セキュリティというと、「証券」とか「防犯」という、何だか双方が違うものに聞こえるが、実は同じ概念で使われている。
そもそも、セキュリティの根底にあるのは「安心、不安が無い」という概念であり、それが証券と防犯という2方向の元になっている。
つまり、証券業というのは、「安心できる完璧な防犯機能をもったサービス」であり、それが最近では「オンチェーン金融」という暗号分散技術を使ったチェーン構造をベースにした提案になっている。
先日のニューヨーク証券取引所が、トークン化インフラに対応するという報道があったが、ナスダックに続きオンチェーン化への対応を明確にしてきた。
そして、この背景にあるのがジーニアス法対応であり、ステーブルコイン(SC)の重要性がデジタル証券においても必須であるという話に繋がっている。
そもそも、SCは日本では決済目的で整理されているため金利がつかない。
そのSCに金利を付ける概念が日本の「預金トークン」であり、銀行システムにチェーン構造を使ったサービスとしているが、実は欧米で言う預金トークンと、日本の預金トークンは違う概念なのだ。
特に欧米の金融用語の日本語訳については、日本の金融用語と言葉が同じだから、中身も同じというものではない。
よって、使い方などで誤解している金融関係者が殆どである。
そういう、日本流英語というのは金融では非常に多いので、気を付けるべきである。
※西本も、若い頃に混乱していた内容である。
そもそも、日本でSCというと電子決済手段の一つに分類される。
その中でSCは1号、2号、3号と定義されており、預金トークンは日本では1号SCという認識になっているが、実際の日本の預金トークンは欧米のSCや預金トークンと違う概念である。
確かに1号を銀行系と定義するなら、その分類は間違いではないが、コイン属性とトークン属性は処理が違うものである。
本来の1号は信用創造をリンクさせた構造であるべきと考えるが、その日本での答えが銀行口座連動であり、銀行業務そのものを主体にしてトークン処理を追加したIT対応なのである。
ちなみに、西本の言うIT化は、業務をシステムで対応する概念としているが、DXのようなデジタルになると、権利自体をデジタル化して扱うというITとは違う概念である。
IT化はAPI接続を主体にした集中処理がベースであり、セキュリティも集中管理しているが、実は最近のサイバー攻撃の水準は急激に高度化しており、集中処理は危険である。
少し前だと、確かに一般形サイバー攻撃に対応していればよく、有事などの高度攻撃の想定は不要であったが、最近は有事レベルの高度攻撃が一般化しているのだ。
ここの理解を間違えるとダメであり、これに対応する金融の一つの答えがオンチェーン化である。
当然、インタートレードではこういった想定のもと対応しているが、多くの関係者に理解していただくには時間がかかりそうだ。
リスクという概念に対し、その対処に「分散」概念があるが、実はオンチェーン金融というのは分散処理が基本にある。
それでも集中する機能(最近はオフチェーンと言われる)が存在しているならば、その部分は非常に強固なセキュリティ構造を持たせる必要がある。
それができないと、それが脆弱性になるのでそこが攻撃対象になる。
日本は金融機関が攻撃されていないと思っているなら大きな間違いである。
銀行のDDoS、ネット証券のなりすまし、保険のサプライチェーン被害、暗号資産交換業のアセット流出。
特に、国家アクターが関与するケースは、システム内部に侵入するのだ。
つまり、暗号資産技術が証券と融合する時期がすぐそこまで来ているのだが、今まで通りのシステム対応ではダメになっている。
有事リスクが上がるとかではなく、AIエージェント攻撃が実用化されている事実を理解すべきなのだ。
結果的に、オンチェーン金融に向かう中で、アセット処理がどうなるのかというと、ヒトの代わりにAIが対応する時代に向かっている。
その認証管理方法は今までとは異なる概念である。
AI処理にマッチしたインフラを認識してデザインすること、そのあたりまで設計思想に組み入れるべきである。
いずれにしても、証券をデジタル化するなら、徹底した安心(防御)対応を組み入れる必要がある。
その基本対処を忘れた段階で、証券業を継続するのは無責任で失格だと考える。
今年はSCが立ち上がってきそうだが、単純な決済機能だけでは普及しない。
インフレヘッジと資産運用の概念が金融サービスであり、その連携をつくらないとダメである。
いずれにしても、想定しているより難しい内容であることは事実だ。
- 前ページ
- 次ページ
昨年は想定外のことが多い中、色々とありがとうございました。
今年も想定外のことが多くなりそうですが、よろしくお願いします。
本年最初のネタは、「今後のことを考える」にしたい。
といっても、今までの考えてきた路線をきちんと進めるだけですが。
日本での経済環境を見ると日銀がやっと金利を上げてきた。
バブル崩壊後、超低金利政策を続ける中、金融の本質と異なる対応を続けてきたのだが、やっと金融を正常に戻そうという動きになった。
しかし、それは大きな副作用をもたらすことも事実であり、正直なところ複雑な気分である。
国債における政府の金利負担、さらに日銀が保有する大量国債の評価損など・・・。
個人的には、リーマンショック以降、資本主義の限界リスクを考慮し、デジタル的な物々交換の環境を整備するとか、好景気不景気関係なくニーズがあるもの(食料、エネルギー、老化問題等)を取り入れてきた。
ゴールドやプラチナ、シルバーをストックしても目減りしない構造を作ってきたのも、考えなく対応してきたわけではない。
結果的に商社様と接点を持ったり、一次産業側にアプローチしたり準備してきたが、今回の日銀の対応で世界経済の大きな変化にスイッチが入ったように見える。
先進国の借金が膨らみ、手に負えなくなってくると、税収や関税に頼るとか、それでもダメなら有事とか、それでも上手くいかないならウルトラC的な(書けない)対応とか、色々と考えてしまう。
さらに、この年末年始は個人的には真面目に考えるべき事象がいくつか出ている。
米国のベネズエラ問題とか、海外でのサイバー攻撃被害とか。
今回のサイバー攻撃は日本ではなく、台湾と米国に集中しているが、その主体が国家アクターらしい。
国家アクターが相手になるサイバー攻撃、ぞっとする。
「暗号化している? バックアップがある? それ、我々が先に消しますよ!」
国家レベル攻撃では民間は確実に負ける、という現実が可視化された年末年始である。
攻撃目的が完全に「破壊」になるからだ。
この攻撃レベルに対抗するには、セキュリティストレージレベルの対策が必要になるのだが、日本ではBCP信者が多いなか、究極のバックアップ対策を行っている状況がまだまだ続いている。
