年末で少しバタバタしているが、ここ2か月位は大手ビール会社などのサイバー被害の件で色々と聞かれるようになった。
明日は都内で重要インフラを対象としたサイバー攻撃時の訓練がある様子。
ただ、訓練内容をみると、どうしても大災害対策マニュアルがベースに思える。
実際に、サイバー攻撃は犯罪対策なので、災害や障害に対処するBCP的な話では対策が不十分だと思う。
今回の被害にあった大手企業2社の報告を見ていると、両社の攻撃アプローチが違っているが、結果的にBCP対策の延長防衛では駄目であることが理解できる。
大手ビール会社は「最終権限を取られた」時点で詰み、大手通販は「見えなくされた」時点で詰んだわけです。
つまり両社ともシステムを「支配」されたわけです。
①大手ビール会社(重要権限奪取型)の本質的課題
問題の核心は管理者権やドメイン、バックアップなどの権限=「最後の鍵」を奪われたこと。
暗号化しても、バックアップしても、権限を取られたら終わりで致命傷に。
DB暗号化/BCP/DR類は「善意の管理者が前提」であり、そこが奪われて正規管理者になりすまされて破壊される。
②大手通販(セキュリティ機能無効化型)の本質的課題
問題の核心はEDR/監査ログ/検知系が 意図的または実質的に無効化されたこと。
「侵入されたかどうか」以前に「見えない状態」にされた。
ゆえに、侵入を防ぐ以前に、侵入を検知/追跡/復旧できない状態にされたのが致命的。
セキュリティは「装備」していたが運用権限/構成管理を取られた瞬間に無力化。
セキュリティツールを過信したことが原因であり、統制ができていなかった。
③両者に共通する問題点
防御対象となるセキュリティ機能、管理権限が内部侵入により支配された。
それによりBCP対応が無効化/無意味化された。
監視や監査、暗号化、バックアップなどの対策の前提が崩壊。
両社とも、防衛は最善を尽くしていたらしいが、最近の攻撃はそれよりも上位にあるという事実。
上記は日本特有の脆弱性でもあり、実は日本のデジタルは脆弱部が多い。
また、セキュリティというのはID/パスワードではない。
ID/パスワードは個人特定方法(アクセス確認)であり、セキュリティは鍵の運用方法(誰が、どの鍵を、どの条件で使えるか)が主体である。
そのあたりを正しく考慮して開発したのがデジタルシェルターであり、関心のある企業様より準備導入している状況。
ただ、この鍵管理に対し、日本人は絶対的に認識が弱すぎであり、その日本人向けに開発したのがDSライトという製品である。
ここを深堀りすると難しい話になるので、今回は割愛する。
暗号化はバックアップではなく権限の運用であり、データ保全は不可逆の状態にすることである。
これがセキュリティという犯罪対策の概念である。
ペンタゴンあたりは、管理者すら信用していないデザインで流石だと思う。
日本では上記の攻撃被害を受けた大企業は、国際的なセキュリティ格付けは★4に近いものと考えるが、今回の件をみても★4クラスではすでに攻撃を防げないレベルに来ている。
では、最上位の★5に日本企業が対応できているかというと、殆どゼロに近いのではと認識している。
このあたり、日本でも来年から格付け運用が開始されるとの事で、★5がどれくらいの割合か確認できるが、とにかくBCPの延長で究極のバックアップをつくっている段階ではない。
- 前ページ
- 次ページ
久しぶりにサイバー防衛関係のネタになる。
最近、大手ビール会社の攻撃被害について聞かれることが多くなった。
それなりに高額な対策を講じているのに、どうして大被害になっているのか?
攻撃目的はよくわからないが、最近の大企業向けのサイバー攻撃は身代金を装っているものの、実態として被害規模を見ると実は「破壊」が目的に思える。
米国政府などが受けているハイエンド攻撃と比較すると、日本への攻撃は二軍的レベルなのかもしれないが、日本でのそれなりの対策を講じた企業の防衛力を確認するためか、何かの見せしめかわからないが、いずれにしても攻撃者が内部侵入していることは事実である。
最近の攻撃手法は、主導者が自ら宣言しないと実態がわからない。
サイバー保険でも、国家アクターが関与している場合に免責の条項になるが、そのあたりがはっきりしない攻撃が多い。
サイバー保険は非常に高額傾向であり、採算が取れないのも事実である。
最近の報道で出ているような「AIエージェントによる自律攻撃」は少し前から指摘されており、そういう時代に入ったことは事実と考えるが、これに対して今の防衛対策の主軸はBCP延長であるが、この対策は限界にきている。
大手総合エンターテイメント企業被害後に様々な対策が提案されたが、大手ビール会社の被害レベルを見ても、これらの対策には疑問がある。
当然、対策しないより、対策することは重要であるが、もう少し本格的な対応を考える段階にあると思う。
サイバー攻撃は、システムの脆弱性を探してそこを狙うのだが、どのようにして脆弱性を減らしていくのか?
