メインコンテンツまでスキップ

カストディ・アーキテクチャの隔たり:ほとんどの暗号資産カストディアンが米国銀行基準を満たせない理由

· 約 20 分
Dora Noda
Dora Noda
Software Engineer

仮想通貨業界に参入するすべての機関が懸念すべきパラドックスがあります。Fireblocks や Copper を含む業界で最も著名なカストディ・プロバイダーの一部は、数十億ドルのデジタル資産を保護しているにもかかわらず、米国の銀行規制に基づく「適格カストディアン(Qualified Custodian)」として法的に認められていません。

その理由は? 2018 年当時には最先端に見えた基本的なアーキテクチャの選択が、2026 年の現在、克服不可能な規制上の障壁となっています。

業界を分断したテクノロジー

機関投資家向けカストディ市場は数年前に 2 つの陣営に分かれ、それぞれがプライベートキー(秘密鍵)を保護するための異なる暗号化アプローチに賭けました。

マルチパーティ計算(MPC) は、秘密鍵を暗号化された「シャード(断片)」に分割し、複数の当事者に分散させます。単一のシャードが完全な鍵を含むことはありません。トランザクションの署名が必要な場合、各当事者は分散プロトコルを通じて調整し、完全な鍵を再構築することなく有効な署名を生成します。その魅力は明白です。どのエンティティも完全な制御権を持たないようにすることで、「単一障害点(Single Point of Failure)」を排除することにあります。

ハードウェア・セキュリティ・モジュール(HSM) は、対照的に、FIPS 140-2 Level 3 または Level 4 認定を受けた物理デバイス内に完全な秘密鍵を保存します。これらは単に不正開封防止(耐タンパー性)を備えているだけでなく、不正操作に対して「応答(レスポンシブ)」します。センサーがドリリング、電圧操作、または極端な温度変化を検知すると、HSM は攻撃者が鍵を抽出する前に、すべての暗号化マテリアルを即座に自己消去します。生成、保管、署名、破棄という暗号化ライフサイクル全体が、厳格な連邦基準を満たす認定された境界内で行われます。

長年、これら 2 つのアプローチは共存してきました。MPC プロバイダーは、単一点攻撃による鍵の漏洩が理論上不可能であることを強調しました。一方、HSM の支持者は、銀行インフラにおける数十年にわたる実証済みのセキュリティと、明確な規制遵守を指摘しました。市場はこれらを、機関投資家向けカストディにおける同等に実行可能な選択肢として扱ってきました。

しかしその後、規制当局が「適格カストディアン」の本当の意味を明確にしました。

FIPS 140-3:すべてを変えた標準規格

連邦情報処理規格(FIPS)は、エンジニアの生活を困難にするために存在しているのではありません。米国政府が、敵対的な条件下で暗号化モジュールがどのように失敗するかを、痛みを伴う機密事案を通じて正確に学んだからこそ存在しています。

2019 年 3 月に FIPS 140-2 に代わって導入された FIPS 140-3 は、暗号化モジュールのセキュリティレベルを 4 段階で規定しています。

レベル 1 は、製品グレードの機器と外部テスト済みのアルゴリズムを要求します。これはベースラインであり、高価値資産を保護するには不十分です。

レベル 2 では、物理的なタンパー・エビデンス(不正開封の痕跡)とロールベースの認証の要件が追加されます。攻撃者がレベル 2 モジュールの侵害に成功したとしても、検出可能な痕跡が残ります。

レベル 3 は、物理的な耐タンパー性とアイデンティティベースの認証を要求します。秘密鍵は暗号化された形式でしか出入りできません。ここから実装コストが高くなり、偽装が不可能になります。レベル 3 のモジュールは、物理的な侵入の試みを検知し、それに対応しなければなりません。単に後で確認するためにログを記録するだけでは不十分です。

レベル 4 は、タンパー・アクティブな保護を強制します。モジュールは環境攻撃(電圧の異常、温度操作、電磁干渉)を検知し、機密データを即座に破壊しなければなりません。多要素認証が必須となります。このレベルでは、デバイスへの物理的なアクセス権を持つ国家レベルの攻撃者に対しても、セキュリティ境界は耐えることができます。

