2026年2月10日、金融庁は暗号資産交換業者向けの「サイバーセキュリティ強化方針案」を公表し、パブリックコメントの募集を開始した。
国内の監督方針を見直し、業者単体からサプライチェーン全体を対象とした管理強化へと舵を切る。
委託先含めた統合的対策を要求
今回の方針案は、国内外で暗号資産流出事案が相次ぎ、攻撃手法が高度化している現状を踏まえたものである。近年は署名鍵の窃取だけでなく、ソーシャルエンジニアリングや外部委託先を経由した侵入など、長期潜伏型の攻撃が確認されている。
背景には、2025年の海外取引所バイビット(Bybit)における大規模流出や、国内のDMM Bitcoin流出事件がある。これらの事例では、コールドウォレットの保管だけでは不十分であり、送金承認プロセスや委託先管理を含めた運用全体がリスク要因となることが明らかになった。
金融庁は対策の枠組みとして、「自助・共助・公助」の三層構造を提示した。2026事務年度以降、全交換業者にサイバーセキュリティセルフアセスメント(CSSA)(※)の実施を求めるほか、サプライチェーン管理や人材・運用体制を含めたガイドラインの高度化を検討する方針である。
業界成熟の契機か、負担増の懸念も
今回の方針は、暗号資産業界のリスク管理を金融機関並みに引き上げる転換点と位置づけられる。セキュリティをコストではなく戦略投資と捉える考え方が浸透すれば、機関投資家や法人利用者の信頼向上につながる可能性が高い。市場の制度的な信用力が強化される効果も期待できる。
一方で、人的体制や委託先監査、継続的な評価対応など、事業者の負担は大きくなるとみられる。特に中小規模の交換業者にとっては、運営コストの上昇が収益圧迫や事業再編を促す要因となる可能性もある。
今後は業界団体を通じた情報共有や、金融分野横断のサイバー演習への参加が拡大する見通しだ。規制強化が淘汰圧として働くのか、それとも市場の信頼基盤を高める契機となるのか、日本のWeb3市場の成熟度を測る重要な試金石になると考えられる。
※CSSA(Cyber Security Self Assessment):金融機関などが自社のサイバーセキュリティ体制を自主評価する仕組み。リスク管理、体制整備、対応能力などを定期的に点検し、継続的な改善を促すことを目的とする。
関連記事:
バイビット、14億ドル相当の流出 セキュリティ課題再燃