この結論として、日本のBCP型では、内部側のセキュリティに脆弱性が集中しているため、フロントの防衛を突破されれば好き勝手されるのである。
そして、100%防衛することは不可能であることは、米国ペンタゴン(防衛で世界トップの評価)の対策を見れば明らかである。
以下はあくまで西本の考えるサイバー防衛概念であるが、個人的にはBCPではなくNIST的なゼロトラスト・レジリエンスを導入する段階にあると認識している。
1. 日本が「BCP型=即時復旧優先」「本番系列内バックアップ」を採り続ける根本理由を考察
(1) 日本のBCPは“地震・津波”起点で設計されている。
日本の事業継続計画は、長年「自然災害中心」で構築されてきた。
“破壊されてもすぐ復旧”という思想が中心で、攻撃者対策(ゼロトラスト)アプローチではない。
そのため、サイバー防衛対策であっても、
・同一LAN内レプリカ
・同一アカウント/権限でのバックアップ
・デイリー複製での高速復旧
など、攻撃者から見ると“同じ鍵穴が全部開いている”状態が構造的に生まれる。
⇒自然災害BCPをサイバー分野に誤用している。
(2) 企業文化として「止めてはいけない」が最優先。
・止まる→クレーム→役員責任
・止まらない→セキュリティ不備は内部では揉み消される
という構造が、「攻撃リスク < 稼働優先」の価値観になっている。
⇒結果、本番系列上にバックアップを置いた方が復旧は速いになる
⇒だからBCP型を優先した構造になる。
(3) CISCO/VMware時代の“境界防御モデル”の延長
日本のITは長期間、「ファイアウォール+ネットワーク分離+EDR=十分」という観点であり、セキュリティ検査項目もこの部分を基準に評価。
“内部侵入前提”のNIST世界観と根本的に異なる。
⇒内部に侵入された後を想像しない思想が根深く、最近の攻撃の殆どは「内部侵入されて破壊」していることを実は理解したくない。
⇒結果的に、日本は内部侵入されない高額対策をどんどん進めるが、ペンタゴンなど攻撃を受けた組織では侵入前提対策(NIST型)になる。
(4) システムインテグレーター構造
日本独自のシステム対応であるSierに任せる分業構造は、Sier主導による「追加システムを売る」ことが収益構造としてある。
既存インフラを大改修してゼロトラスト化・暗号分散化する方が“売れにくい”。
BCP系なら、
・DRセンター構築
・ミラーリング
・ストレージ二重化
などBCP型は“見える投資”として売りやすい経済的要因がある。
(5) 経営層が「サイバー攻撃」の“破壊スケール”を理解していない
2023~24年位までの攻撃は、「ラテラルムーブ → AD乗っ取り → VM破壊 → バックアップ破壊 → 暗号化攻撃」という、一連の自動化パイプラインとして短期間に急成長している。
※ラテラルムーブ:外部の攻撃者やマルウェアが企業の内部ネットワークの侵入に成功した後、ネットワーク内を横移動し侵害範囲を拡大していく攻撃手法。
しかし経営層やシステム担当の多くはまだ「PC感染させないように」「ウイルス対策ソフト」の時代感覚に留まる。
⇒現実の攻撃は“バックアップ破壊から始まる”ことさえ理解していない。
2. なぜ「NISTレベル」の価値観に移行できないのか?
(1) “攻撃者の自動化”の速度を理解していない
2024年〜は明確に「AIエージェント型(LAMA/Code LLM/Auto-recon)による自律攻撃」にシフト傾向であり、実際に進行開始している段階にある。
・侵入からAD破壊まで 数分〜数十分
・バックアップ探索・削除は完全自動化
・ラテラルムーブもAIが即時最適ルート計算
この攻撃レベルでは「BCP型では耐えられない」事が、認識を含めて共有されていない。
(2) NIST SP800-160 / 800-207 が難解すぎる
ゼロトラスト・レジリエンスの本質は「内部侵入を前提に、攻撃連鎖を切る」だが、文書だけでは理解されにくい。
(3) 日本では“攻撃シナリオ演習”文化がない
日本は紙の訓練や机上演習が多く、「本当に壊される経験」や「実研修/確認」がない。
3. 日本をNIST価値観へ移行させる具体的アプローチ
(1) 「攻撃時間の短さ」を可視化し理解するべき
経営層は数字で説得される。政治と同じ。
通常は、
・現実のランサム攻撃の平均侵入→暗号化まで:3日
・バックアップ破壊完了:侵入後1〜6時間
最近は、
・AIエージェント化で、この処理が大幅に短縮:数十分〜数時間
⇒BCP型ミラーリングは攻撃者の行動もミラーリングするため、攻撃対策では意味がない。
(2) “BCPとサイバー復旧は別”を強調
●BCPの問い⇒「壊れたら、早く戻せる仕組みか?」⇒CTOやシステム担当が考え、責任を取る範囲。
●サイバー防衛の問い⇒「壊されない、盗まれない仕組みか?」⇒犯罪対応であり、経営(CISO)が判断し対応するレベル。
両者は全く思想が違う。
(3) 実際の破壊事例を“攻撃チェーン”として提示する
上記の攻撃事例は日本でも存在している。
大手ビール会社/ 大手総合エンターテイメント企業/大手病院など、日本の破壊攻撃の構造をフローで可視化する。
(4) “データは分散・分断がデフォルト”を理解する
NISTが推奨するのは:
・改ざん不可ストレージ
・エアギャップ(分離保存)
・暗号分散(秘密分散などを応用)
・ゼロトラスト+継続検証
BCP型の「複製=安全」という前提は通用しない。
(5) AI攻撃のデモンストレーション
海外では実攻撃威力を目に見せて理解をさせる「AIエージェントによるテスト系への攻撃」等が使われるケースがある。
・脆弱箇所探索
・資格情報抽出
・AD奪取
・ストレージ削除
・VM暗号化
がどのようになるかを理解する。
なお、上記の動画も存在している様子。
⇒“BCPはAI攻撃に対応不能”を直感的に理解。
(6) 「守るべき資産の順位付け」を再定義させる
日本企業は「サーバーやアプリを守り」がちだが、NISTは「データ・鍵・認証基盤を守る」のが最優先。
⇒この概念を変えるだけでシステム設計が大きく変わるため、実は簡単に対応できる話ではない。
⇒簡単に出来ないことは理由になり、すぐに諦める結果が殆ど。
4. AIエージェント攻撃時代に「BCPベース」の限界を理解する。
●BCP型(即時復旧優先)は内部侵入が前提のAI攻撃には耐えられない。
●必要なのは、
・侵入前提
・攻撃チェーンを分断
・データを分散・不可逆
・認証基盤の隔離
・バックアップは本番から物理/論理的に断絶
というNIST型サイバーレジリエンスの実装が必須。
●価値観転換は可能か?