米国の銀行規制に基づく適格カストディアンの資格を得るには、HSM インフラストラクチャが最低でも FIPS 140-2 Level 3 認定を証明しなければなりません。これは推奨事項やベストプラクティスではなく、通貨監督庁(OCC)、連邦準備制度(FRB)、および州の銀行規制当局によって強制される厳格な要件です。

ソフトウェアベースの MPC システムは、定義上、レベル 3 以上の FIPS 140-2 または 140-3 認定を取得することはできません。この認定は、ハードウェアの耐タンパー性を備えた物理的な暗号化モジュールに適用されるものであり、MPC アーキテクチャは根本的にそのカテゴリーに適合しないためです。

Fireblocks と Copper のコンプライアンス・ギャップ

Fireblocks Trust Company は、ニューヨーク州金融サービス局(NYDFS)によって規制されているニューヨーク州の信託認可の下で運営されています。同社のインフラストラクチャは、3 億個のウォレットにわたる 10 兆ドル以上のデジタル資産を保護しています。これは、運用の卓越性と市場の信頼を示す、真に素晴らしい実績です。

しかし、連邦銀行法における「適格カストディアン」は、正確な要件を伴う特定の専門用語です。全米銀行、連邦貯蓄協会、および連邦準備制度の加盟銀行である州立銀行は、推定的に適格カストディアンとみなされます。州の信託会社は、FIPS 基準を満たす HSM ベースの鍵管理を含む、同じ要件を満たしている場合に限り、適格カストディアンのステータスを得ることができます。

Fireblocks のアーキテクチャは、バックエンドで MPC テクノロジーに依存しています。同社のセキュリティモデルは鍵を複数の当事者に分割し、高度な暗号化プロトコルを使用して鍵を再構築せずに署名を可能にします。多くのユースケース(特に高頻度取引、取引所間の裁定取引、DeFi プロトコルの相互作用)において、このアーキテクチャは HSM ベースのシステムに比べて圧倒的な利点を提供します。

しかし、デジタル資産カストディに関する連邦の適格カストディアン基準は満たしていません。

Copper も同じ根本的な制約に直面しています。同社のプラットフォームは、フィンテック企業や取引所に迅速な資産移動と取引インフラを提供することに長けています。技術は機能しており、運営はプロフェッショナルです。そのセキュリティモデルは、意図されたユースケースにおいて防御可能です。

しかし、どちらの企業もバックエンドで HSM を使用していません。両社とも MPC テクノロジーに依存しています。現在の規制解釈では、そのアーキテクチャの選択により、連邦銀行の監督を受ける機関投資家向けの適格カストディアンを務める資格が失われます。

SEC は最近のガイダンスで、州の信託会社を仮想通貨資産の適格カストディアンとして利用する登録アドバイザーや規制対象ファンドに対して、強制執行措置を勧告しないことを確認しました。ただし、それはその州の信託会社が規制当局からカストディサービスの提供を許可されており、かつ従来の適格カストディアンに適用されるものと同じ要件を満たしている場合に限られます。これには、FIPS 認定の HSM インフラが含まれます。

これは、絶対的な意味でどちらのテクノロジーが「優れている」かという問題ではありません。暗号化カストディが物理的に保護された施設内の HSM を意味していた時代に書かれた規制上の定義が、ソフトウェアベースの代替手段に対応するように更新されていないという問題なのです。

Anchorage Digital の連邦憲法認可という堀(モート)

2021 年 1 月、Anchorage Digital Bank は、OCC(米国通貨監督庁)から国家信託銀行の憲章(チャーター)を取得した最初のクリプトネイティブ企業となりました。5 年が経過した今も、デジタル資産のカストディを主な業務とする唯一の連邦認可銀行であり続けています。

OCC の憲章は、単なる規制上の成果ではありません。機関投資家による採用が加速するにつれ、その価値が高まる競争上の「堀(モート)」となっています。

Anchorage Digital Bank を利用するクライアントは、JPMorgan Chase や Bank of New York Mellon を統括するのと同じ連邦規制の枠組みの下で資産を保管しています。これには以下が含まれます:

  • 顧客資産を脅かすことなく損失を吸収できることを保証するために設計された自己資本要件
  • 定期的な OCC の検査を通じて強制される包括的なコンプライアンス基準
  • FIPS 認定の HSM インフラを含む、連邦銀行監督の対象となるセキュリティプロトコル
  • 効果的な内部統制を確認する SOC 1 および SOC 2 Type II 認定