そもそも、このレベルの攻撃は、先にバックアップを破壊するし、データを暗号化しても破壊してくる。
金融でも悩ましい状況に入っているが、そのような中でコインとか証券トークンが動き出している。
オンチェーンという概念だ。
しかし、このオンチェーン構造に、しっかりと既存のオフチェーン構造を組み込んでいるのが日本流なのだ。
オンチェーンの構造とは、暗号分散技術の理解が必要であるが、これは非常に難しい。
銀行業を発展させた「預金トークン」は欧州を見ていると、なるほど、それなりに進化すると考えるのだが、暗号資産的な特性を持つ「ステーブルコイン」は預金トークンとは違う形でオンチェーンの中で整備される。
実際にこの2つは特性や利用目的自体が違うわけで、どちらもメリットデメリットは存在するが、それでも日本では「大口」顧客あたりがターゲットになる動きだ。
そうなると、どのようにしてサイバー防衛を含めた対策を実装できるかという話になる。
結局、何がオンチェーンでメリットがあり、何が難しいのかを理解できているのかという話だ。
暗号資産のビットコインとイーサリアムは管理方法自体が違うのは、そのチェーン特性やサービス目的が異なるための構造的な話が根底にあるが、それがコインになった場合でも同様に全体的なサービスなどの設計が重要になる。
その中で2つの「運用的」な課題がでてくるのだが、1つ目が発行領域であり、2つ目が流通領域になる。
この2つの課題の片側は何とか対応できても、もう片方で身動きがとれなくなるデッドロック状態になるのだ。
発行領域では、権限管理について日本では理解できる人が非常に少ない。
デジタル鍵の分類/管理方法など、その本質がわからないと、オンチェーンでの管理であってもサイバー攻撃で破壊される。
特にアドミンレベルの権限の対処(管理方法)がわからないので詰むのだ。
次に流通においては、流動性調整と強度の分散という厄介な構造が根底にある。
市場の脅威とは、流動性(売りか買い)が片方に偏って成立しない場合に、どうするのかという話である。
どうも、今年はこの流動性あたりの問題が色々と出てきそうな市場の雰囲気だ。
さらに、ここにシステム的な課題が加わる。
APIだ。
システムを構築する場合、API(オフチェーン的概念)で対応するのが楽なのだが、このAPIはサイバー攻撃リスクの中で面倒な状況にある。
私はAPI(認証)処理はセキュリティリスクであるという話(これも日本の多くが理解できない)をしているのだが、その対策となる暗号化接続(オンチェーン的概念)では管理側が難しく、結果的に双方に対応できないデットロック状態になって進まなくなる。
ここ数年、特にコイン系はこの状態にあると思う。
実際に、オンチェーンファイナンスが海外で進められている中でも、ASIの直接的な接続や関与は時間がかかる見込みで、当面はAPI的なアプローチが進みそうな雰囲気がある。
自動車の自動運転と同じで、ASIがミスをした場合のルール決めに時間がかかるという話だ。
しかし、そのAPIは今までのAPIとは少し違う対策になることを理解すべきである。
APIの基本は認証処理であり、それはシステムで集中管理するため、そこに侵入され認証が盗まれるとシステム破壊につながる。
その第一段階がシステムモジュールに組み込まれたワーム(多分、殆ど全てのシステムが感染)であり、そのアクティブ化で一部の認証(人が管理している権限)が流出し、それを使ったなりすましで正規のルートで侵入してきて、セキュリティが正常とみなす中でシステム内部の上位の認証を盗む、これが今の主流でありこの対策が進んでいないし、対策自体が難しすぎる。
オンチェーン構造では認証ではなく暗号処理が主体になるので、権限(鍵)が分散されて管理することで上記のリスクを回避するが、この管理が非常に難しい。
利用者の権限や責任者の権限管理までは何とか対策できても、最上位にあるアドミン(支配権、前述)の保全がとんでもなく難しい。
つまり、「上位のデジタル鍵を安全に破壊されず流出すらできない状況にすることができますか?」という話である。
一応、個人的には色々と考えて暗号認証みたいなAPI処理の実装を進めているが、この構築はサイバーセキュリティ技術がないと出来ない話であり、日本はこの分野でのソフトウエアサービスが殆ど存在しない海外依存の国なのである。
日本という島国は物理的には安全そうに見えるが、ネットワークは垣根がつくりにくい、犯罪者にとっては同じものに見ている。
大口の金融というのは、何百億円のデジタル資産を確実に管理する技術を持っていないと非常に危険であるという話であり、国家アクターが相手でも対処できる構造を実装しなければ危険という話である。
最近は多額のコストをかけてサイバー防衛対策を講じた大企業もボロボロにされる状況にあるので、デジタルシェルターの説明がしやすくなったが、この機能自体はそもそもサイバー防衛用につくったわけではない。
オンチェーンファイナンスを実装する中で必須の機能であり、日本仕様として必要であったため、数年かけて作ったというのが事実である。
先行して苦労したが、その意味はあると考えている。
この先、数年にわたって世界経済や世の中がどのようになるかわからないが、日銀の金利政策のスイッチは、世界に対しても何かの変革させるスイッチだったと考える。
そろそろ、作ってきたものを綺麗に実装する段階に入ったと認識している。
年末で少しバタバタしているが、ここ2か月位は大手ビール会社などのサイバー被害の件で色々と聞かれるようになった。
明日は都内で重要インフラを対象としたサイバー攻撃時の訓練がある様子。
ただ、訓練内容をみると、どうしても大災害対策マニュアルがベースに思える。
実際に、サイバー攻撃は犯罪対策なので、災害や障害に対処するBCP的な話では対策が不十分だと思う。
今回の被害にあった大手企業2社の報告を見ていると、両社の攻撃アプローチが違っているが、結果的にBCP対策の延長防衛では駄目であることが理解できる。
大手ビール会社は「最終権限を取られた」時点で詰み、大手通販は「見えなくされた」時点で詰んだわけです。
つまり両社ともシステムを「支配」されたわけです。
①大手ビール会社(重要権限奪取型)の本質的課題
問題の核心は管理者権やドメイン、バックアップなどの権限=「最後の鍵」を奪われたこと。
暗号化しても、バックアップしても、権限を取られたら終わりで致命傷に。
DB暗号化/BCP/DR類は「善意の管理者が前提」であり、そこが奪われて正規管理者になりすまされて破壊される。
②大手通販(セキュリティ機能無効化型)の本質的課題
問題の核心はEDR/監査ログ/検知系が 意図的または実質的に無効化されたこと。
「侵入されたかどうか」以前に「見えない状態」にされた。
ゆえに、侵入を防ぐ以前に、侵入を検知/追跡/復旧できない状態にされたのが致命的。