“恐怖を示すだけではなく、ロジックと数値”で説明しても理解がどれくらい進むか不明。
⇒既存システムをBCP型で構築しているが、それをNIST型に再構築するのは現実的ではないとして「簡単に対応できない」が言い訳にされそう。
⇒結果的に、日本はNIST的概念を理解し、対処に進むには相当な時間を要すると考える。
結論になるが、国家主導で進めないと、民間は判断できない難易度案件である。
オンチェーン(ブロックチェーン内処理)に対してオフチェーン(ブロックチェーン外処理)という言葉があるが、オフ型の場合は従来のサーバ構造のため、多くの方々は理解できるであろう。
ただ、ブロックチェーンという同期型処理の上位には「分散台帳というDLT」の構造があり、そもそもブロックチェーンはDLTの一つである。
そして、DLTの概念がオンチェーンかというと、そういうものではない。
なぜオンチェーンなのかというと、このチェーン構造による「同期特性」が重要だと認識しているのだが、それだとサイドチェーンやブリッジ(クロスチェーン)で処理する部分は同期されているのかというと、そうでもない。
このあたりの理解は面倒なのだが、その前によく聞かれるのが、前払式支払手段や資金移動、電子決済手段という日本語に対し、ステーブルコインがわかりにくいという話だ。
これは日本法の定義と、暗号分散というオンチェーン用語がごちゃ混ぜになっているのでわかりにくいのだと思う。
まず、日本法でまとめると、そもそも金融と非金融があり、金融の中では前払式支払手段が今までの中心で、〇〇ペイなどが該当している。
ただ、前払いだと現金に戻せないので、資金移動業の為替処理を組み合わせて現金化するという複雑な方法になっている。
それが最近出てきた電子決済手段(電決)を使うと、普通に現金化もできるようになる。
これらを発行できるのが銀行、信託銀行、資金移動業であり、その取引にかかわるのが電子決済等取引業(電取)と、これがわかりにくい。
この電決の部分をオンチェーン的に説明すると、ステーブルコインとなる。
このオンチェーン用語は、暗号資産(FT)、ステーブルコイン(SC)、証券トークン(ST)という形で、トークンかコインで表現される。
トークンは基本的に発行数固定、コインは発行数変動と定義したいのだが、このあたりも不確定で、そもそも暗号資産の説明としてコイン(カレンシー型)とトークン(アセット型)が設定されているという定義がある。
ただ、こうなると日本ではステーブルコインは暗号資産ではないとされているので、海外との認識ギャップが出てくる。
日本では電子決済手段はステーブルコインの一種として定義されているのだ。
暗号資産を非金融として定義すれば、電子決済手段は非暗号資産の金融になる。
このあたりの事情が言葉の定義をわかりにくくしている。
そもそも、日本ではセカンダリー部分を「取引」「交換」「譲渡」と使い分けている。
暗号資産「交換」業と電子決済等「取引」業、これらは少し違う概念なのだ。
つまり、この領域は整理が難しい。
そもそも、チェーンでもパーミッションドとパーミッションレスの違いがあるが同じ部分もあり、ウォレットでもカストディ型とそうではないノンカス型があるが、処理の構造は多様である。
つまり、これらを整理すると、トークン/コイン軸と、カストディ軸と、取引インフラ軸、そしてチェーン構成という4枠が様々に組み合わされる多次元構造になっている。
そして、日本において、これら4枠を確実に理解不能にしているのが、実は「暗号分散」そのものの概念である。
日本の特許で、欧米の外資企業が「オンチェーン的な分野に申請し特許を取得」している件数は120を超えてきたと思う。
対して、日本企業はどうかというと、大手金融機関でも殆ど特許は取得できていない。
特許では、取得された特許とは違う方法をみつければ対処できることも事実であるが、最近の人気分野で実際にオンチェーンの項目でその例外を見つけて対処するのは不可能に近いくらい、色々なものが出ている。
西本も外資に抵触しない無形権利など考案するが、非常に特殊な構造の基本特許を2~3個くらいもっていないと、応用特許あたりでは対処できない。
それでは、この特許出願が日本では少ない理由でもあるが、なぜ世界で日本が次世代金融領域の特許に対処できなくなったのかという理由は想定できる。
あくまで西本論になるが、通常のオフチェーン金融は、「①金融知識+②法的知識+③システム知識」の3つの深堀ができれば対処できるが、このオンチェーン金融は、その3要素に加えて「④サイバー防衛知識」が必要になる。
この④が実は「暗号分散」技術で、暗号という鍵処理と、分散構造、そして暗号の弱い部分をサポートする秘密分散などがある。
このブログでもデジタルシェルターの話をしているが、この④の領域に対処すると、サイバー防衛の応用が見えてくるわけで、オンチェーンの構造が見えてくるのだ。
そして、平和な日本では世界で最もサイバーセキュリティ技術が弱いことが、その結果としてオンチェーンが理解できないという話に繋がるのだと思っている。
なぜ、それが言えるかというと、西本も最初にチェーン構造の事業を設計するなかで、このサイバー防衛力の理解が必須であることを知り、それに想定外の時間を要してきたからだ。
多分、日本では簡単にはオンチェーン金融(海外ではオンチェーンファイナンスという)は、理解されないと思う。
