金融庁は3日、「暗号資産(仮想通貨)交換業等におけるサイバーセキュリティ強化に向けた取組方針」を策定し公表した。2月10日から3月11日にかけて実施したパブリックコメント(意見募集)で寄せられた18件の意見を踏まえ、修正を加えた上での確定版となる。
「自助・共助・公助」の3本柱で業界全体を底上げ
方針は「自助・共助・公助」の3本柱で構成される。金融庁は、近年の暗号資産流出事案について、署名鍵の盗難だけでなく、ソーシャルエンジニアリングや外部委託先への侵入など巧妙な間接攻撃が増加していると指摘。「単にコールドウォレットを用いれば安全に管理できていると言える状況ではなくなっている」との認識を示した。
関連:仮想通貨企業の2割に北朝鮮工作員か──「金正恩の悪口言わせてみろ」専門家が警告
さらに「外貨獲得を目的とする国家の関与が疑われるサイバー攻撃」にも言及し、利用者の財産保護にとどまらず「我が国の国富を守る」という安全保障上の観点からも対策の必要性を強調している。
関連:北朝鮮ハッカーの仮想通貨盗難額が過去最悪の3,143億円──巧妙化する手口
自助:全社にセルフアセスメント、事務ガイドライン水準引き上げ
自助の取り組みとして、2026事務年度以降、暗号資産交換業者の全社を対象にサイバーセキュリティセルフアセスメント(CSSA)を実施する。事務ガイドラインで求めるセキュリティ水準の引き上げも検討しており、サイバーセキュリティ責任者の権限基準を含む人的構成、外部監査のあり方、外部委託先に求めるセキュリティ要件の3点が見直しの対象だ。
共助:情報共有機関への参加促進
共助の枠組みでは、自主規制機関である日本暗号資産等取引業協会(JVCEA)に対してセキュリティ委員会の機能強化を求めるとともに、業界の情報共有機関「JPCrypto-ISAC」への各事業者の積極的な参加を促す方針を示した。
公助:疑似攻撃テストを数社で実施、演習も拡充
公助の取り組みとして、金融庁は2026年中に暗号資産交換業者のうち数社に対し、実運用環境への脅威ベースのペネトレーションテスト(TLPT)を実施する。TLPTは攻撃者の戦術・手法を再現した疑似攻撃により、侵入の可否や検知能力、対応の迅速性を検証する実践的なテストだ。金融業界横断的なサイバーセキュリティ演習「Delta Wall」についても、暗号資産交換業者向けの専用シナリオを設定済みで、3年以内に全社の参加を目指すとしている。
関連:サナエトークン、1枚0.01331ドルで買い取りへ──補償対象を当初方針から拡大
関連:JPX、仮想通貨50%超の企業をTOPIX除外へ──メタプラネットら3社が該当か=報道
