安全なウォレット管理と資産保管 - 香港の準拠仮想資産取引の中核

序文

少し前、香港の2つの仮想デジタル資産取引所、HashKeyとOSLは、香港証券先物委員会が承認した仮想資産サービスプロバイダーライセンスを取得し、香港の個人投資家に仮想資産取引サービスを提供できることを正式に発表しました。つまり、香港の個人投資家は、ビットコインとイーサリアムの2つの仮想資産を直接購入するために、これら2つの取引所に登録するだけでよいのです。このニュースは、仮想資産の世界における準拠した取引所の現状とレイアウトにとって間違いなく刺激となるでしょう。

昨年10月以降、香港証券先物委員会と香港金融管理局は香港における仮想資産取引に関する一連の措置を相次いで発表しており、その他の関連措置も継続的に発表されている。同時に、今年6月1日から、HashKeyとOSL以外の多くの仮想資産取引所も、香港証券先物委員会に準拠した仮想資産取引所の申請を正式に提出できるようになります。

このような政策の下では、多くの取引所が香港に来てライセンスを申請し、規制に準拠した中央集権型取引所になろうとしていることは容易に想像できる。 xWhaleは、華盛証券傘下の仮想資産取引プラットフォームとして、今年末までに中国証券監督管理委員会に正式に申請書を提出し、従来の金融業界やWeb3業界のより多くの実務家や投資家に、より付加価値の高いサービスを提供する予定です。

では、香港証券先物委員会は中央集権型取引所について具体的に何を考えているのでしょうか?いわゆるコンプライアンス監視の場合、法的文書の完全な一連のプロセス以外に、特別な技術的構成要件はありますか?

実際、香港の現行のコンプライアンス取引規制の枠組みでは、ソフトウェアとハ​​ードウェアのコンプライアンスに関して、取引所自体に非常に高い技術要件が課せられています。この分野には、コンプライアンスの枠組み内でこれらの取引所にさまざまな技術サービスを提供するサプライヤーも国際的に数多く存在します。その中には、香港証券監督管理委員会が最も注目している中核分野である顧客資産の保管という分野があります。

1. 従来の金融における資産保管と、準拠した仮想資産取引所における資産保管の違いは何ですか?

現在の金融システムでは、大多数のユーザーにとって最も馴染みのある投資方法の 1 つは、証券会社を見つけて株式を購入することです。たとえば、ユーザーの経験から言うと、ユーザーは証券会社に口座を開設し、自分の口座に資金を振り込んでから、株の購入を始めます。このプロセスにより、ユーザーは証券会社にお金を渡し、証券会社がユーザーに代わって株式を売買し、そのお金をユーザー自身の口座に入金すると考えるようになります。

実際、このシステムでは、証券会社は非銀行機関として顧客の資金を直接保管できないため、ユーザーの資金は証券会社の口座にはありません。では、ユーザーの資金はどこに保管されるのでしょうか?

実際、それは銀行に保管されています。証券会社は銀行の下に大きな口座を持ち、この大きな口座の下にユーザーが預けた資金を保管するための小さな口座がいくつかあることになります。したがって、ユーザーの資金の保管人として、証券会社は実際にユーザーの資金を動員することはできません。銀行はユーザーの資金の「ゲートキーパー」として協力し、ブローカーが顧客の指示を受け取ったことを確認した後にのみ、ブローカーが顧客に代わって預け入れた資金を引き出すことを許可します。

一般的に、伝統的な金融の世界では、株式や債券はすべて、極めて高いセキュリティ保証を備えた高度に集中化された機関によって管理されています。これらの機関は、ネットワークや内部管理を含む、非常に完全なソフトウェアおよびハードウェアのセキュリティ保護を備えています。証券サービスプロバイダーは、実際には保管管理プロセスに関してのみ顧客を支援します。その背後には、ユーザーの資産の保管と保護を支援するために数世代にわたる技術的アップデートを実施してきた非常に強力な大規模金融機関があります。これは、人々が従来の金融取引に非常に安全だと感じる理由でもあります。

しかし、香港の準拠仮想資産取引の枠組みでは、ユーザーの資産の保管は大きく異なります。香港の規制に準拠した仮想資産取引の監督では、取引所自体が銀行の役割を果たすことが義務付けられており、顧客の仮想資産は取引所のコールドウォレットに直接保管されることになる。これは、銀行や保管などの多くの従来の金融保管システムの機能を、顧客資産を管理する準拠取引所などの組織に集中させることに相当します。したがって、準拠する取引所の場合、ソフトウェアとハ​​ードウェアに対する技術要件は証券会社の要件よりもはるかに高く、銀行のレベルに近くなり、暗号化の次元も追加する必要があります。

2. 仮想資産取引分野におけるセキュリティ上の問題は何ですか?