米国がオンチェーンファイナンス(オンチェーン金融)への方向性を明確にしてきたが、日本も頑張って追随しようとしている。
日本の場合、ハードウエア領域は強いのだが、ソフトウエア領域が特に弱くて、結果的にデジタル赤字が増大している。
今回のオンチェーン金融でも、海外の技術を輸入するケースが非常に多い様だが、それはしかたないところもある。
実際に海外のベンチャーの中には、本当に実力で勝負しているところが多く、素晴らしい技術を持っていることは素直に認めたい。
ただ、それはシステム面の話であって、法的な部分、特に金融の場合は海外製品を単純に使うことができない事情がある。
海外製品は単純には使えないが、それでも日本流に対応すれば使えることになる。
ただ、その日本対応が難しいわけだが、そのことをサービス提供側が理解できているかが重要である。
今回、ジーニアスの先行により、アメリカドルのステーブルコインの国際優位性は明確であり、日本でも注目されている。
何が凄いのかというと、ロスチャイルドが紙幣概念を考案し金融を作ったのだが、この革命的な紙に膨大な価値をつける概念が、デジタルデータに膨大な価値をつけることをジーニアスは法的に認めたのだ。
今までの方式は、電子マネーなどがあっても、裏では紙幣概念の管理(日本だと全銀ネット→日銀ネット)に依存していたわけで、それがデジタルデータ自体が移動して完結できるようになったのだ。
紙からデジタルへの移行が始まったことが、とんでもない改革であり、100年に1度くらいの大きな話なのである。
そして、この方法は今までのオフチェーン概念と全く違うものであり、基本からしっかり構築しないとついていけないと思う。
日本でも米国に追随する形で通貨ステーブルコインがでてきた。
また、先日の報道にあったような、ゆうちょの銀行口座連動型のものまででてくる。
ちなみに、ゆうちょ型はステーブルコインではない。
コインは決済が目的に生成されたもので、本質は暗号資産構造である。
日本では決済法の中で定義され、決済主体のために金利を付けられない。
その欠点を補うのが、預金トークンのような今回のゆうちょ型である。
ただ、どうしても他行間の処理が面倒で、全銀ネットを排除しても日銀ネットなど既存のオフチェーン構造を活用するタイプになる。
ちなみに、多くの人たちが理解できていないと思うのだが、何かを購入する場合、通貨で支払うことが常識だと思っていたら、このオンチェーン金融は理解できないと思う。
基本的に決済概念が主体であるが、決済と銀行と証券の境界が無くなる概念であり、極論として金融をオンチェーン化したら、それは証券でも預金でも支払いに充当できるということだ。
ただ、その場合は決済と言わないので、別の税処理があったりするが、説明すると文字が大量になるので省略するものの、オンチェーン処理だからできる話である。
今回、ステーブルコインに加えて預金トークンの支払いが出てきたが、次は証券トークンの出番だろうか。
さて、ここで問題になるのが、これらを実現しているオンチェーンの部分であるが、これがブロックチェーン処理である。
デジタルアセットマーケッツでは4年位前に貴金属のステーブルコイン(FT型)の認可を取り、決済に充当する方法を作り続けてきた。
そのため、色々とこの領域は理解しているつもりであるが、とりあえずオンチェーンの課題にしっかり対処する必要がある。
このオンチェーン処理において一番面倒なことは鍵管理をどうするかという点だ。
この部分を簡単にしないとダメである。
ただ、この部分は米国が2年位先行しており、すでに実装状態であり、米国のオンチェーン市場の急拡大は、この課題が克服できたからだと思う。
そのことがトランプ大統領=プロジェクトクリプトとして推進する決断に導いたように思う。
日本の現状は、この部分の課題がまだきちんと解決できていない。
ゆえに、この部分の改善のために、日本流対応をどのようにして対処するかという話である。
具体的に話をしたいが、色々と事情があり話ができないものの、結論からいうと日本も米国に追随できると言いたい。
多分、本当に動くのは来年位からだ思う。
ただ、このあたりの具体対応が組み込まれたサービスは、米国のように急激に経済の中で拡大するように思う。
そういう本格的拡大のステージに入ったということだろう。
暗号資産(FT系;Fungible Token)を数年前の旧仮想通貨と同じ否定的な価値観で見ているヒトたちは、金融新技術の進化が難しくてわからないのかもしれないが、それならば旧仮想通貨時代に、米国の大手金融機関が否定していた状況が、この1か月で本格参入に切り替えてきたことだけでも理解できれば、この先の金融が想定以上に革新的なものになるのだろうと多少は想像できるのではと思う。
つまり、米SECが明確にデジタル金融への舵取りを決断し、対応を開始したのだ。
現状では、FT⇒SC(Stable Coin;ステーブルコイン系)の段階であるが、この先のSC⇒ST(Security Token;証券トークン系)は何が変わるのか想像できているヒトは少ないと思う。
個人的には、既存金融の構造はそのまま大きな変化が無く続くという概念ではなく、案外と強いインパクトがある内容が待っていると言いたい。
確かに1年とか3年位で大きく変わるかは不明であるが、2030年位には差が明確化してくるように思う。
※その根拠は今回は説明しないでおく。
日本(というか世界的に)金融で一番問題と思えるのが、この先も続きそうなインフレリスクへの対策である。