セキュリティは「装備」していたが運用権限/構成管理を取られた瞬間に無力化。
セキュリティツールを過信したことが原因であり、統制ができていなかった。
③両者に共通する問題点
防御対象となるセキュリティ機能、管理権限が内部侵入により支配された。
それによりBCP対応が無効化/無意味化された。
監視や監査、暗号化、バックアップなどの対策の前提が崩壊。
両社とも、防衛は最善を尽くしていたらしいが、最近の攻撃はそれよりも上位にあるという事実。
上記は日本特有の脆弱性でもあり、実は日本のデジタルは脆弱部が多い。
また、セキュリティというのはID/パスワードではない。
ID/パスワードは個人特定方法(アクセス確認)であり、セキュリティは鍵の運用方法(誰が、どの鍵を、どの条件で使えるか)が主体である。
そのあたりを正しく考慮して開発したのがデジタルシェルターであり、関心のある企業様より準備導入している状況。
ただ、この鍵管理に対し、日本人は絶対的に認識が弱すぎであり、その日本人向けに開発したのがDSライトという製品である。
ここを深堀りすると難しい話になるので、今回は割愛する。
暗号化はバックアップではなく権限の運用であり、データ保全は不可逆の状態にすることである。
これがセキュリティという犯罪対策の概念である。
ペンタゴンあたりは、管理者すら信用していないデザインで流石だと思う。
日本では上記の攻撃被害を受けた大企業は、国際的なセキュリティ格付けは★4に近いものと考えるが、今回の件をみても★4クラスではすでに攻撃を防げないレベルに来ている。
では、最上位の★5に日本企業が対応できているかというと、殆どゼロに近いのではと認識している。
このあたり、日本でも来年から格付け運用が開始されるとの事で、★5がどれくらいの割合か確認できるが、とにかくBCPの延長で究極のバックアップをつくっている段階ではない。
久しぶりにサイバー防衛関係のネタになる。
最近、大手ビール会社の攻撃被害について聞かれることが多くなった。
それなりに高額な対策を講じているのに、どうして大被害になっているのか?
攻撃目的はよくわからないが、最近の大企業向けのサイバー攻撃は身代金を装っているものの、実態として被害規模を見ると実は「破壊」が目的に思える。
米国政府などが受けているハイエンド攻撃と比較すると、日本への攻撃は二軍的レベルなのかもしれないが、日本でのそれなりの対策を講じた企業の防衛力を確認するためか、何かの見せしめかわからないが、いずれにしても攻撃者が内部侵入していることは事実である。
最近の攻撃手法は、主導者が自ら宣言しないと実態がわからない。
サイバー保険でも、国家アクターが関与している場合に免責の条項になるが、そのあたりがはっきりしない攻撃が多い。
サイバー保険は非常に高額傾向であり、採算が取れないのも事実である。
最近の報道で出ているような「AIエージェントによる自律攻撃」は少し前から指摘されており、そういう時代に入ったことは事実と考えるが、これに対して今の防衛対策の主軸はBCP延長であるが、この対策は限界にきている。
大手総合エンターテイメント企業被害後に様々な対策が提案されたが、大手ビール会社の被害レベルを見ても、これらの対策には疑問がある。
当然、対策しないより、対策することは重要であるが、もう少し本格的な対応を考える段階にあると思う。
サイバー攻撃は、システムの脆弱性を探してそこを狙うのだが、どのようにして脆弱性を減らしていくのか?
この結論として、日本のBCP型では、内部側のセキュリティに脆弱性が集中しているため、フロントの防衛を突破されれば好き勝手されるのである。
そして、100%防衛することは不可能であることは、米国ペンタゴン(防衛で世界トップの評価)の対策を見れば明らかである。
以下はあくまで西本の考えるサイバー防衛概念であるが、個人的にはBCPではなくNIST的なゼロトラスト・レジリエンスを導入する段階にあると認識している。
1. 日本が「BCP型=即時復旧優先」「本番系列内バックアップ」を採り続ける根本理由を考察
(1) 日本のBCPは“地震・津波”起点で設計されている。
日本の事業継続計画は、長年「自然災害中心」で構築されてきた。
“破壊されてもすぐ復旧”という思想が中心で、攻撃者対策(ゼロトラスト)アプローチではない。
そのため、サイバー防衛対策であっても、
・同一LAN内レプリカ
・同一アカウント/権限でのバックアップ
・デイリー複製での高速復旧
など、攻撃者から見ると“同じ鍵穴が全部開いている”状態が構造的に生まれる。
⇒自然災害BCPをサイバー分野に誤用している。
(2) 企業文化として「止めてはいけない」が最優先。
・止まる→クレーム→役員責任
・止まらない→セキュリティ不備は内部では揉み消される
という構造が、「攻撃リスク < 稼働優先」の価値観になっている。
⇒結果、本番系列上にバックアップを置いた方が復旧は速いになる
⇒だからBCP型を優先した構造になる。
(3) CISCO/VMware時代の“境界防御モデル”の延長
日本のITは長期間、「ファイアウォール+ネットワーク分離+EDR=十分」という観点であり、セキュリティ検査項目もこの部分を基準に評価。
“内部侵入前提”のNIST世界観と根本的に異なる。
⇒内部に侵入された後を想像しない思想が根深く、最近の攻撃の殆どは「内部侵入されて破壊」していることを実は理解したくない。
⇒結果的に、日本は内部侵入されない高額対策をどんどん進めるが、ペンタゴンなど攻撃を受けた組織では侵入前提対策(NIST型)になる。
(4) システムインテグレーター構造
日本独自のシステム対応であるSierに任せる分業構造は、Sier主導による「追加システムを売る」ことが収益構造としてある。
既存インフラを大改修してゼロトラスト化・暗号分散化する方が“売れにくい”。
BCP系なら、
・DRセンター構築
・ミラーリング
・ストレージ二重化
などBCP型は“見える投資”として売りやすい経済的要因がある。
(5) 経営層が「サイバー攻撃」の“破壊スケール”を理解していない
2023~24年位までの攻撃は、「ラテラルムーブ → AD乗っ取り → VM破壊 → バックアップ破壊 → 暗号化攻撃」という、一連の自動化パイプラインとして短期間に急成長している。
※ラテラルムーブ:外部の攻撃者やマルウェアが企業の内部ネットワークの侵入に成功した後、ネットワーク内を横移動し侵害範囲を拡大していく攻撃手法。
しかし経営層やシステム担当の多くはまだ「PC感染させないように」「ウイルス対策ソフト」の時代感覚に留まる。
⇒現実の攻撃は“バックアップ破壊から始まる”ことさえ理解していない。
2. なぜ「NISTレベル」の価値観に移行できないのか?