運用のパフォーマンス指標も重要です。Anchorage は、署名の分散により理論上はより高速であるはずの MPC ベースのシステムに匹敵する、20 分未満でトランザクションの 90% を処理します。同社は、BlackRock を含む機関投資家が現物暗号資産 ETF の運用のために選択したカストディインフラを構築しました。これは、規制対象製品を立ち上げる世界最大の資産運用会社からの信頼の証です。

年金基金、大学基金、保険会社、登録投資アドバイザーなどの規制対象エンティティにとって、連邦憲章は、いかに革新的な暗号技術であっても解決できないコンプライアンスの問題を解決します。規制によって「適格カストディアン(Qualified Custodian)」のステータスが求められ、そのステータスに FIPS 規格で検証された HSM インフラが必要であり、OCC の直接監督下で運営されているクリプトネイティブな銀行が 1 つしかない場合、カストディの選択は自ずと決まります。

ハイブリッド・アーキテクチャの機会

カストディ技術の状況は静的なものではありません。機関投資家が純粋な MPC ソリューションの規制上の制約を認識するにつれ、新世代のハイブリッド・アーキテクチャが登場しています。

これらのシステムは、FIPS 140-2 検証済みの HSM と MPC プロトコル、および多層防御のための生体認証コントロールを組み合わせています。HSM は規制遵守の基盤と物理的な耐タンパー性を提供します。MPC は分散署名機能を追加し、単一障害点(Single Point of Failure)を排除します。生体認証は、有効な資格情報があっても、トランザクションには承認された人員による人間による確認が必要であることを保証します。

一部の高度なカストディプラットフォームは、現在「温度に依存しない(Temperature Agnostic)」運用を行っています。つまり、資産をコールドストレージ(物理的に保護された施設内の HSM)、ウォームストレージ(運用のためにアクセスが速い HSM)、およびホットウォレット(ミリ秒単位の速度が求められ、規制要件が比較的緩い高頻度取引向け)に動的に割り当てることができます。

このアーキテクチャの柔軟性は重要です。資産タイプやユースケースによって、セキュリティとアクセシビリティのトレードオフが異なるためです:

  • 長期保有の財務資産:FIPS レベル 4 施設のコールドストレージ HSM による最大限のセキュリティ。数日間にわたる出金プロセスと多層的な承認フロー。
  • ETF の設定・解約:FIPS コンプライアンスを維持しながら、数時間以内に機関投資家規模のトランザクションを処理できるウォームストレージ HSM。
  • トレーディング業務:適格カストディアンとは異なる規制枠組みの下で運営される、サブ秒単位の実行が可能な MPC 署名を備えたホットウォレット。

重要な洞察は、規制遵守はバイナリ(0 か 1 か)ではないということです。それは機関の種類、保有資産、および適用される規制体制に基づく状況依存のものです。

NIST 標準と 2026 年の進化する展望

FIPS 認定に加え、米国国立標準技術研究所(NIST)が 2026 年のデジタル資産カストディにおけるサイバーセキュリティのベンチマークとして浮上しています。

カストディサービスを提供する金融機関は、NIST サイバーセキュリティフレームワーク 2.0(NIST CSF 2.0)に準拠した運用要件を満たすことがますます求められています。これには以下が含まれます:

  • カストディインフラ全体の継続的な監視と脅威検出
  • 定期的な机上演習(テーブルトップ・エクササイズ)を通じてテストされたインシデント対応プレイブック
  • カストディシステムのハードウェアおよびソフトウェアコンポーネントのサプライチェーンセキュリティ
  • 最小権限の原則に基づくアイデンティティおよびアクセス管理

Fireblocks のフレームワークは NIST CSF 2.0 に準拠しており、カストディガバナンスを運用化する銀行のモデルを提供しています。課題は、NIST コンプライアンスが必要ではあるものの、連邦銀行法の下での適格カストディアン・ステータスには十分ではないということです。それはカストディプロバイダー全体に適用されるサイバーセキュリティのベースラインですが、HSM インフラに対する根本的な FIPS 認定要件を解決するものではありません。

2026 年に暗号資産カストディ規制が成熟するにつれ、異なる規制階層間の境界線がより明確になっています:

