コインチェック事件は『対岸の火事』ではない
私は創業してからおよそ2年のベンチャー企業を経営しており、CTO兼唯一のプログラマだ。私含め3人の共同創業者と、多くの支援者の力により、これまで自己資本でなんとか開発を続けてきた。
先日、私達の会社は大きなマイルストンを迎え、サービスをβ公開させ、これから大きく勝負に出ようと思っていた。その最中、今回のコインチェック事件が発生した。
私達が行う事業は暗号通貨とは全く関係が無いため、本来であればこれは『対岸の火事』だ。しかし、総額580億円という被害額を生んだ今回の事件は、暗号通貨市場だけでなく、スタートアップ界隈全体へ影響を及ぼすことが容易に想像される。
事件の余波
今回の事件で最も強く感じたのは、技術の力で新領域を切り開くスタートアップ企業こそ、時には成長を犠牲にしてでも、技術的安全性・信頼性を優先するべき、ということだ。
顧客にリスクを押し付けることが絶対に起きてはいけないし、少しでも顧客が抱えるリスクがあるならばそれを知らせる誠実さが無ければならない。今回の事件はその原則が徹底されていなかった、ひいては軽視されていたのではないかと思う。
だがこの顧客保護という問題は、コインチェックに限らず、昨今のスタートアップ企業の多くで軽視されがちで、成長を最優先にしてしまうケースが散見する。
最先端の技術をベースにした事業と、それらに伴う責任。今回はそのことについて疑問を投げかける事件だったと思う。
コインチェック社の責任
記者会見での弁の通り、取引所が暗号通貨をオフライン運用するには一定の技術的難易度がある。これはNEMに限らない。
また特に、NEMのような比較的マイナーな通貨ではノウハウも広まっておらず、高い技術力とイノベーションが必要だったのではと思う(これは私の想像)。
取引所という事業の性質上、預かり通貨の全てをコールド運用することも出来ないというのも事実だ。
またコールドウォレットやマルチシグは、突破された後のダメージコントロールに過ぎないため、侵入させない取り組みとは別のものだ。これもIT技術者なら当然の話だが、侵入不可能と証明することもまた不可能であり、突破された後の事も考えて全体のセキュリティを設計する必要がある。突破された後のセキュリティもそれ以前と同様に重要だということだ。
しかし、今回の事件では、
- 現在のところ経路は不明だが、不正アクセスは可能だった。
- NEMについては技術的難易度を理由に、一切コールド運用されていなかった。また、マルチシグにも対応していなかった。
- 他方HPでは、流動しない預かり通貨についてはコールド運用していると明記している。
などと、外部に対して謳う内容と、実態との間に重大な不一致が存在している。この不一致は、開発者であれば当然認識している話だし、不正アクセスされた際何が起こるのかは容易に想像がつく。
何故この不一致を放置したまま、簡単で安全かのように宣伝していたのか、その点において大きな違和感を感じる。
最も重要だと経営陣自身が認識している(と記者会見で言ってる)セキュリティにおける重大なリスクを残したままプロモーションに力を入れていた事は、顧客の数を増やし、その顧客にリスクを押し付けていたということにすぎない。
結果預かり通貨の全てが盗難されました、というのは余りにもお粗末すぎるだろう。
犯人(ハッカー)は当然一番悪い。だが、その犯人に罪を償わせるのは司法がやるべきことだ。
コインチェックに過失は無かったのか?私はゼロではない、むしろ大きいと思っている。この過失に対する責任は誰が果たすのか?それはコインチェックだ。
技術、信頼、責任
企業で行われている技術的な事柄は、外部の人間からすれば100%の透明性を得ることは不可能だ。また、技術のことが分からない人間が人類の99%以上を占めるため、世間に安心してもらうためには誠実であることが何よりも重要だ。
今回の件では社長自身が開発者であるため、更に深刻だと思っている。
暗号通貨に関わっていないエンジニア諸兄も、対岸の火事だと思わないで欲しい。新しい技術に対する信頼性が失われれば、我々は飯が食えなくなる。