(1) “攻撃者の自動化”の速度を理解していない
2024年〜は明確に「AIエージェント型(LAMA/Code LLM/Auto-recon)による自律攻撃」にシフト傾向であり、実際に進行開始している段階にある。
・侵入からAD破壊まで 数分〜数十分
・バックアップ探索・削除は完全自動化
・ラテラルムーブもAIが即時最適ルート計算
この攻撃レベルでは「BCP型では耐えられない」事が、認識を含めて共有されていない。
(2) NIST SP800-160 / 800-207 が難解すぎる
ゼロトラスト・レジリエンスの本質は「内部侵入を前提に、攻撃連鎖を切る」だが、文書だけでは理解されにくい。
(3) 日本では“攻撃シナリオ演習”文化がない
日本は紙の訓練や机上演習が多く、「本当に壊される経験」や「実研修/確認」がない。
3. 日本をNIST価値観へ移行させる具体的アプローチ
(1) 「攻撃時間の短さ」を可視化し理解するべき
経営層は数字で説得される。政治と同じ。
通常は、
・現実のランサム攻撃の平均侵入→暗号化まで:3日
・バックアップ破壊完了:侵入後1〜6時間
最近は、
・AIエージェント化で、この処理が大幅に短縮:数十分〜数時間
⇒BCP型ミラーリングは攻撃者の行動もミラーリングするため、攻撃対策では意味がない。
(2) “BCPとサイバー復旧は別”を強調
●BCPの問い⇒「壊れたら、早く戻せる仕組みか?」⇒CTOやシステム担当が考え、責任を取る範囲。
●サイバー防衛の問い⇒「壊されない、盗まれない仕組みか?」⇒犯罪対応であり、経営(CISO)が判断し対応するレベル。
両者は全く思想が違う。
(3) 実際の破壊事例を“攻撃チェーン”として提示する
上記の攻撃事例は日本でも存在している。
大手ビール会社/ 大手総合エンターテイメント企業/大手病院など、日本の破壊攻撃の構造をフローで可視化する。
(4) “データは分散・分断がデフォルト”を理解する
NISTが推奨するのは:
・改ざん不可ストレージ
・エアギャップ(分離保存)
・暗号分散(秘密分散などを応用)
・ゼロトラスト+継続検証
BCP型の「複製=安全」という前提は通用しない。
(5) AI攻撃のデモンストレーション
海外では実攻撃威力を目に見せて理解をさせる「AIエージェントによるテスト系への攻撃」等が使われるケースがある。
・脆弱箇所探索
・資格情報抽出
・AD奪取
・ストレージ削除
・VM暗号化
がどのようになるかを理解する。
なお、上記の動画も存在している様子。
⇒“BCPはAI攻撃に対応不能”を直感的に理解。
(6) 「守るべき資産の順位付け」を再定義させる
日本企業は「サーバーやアプリを守り」がちだが、NISTは「データ・鍵・認証基盤を守る」のが最優先。
⇒この概念を変えるだけでシステム設計が大きく変わるため、実は簡単に対応できる話ではない。
⇒簡単に出来ないことは理由になり、すぐに諦める結果が殆ど。
4. AIエージェント攻撃時代に「BCPベース」の限界を理解する。
●BCP型(即時復旧優先)は内部侵入が前提のAI攻撃には耐えられない。
●必要なのは、
・侵入前提
・攻撃チェーンを分断
・データを分散・不可逆
・認証基盤の隔離
・バックアップは本番から物理/論理的に断絶
というNIST型サイバーレジリエンスの実装が必須。
●価値観転換は可能か?