これは、単純に労働対価(給与)をインフレ率に追随させるという話だけではなく、当然ながら資産に対しての課題など沢山ある。
つまり、このあたりの問題にそれなりに対処できそうなのが次世代金融でもある。
逆に言うと、なぜ今の金融で対処できないのかという話であるが、簡単にいうと日本はデフレに慣れすぎていて、強いインフレ対策の構造が弱いということになる。
それと、長い期間に作り上げてきた金融構造は簡単に変更できないという歴史的要因も強そうだ。
もっと極端にいうと、金融を業者に任せている、難しい話は嫌いで、無関心で変化を面倒に感じる多くの人たちへも、無意識にインフレ問題に対処できるようにしなければならないということだ。
そもそも、FTからSTへの処理は同一か違うのか、これについてはインフラは共通機能が非常に多い、しかし何故か各々を単独で整理して提供するケースが多い、こんな感じである。
また、インフラのようなシステム的な要因の他に、もっと大きな要因は法的な部分で存在している。
システムで対応できても、法的にダメになることが新物には多いのである。
実際に、暗号資産は該当協会は「取引」という表現であるが、法的には「交換」という表現でわかりにくくなっている。
処理的には違い、電子決済等取引についても、少し前は「電決」と言っており、西本もそういう表現が出てしまうことが多い。
電子決済は「取引」であり、電決ではなく電取になっている。
つまり、金融法配下は「取引」表現だが、全て金融で説明できない非金融の部分が関係していると「交換」なのかと。
確かに「物々交換」という非金融用語があるが、そういう法言葉なのかもと考えてしまう。
いずれにしても、英語を日本語にすると、難しい言葉になってしまう。
取引となる部分の処理が、単純な交換とは違うのだが、さらにはFTとSCの中間的なものはどうなるのか、さらにはSCとSTの中間的なものはどう扱うのかなど、デジタルの金融用語を明確に定義できるものではないのが金融サービスである。
今回、暗号資産が金商法に近づいている中で、そもそも論でいくと、デジタルにおいて「決済」と「資産管理」は金融法では分離されているが、デジタルサービスとしては同一になっていくのだ。
USDCが米国で暗号資産扱いとなるが、日本ではステーブルコインになるとか。
ゴールドあたりの解釈も、海外は通貨枠(金貨:オンス単位)で見ているが、日本は工業品扱い(グラム、消費税)である。
しかし、定義は国によって違うが、本質というか、ヒトが認識する価値概念というのは、案外と似ている(というか同じ)のである。
多くのヒトは、ゴールドを工業品として見ているとは思えず、どちらかというと資産として見ていると思う、こういう本質部と法的概念にギャップがあるのだ。
そのような観点での延長でみると、この決済と資産管理の融合が技術的にできるようになっていて、別物ではなくて同一線上にあるのが、実はオンチェーンファイナンスの根底にある革新部(定義の整理と対応)だと考えるのである。
今回、日本金融はSCの段階に進みだしたが、目先で見たときにST手前のものが出てくる段階にあるとも言える。
実際に米国では急速にSCの次の段階の市場が拡大しているので、それが日本でもサービス化すると考えるが、個人的にはそのサービスが従来金融の今までの常識を変えるものになりそうな気がしている。
デジタル技術というのは、大口投資家しか対応できなかったサービスを小口に提供する概念でもある。
そして、それが難しくないものとしてサービス化される。
イントレは本来なら先行投資を回収する段階に来ている想定していたが、思っていた以上に大きな変化が金融に到来しており、その対処範囲が想定以上に広くなっている。
10年に一度レベルのものではなく、今回の金融のデジタル化は、明治維新位のインパクトが出てきそうで、150年ぶり位の話のレベルに思える。
FT⇒SC⇒STと概念は違うが、モノ⇒紙⇒デジタルの大きな流れが来ているという話である。
今の金融は紙をIT化したもので、これを明確にデジタルとして定義したのがジーニアスだと思っている。
最近、ちらほらと聞く言葉であるが、実はとんでもない金融改革を示した言葉でもある。
WEB3で金融チックにDeFiやDEXなどのサービスが提供されているが、正確には非中央集権構造が提供する金融的サービスであり、各国が法的に整理する金融サービスとは違うものである。
ただ、2サービスの接点は広がりつつあり、接点部分が金融として整理されてきた。
ここにきて、この接点処理から、本格的なオンチェーン構造を取り入れた次世代金融(金融インターネットのようなもの)にステップアップするスイッチが入ったわけだが、このきっかけが米国の「ジーニアス法」成立なのだと思う。
このジーニアス法は、トランプ大統領だから成立できたようにも思うが、本質的には従来の金融が持つ利権的な部分にメスを入れたと言ってもよい。
本質部は既存金融とは全く違う構造であるが、今までオンチェーンに否定的態度を示していた既存の大手金融が「次々と参入を表明」したことである。
この既存金融の賛同部分は、非常に大きな変化の段階にあることを意味している重要なことだ。
本来のWEB3的概念は銀行や証券会社のシステムを通さずに、ブロックチェーン上のスマートコントラクト(自動で実行されるプログラム)が、資金のやりとりや投資を処理する、金融機関レスを意味しているのだが、この部分を否定するのではなく、既存金融がこの新技術を使い歩み寄ってきたのだ。
