暗号鍵のセキュリティについての内部統制

前回のコラムでは、暗号資産交換業者のあるべき内部統制について解説をしました。

 

今回は前回も解説した暗号鍵のセキュリティについて、より詳細な解説をしていきたいと思います。

 

暗号資産は現状、投機用の商品のイメージが強いですが、送金や支払といった決済の領域にも広がりつつあり、暗号資産のセキュリティーに関する関心は日々強くなっています。

 

特に暗号資産の流出や、マネーロンダリング、テロ資金供与といった問題は暗号資産交換業者が必ず取り組まなければならない問題です。

 

最近の資金決済法の改正により暗号資産交換業者は、利用者保護の一環として、業務の円滑な遂行などに必要なものを除き、顧客の暗号資産をコールドウォレットで管理することが義務付けられるようになりました。

 

また、ホットウォレットで管理する顧客の暗号資産に関して、同種・同量の暗号資産を弁済原資として別途保持することも義務付けられることとなりました。

 

これは過去の暗号資産の流出事件が、外部ネットワークからアクセス可能なホットウォレットで資産の大部分を管理していたことで原因で起こったことの反省として定められたものです。

 

１．暗号鍵の管理方法

顧客の暗号資産の保全という観点から、内部統制上もっともリスクが高いのが暗号鍵です。

 

暗号鍵は暗号資産の所有権を証明する役割を果たしているため、暗号鍵が漏洩すると、勝手に資金を他のアドレスに移動させることが可能になるなど、非常に危険であり、最悪の場合、大量流出事件などにもつながりかねません。

 

したがって暗号資産交換業者は、外部からの不正アクセスだけでなく、内部不正の可能性などを含めたあらゆるリスクを想定し、それに耐えられるような内部統制を構築しなければなりません。

 

２．暗号鍵管理のライフサイクル

ここで、暗号化鍵管理のライフサイクルについて説明します。

鍵管理のタスクは、暗号化鍵の作成、維持、保護、管理に必要となるさまざまな作業で構成されていますが、これを暗号鍵のライフサイクルといいます。

 

これは暗号鍵が生成されてから、廃棄されるまでを人の一生に喩えてこのように表現しています。

一般的な暗号化鍵ライフサイクルには、次のようなフェーズがあります。

 

⑴鍵の生成
⑵鍵の登録
⑶鍵の保管
⑷鍵の配布/導入
⑸鍵の使用
⑹鍵のローテーション
⑺鍵のバックアップ
⑻鍵の回復
⑼鍵の取り消し
⑽鍵の一時停止
⑾鍵の廃棄

 

内部統制上は、暗号化鍵管理ポリシーを定義して適用することが非常に重要で、これは鍵管理ライフサイクルのすべての段階に関係します。

 

暗号化鍵は、それぞれの鍵使用ポリシーに基づいて管理され、暗号鍵ポリシーの中で、鍵を要求できるデバイス、デバイスグループ、アプリケーションタイプおよび、デバイスやアプリケーションが実行できる処理（暗号化、復号、署名など）を定義します。

 

また、要求された鍵をリリースする際や紛失した鍵を回復する際など、鍵管理プロセス内での追加要件を規定することもあります。

 

 

３．鍵管理における権限管理

鍵管理においては、外部からの攻撃はもちろん、内部による不正利用についても十分な対策が求められる。内部においても単独犯による不正を困難とするためには、適切な権限分離を設計する必要がある。

 

まず権限管理のポイントについて説明すると、情報や機能に対して単独でアクセスしたり利用できないようにし、複数の要素により管理するという点が挙げられます。

 

留意点として、ルールによって複数人による作業を義務付けているだけでは適切な統制とはならず、たとえばパスワード管理であれば、端末にログインする際に複数人のログインパスワードが必要なように設計をするところまでが必要とされます。

 

また、ある情報を個々には意味を成さない要素に分けて、複数の担当者がその要素を別々に保持するといったことも有効です。

これはたとえば、暗号鍵を複数に分割し、それぞれ別の担当者が保持するといった統制になります。

 

次に、鍵のライフサイクルにおいて、自動化してよいプロセスと意思決定を伴う明確な操作を必要とするプロセスに分けることが必要となります。

 

意思決定を伴う明確な操作を必要とするプロセスを明確にしたら、意思決定を伴う明確な操作を必要とする各プロセスに対して承認、実施、検査の3種類に権限及び操作を分離するとともに、それぞれの権限を排他的に設
定することで、単独犯による内部不正を困難にする必要があります。

 

鍵操作員・署名操作員は、それぞれに規定された操作を実施する権限を持ちますが、それぞれの操作権限に対応した運用責任者・署名責任者の承認がなければプロセスを完了させることができないようにさせます。

 

様々な制約により承認の有無が必ずしも操作の技術的制限につなげることができない場合もありますが、例えば操作員が操作を行うためには施錠された部屋で操作を行い、運用責任者のみが解錠できる(あるいは運用責任者の指示によって他の操作員が解錠する)等の工夫によって、承認プロセスを物理的な制約と一体的に規定し、内部統制の逸脱に対する実質的な操作制限をかけることも可能です。

 

上記の一連の内部統制は、内部不正やオペレーションミスといったリスクを低減する対策として有効であるばかりでなく、適切に実施できていれば、サイバー攻撃への耐性も高めることができます。