“恐怖を示すだけではなく、ロジックと数値”で説明しても理解がどれくらい進むか不明。
⇒既存システムをBCP型で構築しているが、それをNIST型に再構築するのは現実的ではないとして「簡単に対応できない」が言い訳にされそう。
⇒結果的に、日本はNIST的概念を理解し、対処に進むには相当な時間を要すると考える。
結論になるが、国家主導で進めないと、民間は判断できない難易度案件である。
オンチェーン(ブロックチェーン内処理)に対してオフチェーン(ブロックチェーン外処理)という言葉があるが、オフ型の場合は従来のサーバ構造のため、多くの方々は理解できるであろう。
ただ、ブロックチェーンという同期型処理の上位には「分散台帳というDLT」の構造があり、そもそもブロックチェーンはDLTの一つである。
そして、DLTの概念がオンチェーンかというと、そういうものではない。
なぜオンチェーンなのかというと、このチェーン構造による「同期特性」が重要だと認識しているのだが、それだとサイドチェーンやブリッジ(クロスチェーン)で処理する部分は同期されているのかというと、そうでもない。
このあたりの理解は面倒なのだが、その前によく聞かれるのが、前払式支払手段や資金移動、電子決済手段という日本語に対し、ステーブルコインがわかりにくいという話だ。
これは日本法の定義と、暗号分散というオンチェーン用語がごちゃ混ぜになっているのでわかりにくいのだと思う。
まず、日本法でまとめると、そもそも金融と非金融があり、金融の中では前払式支払手段が今までの中心で、〇〇ペイなどが該当している。
ただ、前払いだと現金に戻せないので、資金移動業の為替処理を組み合わせて現金化するという複雑な方法になっている。
それが最近出てきた電子決済手段(電決)を使うと、普通に現金化もできるようになる。
これらを発行できるのが銀行、信託銀行、資金移動業であり、その取引にかかわるのが電子決済等取引業(電取)と、これがわかりにくい。
この電決の部分をオンチェーン的に説明すると、ステーブルコインとなる。
このオンチェーン用語は、暗号資産(FT)、ステーブルコイン(SC)、証券トークン(ST)という形で、トークンかコインで表現される。
トークンは基本的に発行数固定、コインは発行数変動と定義したいのだが、このあたりも不確定で、そもそも暗号資産の説明としてコイン(カレンシー型)とトークン(アセット型)が設定されているという定義がある。
ただ、こうなると日本ではステーブルコインは暗号資産ではないとされているので、海外との認識ギャップが出てくる。
日本では電子決済手段はステーブルコインの一種として定義されているのだ。
暗号資産を非金融として定義すれば、電子決済手段は非暗号資産の金融になる。
このあたりの事情が言葉の定義をわかりにくくしている。
そもそも、日本ではセカンダリー部分を「取引」「交換」「譲渡」と使い分けている。
暗号資産「交換」業と電子決済等「取引」業、これらは少し違う概念なのだ。
つまり、この領域は整理が難しい。
そもそも、チェーンでもパーミッションドとパーミッションレスの違いがあるが同じ部分もあり、ウォレットでもカストディ型とそうではないノンカス型があるが、処理の構造は多様である。
つまり、これらを整理すると、トークン/コイン軸と、カストディ軸と、取引インフラ軸、そしてチェーン構成という4枠が様々に組み合わされる多次元構造になっている。
そして、日本において、これら4枠を確実に理解不能にしているのが、実は「暗号分散」そのものの概念である。
日本の特許で、欧米の外資企業が「オンチェーン的な分野に申請し特許を取得」している件数は120を超えてきたと思う。
対して、日本企業はどうかというと、大手金融機関でも殆ど特許は取得できていない。
特許では、取得された特許とは違う方法をみつければ対処できることも事実であるが、最近の人気分野で実際にオンチェーンの項目でその例外を見つけて対処するのは不可能に近いくらい、色々なものが出ている。
西本も外資に抵触しない無形権利など考案するが、非常に特殊な構造の基本特許を2~3個くらいもっていないと、応用特許あたりでは対処できない。
それでは、この特許出願が日本では少ない理由でもあるが、なぜ世界で日本が次世代金融領域の特許に対処できなくなったのかという理由は想定できる。
あくまで西本論になるが、通常のオフチェーン金融は、「①金融知識+②法的知識+③システム知識」の3つの深堀ができれば対処できるが、このオンチェーン金融は、その3要素に加えて「④サイバー防衛知識」が必要になる。
この④が実は「暗号分散」技術で、暗号という鍵処理と、分散構造、そして暗号の弱い部分をサポートする秘密分散などがある。
このブログでもデジタルシェルターの話をしているが、この④の領域に対処すると、サイバー防衛の応用が見えてくるわけで、オンチェーンの構造が見えてくるのだ。
そして、平和な日本では世界で最もサイバーセキュリティ技術が弱いことが、その結果としてオンチェーンが理解できないという話に繋がるのだと思っている。
なぜ、それが言えるかというと、西本も最初にチェーン構造の事業を設計するなかで、このサイバー防衛力の理解が必須であることを知り、それに想定外の時間を要してきたからだ。
多分、日本では簡単にはオンチェーン金融(海外ではオンチェーンファイナンスという)は、理解されないと思う。
米国がオンチェーンファイナンス(オンチェーン金融)への方向性を明確にしてきたが、日本も頑張って追随しようとしている。
日本の場合、ハードウエア領域は強いのだが、ソフトウエア領域が特に弱くて、結果的にデジタル赤字が増大している。
今回のオンチェーン金融でも、海外の技術を輸入するケースが非常に多い様だが、それはしかたないところもある。
実際に海外のベンチャーの中には、本当に実力で勝負しているところが多く、素晴らしい技術を持っていることは素直に認めたい。
ただ、それはシステム面の話であって、法的な部分、特に金融の場合は海外製品を単純に使うことができない事情がある。
海外製品は単純には使えないが、それでも日本流に対応すれば使えることになる。
ただ、その日本対応が難しいわけだが、そのことをサービス提供側が理解できているかが重要である。
今回、ジーニアスの先行により、アメリカドルのステーブルコインの国際優位性は明確であり、日本でも注目されている。
何が凄いのかというと、ロスチャイルドが紙幣概念を考案し金融を作ったのだが、この革命的な紙に膨大な価値をつける概念が、デジタルデータに膨大な価値をつけることをジーニアスは法的に認めたのだ。
