
法人がステーブルコインやトークン、暗号資産を自社で扱う場面が増えるにつれ、「どのウォレットを使うか」という問いが避けられなくなってきました。多くの場合、この問いにおいては「ホットかコールドか」「マルチシグかMPCか」といった観点でツールの一つとしてウォレットを選ぶ行為に意識がいってしまいがちです。しかし、ウォレットというツールを単に選べばいいという発想の場合、いざ選定のフェーズで選択肢の比較に頭を悩ませることになります。本来、業務ウォレットを利用するということは、「署名鍵をどこでどう管理し、どのような安全対策を重ね、社内の権限管理をどのようにし、誰がどういうプロセスで承認するか会社全体としてどう統制を効かせるか」という一連の「業務設計」と分けて考えることが出来ません。このことを理解してもらうべく、本記事ではウォレット選定をめぐる論点を整理していきます。
暗号資産は、ブロックチェーンという分散台帳の上に記録された残高そのものです。ウォレットの中に資産を表象するデータが入っているわけではありません。ウォレットが扱うのは、その残高を動かすための署名鍵(秘密鍵)です。送金や資産の移転は、この署名鍵で電子署名して初めて成立します。銀行取引でいう銀行印や、振込を承認するときの認証に近い役割になります。
個人であれば、本人が一つの署名鍵を持ち、自分の判断で署名すれば済みます。ところが法人が業務で扱うと、話が変わります。誰が署名できるのか、承認は何人で行うのか、取引履歴は監査に耐えうるのか、担当者が代わっても運用はスムーズに続けられるのか、など。「誰が、どのように署名を承認するか」を決めることは、そのまま組織の統制を決めることです。ウォレットと統制が不可分なのは、このためです。
ウォレットの話は、多くの場合、「ホットかコールドか」から始まります。ただ、これはあくまで「署名鍵をどれだけネットワークから遮断された環境で扱うか」という選定軸の一つになります。
最も遮断が強いのは、ネットワークから物理的に切り離した環境で署名する方式です。保管だけでなく署名、つまり資産を動かす操作そのものまでを、ネットワークに一度も接続したことのない環境(エアギャップ)の中で完結させる。これが厳密な意味でのコールドウォレットです。
このコールドウォレットと混同されやすいのが、ハードウェアウォレットです。USBデバイスなどに鍵を収め、保管時は物理的に遮断することができます。保管している間はエアギャップの中にあると言えますが、署名する時にはネットワークにつながった(あるいは過去につないだ)端末に接続する必要があります。そのため、厳密にはコールドウォレットとは言えません。
ホットウォレットと呼ばれるものの中にも、セキュリティのグラデーションがあります。業務用のホットウォレットの多くは、署名鍵をネットワーク内で論理的に隔離された領域(セキュアな鍵管理領域など)に配置しています。「ホット」に分類されてはいても、実際には高度な論理的遮断のうえに運用されています。一方で、一般向けのウォレットの大部分は、署名鍵を常時オンラインの端末(PCやスマホなど)に保管し、利用時もそのままオンラインで署名する仕様です。これが業務で使えないわけではありませんが、組織として許容できるリスクの範囲を慎重に見極める必要があります。
このように比較すると、「コールド」「ホット」という従来の分類は、実態の大部分を「ホット」に括らざるを得ない大雑把な枠組みであると言えます。重要なことは「ホットかコールドかの二元論」に囚われることではなく、署名鍵を「保管する時」と「署名する時」のそれぞれにおいて、どれだけ隔離された環境で扱えるかという実態です。
ウォレットの仕組みを解像度高く捉えて初めて、たとえば「署名プロセスまでを隔離環境内で完結させること」の本当の利点が見えてきます。それが自社に適した業務設計へとつながり、結果として最適なウォレットを選ぶことを可能にします。
隔離の環境を決めると、次は、その中で署名をどう成立させるかが決まってきます。