SWIFTをみても、トランザクション処理を残して、ブロックチェーン構造で清算する構造にしてきたが、既存金融と新金融が融合するという選択(で合意)になったわけだ。
そうなると、もう一つの重要機能が証券系であるが、この部分にまで手を入れられるのかと思っていたところ、実はジーニアス法成立直後に「プロジェクト クリプト」が発表された。
この内容は日本の報道では見ないのだが、日本に多大な影響を与える内容であり、近いうちに米国で法案化され、数年後には成立すると考えられる。
実際にステーブルコインの整理と並行して、国債やMMFの機能がトークン的にサービスを急拡大していることも事実なのである。
「プロジェクト クリプト」はトランプ大統領直属の「デジタル資産市場に関する大統領作業部会(PWG)」が発表した報告書に基づき、米SECが暗号資産やブロックチェーンを中心に据えた市場・金融制度への大規模な転換計画として方針を打ち出した。
古い金融構造を刷新し、米国金融市場を「オンチェーン(blockchain上)」への移行を促進し、暗号資産に関する明確な規制環境を整えることを目的とする。
●トークン化証券やDeFiの推進として、株式や債券などの伝統的資産をトークン化し、オンチェーン上で流通させる仕組みを構築。
●DeFi(分散型金融)やAMM(自動マーケットメーカー)などの分散型システムが証券市場の一部として統合される道筋を整備。
●スーパーアプリ型金融インフラとして、ブローカーディーラーが単一のライセンスで、証券・非証券問わず多様な金融サービス(取引、ステーキング、貸出など)を一つのプラットフォーム上で提供できる制度設計を目指す。
正直、ジーニアスを超える金融改革の内容であり、米国には金融のブレインが存在しているのだと痛感させられる。
多分、今までの流れをみると、日本も後追いになると考えるが、この本質や具体的な将来像については、さすがに個人意見でも書けない。
米国は本気でクロスボーダー取引に対応するつもりなのだろう。
上記内容は、物々交換から通貨金融制度に移行となった明治維新以降、金融のIT化とは全く違う、金融の完全なデジタル化の段階に踏み出したことを意味している。
システム構造も、今のサーバ集中(オンプレミス)構造の数段先を進むことになる。
日本では金融や大規模サービス類はメインフレーム利用が多く、政府は2030年までにサーバ構造に強制移行させる対応中である。
このオンチェーンファイナンスは、さらに次の段階の話になるのである。
とにかく、この金融改革に置いて行かれないように対処するしかないと考える次第。
前回、GENIUS法に触れたが、前提の説明がないとわかりにくいので補足したい。
GENIUS法で定義されるステーブルコイン枠は金融に属している。
暗号資産自体は金融枠管轄(¥転する部分だけ金融枠になる)ではない。
現状、USDCは米国では暗号資産に分類されている。
このUSDCと類似する特性を持つステーブルコインがGENIUS法で定義された。
個人的には現実の利便性の面を考えると素晴らしいと思うが、規制側の立場ではとんでもないことをしたものだと思っているかもしれない。
GENIUS法の概念はEUや日本とも違っているので、ここを理解しないとダメである。
金融定義は各国の法により個別に管理されているためだ。
実際に米国でUSDC決済は暗号資産決済である。
USDCがシェアを伸ばしたのは、複数のチェーンで目的別に発行しているところが良いからである。
小額・即時支払い Solana 高速・手数料ほぼゼロ(SPL USDC)
DeFiやNFT Ethereum 安定したインフラ(ERC-20)
Web3アプリ連携 Polygon Ethereum 互換、手数料が安い
異なるチェーン間支払い CCTP 安全なクロスチェーンUSDC移動
ただ、USDCは米国では暗号資産であるが、日本では暗号資産として認識されない。
日本では、発行者が無いものを暗号資産(トークン属性、トークンはシステム用語)としているが、実際にICOやZPGは発行者がある暗号資産として認可されているので整理がわかりにくい。
さらにステーブルコイン(コイン属性、コインは金融用語)という定義がある。
ここで認識すべきは、ステーブルコインは通貨だけではなく、デジタル的に物々交換を前提にするWEB3的概念もあるという点である。
とりあえず、現状での日本での金融法枠(通貨ステーブルコインとして)の整理では、
①1号電子決済手段:資金移動業者(JPYCなど)
②3号電子決済手段
(③外国電子決済手段:外国系発行物) →暗号資産的なので、②と分離して説明する。
が分類されているが、ここで日本仕様の①②は、証券枠のセキュリティトークン(ST)の処理に近い。
③は暗号資産の処理であり、この2つの処理は根本的に違うのだが、きちんと理解できているヒトは日本では殆ど存在していないように思う。
トークンやコイン系のシステムのつくりは、この2種に集約されているのだ。
とにかく、日本では上記を扱うには、「電子決済手段等取引業者(電決業)」の当局への登録が必要で、これはステーブルコインを売買・交換・送受信・保管などを行う形で国内ユーザー向け。
通貨自体を扱う銀行的な電子決済等取扱業とは違うが、相互に関係し¥転などを行う。
暗号資産間はDeFIで直接交換はできるが、暗号資産の¥転などは当局に登録された暗号資産交換業者が行う。