今までの方式は、電子マネーなどがあっても、裏では紙幣概念の管理(日本だと全銀ネット→日銀ネット)に依存していたわけで、それがデジタルデータ自体が移動して完結できるようになったのだ。
紙からデジタルへの移行が始まったことが、とんでもない改革であり、100年に1度くらいの大きな話なのである。
そして、この方法は今までのオフチェーン概念と全く違うものであり、基本からしっかり構築しないとついていけないと思う。
日本でも米国に追随する形で通貨ステーブルコインがでてきた。
また、先日の報道にあったような、ゆうちょの銀行口座連動型のものまででてくる。
ちなみに、ゆうちょ型はステーブルコインではない。
コインは決済が目的に生成されたもので、本質は暗号資産構造である。
日本では決済法の中で定義され、決済主体のために金利を付けられない。
その欠点を補うのが、預金トークンのような今回のゆうちょ型である。
ただ、どうしても他行間の処理が面倒で、全銀ネットを排除しても日銀ネットなど既存のオフチェーン構造を活用するタイプになる。
ちなみに、多くの人たちが理解できていないと思うのだが、何かを購入する場合、通貨で支払うことが常識だと思っていたら、このオンチェーン金融は理解できないと思う。
基本的に決済概念が主体であるが、決済と銀行と証券の境界が無くなる概念であり、極論として金融をオンチェーン化したら、それは証券でも預金でも支払いに充当できるということだ。
ただ、その場合は決済と言わないので、別の税処理があったりするが、説明すると文字が大量になるので省略するものの、オンチェーン処理だからできる話である。
今回、ステーブルコインに加えて預金トークンの支払いが出てきたが、次は証券トークンの出番だろうか。
さて、ここで問題になるのが、これらを実現しているオンチェーンの部分であるが、これがブロックチェーン処理である。
デジタルアセットマーケッツでは4年位前に貴金属のステーブルコイン(FT型)の認可を取り、決済に充当する方法を作り続けてきた。
そのため、色々とこの領域は理解しているつもりであるが、とりあえずオンチェーンの課題にしっかり対処する必要がある。
このオンチェーン処理において一番面倒なことは鍵管理をどうするかという点だ。
この部分を簡単にしないとダメである。
ただ、この部分は米国が2年位先行しており、すでに実装状態であり、米国のオンチェーン市場の急拡大は、この課題が克服できたからだと思う。
そのことがトランプ大統領=プロジェクトクリプトとして推進する決断に導いたように思う。
日本の現状は、この部分の課題がまだきちんと解決できていない。
ゆえに、この部分の改善のために、日本流対応をどのようにして対処するかという話である。
具体的に話をしたいが、色々と事情があり話ができないものの、結論からいうと日本も米国に追随できると言いたい。
多分、本当に動くのは来年位からだ思う。
ただ、このあたりの具体対応が組み込まれたサービスは、米国のように急激に経済の中で拡大するように思う。
そういう本格的拡大のステージに入ったということだろう。
暗号資産(FT系;Fungible Token)を数年前の旧仮想通貨と同じ否定的な価値観で見ているヒトたちは、金融新技術の進化が難しくてわからないのかもしれないが、それならば旧仮想通貨時代に、米国の大手金融機関が否定していた状況が、この1か月で本格参入に切り替えてきたことだけでも理解できれば、この先の金融が想定以上に革新的なものになるのだろうと多少は想像できるのではと思う。
つまり、米SECが明確にデジタル金融への舵取りを決断し、対応を開始したのだ。
現状では、FT⇒SC(Stable Coin;ステーブルコイン系)の段階であるが、この先のSC⇒ST(Security Token;証券トークン系)は何が変わるのか想像できているヒトは少ないと思う。
個人的には、既存金融の構造はそのまま大きな変化が無く続くという概念ではなく、案外と強いインパクトがある内容が待っていると言いたい。
確かに1年とか3年位で大きく変わるかは不明であるが、2030年位には差が明確化してくるように思う。
※その根拠は今回は説明しないでおく。
日本(というか世界的に)金融で一番問題と思えるのが、この先も続きそうなインフレリスクへの対策である。
これは、単純に労働対価(給与)をインフレ率に追随させるという話だけではなく、当然ながら資産に対しての課題など沢山ある。
つまり、このあたりの問題にそれなりに対処できそうなのが次世代金融でもある。
逆に言うと、なぜ今の金融で対処できないのかという話であるが、簡単にいうと日本はデフレに慣れすぎていて、強いインフレ対策の構造が弱いということになる。
それと、長い期間に作り上げてきた金融構造は簡単に変更できないという歴史的要因も強そうだ。
もっと極端にいうと、金融を業者に任せている、難しい話は嫌いで、無関心で変化を面倒に感じる多くの人たちへも、無意識にインフレ問題に対処できるようにしなければならないということだ。
そもそも、FTからSTへの処理は同一か違うのか、これについてはインフラは共通機能が非常に多い、しかし何故か各々を単独で整理して提供するケースが多い、こんな感じである。
また、インフラのようなシステム的な要因の他に、もっと大きな要因は法的な部分で存在している。
システムで対応できても、法的にダメになることが新物には多いのである。
実際に、暗号資産は該当協会は「取引」という表現であるが、法的には「交換」という表現でわかりにくくなっている。
処理的には違い、電子決済等取引についても、少し前は「電決」と言っており、西本もそういう表現が出てしまうことが多い。
電子決済は「取引」であり、電決ではなく電取になっている。
つまり、金融法配下は「取引」表現だが、全て金融で説明できない非金融の部分が関係していると「交換」なのかと。
確かに「物々交換」という非金融用語があるが、そういう法言葉なのかもと考えてしまう。
いずれにしても、英語を日本語にすると、難しい言葉になってしまう。
取引となる部分の処理が、単純な交換とは違うのだが、さらにはFTとSCの中間的なものはどうなるのか、さらにはSCとSTの中間的なものはどう扱うのかなど、デジタルの金融用語を明確に定義できるものではないのが金融サービスである。
今回、暗号資産が金商法に近づいている中で、そもそも論でいくと、デジタルにおいて「決済」と「資産管理」は金融法では分離されているが、デジタルサービスとしては同一になっていくのだ。
