近年、金融業界においてサイバー攻撃の脅威が急速に高まっており、対策として「パスキー(FIDO)」の導入が不可避となっています。本記事では、金融業界における最新の規制動向の背景やパスキーの仕組みを紐解くとともに、導入・運用に向けて検討すべきシステム上の重要事項について解説します。
単なる機能実装に留まらず、動的モニタリングやIDライフサイクル管理、さらには高度な不正検知(Fraud Detection)など金融庁の監督指針が求める高度な要件をクリアするための具体的な検討事項を網羅。プロジェクトを成功に導くための、実務に即した知見をお届けします。
なぜ今「パスキー」なのか? 〜高度化する脅威と規制強化〜
リアルタイムフィッシングの台頭
従来のID/パスワードとワンタイムパスワード(OTP)などを組み合わせた多段階認証だけでは、なりすましを防ぐことが困難になってきました。その大きな要因が「リアルタイムフィッシング」と呼ばれる攻撃の台頭です。近年では「Phishing as a Service」というサブスクリプション型のビジネスモデルでフィッシング攻撃がツール化されており、悪意のある第三者が容易に攻撃を展開できる環境が広がっています。
リアルタイムフィッシングの仕組み
金融業界に広がるフィッシング耐性のある多要素認証の「必須化」
このような背景から、金融当局による規制強化が進んでいます。最近では、証券会社の不正アクセス事案を受け、金融庁の「金融商品取引業者等向けの総合的な監督指針」や日本証券業協会のガイドラインが改定されました。ログインだけでなく、出金や出金先銀行口座の変更といった「重要な操作時」において、フィッシング耐性のある多要素認証の実装が必須化されています。この「フィッシング耐性のある多要素認証」の具体的手段として注目・推奨されているのが「パスキー」です。
さらにこの動向は銀行・保険・決済事業者等への監督指針改正(案)にも波及しており、業界全体へと広がりを見せています。ここで留意すべきは、自社サービス完結のシナリオだけではなく、「連携サービス提供時」においてもフィッシング耐性のある認証が求められる点です。他行口座連携など、エコシステム全体でのセキュリティ考慮が必要不可欠となっています。
金融業界におけるフィッシング耐性を持った認証手段必須化の動き
フィッシングを無効化する救世主「パスキー(FIDO)」とは
パスキーの仕様概要と標準化動向
パスキーとは、公開鍵暗号方式を用いた「FIDO(Fast IDentity Online)」という安全性の高い認証が行える仕組みで利用する鍵(認証資格情報)のことを指します。
FIDOの技術仕様の標準化は、非営利の標準化団体である「FIDO Alliance」によって進められており、「パスキー」という呼称で普及を推進しています。Google、Apple、Microsoftといった大手プラットフォーマーをはじめ多数の企業がパスキーに対応し、グローバルで広く使われるようになりました。
安全で使いやすいパスワードレス認証方式「FIDO」の仕組み
なぜフィッシングに強いのか?
パスキーを利用した認証プロセスでは、アクセス先のドメイン(Origin)情報を検証プロセスに含みます。ユーザと正規サイトの間にフィッシングサイト(異なるドメイン)が介在した場合、プロトコルレベルで不一致を検知し、悪意者による認証を防ぐことができます。これが、従来のワンタイムパスワードにない「フィッシング耐性」の根幹です。
パスキーによるフィッシングサイト検知の仕組み
技術詳細については、こちらの記事でもご紹介しておりますので併せてご参照ください。
圧倒的な導入効果
各社が対策を進めた結果、金融庁の報告によれば、証券会社における不正アクセス件数は2025年4月の5,482件から、2026年3月には140件へと劇的に減少[1]しました。引き続き当局も「強固な多要素認証の提供開始後は、速やかに利用設定を行うこと」を推奨しており、パスキーはもはや選択肢ではなく、金融インフラの「標準装備」となりつつあります。
インターネット取引サービスでの不正アクセス・不正取引の被害状況
出典:金融庁[1]
導入成功の鍵を握る「システム・運用」の5つの検討事項
パスキーは強力な武器ですが、単に「実装する」だけでは不十分です。金融機関として、認証フローの前後やIDライフサイクル全体に潜む「脆弱な導線」をどう守るか、以下の5つの観点で設計を深める必要があります。
①認証シナリオの最適化と、動的なリスクモニタリング
重要処理における認証要求の再定義
監督指針では、リスクに応じた認証の強化が求められています。そのため、単なるログイン時だけでなく、振込時、重要な登録情報の変更時、他社サービス連携時といった「重要操作」のトリガーを再検討する必要があります。
サービス利用時におけるリスクレベル整理のイメージ
動的なリスクモニタリング
特にリスクを分析する際に注意が必要なのは新規サービス企画や連携時です。処理自体は従前から変わりが無くとも、扱うデータや処理区分、導線が多様化・複雑化することで結果としてリスクが増加しているケースも有るため、現行踏襲では対応できない懸念があります。
動的なリスクモニタリングの実施
②IDライフサイクルを通じたセキュリティの確保(「最弱の環」を塞ぐ)
アカウントリカバリーと登録前の本人確認
攻撃者は常に「最も弱い導線」を狙います。パスキー自体を破るのではなく、「パスキー利用困難時のアカウントリカバリー手順」や「パスキー登録前のログイン」が現在の主要なターゲットです。実際に、既存のパスワードなどの脆弱な認証が突破されたのち、攻撃者のデバイスをパスキーとして登録されてしまう事案が観測されています。