USDCは日本では③になるので、暗号資産交換ではなく電決業マターになるのである。
※法改正前は、USDCを¥転換するのは、一度BTCやETHに変えて、それを¥転する2段階方式であったが、改正法ではその部分が直接処理的に改善されていることは進歩である。
ただ、処理は上記で説明したとおり、電決(特に③)の処理は現状では暗号資産処理と殆ど同じであるため、暗号資産交換業者が電決業登録して取り扱うことが多くなると思う。
もう少し整理すると、暗号資産取引とST取引はシステム的に違う部分が多いが、電決で①②③を扱うのは暗号資産取引機能(③)とST取引機能(①②)の両方みたいなシステムのつくりになるか、上記の①②③を各々分離して専門につくる(コスト回収ができるか疑問)か、どちらかである。
ちなみに、日本ではGENIUS法の対象となる米国ステーブルコインは③枠になる。
なお、¥ステーブルコインを作るのが面倒だということであれば、米国にてGENIUS法に基づいて¥ステーブルコインをつくることも想定できる。
ただ、その場合の資産の担保は¥物として認められず、米$物になるため、¥$ヘッジをかける必要がある。
さて、¥ステーブルコインはどうなるかわからないが、今のままだとシステムコストが高すぎてサービス化(というより実用化)が難しいか、手数料が高いか、そのような課題から抜け出せないと思う。
そうなると、コスト優位性は無くなるため、今の決済手段と何も変わらないことになるので、この部分を考えると、日本の決済方法に米$(裏で¥の自動スワップ)が支配する構想がシェアを伸ばしていくのではと考えてしまう。
暗号資産は、昔は仮想通貨と言われていた。
通貨特性がある、デジタルで表現された特性を意味するが、その後に通貨特性が表現から消えて資産になった。
しかし、本体のブロックチェーンが望んでいたのは、ビットコインの名前が示すとおり、コイン特性であり通貨特性を目指していたと理解している。
先日、米国で成立したGENIUS法は、米ドルをデジタル化してブロックチェーン上で運用する暗号資産的な通貨を合法化する枠組みであり、これぞ法が認める「暗号通貨」なのである。
通貨とは、法が定義するものであり、それが定義されたことは非常に大きな意味を持つ。
スマートコントラクトによって条件付きでの送金・決済が可能なドル建て電子記録を、法的に「交付された支払手形」等と同等とみなす・・・、難しそうな内容ですが簡単に言うとステーブルコインやトークン化預金に近い民間発行型で、スマートコントラクトによる決済自動化を目的としたもので、過去に三菱UFJ銀行がトライ(結果的にテストまで行ったが様々な要因で断念)していた「MUFGコイン」に近い概念になる。
西本の理解では、GENIUS法の概念は画期的なものであり、本来は金融となる「通貨」管理を、非金融(=自由度が高い)である暗号資産の領域にリンクさせたことが素晴らしい。
暗号資産的な“直接移転可能な権利記録”を法的に位置づけたもので、通貨のように簡便な権利移転と、商取引での支払手段としての法的有効性を両立しているようなものです。
自律的権利移転は「譲渡可能」かつ「電子的に証明された債務」で、ブロックチェーン上での記録が法的な交付・移転に相当、銀行などの第三者の介在なしにP2P移転が完結金額、支払期日、受取人、条件などをコードで記述可能、自動的に処理する。
このため、日本で構想されてきた「信託型」や「預金裏付型」のステーブルコインのような煩雑な仕組みや、法的媒介者の関与を制度的に排除しており、むしろ暗号資産のETHやUSDCに近い“転々流通型”の性格を明確に持たせているわけです。
この意味するところが理解できると、この先の金融の方向性は明確に理解できてくるはず。
すでにUSDC決済は急成長している状況で、米国ではカード決済のレベルにまで急拡大してきた。
この普及の背景にあるのは、デジタル鍵などの管理が面倒なウォレット型に代わり、従来の電子マネー的な処理で、高速化を実現してきたことも大きいわけです。
インターネットに接続できれば、どの国の通貨やアセットであっても暗号資産で表現できるものは簡単に決済できる、こういう時代に入ったことを意味している。
ブレトンウッズから続く資本主義構造で、新しい領域が動き出した、個人的にはベットすべき内容であると考えます。
ちなみに、DAMSが扱っている三井物産様のZPG(ゴールドコイン等)は、上記の暗号資産型であり、GENIUS法成立は世界にとって大きな一歩であると認識している。
本日、SBI金融経済研究所様より、私のレポート(後編)が公開されました。
前編公開後に、「セキュリティストレージ」と「バックアップ」の違いについて質問が多かったです。
①平事における障害や災害のダメージがバックアップで、②攻撃や犯罪などの防衛がサイバーセキュリティ系ですから、政府でも①②で管轄省庁が違っており、防衛という概念は日本人にはわかりにくいものです。
また、②の場合の評価は脆弱性を主体に複数項目の総合点になるので、その部分の理解が難しく、またシステム対応なのに一般的なシステム的観点でない部分の評価が殆どであり、理解が難しいという話になります。
セキュリティストレージであるデジタルシェルターでは、GMOサイバーセキュリティ・イエラエ社で構造的評価を受け、全項目をクリア(総合評価基準が全てOK)し最高点のA評価を受けましたが、同様の項目をバックアップ型の対策で評価すると、1種類のバックアップでは多分ですが40点位のレベルです。