この部分は、セキュリティの観点とコンプライアンスの観点の 2 つの観点から見ることができます。セキュリティの観点からは、企業の内部的な強さが重要になりますが、コンプライアンスの観点からは、外部からの監視力が重要になります。セキュリティの観点から見ると、セキュリティ リスクはさまざまな側面で発生する可能性があります。まず、ブロックチェーンはオンチェーンとオフチェーンに簡単に分けることができます。オンチェーンスマートコントラクトは、すべての条件が設定されていれば自動的に実行できるプログラムです。このとき、さまざまなハッカーがさまざまな側面から契約を攻撃し、スマートコントラクトの抜け穴を利用して資金を送金したり漏洩したりする可能性があります。運用プラットフォームにとって、オフチェーンは、ユーザー側に優れたユーザー認証システムが構築されているかどうかから、企業内にネットワークセキュリティ、端末セキュリティ、緊急対応メカニズムがあるかどうか、ホスティングにどのような技術ルートが使用されているかまで、セキュリティ機能の体系的なプロジェクトです。

コンプライアンスの観点から見ると、実は2018年当時はコンプライアンスという概念はなく、まだまだ暴走状態でした。状況が徐々に変化したのは近年になってからのことである。政策策定や規制の明確化という点では、中国本土や香港でのさまざまな禁止や追放が頻繁に見られますが、日本は2017年にアジアの他の国々よりも早くライセンス制度を開始しました。日本の金融機関は取引所のライセンス付与を担当しており、ネットワークセキュリティやデータセキュリティなどの一連のセキュリティ要件を実施しています。

シンガポールと香港の最近の政策から判断すると、今年最も重要なのは香港の規制制度かもしれない。これらのポリシーを導入する動機の一部は、昨年の FTX 事件であり、この事件により、コンプライアンスと監督は表面的なものではいけないと誰もが認識するようになりました。投資家の利益を真に保護するためには、管理規則と監督管理システムを明確に実施する必要があります。そのため、香港は今年、仮想資産ライセンスの監督に関する非常に明確な政策を発表し、それは取引プラットフォームから始まりました。

3. 資産保管コンプライアンスに関する規制要件は何ですか?

RigSec は香港、日本、シンガポールなどのクライアントにライセンスを付与しており、さまざまな場所のライセンス要件を横並びで比較した結果、香港証券先物取引委員会/香港政府の規制政策は非常に論理的かつ包括的であると考えています。

これはいくつかの側面から見ることができます:

まず、おそらく地政学的要因を考慮して、香港政府はデジタル資産の秘密鍵が香港にある必要があることを明確に要求しています。

第二に、規制制度の成熟度から判断すると、監督は非常に包括的です。前述のように、従来の金融分野では、銀行が資産保管の責任を負い、証券会社は取引プロセスに深く関与しています。仮想資産に関しては、香港には現在、成熟した完全な第三者保管規制システムが存在しません。そのため、香港政府の規制政策では、仮想資産ライセンスの申請者に独自の仮想資産セキュリティ保管システムを構築することを義務付けており、その後、多くの詳細な要件を列挙しています。技術ルートの選択を例にとると、デジタル資産のセキュリティ保護の観点からのみ、それを実現する方法は実際に多数ありますが、香港政府の重要な測定原則は技術自体の成熟度です。

では、成熟はどのように現れるのでしょうか?これは、この技術ルートで使用される主要な技術リンクが、主流の国際的な権威あるセキュリティ認証機関によって認識されているかどうかに反映されます。これは非常に重要な評価基準です。したがって、香港政府の姿勢は「保守的でありながら開放的」である。保守的とは、香港政府が、伝統的な金融セキュリティの分野で繰り返し検証されてきた比較的成熟した技術的ルートを比較的保守的に選択したことを意味します。オープンとは、香港政府が実際に多くの新しい技術的解決策を検討し、オープンな姿勢を示したことを意味します。

