ビットコインETF承認を世界中の多くの人たちと待っていたとき、あることが気がかりだった。すなわち、フィデリティ(Fidelity)とヴァンエック(VanEck)などのひと握りの例外を除いて、ビットコインETFの申請者はほぼすべて、カストディアンとしてコインベース(Coinbase)を使おうとしている。
リスクの一極集中
ブロックチェーンに特化したサイバーセキュリティ企業として、このようなリスクの集中は、暗号資産(仮想通貨)カストディ業務の本質的なリスクの高さと、セキュリティのベストプラクティスがまだ発展途上であることが相まって、私に戸惑いを与える。
ここで心配なのはコインベースそのものではない。コインベースはこれまで一度もハッキングされたことがない。多くの伝統的金融機関がコインベースのノウハウを信頼しているのもそのためだ。
しかし、ハッキング不可能なターゲットは存在しない。十分な時間とリソースがあれば、どんなものでも、どんな人でも、ハッキングされる可能性がある。これは、サイバーセキュリティと資産運用の交差点でキャリアを積んできた私が学んだ教訓だ。
私が懸念していることは、資産が単一のカストディアンに極端に集中することだ。暗号資産が現金に近い性質を持つことを考えると、この状況は本質的に懸念すべきものだ。
規制当局による承認を示す「適格カストディアン」の指定は、現状では、リスクの高いブロックチェーンベースの資産の安全性を必ずしも(あるいは最善に)確保するものとは限らず、再考が必要かもしれない。さらに理想を言えば、デジタル資産のカストディアンは、今よりも厳しい州や連邦の基準のもとで、より訓練された規制当局による監視を受けるべきだ。
手強いハッキング集団
現在、ほとんどの適格カストディアンは、株式、債券、またはデジタルに連動した法定通貨の残高を管理・保管しているが、これらはすべて基本的に法的な契約であり、単純に「盗まれる」ことはない。
しかし、ビットコイン(BTC)は現金や金と同様、いわゆる無記名商品だ。暗号資産のハッキングは、西部開拓時代の銀行強盗のようなもので、泥棒の手に渡れば、お金は消えてしまう。
つまり、暗号資産カストディアンにとっては、たった一度のミスで資産が完全に消えてしまうことになる。
また、世界的な暗号資産犯罪勢力が手強いこともわかっている。悪名高い例をひとつ挙げると、北朝鮮のハッキング集団ラザルス(Lazarus)グループは、過去6年間で30億ドル(約4350億円、1ドル145円換算)相当の暗号資産を盗んだとされ、その勢いは止まる気配がない。ビットコインETFへの資金流入は、最初の取引週で60億ドルを超えると予測されており、格好の標的となるだろう。
もしコインベースが数百億ドル相当のビットコインをデジタル金庫に保管することになれば、北朝鮮はその資金を盗むために、たとえ数年かかったとしても、5000万ドル規模の作戦を簡単に準備することができる。
ロシアのCozy Bear/APT29グループのような集団もまた、保管されている暗号資産が莫大に増えるにつれて、機関投資家の暗号資産を狙うことに以前よりも魅力を感じるようになるかもしれない。
冗長性に必要なのは人員
これは、大手銀行が備える脅威の水準だ。金融機関に広く普及しているリスク管理モデルの1つは、3層の監視を使う。第1に、経営管理層がセキュリティ対策を立案・実施。第2に、リスク層がそれらの対策を監督・評価し、第3に、監査層がリスク軽減策が実際に有効であることを確認する。
そのうえ、レガシー金融機関の場合は、外部の監査機関、外部のIT監督機関、さらに州および連邦の規制当局が監視している。リスクとセキュリティのあらゆる側面について、多くの人たちが目を光らせている。
このような何段階もの冗長性と入れ子状になったフェイルセーフには、人員が不可欠だ。
私がBNYメロンでデジタル資産テクノロジーのグローバル責任者を務めていた頃、この投資銀行にはおよそ5万人のスタッフがいたが、その2%ほどに当たるおよそ1000人がセキュリティの役割を担っていた。
コインベースの従業員数は、最近の拡大後も5000人に満たない。ビットゴー(BitGo)もまた、ニューヨーク州やその他の管轄区域から認定された適格カストディアンだが、その従業員数はわずか数百人だ。
これらの組織やスタッフのやる気やスキルを批判するつもりはない。しかし、真の監視には冗長性が必要であり、これらの新しい組織は、数百億ドル相当の無記名証券を保護するために適切なレベルで冗長性を提供することに苦労するかもしれない。
サイバーセキュリティ基準の整備が急務
この数字がさらに大きくなる前に(そして悪者にとってより魅力的になる前に)、適格カストディアンを指定するためのサイバーセキュリティ基準を改善する時期はとうに過ぎている。
現在、この指定は信託または銀行ライセンスに付随するもので、州や連邦の規制当局によって監督されている。金融規制当局は、主に伝統的な銀行業務に重点を置いており、サイバーセキュリティの専門家ではなく、暗号資産の専門家でもない。彼らは当然ながら、バランスシート、法的プロセス、その他の金融業務に重点を置いている。
しかし、暗号資産カストディアンにとって、重要な監視はそれだけではなく、それが最も重要とさえ言えない。特に暗号資産カストディアンによるサイバーセキュリティとリスク管理プロセスに関する業界全体の基準はなく、「適格カストディアン」というステータスは、思うほど安心できるものではない。
これは、投資家だけでなく、新しい業界全体を潜在的に悲惨な結果をもたらす不透明なリスクにさらすことになる。
ビットコインETFの承認は、金融システムへの暗号資産の継続的な統合における最新ステップに過ぎない。その予測に関しては、暗号資産支持派を信用する必要はない。ビットコインETFを支持する伝統的金融(TradFi)大手のブラックロック(BlackRock)に聞いてみればいい。
こうした動きが続くなか、投資家保護に真に関心を持つ規制当局は、この新しい世界への適応に注力することになるだろう。この世界では、厳格なサイバーセキュリティ基準が、誠実な情報開示や財務監査と同様に金融の安定にとって重要となる。
|翻訳・編集:山口晶子、増田隆幸
|画像:Sergei Elagin / Shutterstock.com
|原文:The Biggest Bitcoin ETF Threat No One Is Talking About