そのバックアップを数種類並列で実装すれば、総合点が上がるというのが日本流の考え方ですが、それを行ったとしても脆弱評価では90点に到達できません。
現状においてバックアップ対応で、サイバー攻撃を受けて復元できないケースは被害の33%程度存在すると言われています。
日本は攻撃を受けても報告義務が弱いため、特に小規模サービスなどの被害は集計に反映されておらず実際には多くの被害が出ている可能性がありますが、とにかく無視できない数値です。
そもそも、主処理でメインフレームサービスが非常に多く残っていることから、現状では国際的な攻撃ツールがメインフレームに非対応であり、日本への攻撃は非効率という認識があると考えます。
ただ、日本は急速にDXというオープン系サービスへの対応を含め、メインフレームエンジニアの減少などからサーバ化が進んでいますので、最新の攻撃的脅威は認識すべきと考えます。
特に独立攻撃型のハッキングAIが動き出しているようで、最近のサイバー攻撃事例で、AIの関与が高まっている証拠があるみたいです。
今後、攻撃型LLMのコピーとAIの相互処理の発展により、大規模自動攻撃に展開する可能性が指摘されていますが、その場合は中小企業(自分たちは攻撃対象にならないという認識)まで本格的な攻撃の対象となると考えます。
いずれにしても、当該分野では政府が少し動き始めましたので、この分野は期待したいと考えます。
さて、海外のシステム強度、可用性の高さの一つの表現に「7-nines(seven nines)」というのがあります。
実は純金を「24K」に対してインゴットの表記には「9999」と記されているものが多く、これは純度が99.99%を意味するもので、純金と同等とされています。
つまり、9が多いと優れていることを意味しており、「seven nines」とは「99.99999%」の精度を意味しており、システムについてほぼ完ぺきを意味しているのです。
システムの世界で何かを説明するとき「100%」は使えません。
可動処理をいくら並列にして無停止システムを作ったとしても、巨大隕石が落ちてきたら止まるのではないかという話です。
この「seven nines」の計算ロジックはまだ把握できないものの、セキュリティストレージというのは、そういう領域を目指したデータ保全サービスであることは事実です。
本日の昼過ぎにSBI金融総合研究所様より、以下のレポートを開示していただきました。
最近の「ハイエンド型サイバー攻撃」を考える 前編 - 情報流出に破壊リスクが加わる時代へ - | SBI金融経済研究所
国家が関与するサイバー攻撃、特に有事になると大変です。
実際に最近発生したイスラエルがイランに対して行ったサイバー攻撃は物理破壊そのもの。
本来、サイバーセキュリティというフロント壁の防衛策があっても、そこを高技術戦法(TTP)にて突破してくるわけです。
ゆえに、米国を中心に欧州でも特に金融機関等の重要インフラ類は、サイバー防衛突破を前提として内部セキュリティまでもきちんと実装(規制対象)しているわけです。
上記のレポートではそのことに少し触れていますが、日本は民族的な紛争の歴史が相対的に少ないのか、メインフレームが多く残っていてサイバー攻撃のダメージを受けにくいのか、いずれにしてもサイバー防衛への意識が弱く規制も殆ど無いわけです。
日本のサイバー防衛の課題を簡単に記載しているので、時間のあるときに上記のレポートを見ていただければと思います。
ちなみに、「後編」は近く開示されるみたいです。
さて、6月6日に改正資金決済法が成立し、暗号資産取引の仲介という、私としては嬉しい法改正であり、これで2年以内に確実に運用が開始されるわけです。
その流れもあるのか、今週に改正金商法(金融商品取引法)案が出てくるみたいです。
こちらはさらに一歩進んだ証券のDX対応になるでしょう。
暗号資産を昔の仮想通貨のように思っているヒトが多いと思いますが、私はこの数年で非常に進化している認識なのです。
そして、今回提案される改正金商法は、暗号資産が単純に金商法管轄になるというような話ではないと理解しています。
非中央集権のWEB3技術は、金融などの中央集権構造に対して単純に活用できるものではないのですが、この数年で金融への暗号分散技術の応用と取り込みがしっかりしてきたように思う次第です。
本来、RWAと言われるトークン類は、二項(みなし型)有価証券と類似する部分が多く、海外(特に米国)を見るデジタル化で事業拡大の傾向が顕著になっているのです。
また、証券技術を考えると、法的に一項/二項の区分があっても、システム的には似ているところが多いわけで、当然ながらRWA技術は二項に、二項技術は一項に応用できるのです。
実は日本では一項有価証券は、まだまだ進化できるということを理解できているヒトは少ないのですが、気づいている人たちも存在するのです。
そのあたりをインタートレードで対処することが、このDX事業の先行投資でリスクをとっている部分でもあるわけです。
こういう大きな流れの変化は、私としては確実にとっていきたいと考える次第です。
そして、上記のサイバー防衛の構造は、実はこのDX型の金融の心臓部でもあるのです。
その関係性を理解していただくには、内容が難しいので少し時間がかかると思うのですが、そのうちに「なるほど」と思っていただけるように対処していく予定です。