もちろん、香港政府は仮想資産取引プラットフォームに対し、顧客資産を自ら保管することを義務付けており、明確な規制要件を掲げているものの、取引所が要件を満たしていると主張するだけでライセンスを取得できるわけではない。また、権威ある第三者評価機関による評価も受けなければなりません。取引所が要件を満たしていることを権威ある第三者評価機関が証明した場合にのみ、ライセンスを申請できます。

以上の点から、香港政府の監督が論理、方法、詳細を非常に包括的に考慮していることは容易に理解できる。

4. ユーザー資産のセキュリティをどのように保護しますか?

1. IT の観点から見ると、取引所の要件には、ネットワーク セキュリティ、IT インフラストラクチャ、端末セキュリティ、災害復旧と緊急対応、ウォレット ホスティング システムが含まれます。

要件の 1 つは、資産の 98% をコールド ウォレットに保管する必要があることです。

コールドウォレットは完全にオフラインのウォレットです。しかし、実際には、インターネットから切断するだけでは十分ではありません。デジタル資産の分野では、国際的に認められた暗号化セキュリティ機器を使用してデジタル資産金庫を形成し、ユーザーのデジタル資産を保護しているからです。同時に、この情報ハードウェア（金庫）を保管・保存する物理的な環境にも、温度や湿度の維持、追跡、尾行、信号干渉の防止など、いくつかの要件があります。

規制当局が考慮していない抜け穴や運用プラットフォームの運用エラーによるユーザー資産の損失を防ぐために、技術と実装計画が定義された後、リスク補償または仮想資産の特別な保険の必須要件、および顧客への請求の支払い能力など、ユーザー資産のさらなる保護も行われます。

IT 部分に加えて、リスク管理とコンプライアンスの要件も非常に重要です。

2. コンプライアンスの面では、まず第一に、マネーロンダリング防止とテロ資金供与防止は規制当局が非常に重視している事項であるため、各取引所には非常に専門的な「最高コンプライアンス責任者」を配置する必要があります。コンプライアンスは取引プロセス全体にわたって実行されるため、「最高コンプライアンス責任者」は、ユーザー オンボーディング プロセス中に顧客の ID セキュリティと財務セキュリティ (KYC) を決定する責任を負うだけでなく、取引資金のソースとフローが各取引の背後にある要件 (トラベル ルール) を満たしているかどうかも判断する必要があります。これらはコンプライアンス レベルでは比較的厳しい要件です。

3. リスク管理は実際にはさまざまな側面に反映されます。すべてのプラットフォームは、市場操作、ユーザー詐欺、取引相手リスク、信用リスクなどのリスクを管理する必要があります。

4. ガバナンスの観点からは、健全なガバナンス体制を確立する必要があり、これは実際にはどの場所でも監督の明確な要件です。中心となるのは役割の明確化です。

1 つ目は、エンティティの役割を分離する必要があることです。たとえば、香港の同様のライセンス監督では、取引プラットフォームが取引プラットフォーム事業体であること、および顧客資産のセキュリティに責任を負う別の事業体が存在することが求められています。このエンティティは、取引プラットフォーム エンティティに 100% サービスを提供する必要があり、他のエンティティにサービスを提供することはできません。言い換えれば、各主体の責任は明確です。

第二に、財務の観点からも責任が明確でなければなりません。つまり、取引プラットフォームの資金とユーザーの資金を明確に区別する必要があります。取引を完了するために必要なガス料金を含め、資金の混乱があってはなりません。

3 番目でより重要な原則は、「役割と責任を分離する」ことです。つまり、ビジネス プロセス全体のどのリンクにも、単一点のリスクや権力の乱用があってはなりません。たとえば、資金をコールドウォレットに転送する場合は、「4つの目原則」に従う必要があります。

