなど、メインシステムの予期せぬ停⽌時においても速やかに売買取引が再開できる体制を整備しておくこと

3.サイバー攻撃等への対応(内部統制)

サイバー攻撃等が発⽣してしまった場合であっても、顧客に対して無⽤の混乱を⽣じさせないよう適切な措置を講じる必要があります。

 

具体的には、下記のような対応(内部統制)が考えられます。

①攻撃元の IP アドレスを特定し、遮断すること(及びそのための統制)

②DDoS 攻撃に対して⾃動的にアクセスを分散させる機能を具備しておくこと

③システムの全部⼜は⼀部の⼀時的停⽌を迅速に行うこと(及びそのための統制)

 

これらを混乱なく、いかに迅速に行うかがサイバー攻撃への対応では重要になります。

 

4.事後的な対応の内部統制

業務に重⼤な影響を及ぼすシステム障害等が発⽣した場合に、発見したシステム部門等の該当部門の責任者は、速やかに代表取締役をはじめとする取締役に報告するとともに、報告に当たっては、最悪のシナリオの下で⽣じうる最⼤リスク等を報告する態勢を整備しておく必要があります。

また報告を受けた取締役会は、必要に応じて、対策本部等のプロジェクトチームを⽴ち上げ、代表取締役等⾃らが適切な指⽰・命令を⾏い、速やかに問題の解決を図らなければなりません。

 

顧客に対しては、障害の内容・発⽣原因、復旧⾒込等について速やかに公表するとともに、顧客からの問い合わせに的確に対応するため、必要に応じて、コールセンターや相談窓⼝の設置、協会に対応を依頼するなどの措置を迅速に⾏い、また、それらをスムーズ行えるための体制整備をあらかじめしておくことが肝要です。

 

これらの対策により緊急事態の終息を図ることができた後は、システム障害、サイバー攻撃対策は十分であったか等の発⽣原因の究明、復旧までの影響調査、改善措置、再発防⽌策等を的確に講じる必要があります。

 

調査、分析が行われた後、それらは内部統制に組み込まれ、システム障害等の原因等の定期的な点検、傾向分析、再発防止のための対応策が採られることが望ましいのは言うまでもありません。

また、該当の障害箇所を迂回する、システム上のバックアップを用意するなどの対策を内部統制に組み込みシステム障害、サイバー攻撃等の影響を極⼩化するための取組も重要となります。

 

いかがでしたか?

暗号資産交換業者のセキュリティ対策は非常に重要性が高く、またサイバー攻撃等の手口も年々高度化しているため、常にその対策もアップデートしていく必要があります。

 

内部統制についても論点は非常に重要ですので、今後も定期的に解説していきたいと思います。