先日のニュースにて、こちらの記事を引用しました。

coinpost.jp

上記ニュースはまとめ記事です。私が注目した記事は「Solidityから「正式認証」というより厳格な仕組みへと移行することが解決策と考えられる」という部分です。

私の仮想通貨ニュースとして原文を参照しつつ、プログラムの監査を行うというのはどういうことかを書きました。

軽くまとめますと
・現状ETHのスマコンはSolidityというプログラム言語で書かれている
・プログラムは一般に、技術者が書いたもののままでは機械が理解できないので、どこかのタイミングで翻訳が必要
・機械がわかる状態にしたものを、人間が分かる形式に直すことができる道具がある
・しかしSolidityではそれが可能なのは１％程度。表現を変えれば、ほとんどできない
・これは、人間がわかる形式のプログラムとして公開されているものが、必ずしも実行されているものと同一ではないことを意味する
・なので、「正式認証」（原文では「Formal Verification」）が有用
という内容になります。

 

DAICOというものがありまして。

ICOの一種です。改良版。
プログラムの進捗度合いに応じて、トークン保持者の投票によって（トークン保持者が「よしよし、開発が進んでいるね」という納得によって）資金を引き出すことができるというものでした。

その形式を踏襲したプロジェクトがあるのですが、知見ある人がチェックしたところ、DAICOの大事な機能を実装しておらず、「DAICOを採用した」というだけの、言い方は悪いかもしれませんが詐欺のようなプロジェクトがあったようです。

ここで重要なのは、いくらプログラムが公開されているとはいえ、それをチェックできる人は限られているし、実際にチェックまでする人はもっと限られているという事。
そして、皆、そこまでチェックしないで資金を提供していたという事です。

 

ということは、今後、「運用のリスクを減らすため」、「詐欺案件を減らすため」もしくは「自プロジェクトがまともであることを証明するため」に、信頼のある第三者によるチェックを受けてお墨付きをもらう、というサービスがニーズとして上がると思われます。

 

現状、金融庁が仮想通貨取引所を厳しく指導しています。
ここでも先日のニュース を引用します。下から四分の一位のところです。
・規制は、取引所・プロジェクト・新技術の三種類ある
・日本は取引所の規制を選択しリソースを集中することを選んだ
・ 私の意見としては、選択と集中は正しく、何をやっても全員の賛成は得られないのだから「ICOに関しては一般投資家は手を出さず、安心感と信頼性を醸成した取引所を使って資産形成をせよ」という官からのメッセージと理解すべき
というものです。

金融庁は官を代表して、取引所に規制をかけます。逆に言えば、この規制をクリアして運営しているということは、国からのお墨付きをもらっているということです。なので仮想通貨投資家は安心してその取引所を使うことができます。

 

規制は、それをクリアする実力があるものにとっては「自由を制限するもの」 ではなく、むしろ「それだけの実力があることを、説明せずとも証明してくれるもの」と言えると思います。
なので、監査は、人間でいう弁護士や医師国家試験のような意味合いで、仮想通貨業界に必要とされるように思うのです。

 

さて、監査ですが、冒頭で引用したものは「プログラム」の監査でした。
次に、プログラムだけの問題ではない、という点を説明します。

 

今まさに動いているプログラムをデコンパイルして、人間がわかるプログラムに翻訳しなおした。それをもって監査をし、OKを出した。

問題がないでしょうか？

実は、調査する人たちが来る前にこっそり入れ替えがされていたかもしれません。
調査・監査が終わった後、こっそり書き換えがされるかもしれません。

そうなのです。実は仮想通貨の監査には、仮想通貨がプログラムである以上、プログラムの監査は当然として、それを運用する組織としての監査も必要です。
さらに言えば、「治療より予防」という言葉があるように、その仮想通貨運営主体の中で社外取締役や内部監査役のような、チェック機関があってしかるべきなのです。

またもや先日のニュース を引用します。
上、四分の一辺りからの「Tether社　アンチマネー ロンダリング専門家がCCO就任」こちらをご参照ください。
・USDをちゃんと留保されているのか、疑惑が問われているテザー社が法令順守の専門家（CCO）を雇った
・本来は内部的な牽制を働かせるための制度ではあるが、雇われている以上健全なチェックは難しいというのが私の意見
です。

内部で事前にチェックがあればよいのだが、その報酬が仮想通貨運営から出ている以上牽制が働かないであろう、という事です。

 

では、外部からの監査において問題はないか？という点です。
私は同様の問題があると思います。

一般に「監査」と言えば財務諸表監査を差します。
これは、上場企業が公にする財務諸表（貸借対照表、損益計算書、キャッシュ・フロー計算書等）が、適正か否かという意見を表明するものです。
なんだか、すっきりしない言い回しですよね？
これには理由があります。

