「秘密鍵を1本だけ持つ」時代は終わりつつあります。マルチシグ(m-of-n署名)は、複数の鍵のうちm個が署名した時だけ送金が成立する仕組みです。単一障害点(Single Point of Failure)を排除でき、紛失・盗難・内部不正のいずれにも強いのが特長です。本稿は、個人投資家と小規模事業者が実務でつまずきやすい点に徹底的にフォーカスし、2-of-3から3-of-5、さらにはTSS(閾値署名)やMuSig2(Taproot時代の多者署名)までを、設計→配備→運用→緊急対応の順にプレイブック形式で解説します。
マルチシグの基礎:何が安全になり、何が複雑になるのか
マルチシグは「鍵の分散」によって、1本の鍵流出では資産が動かない構造を作ります。一方で、鍵管理と意思決定の複雑さが増えるため、設計段階での「人・場所・デバイス」の分離方針がすべてです。
UTXO型とアカウント型の違い
ビットコイン等のUTXO型は、スクリプトレベルでm-of-nを実装します。イーサリアム等のアカウント型は、マルチシグコントラクト(例:複数署名ボールト)をデプロイしてポリシーを表現するのが一般的です。前者はオンチェーンで署名者数が見えやすく、後者は拡張性(モジュール化)で優位、というトレードオフがあります。
伝統的マルチシグ vs 閾値署名(TSS)
従来のマルチシグは「複数の公開鍵」を明示します。TSS(例:FROST、GG18系等)は1つの公開鍵に見える形で閾値署名を生成するため、プライバシーと手数料の面で有利になり得ます。Taproot時代のMuSig2も同様に、多者で1鍵に見せる方向性です。
設計原則:分離・冗長・可観測性
最低限、次の3原則を満たすと事故率が激減します。
1) 分離(People / Places / Devices)
同一人物・同一場所・同一デバイスに複数鍵を置かない。人・地理・デバイスの三軸で分散します。
2) 冗長(m-of-nのnは余裕を持つ)
2-of-3は個人向けの王道。組織は3-of-5や4-of-7が妥当です。復旧時の連絡不能や出張時の物理的制約を見込んでnを設定します。
3) 可観測性(ログと定期ドリル)
署名履歴、提案→承認→実行のワークフロー、キー監査ログを残します。四半期ごとの復旧ドリルで「机上の空論」を潰し込みます。
ユースケース別の推奨アーキテクチャ
個人投資家:2-of-3(デバイス分割+地理分散)
構成例:
・Key A = ハードウェアウォレット(自宅金庫)
・Key B = モバイルウォレット(常用端末)
・Key C = ハードウェアウォレット(親族宅/貸金庫)
送金はA+Bで実行。旅行時はB+Cでも可。どれか1本を失っても即時に資産は動かない設計です。
夫婦・家族ファンド:2-of-3(本人+配偶者+第三者)
第三者には信頼できる親族や弁護士等を設定。相続・緊急時の意思決定を事前に文書化します。
小規模事業者:3-of-5(役割ベース+金額ポリシー)
CEO/CFO/オペレーション/監査/外部トラスティの5鍵。日次支出上限と高額時の追加承認ルールを定義。人事異動や退職時のローテーション手順を標準化します。
費用と手数料:設計で変わる総コスト
UTXO型の従来マルチシグは、入力サイズが大きくなるため手数料が上がりやすい一方、Taproot+MuSig2/TSSで1鍵に見せると手数料とプライバシーの両面で改善します。アカウント型はコントラクトの初期デプロイ費用と実行ガス、モジュール追加のコストを見積もります。トランザクション頻度が低い長期保管なら安全性>手数料で設計するのが合理的です。
署名ワークフロー:PSBTと提案→承認→実行
ビットコインではPSBT(Partially Signed Bitcoin Transaction)を使うと、オフラインで署名→オンラインでブロードキャストが容易になります。イーサリアム系のマルチシグ金庫では、トランザクション提案→閾値承認→実行の3段階が基本です。いずれも「誰が・いつ・何に署名したか」を台帳に残すことが肝です。