まず検討すべきは、署名に用いる署名鍵をシステムの仕組みの中でどのように分散し、複数の主体で牽制させるかという点です。マルチシグは独立した複数の署名鍵で署名する方式であり、署名と検証を完全に隔離された環境の中で完結させられる点に大きなメリットがあります。
一方、MPC(秘密計算)などの分散署名技術では、秘密鍵を一か所に復元することなく複数のノードが連携して署名を生成できます。こうした方式は運用の自動化との親和性が高い反面、署名時にはノード間通信を前提とするため、完全に隔離された環境だけで運用することは容易ではありません。そのため、特にオンライン運用(ホットウォレット)をより安全に実現する手段として広く採用されています。
重ねられる安全対策は、これだけではありません。署名しようとしている取引の中身、つまり宛先や金額や呼び出す処理をどこまで検証できるかも極めて重要です。署名鍵をどれだけ厳密に管理していても、次なる攻撃経路は「署名対象となるトランザクションデータの改ざん」だからです。トランザクションデータを事前に適切に検証できれば、インシデントを未然に防ぐことができます。
また、署名処理を実行するプログラム自体に脆弱性やバックドアが仕掛けられているリスクを考慮し、処理そのものを利用者側で検証(監査や再現可能なビルドの確認など)できるかも重要な指標となります。
この他にも、金額や宛先に応じた承認ルールの変更、起票・確認・承認の職務分掌による相互牽制、一定期間あたりの送金額や保有額の上限設定など、講じられる安全対策は多種多様です。これらの要素はウォレット選定や業務設計における複数の「設計変数」であり、相互に干渉するものもあれば、独立して段階的に設定できるものもあります。

どれか一つの方式を選べば安全、という話ではなく、これらをどう組み合わせ、どの強さに設定するかが、実際の堅牢さを左右します。
安全対策を組み合わせたら、その上で、実際の操作に承認の流れと記録を回す仕組みが必要になります。資産の移転や取引について、誰がどういった権限で起票し、誰が確認し、誰が承認するのか。また、その記録が監査に耐えうるか。これらは組織の統制と業務運営の設計そのものです。
そして、この設計は、ITガバナンスが長く積み上げてきた、権限管理・職務分掌・監査・インシデント対応といった考え方と地続きです。
署名の承認は権限制御の問題であり、鍵の扱いはアクセス管理の問題でもあります。ウォレットの運用とこうした統制は、もともと切り離せない関係にありました。近年、サイバー攻撃の標的は、事業者やその資産を預かる第三者、さらには取引を承認する運用プロセスそのものへとシフトしています。そのため、この統制のあり方は、オンチェーン事業に関わるあらゆる人にとって、いよいよ現実的な当事者意識が求められる課題(自分事)になってきています。
つまり、現在の事業環境においてウォレットの検討とは単に「どの種類や製品が安全か」を選ぶ作業ではなくなりつつあります。それは、「確立された統制の考え方を、オンチェーン金融のシステムと業務プロセスにどう組み込むか」という、ガバナンス設計そのものに近づいています。
統制は、宙に浮いた設計ではなく、業務・組織・制度という前提の上に組み立てるものです。承認ルールや総量の上限は事業の中身に、役割分担は組織のかたちに、記録の残し方は監査の要件に、それぞれ結びつきます。ポリシーやロールの設定は、単なるウォレットの機能ではなく、組織の統制をシステムの動きに落とし込むための手段にほかなりません。
制度もまた、この前提の一部です。たとえば暗号資産交換業のように他人の資産を預かる事業者には、資産の大部分をインターネットから遮断して管理し、ネットワークにつながる分を限られた範囲に抑える、といった厳格な管理が求められます。しかしこれは、他人の資産を預かるという事業リスクの高さに応じて定められたものであり、自社の資産を自社で扱う場合にそのまま当てはまるわけではありません。
問われるのは、規制が何割までをコールドで管理するかを求めているかではなく、自社がやろうとしている事業のリスクに照らして、資産をどこにどれだけ置き、どこで署名し、どう動かすかを、自社で主体的に判断することです。