  • OCC 認可銀行:完全な連邦銀行監督、適格カストディアンのステータス、HSM 要件。
  • 州認可信託会社:NYDFS または同等の州規制、HSM に裏打ちされている場合は適格カストディアンとなる可能性。
  • ライセンス取得済みカストディプロバイダー:州のライセンス要件を満たすが、適格カストディアンのステータスは主張しない。
  • テクノロジープラットフォーム:顧客資産を自社名義で直接保持することなく、カストディインフラを提供。

規制の進化は、カストディを単純にしているわけではありません。機関投資家のリスクプロファイルにセキュリティ要件を一致させる、より専門的なカテゴリーを生み出しています。

機関投資家による採用への影響

カストディ・アーキテクチャの乖離は、2026 年にデジタル資産への配分を行う機関投資家に直接的な影響を及ぼします。

**登録投資アドバイザー(RIA)**にとって、SEC(証券取引委員会)のカストディ規則は、顧客資産を適格カストディアンが保持することを義務付けています。ファンドの構造上、適格カストディアンのステータスが必要な場合、MPC ベースのプロバイダーは、そのセキュリティ特性や運用の実績にかかわらず、規制上の要件を満たすことができません。

**公的年金基金や基金(エンドーメント)**にとって、受託者責任基準は多くの場合、伝統的な資産カストディアンと同等のセキュリティおよび監督基準を満たす機関でのカストディを要求します。州の銀行免許や連邦 OCC(通貨監督庁)の免許が前提条件となり、実行可能なプロバイダーの範囲は劇的に狭まります。

ビットコインやステーブルコインを蓄積している**事業法人(コーポレート・トレジャリー)**の場合、適格カストディアンの要件は適用されないかもしれませんが、保険の適用範囲が重要になります。現在、多くの機関投資家向けカストディ保険では、補償の条件として FIPS 認定の HSM インフラストラクチャが求められています。保険市場は、規制当局が義務付けていない場所でさえも、事実上ハードウェア・セキュリティ・モジュールの要件を強制しています。

クリプト・ネイティブ企業(取引所、DeFi プロトコル、トレーディング・デスク)にとって、その判断基準は異なります。規制上の分類よりもスピードが重要視されます。資産をチェーン間で移動させ、スマートコントラクトと統合する能力は、FIPS 認定よりも重要です。MPC ベースのカストディ・プラットフォームは、このような環境で優れた能力を発揮します。

カストディを「万能な解決策(one-size-fits-all)」として扱うのは間違いです。適切なアーキテクチャは、主体が誰であるか、何を保有しているか、そしてどの規制枠組みが適用されるかに完全に依存します。

今後の展望

2030 年までに、カストディ市場はおそらく明確なカテゴリに二極化するでしょう。

適格カストディアン: 連邦 OCC 免許または同等の州信託免許の下で運営され、HSM インフラストラクチャを使用し、厳格な受託者責任基準とカストディ規制の対象となる機関にサービスを提供します。

テクノロジー・プラットフォーム: MPC やその他の高度な暗号技術を活用し、適格カストディアンのステータスよりもスピードと柔軟性が重視されるユースケースにサービスを提供し、資金移動業やその他のライセンス枠組みの下で運営されます。

ハイブリッド・プロバイダー: 規制対象製品向けの HSM 裏付けの適格カストディと、運用ニーズ向けの MPC ベースのソリューションの両方を提供し、機関投資家が特定の要件に基づいて複数のセキュリティモデルに資産を配分できるようにします。

2026 年にクリプト市場に参入する機関投資家にとっての問いは、「どのカストディ・プロバイダーが最高か?」ではありません。「どのカストディ・アーキテクチャが、自社の規制上の義務、リスク許容度、および運用のニーズに合致するか?」です。

多くの機関にとって、その答えは FIPS 認定の HSM インフラストラクチャを備えた連邦規制下のカストディアンを指し示しています。他の機関にとっては、MPC ベースのプラットフォームの柔軟性とスピードが、適格カストディアンの分類よりも重要になります。

業界の成熟とは、これらのトレードオフが存在しないふりをするのではなく、それらを認めることを意味します。

ブロックチェーン・インフラストラクチャが機関投資家の基準に向けて進化し続ける中、多様なネットワークへの信頼できる API アクセスはビルダーにとって不可欠なものとなっています。BlockEden.xyz は、主要なチェーン全体でエンタープライズグレードの RPC エンドポイントを提供し、開発者がノードの運用ではなくアプリケーションに集中できるようにします。

情報源

Share on Twitter