こんにちは!Web3特化の開発会社 Komlock lab CTOの山口夏生です。
今日は 「Solanaでの安全な資産管理」 を、現場目線でコンパクトに解説します。
夏のおわりに、ちょっと怖い話を。
$ASTERの価格高騰とPerpDEXのポイント稼ぎの投稿が毎日のようにタイムラインに流れてくる中、「今ある資産は、どう安全に管理したらいいんだっけ?」というセキュリティに関係する情報はほぼ見かけません。
アドレナリン全開でパーティに向かおうとしてるのに、「家の鍵かけた??ガス閉めた?」と何回も言われても盛り上がらないですから、そうですよね。
しかし、今だから重要なトピックでもあります。
近年大口暗号資産投資家への犯罪手口は近年より巧妙に、より暴力的になっています。
例えば、今年1月には、Ledger共同創業者のDavid Ballandが妻と誘拐され1000万ユーロを要求され、指を切断される事件がありました。
一番記憶に新しい事件だと今月9月にnpmのサプライチェーン攻撃です。
開発者がライブラリをアップデートするだけで、ユーザーの暗号資産を流出しかねない恐ろしい攻撃でした。決して目新しい手法ではないですが、暗号資産がマスに広がった今被害を収束させるのがより難しくなったなと感じました。
DeepFakeを応用したSNSの乗っ取りなどもあり、もう誰も信じられません。。
**暗号資産を持っているだけで手を切断されたり、家族を誘拐されたりする時代にどう私たちは自分の資産を守ればいいのか? **
この記事ではSolanaにフォーカスしてその話をしたいと思います。
余談:Komlockは、いつメンバーが犯罪組織に拉致脅迫されても大丈夫なようにマルチシグを採用してメンバーを地理的に分散させる戦略をとっています。半分冗談ですが、沖縄やマレーシア在住のメンバーもいます。
なぜ今Solanaなのか?
TVLは、2025年9月に約$12B(約1.8〜1.92兆円)で過去最高更新。
VisaやStripeのようなグローバルの大手企業がSolanaの採用を進めています。
EVM環境に後から非EVMチェーンを対応させるコストは大きいです。にもかかわらずSolanaが選ばれるのは、手数料/最終性/スループット/決済レール(USDC)といった実務メリットが費用を上回ると判断されているからでしょう。この合理性が崩れない限り、他の企業での採用は進むはずです。
又、有難いことに最近Komlock labでもSolana関係の開発の相談を受ける機会が増えてきている背景もあります🔥
SBF氏からの思し召しも、、、
資金管理運用の現実
そこそこ規模の大きい企業でも下記のような運用で資産管理することが多い印象です。
- 個人依存:代表1人の鍵に依存→紛失・乗っ取り・退職で終了
- 形骸化した承認フロー:中身は確認せずにとりあえず承認
- ポリシー管理の不在:マルチシグ以外の署名ロジックはない状態
本題:Solanaでの暗号資産管理方法3選
ここからは、私が思うSolanaの安全な資産管理方法のご紹介です。
どれが一番いいとかはなく、ケースバイケースで選択したり、組み合わせることが重要です。
1:Squads (オンチェーン・マルチシグ)
Yukiさんも紹介していたSolana公式が推しているマルチシグのプラットフォームです。
SquadsはSolanaブロックチェーン上で提供されるオープンソースのマルチシグ対応ウォレット兼資産管理プラットフォームです。主な目的は、チームや組織(例:DAO、スタートアップ、開発チーム、企業など)がオンチェーン上の資産を安全かつ効率的に共同管理できるよう支援することにあります。
ポイントは分散署名+運用ポリシーの自動化
- M-of-N しきい値:例)5人中3人で実行
- 時間ロック:高額支払いは48hクールダウン→検知/差し止めの猶予
- 支出上限:日次/週次の額面リミット
- ロール管理:起案(Proposer)/承認(Approver)/実行(Executor)
- 履歴の可視化:提案→承認→実行までオンチェーンにログ
- UX:ブラウザ拡張のSquadsXで“普通のウォレット感覚”の共同署名
↓UXのサンプル
EVMだと類似サービスに、Safeというマルチシグのツールがあり、個人的に愛用しています。
ただここまで多機能ではない認識(もしくは追加でカスタマイズが必要)なので、初めてSquidsを知った時は衝撃を受けました。
時間ロック、支出上限、ロール管理を標準の機能として提供しているのは、凄いことです。
| 観点 | Squads v4(Solana) | Safe(EVM系) |
|---|---|---|
| 対応チェーン | Solana専用 | EVM系多数(Ethereum/Layer2ほか公式デプロイ) (help.safe.global) |
| コア機能 | マルチシグ金庫(Vault)、Time Lock、Spending Limit、Roles、サブアカウント、ALT対応、複数宛先支払い | Smart Account(Safe)、Modules(拡張)、Guards(前後チェック)、4337モジュール、バッチ実行 等 (GitHub) |
| 監査/検証 | v4はNeodyme/OtterSec/Trail of Bits監査、形式検証進行中 | 2018年からの長期実績+多数監査、**Safe{Core}**でAA拡張 (squads.so) |