バックアップと復旧計画:フェイルセーフを作る
シードとパスフレーズの分離
BIP39シード(12/24語)とパスフレーズは別経路・別媒体で保管。金属プレート等で耐火・耐水性を確保し、地理分散します。
リカバリー・ドリル
四半期に一度、低額UTXOを使って「復旧のみ」を演習。復旧手順書は平易な日本語で、図解+チェックリストを添えます。
緊急移行(Key Compromise)
鍵漏洩の疑いが出たら、新しいマルチシグ金庫へ段階的に資産移管します。旧構成を急停止せず、監査可能な形で退役させるのがベストです。
アンチパターン(やりがちな失敗)
1) 同一人物が複数鍵を保有:分離原則違反。
2) 3-of-5なのに実質2名運用:欠勤・出張で承認停滞。
3) 署名端末に共通パスワード:同時侵害リスク。
4) クラウドにシードの写真:壊滅的リスク。
5) ドキュメント不備:引き継ぎ不能で管理者ロック。
費用対効果の考え方:年間期待損失と対策費のバランス
年間期待損失 ≒ 侵害確率 × 想定損失。マルチシグ導入コスト(デバイス×n、貸金庫費、オペレーション時間)と比較し、2年回収を一つの目安にします。運用資産が増えるほど、マルチシグの投資対効果は逓増します。
導入ステップ(Day 0 → Day 7)
Day 0:設計
目的・金額レンジ・署名者役割・地理配置・デバイス種別・緊急時責任者を文書化。
Day 1:調達
ハードウェアウォレット×2~3台、耐火金庫、金属プレート、貸金庫契約、台帳テンプレート。
Day 2:初期化
オフライン環境で初期化。シードとパスフレーズを分離記録し、相互監査します。
Day 3:ボールト構築
2-of-3/3-of-5を作成。テスト送金(1万円相当)で入出金と復旧の両方を検証。
Day 4:運用文書
提案→承認→実行フロー、金額閾値、権限委任、出張モード、旅行モード、緊急手順を整備。
Day 5:教育
署名者全員にフィッシング訓練と端末ハードニング(PIN/生体/暗号化)。
Day 6:バックアップ配備
地理分散・アクセス制御・貸金庫入庫。監査ログに配置を記録。
Day 7:ローンチ
本番入金。四半期サイクルのドリルと監査をカレンダー化。
ケーススタディ:個人1000万円、事業者3億円の設計例
個人(想定AUM:1000万円)
2-of-3。Key A(自宅金庫HW)、Key B(常用HW)、Key C(親族宅HW)。日次上限50万円、週次上限200万円。高額時はB→Aへ物理移動して承認。
小規模事業者(想定AUM:3億円)
3-of-5。CFOが支出提案、CEO+監査+外部トラスティで承認。日次上限500万円、月次上限5000万円。四半期ごとに鍵ローテーション(1本ずつ更新)。
監査と可視化:ミスを早期発見する仕掛け
・支出提案台帳:日時/提案者/用途/金額/TXID/承認者。
・鍵管理台帳:保管場所/責任者/アクセス履歴。
・異常検知:提案→承認までの遅延、通常と異なる金額レンジ、夜間提出等をアラート。
Q&A:よくある疑問
Q. 2-of-3と3-of-5、どちらが良い?
資産規模と人員で選びます。個人は2-of-3、組織は3-of-5が運用しやすいです。
Q. 鍵を1本失ったら?
即時に新構成へ移管。残り閾値で移動できるうちに、計画的にボールトを作り直します。
Q. 旅行や長期出張のときは?
「旅行モード」ポリシーを事前定義。携行鍵は1本まで、緊急連絡網と上限額を設定します。
まとめ:鍵は分散、運用は集中
マルチシグの本質は、鍵は分散、ルールは集中にあります。最初の設計とドキュメントさえ妥当なら、日々の運用は驚くほどシンプルです。今日から小さく始め、四半期ごとにドリルして成熟度を高めていきましょう。
コメント