— — コールドウォレットとホットウォレットの変換の拡張: ホットウォレットに顧客資金のわずか 2% しか入っていない状態で日々の業務を維持できるようにするには、取引所の資産規模がどの程度大きくなければならないか想像できますか?特に、仮想資産取引所は 24 時間 365 日の顧客サービスを提供する必要があります。したがって、コールドウォレットとホットウォレット間の変換が非常に頻繁に行われ、このプロセスを操作する人が間違いなく多数存在するであろうことは想像に難くありません。では、技術的なレベルからコールドウォレットとホットウォレットの変換のセキュリティを確保するにはどうすればよいでしょうか?たとえば、技術的な観点から見ると、保管機関には、クライアントが役割と権限の設定を完了できるようにするための、機関レベルのロールと権限の設定ソリューションのセットがあります。しかし、テクノロジーは解決策を提供するだけです。取引所側も複数の主体が運営に参加する体制を構築する必要がある。第二に、資産循環のプロセスには、企業の財務承認と同様のリンクが必要です。異なる金額と異なるしきい値は異なる管理権限に対応する可能性があり、複数の人からの承認をトリガーする可能性があります。同時に、他の側面（時間、取引回数、金額など）でのリスク管理も必要です。フロントエンドのビジネス システムが攻撃を受けた場合、保管機関には資金のセキュリティを守るためのリスク管理防御ラインが存在します。たとえば、1 時間に引き出せる金額は一定額を超えることはできません。一定量を超えると異常の恐れがあり、警報が鳴ります。したがって、規制に準拠した取引所は、包括的なリスク管理機能を確立する必要があります。まず、リスクのある行動を定義し、次にリスクのある行動を捕捉して特定し、対応し、規制当局に報告できる必要があります。

5. 将来的にはどのようなソリューションが導入される可能性がありますか?

将来、香港の規制に準拠した仮想資産取引所は、既存のセキュリティ レベルを損なうことなく、取引所とそのユーザーにさらなる利便性をもたらす、顧客資産の保管に関して他にどのようなソリューションを導入する可能性があるでしょうか。

取引プラットフォームの運用の観点から見ると、非常に人気のある MPC (マルチパーティ コンピューティング) テクノロジなど、この分野には非常に優れたテクノロジが数多くあることがわかります。

実際、規制はこれらの技術を拒否することではなく、技術の成熟度をより考慮することになります。時間の経過とともに、これらの優れた技術は世界的に認められた認証システムの下で徐々に成熟していくと信じています。

一方、多くの取引プラットフォームは、より多くの C エンドユーザーにリーチする方法も検討する必要があります。現在、集中型アプローチを使用して、C エンド ユーザーがオンボードしてトランザクションを実行できるようにしています。ユーザーは独自の秘密鍵やニーモニックを管理する必要がないため、多くのユーザーを満足させることができます。しかし同時に、Web3 の世界には多くのイノベーターがいることもわかっています。将来的には、ユーザー側で多くの個人用ウォレット関連のソリューションが登場し、中央集権型取引所を補完したり、相互作用したりするようになるかもしれません。

従来の金融の運用経験に基づくと、すべての取引所が独自の保管人を持つ必要はありません。市場全体で 1 ～ 2 人の保管人がすべての資産の保管を完了することは完全に可能です。将来、MPC のような技術の安全性と実現可能性がより多くの国際認証機関によって認められるようになれば、保管分野は徐々に少数の大手保管機関に集中し、全体的なローカル保管を実施するようになるでしょう。

具体的な側面は2つあります。一つは権力と責任の分離です。現在、ライセンスを申請している取引所は依然として保管人の役割を果たしています。今後、規制制度のさらなる改善に伴い、保管の監督方法や取引所が第三者の保管サービスを利用して顧客資産を管理する方法など、保管部分の監督が独立して明確化されるべきだと考えています。したがって、監督が明確になるにつれて、責任を分離できると考えられます。技術的な観点から見ると、現在一般的に求められているのは、従来の金融セキュリティ レベルの暗号化マシンに基づくソリューションです。将来、他の新しい技術ルートがますます成熟し、世界的なテストと認証によって承認されると、保管サービスプロバイダーの技術の選択肢はもはや単一ではなくなり、より多くの選択肢が生まれると私は信じています。

当社は、市場全体の規制当局や実務家によるこの業界への理解の深まりを含め、技術の継続的な進歩により、将来的にはこの分野に参入する人がますます増え、市場はますます繁栄すると確信しています。