暗号資産を守る「使いやすいセキュリティ」という難題
iPodを生んだトニー・ファデルが語る、デジタル資産セキュリティの本質。安全性と利便性の両立は、なぜこれほど難しいのか。日本企業への示唆も含めて考える。
ビットコイン全体の約20%、金額にして約35兆円相当が、永遠に誰の手にも届かない場所に眠っている。失われた理由のひとつは、持ち主が「秘密鍵」をなくしてしまったからだ。
暗号資産のセキュリティは、技術の問題である以前に、「人間の行動」の問題だ。どれほど堅牢なシステムを設計しても、使いにくければ人はミスを犯す。モニターに貼られた付箋、「123456」というパスワード——これはデジタル資産の世界でも例外ではない。
iPodの教訓:後付けのセキュリティは機能しない
トニー・ファデルといえば、AppleのiPodを生み出したエンジニアとして知られる。しかし彼が現在注力しているのは、デジタル資産セキュリティの分野だ。Ledgerのボードメンバーとして、署名デバイス「Ledger Stax」の開発に深く関わってきた。
ファデルはiPod開発時代を振り返り、こう語る。「開発スピードの犠牲になってしまう。適切なレビューなしに機能を追加し、後になって顧客がセキュリティを求め始めたとき、最初から設計し直すべきだったと気づく。しかし、すでにやってしまったことを元に戻すのは非常に難しい」。
これは消費者向けデバイスの話だけではない。企業のITシステム、金融インフラ、そして日本の製造業が誇る組み込みシステムにも共通する課題だ。セキュリティを「後から追加するもの」として扱う設計思想は、根本的なリスクを内包している。
セキュリティの三つの柱
デジタル資産の署名デバイス(一般に「ウォレット」と呼ばれる)を安全に設計するには、三つの要素が不可欠だとされる。
まず、セキュアなオペレーティングシステム。次に、ソフトウェアとハードウェアを結びつけるセキュアエレメント。そして、見落とされがちなセキュアなユーザーインターフェースだ。この三つ目の要素こそが、使いやすさと直結する。
Ledgerは独自のセキュアOSと、暗号化処理を担うセキュアエレメント、そしてデバイス乗っ取りを防ぐセキュアディスプレイを組み合わせている。さらに同社のセキュリティ研究チーム「Donjon」が、ホワイトハットハッカーを使った実世界攻撃のシミュレーションを継続的に実施し、製品の耐性を高めている。
セキュリティとUXの「創造的緊張」についてファデルはこう説明する。「UX・UIの観点でモックアップを作り、プロトタイプを試し、それをDonjonチームに見せる。そして双方が押し返し合いながら、最適なバランスを見つけていく」。
こうした研究の成果のひとつが、NFCカードを使った「リカバリーキー」だ。従来の「シードフレーズ」(12〜24語の回復用パスフレーズ)を紙に書き留めるだけでなく、NFCカードに記録して金庫や信頼できる人物に預けられるようにした。業界初の試みだという。
企業向けセキュリティはさらに複雑だ
個人向けデバイスの設計課題だけでも十分に複雑だが、企業向けとなると難度はさらに上がる。
2024年、日本の暗号資産取引所DMM Bitcoinが正体不明のサイバー犯罪者に約450億円相当の資産を盗まれ、わずか半年後に閉鎖に追い込まれた。金融庁の調査では、独立した監査の欠如、不十分な監視体制、杜撰なセキュリティ慣行など、深刻なリスク管理上の問題が発覚した。
この事件は、日本の金融・テクノロジー業界に重い問いを投げかけた。企業レベルのセキュリティには、単一の担当者が全権を持つ構造を避けるための「マルチシグ」(複数署名)機能が必要だ。ファデルは言う。「攻撃ベクターが一人の人間に集中しないようにする必要がある。複数の人間が、複数のデバイスで、複数の要素を持つ仕組みが求められる。これは組み合わせ論的に非常に複雑な問題になる」。
日本ではソニーやNTTなど大手企業もブロックチェーン関連事業に参入しつつある。こうした企業が本格的にデジタル資産を扱う際、セキュリティ設計の思想そのものを問い直す必要があるだろう。
規制の動きと「設計によるセキュリティ」
政府レベルでもこの問題への対応が始まっている。米国のCISA(サイバーセキュリティ・インフラセキュリティ庁)は「Secure by Design」イニシアチブを推進し、テクノロジー製品の設計・製造段階からセキュリティを組み込むことを求めている。英国のNCSCも同様の「ソフトウェアセキュリティ実践規範」を策定した。
日本でも経済産業省が「サイバーセキュリティ経営ガイドライン」を更新し続けているが、「設計段階からのセキュリティ」という思想が製品開発の現場にどれほど浸透しているかは、企業によって大きな差がある。
高い技術力を持つ日本のモノづくり企業にとって、この領域は強みを発揮できる可能性がある。一方で、大企業ほど既存システムの「後付けセキュリティ」に縛られやすいという構造的な問題も抱えている。
本コンテンツはAIが原文記事を基に要約・分析したものです。正確性に努めていますが、誤りがある可能性があります。原文の確認をお勧めします。
関連記事
米特殊部隊員がベネズエラ作戦の機密情報を使い予測市場Polymarketで約4000万円を稼いだとして起訴。予測市場の急成長が生む新たな安全保障上のリスクとは。
世界の通信インフラに潜む脆弱性SS7・Diameterを悪用した2つのスパイ活動をCitizen Labが報告。監視ベンダーが「幽霊」通信会社を装い、個人の位置情報を追跡していた実態とは。
イランを装った詐欺師が仮想通貨で「通行料」を要求。ホルムズ海峡に足止めされた船舶を狙う新手の海上サイバー詐欺の実態と、日本のエネルギー安全保障への影響を解説します。
北朝鮮のハッカー集団HexagonalRodentがAIツールを駆使し、3ヶ月で約17億円相当の暗号資産を窃取。技術力の低い犯罪者がAIで「戦力増強」する新たな脅威を解説。
米特殊部隊員がベネズエラ作戦の機密情報を使い予測市場Polymarketで約4000万円を稼いだとして起訴。予測市場の急成長が生む新たな安全保障上のリスクとは。
世界の通信インフラに潜む脆弱性SS7・Diameterを悪用した2つのスパイ活動をCitizen Labが報告。監視ベンダーが「幽霊」通信会社を装い、個人の位置情報を追跡していた実態とは。
イランを装った詐欺師が仮想通貨で「通行料」を要求。ホルムズ海峡に足止めされた船舶を狙う新手の海上サイバー詐欺の実態と、日本のエネルギー安全保障への影響を解説します。
北朝鮮のハッカー集団HexagonalRodentがAIツールを駆使し、3ヶ月で約17億円相当の暗号資産を窃取。技術力の低い犯罪者がAIで「戦力増強」する新たな脅威を解説。
意見
この記事についてあなたの考えを共有してください
ログインして会話に参加