eKYCによる厳格な身元確認
2027年4月に施行される犯罪収益移転防止法の改正においても、AI 技術(ディープフェイク等)や券面偽造技術の高度化による脅威が増大し、画像を送付しての券面確認手法については「廃止」の流れとなっています。パスキーの利用開始時や再発行時には、単なるパスワード確認での確認で済ませるのではなく、マイナンバーカード等のICチップ読み取りを用いた厳格な本人確認(eKYC)を必須とすべきです。この「入り口」の強度が、パスキー運用の信頼性を担保します。
③高度なFraud検知を実現可能なシステムアーキテクチャ
FIDO(パスキー)認証サーバーと既存認証基盤の「ログ連携」
パスキーの登録・利用時のエラー(認証失敗)ログは、単なる利便性の問題ではなく、不正アクセスの予兆として分析する必要があります。
振る舞い検知の統合
監督指針で言及されている「ログイン時の振る舞い検知」を実効的に行うには、FIDO(パスキー)認証サーバーの認証ログだけでなく、既存の認証基盤が持つユーザーのログイン履歴や、アプリケーション側の操作ログを統合して分析する仕組みが必要です。これらを横断的に解析することで、初めて高度な不正検知(Fraud Detection)が可能となります。
④将来拡張性と進化する脅威への備え
「ポスト・フィッシング」時代の攻撃手法への対策
パスキーによってフィッシングが困難になると、攻撃者は次のフェーズへ移行します。例えば、「マン・イン・ザ・ブラウザ攻撃」や「Pass-The Cookie攻撃」、「Infostealer感染」など、より高度な攻撃の活発化が予想されるため、リスクが顕在化・活発化してからの対応ではなく、事前の対処方針検討が重要となります。
NIST SP 800-63-4 に基づく「セキュリティ・バイ・デザイン」
米国政府向けのガイドラインではあるものの各国政府機関や民間サービスでも広く参照されている「NIST SP800-63」の最新バージョン「第4版」[2] では、継続的なリスク評価に基づいた「動的な認証管理」の重要性が強調されています。具体的には、振る舞いの高度なモニタリングや、デバイス紐付検証[3]、トランザクション分析などを踏まえたFraud Managementが言及されています。また他にも、リスクベースを踏まえたOTPなどの経路外認証の追加なども対策として有効と考えられるでしょう。
⑤運用・UX設計とフォールバック(代替措置)
ユーザ包摂や導入サポートの準備
導入直後は馴染みのない操作感からユーザが戸惑い、問い合わせやクレームが一時的に増加する傾向にあります。これを抑えるため、「事前周知と推奨利用環境の明示」、「専門用語を避け平易な言葉でのFAQ準備」、「サポート窓口の増強」などの工夫が肝要です。
不適合時の代替措置(キルスイッチ)
特定デバイス・OSバージョン組み合わせ、3rd Party 製のパスワードマネージャー利用、ネットワーク制約(Bluetooth利用禁止)など、ユーザの環境次第では、パスキーがうまく利用できないケースが存在します。そのため、パスキーの利用が困難なユーザ向けに、従来の認証への切り替え(キルスイッチの具備)や、架電での取引確認、金額上限の設定といった代替措置(フォールバック)をあらかじめ設計しておく必要があります。
パスワード並行期間の設計
パスワード入力導線をすぐに閉鎖してパスキーを強制すると、ユーザからの問い合わせが集中しサポート窓口が枯渇する懸念があります。導入前の事前周知やFAQの充実を図り、ユーザの移行期間を十分に考慮した計画を立てることが重要です。
先述のFIDO Allianceからも、公式の導入時ガイド「パスキー・セントラル」ページ[4]にて、導入事例集が展開されています。UX上の考慮点やロールアウトガイドラインなどの記載もありますので、是非併せてご参照ください。
まとめ
パスキーの導入は、セキュリティ強化とユーザ体験の向上を両立させる強力な一手です。しかし、本記事で述べた通り、単なる機能実装に留まらず、運用設計やIDライフサイクル管理等多くの観点を踏まえた事前検討こそがプロジェクト成功の鍵を握ります。
弊社では、高度かつ広範な知見を持つ専門による「FIDO / パスキー導入計画支援サービス」をはじめとした事前検討のご支援、既存のID基盤へスムーズにパスキー機能を追加できる「Uni-ID Libra FIDO」の提供、さらには安定稼働を支える運用支援まで、ワンストップでのお客様課題解決をご支援いたします。
安全で快適な次世代の認証基盤へのアップデートに向け、ぜひお気軽にご相談ください。
[1] 金融庁「インターネット取引サービスへの不正アクセス・不正取引にご注意ください」https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html
[2] NIST SP800-63A-4「Digital Identity Guidelines: Identity Proofing and Enrollment」https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63A-4.pdf
[3] Google社では、Cookieとデバイス間紐付目的で、Device Bound Session Credentialsの仕様を発表:
https://chromestatus.com/feature/5140168270413824
[4] FIDO Alliance「Passkey Central」https://www.passkeycentral.org/ja/design-guidelines/