前述の言行不一致に気がつくことが出来たのは、内部の技術者だけだ。安全で高品質なサービス提供が難しい、時間がかかる、ということが事前に分かるのも技術者だけだ。
そこで、成長や利益を追求する意見に流されてしまうのは絶対にあってはならない。万全の品質になるまで改善を続け、リリースするべき時が来るまで努力を続けるべきだろう。
技術を扱う我々にはその責任がある。
スタートアップ経営者のモラルが生んだ今回の事件
『不完全な状態だったとしても、一日でも早くリリースしろ。』
これはスタートアップに関わる人なら何万回と耳にする言葉だ。
この場でこの言説が正しいか否かを問うつもりは無い。だが、一つだけ言いたいのは、
(a)顧客に対する責任が果たせない。
(b)コントロール出来ないほどにリスクが大きく、結果社会的責任が果たせない。
これら何れかに該当する場合、成長を犠牲にしてでもやるべきことをやれ、ということだ。
残念ながらこの原則は軽視されがちだ。
我々が事業を始めてから、多くのメンターからアドバイスを受けている。皆経験豊富な方々だ。これらの先輩たちは、口を揃えてセキュリティなどコンプライアンスに関わる質問を投げかける。これは非常にありがたいことだ。
一方で、その懸念に対しての受け止め方は、スタートアップ経営者側に委ねられている。「ちゃんとやってます」と言うことが、とても簡単なのだ。
だが、「ちゃんとやってます」と答えるスタートアップの全てが、本当にちゃんとやっているのだろうか?
私はフリーランスのエンジニアとしても活動しているため、他のスタートアップを幾つも見てきている。だが残念ながら、「ちゃんとしている」レベルのスタートアップが全てではない。
どこまでやれば「ちゃんとしている」のか、その程度問題はあるだろう。だが、明らかなセキュリティホールすら放置しているケースもある。そして放置している理由は十中八九、対応する時間が無いからだ。
正確に言えば、時間はある。だが、優先度を高く設定していない。これはなぜか?それはリリースや機能追加、その他分かりやすい価値向上の為の開発が優先しているがゆえに、価値が分かりづらいセキュリティ対策と言った開発の優先度が下がっているためだ。
限られたリソースの中で取捨選択を迫られ、問題があると分かっていながらも誤魔化しが効くと勘違いしがちなセキュリティ対策の開発優先度を下げる。これが今現在のスタートアップの思考ロジックであり、モラルである。
誤解なきよう繰り返すが、私が経験してきた限りメンターからセキュリティ対策の優先度を下げろと言われた(または示唆された)ことは一度もない。むしろその逆で、メンターからはそう言ったリスクは絶対に作るなと口を揃えて言われる。
スタートアップを経営する側が、無知や焦りからコンプライアンスに関わる問題を軽視してしまうのだ。そして、この低いモラルは流感の如く多くのスタートアップ企業に広まっている。
技術担当役員の責任
セキュリティに関する問題の優先順位付けを、公正かつ適切に行うケイパビリティを持ちえるのは、技術領域を担当する役員だけだ。
繰り返しになるが、対岸の火事だと思わないほうがいい。今後IT企業は、より厳しい目で世間から技術的信頼性を問われるだろう。
大事なのは、誠実であること。そして何を最優先するべきか、それを間違えないことだろう。
コインチェックには頑張ってもらいたいが、決して責任を転嫁せず、被害を与えてしまった顧客に対して真摯に向き合って欲しい。
もしそれが出来ないのであれば、暗号通貨という市場そのものへの信頼性が失われる。それがどれだけ社会への損失を生むかは、コインチェックの方々が一番良く分かっているだろう。
今回発表した盗難に遭ったXEMをJPYで補填することが、正しい責任のとり方かどうかは正直言って私には分からない。だが、記者会見の後から比較的短期間で顧客を安心させるための対策が講じられたことは十分に評価に値すると思う。
メディアがよく分からない叩き方で叩いてくるのも仕方ない。野次馬が好き勝手言うのも仕方ない。だがこれからも、それらを全て受けとめ、誠実な対応を続ければ、きっと流れは変わるだろう。
今回は私自身も大きな教訓を得た。
この気持を忘れないために、長文だがここに書いておくこととする。