USDCが米国で暗号資産扱いとなるが、日本ではステーブルコインになるとか。
ゴールドあたりの解釈も、海外は通貨枠(金貨:オンス単位)で見ているが、日本は工業品扱い(グラム、消費税)である。
しかし、定義は国によって違うが、本質というか、ヒトが認識する価値概念というのは、案外と似ている(というか同じ)のである。
多くのヒトは、ゴールドを工業品として見ているとは思えず、どちらかというと資産として見ていると思う、こういう本質部と法的概念にギャップがあるのだ。
そのような観点での延長でみると、この決済と資産管理の融合が技術的にできるようになっていて、別物ではなくて同一線上にあるのが、実はオンチェーンファイナンスの根底にある革新部(定義の整理と対応)だと考えるのである。
今回、日本金融はSCの段階に進みだしたが、目先で見たときにST手前のものが出てくる段階にあるとも言える。
実際に米国では急速にSCの次の段階の市場が拡大しているので、それが日本でもサービス化すると考えるが、個人的にはそのサービスが従来金融の今までの常識を変えるものになりそうな気がしている。
デジタル技術というのは、大口投資家しか対応できなかったサービスを小口に提供する概念でもある。
そして、それが難しくないものとしてサービス化される。
イントレは本来なら先行投資を回収する段階に来ている想定していたが、思っていた以上に大きな変化が金融に到来しており、その対処範囲が想定以上に広くなっている。
10年に一度レベルのものではなく、今回の金融のデジタル化は、明治維新位のインパクトが出てきそうで、150年ぶり位の話のレベルに思える。
FT⇒SC⇒STと概念は違うが、モノ⇒紙⇒デジタルの大きな流れが来ているという話である。
今の金融は紙をIT化したもので、これを明確にデジタルとして定義したのがジーニアスだと思っている。
最近、ちらほらと聞く言葉であるが、実はとんでもない金融改革を示した言葉でもある。
WEB3で金融チックにDeFiやDEXなどのサービスが提供されているが、正確には非中央集権構造が提供する金融的サービスであり、各国が法的に整理する金融サービスとは違うものである。
ただ、2サービスの接点は広がりつつあり、接点部分が金融として整理されてきた。
ここにきて、この接点処理から、本格的なオンチェーン構造を取り入れた次世代金融(金融インターネットのようなもの)にステップアップするスイッチが入ったわけだが、このきっかけが米国の「ジーニアス法」成立なのだと思う。
このジーニアス法は、トランプ大統領だから成立できたようにも思うが、本質的には従来の金融が持つ利権的な部分にメスを入れたと言ってもよい。
本質部は既存金融とは全く違う構造であるが、今までオンチェーンに否定的態度を示していた既存の大手金融が「次々と参入を表明」したことである。
この既存金融の賛同部分は、非常に大きな変化の段階にあることを意味している重要なことだ。
本来のWEB3的概念は銀行や証券会社のシステムを通さずに、ブロックチェーン上のスマートコントラクト(自動で実行されるプログラム)が、資金のやりとりや投資を処理する、金融機関レスを意味しているのだが、この部分を否定するのではなく、既存金融がこの新技術を使い歩み寄ってきたのだ。
SWIFTをみても、トランザクション処理を残して、ブロックチェーン構造で清算する構造にしてきたが、既存金融と新金融が融合するという選択(で合意)になったわけだ。
そうなると、もう一つの重要機能が証券系であるが、この部分にまで手を入れられるのかと思っていたところ、実はジーニアス法成立直後に「プロジェクト クリプト」が発表された。
この内容は日本の報道では見ないのだが、日本に多大な影響を与える内容であり、近いうちに米国で法案化され、数年後には成立すると考えられる。
実際にステーブルコインの整理と並行して、国債やMMFの機能がトークン的にサービスを急拡大していることも事実なのである。
「プロジェクト クリプト」はトランプ大統領直属の「デジタル資産市場に関する大統領作業部会(PWG)」が発表した報告書に基づき、米SECが暗号資産やブロックチェーンを中心に据えた市場・金融制度への大規模な転換計画として方針を打ち出した。
古い金融構造を刷新し、米国金融市場を「オンチェーン(blockchain上)」への移行を促進し、暗号資産に関する明確な規制環境を整えることを目的とする。
●トークン化証券やDeFiの推進として、株式や債券などの伝統的資産をトークン化し、オンチェーン上で流通させる仕組みを構築。
●DeFi(分散型金融)やAMM(自動マーケットメーカー)などの分散型システムが証券市場の一部として統合される道筋を整備。
●スーパーアプリ型金融インフラとして、ブローカーディーラーが単一のライセンスで、証券・非証券問わず多様な金融サービス(取引、ステーキング、貸出など)を一つのプラットフォーム上で提供できる制度設計を目指す。
正直、ジーニアスを超える金融改革の内容であり、米国には金融のブレインが存在しているのだと痛感させられる。
多分、今までの流れをみると、日本も後追いになると考えるが、この本質や具体的な将来像については、さすがに個人意見でも書けない。
米国は本気でクロスボーダー取引に対応するつもりなのだろう。
上記内容は、物々交換から通貨金融制度に移行となった明治維新以降、金融のIT化とは全く違う、金融の完全なデジタル化の段階に踏み出したことを意味している。
システム構造も、今のサーバ集中(オンプレミス)構造の数段先を進むことになる。
日本では金融や大規模サービス類はメインフレーム利用が多く、政府は2030年までにサーバ構造に強制移行させる対応中である。
このオンチェーンファイナンスは、さらに次の段階の話になるのである。
とにかく、この金融改革に置いて行かれないように対処するしかないと考える次第。
前回、GENIUS法に触れたが、前提の説明がないとわかりにくいので補足したい。
GENIUS法で定義されるステーブルコイン枠は金融に属している。
暗号資産自体は金融枠管轄(¥転する部分だけ金融枠になる)ではない。
現状、USDCは米国では暗号資産に分類されている。
このUSDCと類似する特性を持つステーブルコインがGENIUS法で定義された。
個人的には現実の利便性の面を考えると素晴らしいと思うが、規制側の立場ではとんでもないことをしたものだと思っているかもしれない。
GENIUS法の概念はEUや日本とも違っているので、ここを理解しないとダメである。
金融定義は各国の法により個別に管理されているためだ。