| 拡張の仕方 | プロトコル側で運用ポリシーが標準機能(TL/Limit/Role) | Modules/Guardsで任意の制約・自動化を追加(Zodiac等) (Safe Docs) |
| UX/ツール | SquadsX(拡張)で“普通のウォレット感覚”の共同署名、v4 SDK(TS/Rust) | Safe{Wallet}、Safe{Core} SDK、4337モジュール、エコシステムのdApp連携が豊富 (Squads Docs) |
| ガバナンス連携 | **Realms(SPL Governance)**で「投票→Squadsで執行」が定番 | Safe + モジュールで委任や承認フローを拡張(DAOは別実装が多い) (Realms) |
Squads 実務Tips
- 送金 “そのもの”ではなく “提案” に署名させるフローを標準化
- 金額帯×宛先で承認者のしきい値を変える(例:社内・指定先は2-of-4、それ以外は3-of-5)
- 非常停止(Pause)と緊急時のロールを決めておく
2:ガバナンス連携(Realms/SPL Governance)
今回は深掘りしませんが、Realmsというツールを使うと資産管理にガバナンスを効かせることができます。Squads v4と組み合わせることでDAOの資産管理とかにも役立ちそうです。
- 重要支出は投票で承認→Squadsで執行に分離
- 「意思決定」と「送金」を分け、監査証跡を太くする
3:バックエンドMPC / カストディ
このカテゴリに関しては、いくつか選択肢があります。
それぞれ機能/料金/性能が違うので、シーンに合わせて使うのが良いでしょう。
- 宛先WL、金額帯/時間帯/ロール別の承認フロー、APIキー権限制御、詳細な監査ログまでポリシーで一元管理。
- Solanaのカストディ/DeFi接続に対応し、ネイティブプログラムコール等の拡張も公表。企業の本番運用基盤として強い。
- dApp単位のポリシー設定やコントラクト検証/シミュレーションが使いやすく、運用UIが現場向き。
- Solana DeFiの細粒度コントロールに強く、頻繁にdAppへ接続する運用口と相性が良い。
- 分散MPC(単一点保管なし)で鍵の偏在リスクを排除。Vaultガバナンスで多段承認をモバイル通知などで回せる。
- マルチチェーンの鍵管制を一元化したいときの選択肢。
- 監査・レポート・(地域により)保険まで網羅する保管口の本命。コーポレートアクション対応にも有効。
- Solana対応で、Marinade連携のステーキングも可能。長期保管/会計に向く。
いつどれを使えばいい?
結論、流石に家族を誘拐されたら、どの手段も無力ですが時間稼ぎはできそうですね。
下記はシーン別の比較表です。参考にしてみてください。
| シーン/重視点 | 推し/候補 | 補足メモ |
|---|---|---|
| DAO/プロダクトの運用口(即時性・透明性) | Squads v4 | オンチェーン・マルチシグで「提案→承認→実行」をコード化(TimeLock/Limit/Roles) |
| 法人決済口・長期保管(コンプラ/監査/保険) | Fireblocks / BitGo | 監査・レポート・保険の“外部性”を取り込みやすい |
| 頻繁なDeFi運用(細粒度ポリシー) | Fordefi | dApp単位の制御や検証が便利。会計/保管は別系統併用が◎ |
| 複数チェーン横断の鍵統制 | Qredo | dMPC+Vaultガバナンスで多段承認。運用設計の当て込み前提 |
| 安定運用の型 | ハイブリッド:運用=Squads/保管=MPC/カストディ | 二系統BCP。緊急退避Runbookを用意 |
Squads v4 QuickNode ハンズオン(5〜10分)
QuickNodeが紹介しているハンズオンを共有します。
目的:2-of-3の共同金庫を作り、少額SOL送金の提案→承認→実行まで確認 本番はMainnet、練習はDevnet推奨。ウォレットはPhantom等。
事前準備
- 署名者になる5名それぞれのウォレット(同一PCでも可、デモなら2〜3名でもOK)
- 少額SOL(Devnetなら solana airdrop 2 で供給可)
ハンズオンの実施
ステップバイステップのわかりやすい内容になっています。
運用ポリシーを強化(任意)
- Time Lock:高額送金に48h遅延を設定
- Spend Limit:日/週の上限額
- Allowlist:宛先ホワイトリスト
- 通知:Discord/Slack Webhookで提案/実行アラート
最後に
いかがでしたでしょうか?
Squidsは大分直感的なツールで使いやすいなとは思いつつ、いざやるとなると面倒ですよね?
セキュリティは面倒です。
実も私も半年前意を決して買ったledgerのハードウェアウォレットを箱から取り出せていません。届いた状態そのままです。。
しかし、ただメタマスクに入れているだけだと拉致されてお終いなので、箱を開けます(拉致されたら何れにしてもお終いかも)。
皆さんもエアドロ活動で脳汁を出して少し落ち着いたら、この記事を参考に安全な暗号資産に役立ててください。
Discussion