監査は、企業の取引記録がルールに基づいたものであることを確認して、（おおまかに）「OK」か否かを表現する行動です。
監査をする公認会計士は、企業の業務については素人で内部事情も相対的に詳しくありません。東芝の例を見るまでもなく、企業は不正会計をやるインセンティブがあります。監査する側の人的・時間的・金銭的リソースは限られており、その中で適正かどうかを判断しなくてはなりません。人手が足りないのです。時間が足りないのです。
なので、判断できないという意見を表明することもありますし、OKを出してもそれでも間違っていることもあるのです。

この財務諸表監査ですが、監査法人は「企業の作成した有価証券がOKである」というチェック機能を果たすことを仕事とし、その報酬を企業から得ます。
監査法人は財務諸表をチェックしお墨付きを差し上げる。
企業は報酬を支払い、自社の決算という大事な情報が嘘でないことを証明する。

おおまかに、こんな流れになっています。

 

皆さんお気づきの通り、お金の流れが第三者としての独立性を堅持するようにできていないのです。

本来あるべき姿は、株主が「自分たちが投資をするにあたって必要な情報が本当か、調査してほしい」という要望から監査がなされ、報酬は株主から監査法人へ行われる方が良いように思えます。（監査論は一通り勉強しています。現状の歴史も知った上での理想論です）

「じゃぁ、その株主って誰よ？潜在的な株主（現在株式を保有していないもの）を考慮すればフリーライダーが生じるでしょう？」（監査の報酬を誰から徴収するのかという問題です）

とか

「企業だって、有価証券の適正意見をもらえれば株価が下がるというリスクを回避できるのだから、監査の利益享受者である。上記のように、利益享受者を明確に規定できないのであれば、財務諸表などの作成責任を果たすことを期待される企業こそが報酬を支払うべきである」

という意見が当然に出てきます。

さらに、公認会計士が守るべき独立性が強く規定されていることも知っています。

その上での理想論です。

 

「理想であれば、現実と折り合いつけていいんじゃね？だって、tonは厳密な非中央集権は目指すべきではないという意見を持っているし、現実と折り合いをつけるべきだと思うでしょ？」と。
その通りです。現実と折り合いはつけるべきです。
一方で、理想的にはどうあるべきかという点は考え続けなくてはならないように思うのです。
大事な部分は後回しにされ、そしていつか忘れ去られます。
「仮想通貨における監査」という区切りのいいところで、理想の監査を考え、それを実現できるように努力すべきだと思うのです。

 

幸いなことに（？）現状の財務諸表監査ではIT関連の知識も重要になっています。
既存の会計処理が、ITシステムを利用したものになっているからですね。
データの流れや、打刻（データの新規作成や更新は、大概記録されます）等、アプリケーション的な問題から、もっとシステムチックな面での安全性（VPNの使用や組織体制）についてもコンサルティングしているところはあるでしょう。

 

ここで、グノシーさんのニュースを引用します。
下三分の一辺りをご覧ください。

・グノシーはブロックチェーン専業会社を設立
・トークンの設計コンサル、コード監査」こちらに注目。
・トークン設計のコンサルは、コード監査に活かせるはず
・コード監査のみならずトークン利用者のコミュニティづくりも必要

というコメントを書きました。

 

足らない点がありますね。

・報酬体系がどうなっているか、それによって独立性が保持されるか否かが変わる。
・監査を必要とする組織において、内部的な牽制機能は必要。
・プログラムコードだけでなく、書いて、テストし、デプロイするまでの一連の流れで「ズルできない」仕組みが必要。（そういう提案が必要）

 

最後に、
今回の記事は毎日の「仮想通貨ニュース」で断片的に書こうとしていた内容ですが、まとめて書いておいた方が良いよな、というきっかけとなった他人様の記事とそれに対する私のツイートを引用して終わりとします。

テーマとして有望。企業乱立。実績が全てなので一つの大きな失敗で崩壊というシナリオも。どこまで保証するかという線引き
スマートコントラクト監査の事業に関するレポート。コントラクト監査はDAppsが増えるほど需要が見込めるツルハシビジネスなのか？ https://t.co/vRDPGh32oc @junbhiranoさんから

— ton (@ton960) 2018年7月15日

プログラム監査において、現状の財務諸表監査がそのモデルになるように思います。
つまり、信頼されるために監査をしてもらいお墨付きをもらうという流れです。
一方でその限界も予想されます。バグは見つかっていないからこそバグなので、それを0にはできません。

— ton (@ton960) 2018年7月15日

であれば監査をする側には何らかの「ここまでは保証する」という線引きが必要でそれ以上は保証できません。
また、監査をする側は一つのインシデントで大幅にその信頼性を毀損します。
金額面での影響が大きい場合、その企業または集団ができる事は限られます。

— ton (@ton960) 2018年7月15日

であればリスクマネジメントのために何らかの保険があればいいのですがこの業界は保守的です。
統計的なデータが取れるまでは一般的な商品は開発されないでしょう。
（一方で広告効果を加味した、仮想通貨領域への嚆矢となる商品の開発はあり得ます）

— ton (@ton960) 2018年7月15日

ツイートでは保険制度の必要性まで踏み込んでいますが、今回の記事は「監査」ということで。

元気があれば、また保険について書きます。

?