資産を一か所に集めず、全体のどれだけを厳重に保管し、どれだけを機動的に動かせるようにしておくか、という配分も、その判断の一部です。この判断は、コールドかホットかという一つの軸だけでは片づかず、ここまで見てきた設計変数を統制として束ねる中でしか、自社に合った答えは見えてきません。
例えば、最初の意思決定のポイントは、「何をどの程度、自社で管理すべきか」という境界線の見極めです。これによって、外部カストディアンへの資産委託という選択肢を組み入れることが可能かもしれません。また、自社で管理する領域においては、全体の何割をエアギャップ(隔離環境)内で管理し、何割をエアギャップ外(オンライン環境)で管理するかという配分を切り分け、それぞれの環境に応じた最適な統制を多層的に組み立てていくことになります。

なお、多くの暗号資産交換業者や外部カストディは、セキュリティ担保のために手動の出金審査や承認プロセス(タイムラグ)を前提としており、システムからの即時呼び出しや、プログラムによる自動送金には対応していません。そのため、オンタイムでのガス代補給やコントラクト実行が日常的に発生するオンチェーン事業においては、自社でAPIを直接駆動できる業務用ホットウォレットの確保が不可欠になるなど、利用用途も踏まえた上でウォレットを選定していくこととなります。
こうした判断は、多くの変数が絡み、互いに制約し合い、業務・組織・制度と結びついています。やっかいなのは、これらの統制が後から付け足しにくいことです。
情報セキュリティの世界には、「セキュリティは後から付け足すものではなく、最初から設計に織り込むもの」という基本的な考え方があります(Secure by Design)。ウォレットの統制も同じです。いったん本番運用に入った構成を組み替えるには、署名の仕組み、承認の流れ、鍵の受け渡しの手順、コンプライアンス対応までを作り直すことになり、実務では数か月単位の時間と相応のコストがかかることも珍しくありません。特定の方式や特定の事業者の作りに深く依存していれば、その乗り換えはさらに重くなります。つまり、選択を先送りにするほど、後から選び直す余地は狭まっていきます。
だからこそ、ウォレットの検討を、事業設計の上流に引き上げておく意味があります。早い段階でこの視点を持てれば、選べる選択肢は広がり、後戻りのコストを負う前に、自社に合ったかたちを探しやすくなります。そのとき、特定の方式を前提にするのではなく、コールドもホットも、マルチシグもMPCも状況に応じて使い分けられ、自社の組織統制や業務要件、日本の制度に合わせて全体を組み立てられる知見が隣にあると、検討はずっと進めやすくなります。
ウォレットは、種類を選んで終わりの道具ではありません。署名鍵をどこにどう置くか、どんな安全対策をどの強さで重ねるか、誰がどう承認し記録するか、資産をどう配分するか。その一つひとつが設計変数であり、組み合わせ方によって実際の堅牢さは変わります。
しかもそれらは、業務・組織・制度と分かちがたく結びつき、情報セキュリティの統制そのものと地続きです。だから、問いは「どのウォレットにするか」よりも「どんな統制を、どう設計するか」に近づきます。そしてその検討は、事業の上流にあるほど、選べる幅が広がります。特定の方式に縛られず、要件に合わせて全体を組み替えられること。それが、変わり続けるオンチェーン事業の、確かな土台になります。
Gincoは、暗号資産交換業者、金融機関、事業会社に対して、業務用ウォレットの設計・実装から、鍵管理、承認フローや運用ルールの設計までをお手伝いしてきました。特定の技術方式に縛られず、コールド・ホット・マルチシグ・MPCなどを、自社の組織統制や業務要件に合わせて組み合わせられることを大切にしています。オンチェーン事業の構想段階からのご相談も歓迎です。皆さんのデジタルアセット活用やオンチェーン金融事業の実現を、専門家チームが支えます。ぜひお気軽にご相談ください。

.png)