#884 ウェルスナビがパスワードレス認証導入

今回は、資産運用サービスを提供する企業がパスワードレス認証、いわゆるパスキー（FIDO2）を導入するというニュースを取り上げます。リスナーの皆さんには、パスキーが従来のパスワードとどこが違うのか、なぜ金融分野で導入が急がれているのか、利用者と事業者それぞれが準備すべきポイントを具体的に理解していただけます。10分で実務的な知見と今後の業界動向の見通しをお伝えしますので、どうぞ最後までお付き合いください。

この記事は、資産運用サービスを提供する事業者がユーザーのログインにパスキー（国際規格のFIDO2）を用いる多要素認証を導入するという発表を伝えています。パスキーはパスワードを不要にし、端末内で公開鍵・秘密鍵ペアを用いることで認証を行うため、フィッシングでパスワードが盗まれても不正利用されにくいのが特徴です。背景には、証券口座の乗っ取りや不正取引被害の増加があり、金融当局や業界団体が安全性の高い認証の導入を促進している流れがあります。過去にも認証アプリを用いた多要素認証やなりすましメール対応など段階的にセキュリティー強化を進めてきた経緯があり、今後はパスキー採用が普及の一端となる見込みです。事業者側は、従来の追加認証の要否や既存ユーザーの移行支援、非対応端末への代替措置を検討する必要があります。

パスキーは端末で生成される公開鍵・秘密鍵の非対称暗号を利用する認証方式で、サーバー側には公開鍵だけを保存します。ユーザーがログインすると端末内の秘密鍵で署名し、サーバーが公開鍵で検証します。このためパスワードのような共有秘密情報が漏洩するリスクが低く、フィッシングサイトにパスワードを入力しても有効な署名ができないので不正ログインを防げます。認証アプリのワンタイムコードは共有のシークレットやコードをやり取りする方式が多く、パスキーはそれらよりも端末固有で安全性と利便性が高い点が特徴です。

ここ数年でフィッシング詐欺を起点とした口座乗っ取りや不正取引の被害が増加し、社会問題化しました。被害が顕在化するたびに業界や当局が調査・議論を重ね、段階的なセキュリティー強化が求められてきました。結果として多要素認証の導入が広がり、より強固な認証技術であるパスキーが注目されるようになりました。利用者利便性と被害抑止を両立するため、当局や業界団体が一定の技術水準を示す指針を提示し、対応スケジュールの明確化を促したことが今回の流れの背景です。

海外では主要なブラウザやプラットフォームがWebAuthnやFIDO2をサポートしており、徐々に普及が進んでいます。特に大手テック企業や金融機関の一部は先行して導入を進め、ユーザー教育や復旧フローの整備も進んでいます。一方で導入の速度や範囲は国や業界で差があり、普及の障壁としては古い端末やOSの非対応、デバイス紛失時のアカウント回復、規模の大きい移行コストなどが挙げられます。したがって日本でも技術的には追随可能ですが、運用面の配慮と段階的な導入計画が鍵になります。

まずは認証基盤のFIDO2対応とバックエンドの公開鍵管理を整備する必要があります。同時に非対応端末や未登録ユーザー向けのフォールバック（認証アプリやメール認証）を用意し、移行期間中は両方式を並行運用するのが現実的です。ユーザー移行では段階的な案内、登録手順の簡素化、サポートチャネルの強化が重要で、デバイス紛失時の本人確認・回復プロセスを事前に設計しておくことが被害防止につながります。内部的にはログ監視や認可設計の見直しも同時に行うべきです。

利用者側の教訓は、より安全な認証手段を積極的に利用し、複数デバイスの登録やバックアップ方法を用意しておくことです。パスワードだけに頼らない習慣が重要です。企業側は技術導入だけでなく移行計画、運用体制、ユーザー教育、回復フローの整備をセットで行うことが教訓です。両者が協調して初めて被害抑止と利便性向上が両立します。