実際に米国でUSDC決済は暗号資産決済である。
USDCがシェアを伸ばしたのは、複数のチェーンで目的別に発行しているところが良いからである。
小額・即時支払い Solana 高速・手数料ほぼゼロ(SPL USDC)
DeFiやNFT Ethereum 安定したインフラ(ERC-20)
Web3アプリ連携 Polygon Ethereum 互換、手数料が安い
異なるチェーン間支払い CCTP 安全なクロスチェーンUSDC移動
ただ、USDCは米国では暗号資産であるが、日本では暗号資産として認識されない。
日本では、発行者が無いものを暗号資産(トークン属性、トークンはシステム用語)としているが、実際にICOやZPGは発行者がある暗号資産として認可されているので整理がわかりにくい。
さらにステーブルコイン(コイン属性、コインは金融用語)という定義がある。
ここで認識すべきは、ステーブルコインは通貨だけではなく、デジタル的に物々交換を前提にするWEB3的概念もあるという点である。
とりあえず、現状での日本での金融法枠(通貨ステーブルコインとして)の整理では、
①1号電子決済手段:資金移動業者(JPYCなど)
②3号電子決済手段
(③外国電子決済手段:外国系発行物) →暗号資産的なので、②と分離して説明する。
が分類されているが、ここで日本仕様の①②は、証券枠のセキュリティトークン(ST)の処理に近い。
③は暗号資産の処理であり、この2つの処理は根本的に違うのだが、きちんと理解できているヒトは日本では殆ど存在していないように思う。
トークンやコイン系のシステムのつくりは、この2種に集約されているのだ。
とにかく、日本では上記を扱うには、「電子決済手段等取引業者(電決業)」の当局への登録が必要で、これはステーブルコインを売買・交換・送受信・保管などを行う形で国内ユーザー向け。
通貨自体を扱う銀行的な電子決済等取扱業とは違うが、相互に関係し¥転などを行う。
暗号資産間はDeFIで直接交換はできるが、暗号資産の¥転などは当局に登録された暗号資産交換業者が行う。
USDCは日本では③になるので、暗号資産交換ではなく電決業マターになるのである。
※法改正前は、USDCを¥転換するのは、一度BTCやETHに変えて、それを¥転する2段階方式であったが、改正法ではその部分が直接処理的に改善されていることは進歩である。
ただ、処理は上記で説明したとおり、電決(特に③)の処理は現状では暗号資産処理と殆ど同じであるため、暗号資産交換業者が電決業登録して取り扱うことが多くなると思う。
もう少し整理すると、暗号資産取引とST取引はシステム的に違う部分が多いが、電決で①②③を扱うのは暗号資産取引機能(③)とST取引機能(①②)の両方みたいなシステムのつくりになるか、上記の①②③を各々分離して専門につくる(コスト回収ができるか疑問)か、どちらかである。
ちなみに、日本ではGENIUS法の対象となる米国ステーブルコインは③枠になる。
なお、¥ステーブルコインを作るのが面倒だということであれば、米国にてGENIUS法に基づいて¥ステーブルコインをつくることも想定できる。
ただ、その場合の資産の担保は¥物として認められず、米$物になるため、¥$ヘッジをかける必要がある。
さて、¥ステーブルコインはどうなるかわからないが、今のままだとシステムコストが高すぎてサービス化(というより実用化)が難しいか、手数料が高いか、そのような課題から抜け出せないと思う。
そうなると、コスト優位性は無くなるため、今の決済手段と何も変わらないことになるので、この部分を考えると、日本の決済方法に米$(裏で¥の自動スワップ)が支配する構想がシェアを伸ばしていくのではと考えてしまう。
暗号資産は、昔は仮想通貨と言われていた。
通貨特性がある、デジタルで表現された特性を意味するが、その後に通貨特性が表現から消えて資産になった。
しかし、本体のブロックチェーンが望んでいたのは、ビットコインの名前が示すとおり、コイン特性であり通貨特性を目指していたと理解している。
先日、米国で成立したGENIUS法は、米ドルをデジタル化してブロックチェーン上で運用する暗号資産的な通貨を合法化する枠組みであり、これぞ法が認める「暗号通貨」なのである。
通貨とは、法が定義するものであり、それが定義されたことは非常に大きな意味を持つ。
スマートコントラクトによって条件付きでの送金・決済が可能なドル建て電子記録を、法的に「交付された支払手形」等と同等とみなす・・・、難しそうな内容ですが簡単に言うとステーブルコインやトークン化預金に近い民間発行型で、スマートコントラクトによる決済自動化を目的としたもので、過去に三菱UFJ銀行がトライ(結果的にテストまで行ったが様々な要因で断念)していた「MUFGコイン」に近い概念になる。
西本の理解では、GENIUS法の概念は画期的なものであり、本来は金融となる「通貨」管理を、非金融(=自由度が高い)である暗号資産の領域にリンクさせたことが素晴らしい。
暗号資産的な“直接移転可能な権利記録”を法的に位置づけたもので、通貨のように簡便な権利移転と、商取引での支払手段としての法的有効性を両立しているようなものです。
自律的権利移転は「譲渡可能」かつ「電子的に証明された債務」で、ブロックチェーン上での記録が法的な交付・移転に相当、銀行などの第三者の介在なしにP2P移転が完結金額、支払期日、受取人、条件などをコードで記述可能、自動的に処理する。
このため、日本で構想されてきた「信託型」や「預金裏付型」のステーブルコインのような煩雑な仕組みや、法的媒介者の関与を制度的に排除しており、むしろ暗号資産のETHやUSDCに近い“転々流通型”の性格を明確に持たせているわけです。
この意味するところが理解できると、この先の金融の方向性は明確に理解できてくるはず。
すでにUSDC決済は急成長している状況で、米国ではカード決済のレベルにまで急拡大してきた。
この普及の背景にあるのは、デジタル鍵などの管理が面倒なウォレット型に代わり、従来の電子マネー的な処理で、高速化を実現してきたことも大きいわけです。
インターネットに接続できれば、どの国の通貨やアセットであっても暗号資産で表現できるものは簡単に決済できる、こういう時代に入ったことを意味している。
ブレトンウッズから続く資本主義構造で、新しい領域が動き出した、個人的にはベットすべき内容であると考えます。
ちなみに、DAMSが扱っている三井物産様のZPG(ゴールドコイン等)は、上記の暗号資産型であり、GENIUS法成立は世界にとって大きな一歩であると認識している。