不正アクセス防止を強化!SBI証券「FIDO2(パスワードレス認証)」導入へ

SBI証券YouTubeテクノロジー金融機関

証券会社による不正アクセス防止対策が新たな段階に入ります。SBI証券がFIDO2認証の導入を発表したというニュースを受けて、この進化したセキュリティ技術について詳しく解説していきます。

現在FIDO認証を使用している方もいらっしゃると思いますが、今回導入されるのはさらにアップグレードされたFIDO2認証です。複数の会社からパスワードレス認証やパスキー認証と呼ばれるこの技術の導入が発表されており、その内容について詳しく見ていきましょう。

SBI証券「FIDO2(パスワードレス認証)」導入予定のお知らせ(0:30)

SBI証券から2025年秋頃の予定として、フィッシング耐性のある多要素認証・パスワードレス認証の導入予定が発表されましたこれまで導入されていた多要素認証からさらに一段階アップグレードし、パスワード自体をインターネット上でやり取りしない方式の採用となります。

パスキーという言葉を聞いたことがある方も多いのではないでしょうか。Google Chromeブラウザ、Apple、Windowsなどでパスキーの登録を促すポップアップを見た経験がある方もいらっしゃるでしょう。今回発表されたのは、まさにこの認証方法の導入です。

楽天証券やマネックス証券でも同様の導入予定が発表されており、いずれも2025年秋頃という時期で統一されています。その他の証券会社については、動画撮影時点では確認できませんでしたが、松井証券や三菱UFJ「auカブコム証券」からはまだ発表がありません。

しかし、FIDO2認証に関しては時期の違いこそあれ、多くの証券会社で採用されていく可能性が高いと考えられます。

FIDO2認証とは?(2:14)

FIDO2認証は、パスワードをそもそも必要としない認証方法です。SBI証券はパスワードレス認証、楽天証券はパスキーと呼んでいますが、いずれもFIDO2認証技術を使用して安全な認証を実現するものです。

認証方法としては、スマートフォンやパソコンに組み込まれた生体認証などのロック解除機能を使用してパスワード入力を不要にします。生体認証には顔認証や指紋認証がありますが、それ以外にもPIN入力やパターン認証でもFIDO2認証は利用可能です。

対応環境について見ると、基本的にはブラウザでの利用となります。Chrome、Edge、Safariといったブラウザのほか、OS単位ではWindows、Android、macOS、iOSといったOSそのものでもFIDO2に対応しているため、多くのデバイスでこの認証方式を利用できます。

FIDO2認証のメリット(3:26)

FIDO2認証の最大のメリットは、セキュリティの大幅な強化ですパスワードの漏洩やフィッシング詐欺のリスクが相当軽減される点が挙げられます。

さらに、パスワード管理から解放されることは非常に大きなメリットです。特別なソフトも不要で、ブラウザやOS単位で既に対応しているため、新たな投資なく利用できる点もお財布に優しい特徴です。

FIDO2認証では、ログイン時にパスワードの入力が不要になります。これまでのように複雑なパスワードを記憶したり入力したりする必要がなく、生体認証や簡単な操作だけでログインが完了します。

FIDO2認証の仕組み(4:17)

従来のパスワード認証とFIDO2認証の仕組みの違いを見てみましょう。

従来のパスワード認証では、何かにアクセスしようとする際にパスワードを入力し、そのパスワードがそのままインターネット上を流れていました。通信自体は暗号化(SSL)されていましたが、パスワードを入力すること自体が問題の根源となっていました。これがフィッシング詐欺などの被害の原因となっていたのです。

一方、FIDO2認証では、利用者はアクセス時に生体認証や自分が知っているPINコードなどで本人であることを認証します。この認証はデバイス内で行われ、デバイス内で処理された電子証明された認証結果のみがサービスに送られる仕組みです。

つまり、パスワード自体が漏洩する心配がなく、インターネット上にパスワード情報が流れることがありません。

従来のFIDO認証と比較すると、FIDO2は全チャンネルで使用できる汎用性の高さが特徴です。PCやスマートフォンだけでなく、アプリでも使用可能になっています。

認証に必要な環境についても、従来はスマートフォンのみの対応で専用アプリのインストールが必要でしたが、FIDO2ではOS単位での対応により、PCやMac、外付けUSBセキュリティキーでも利用でき、アプリのインストールは不要です。

また、従来のFIDO認証では1デバイスに対して1つのアカウントしか登録できませんでしたが、FIDO2では1つのデバイスで複数のパスキーを作成できるため、1つのデバイスで複数のアカウントにアクセスすることが可能になります。これは、お子さんの口座を管理している保護者の方などには特に便利な機能です。

FIDO2を導入した方がいい理由(8:13)

FIDO2認証は全員が導入すべき技術だと考えられます。パスワード管理からの解放という大きなメリットがあり、生体認証がある端末は多くの方がお持ちでしょう。

たとえiPhoneの古いモデルやSEを使用している場合でも指紋認証機能があります。高齢者の方で指紋が薄くて認証が困難な場合もありますが、お子さんが機種変更した際に新しい端末に変更することを検討されると良いでしょう。

PCに関しては、Macは比較的古いものでも指紋認証が搭載されていますが、Windowsの安価なモデルやWindows 10からWindows 11にアップグレードして使用している場合、生体認証機能がない可能性があります。外付けで追加することも可能ですが、この機会に買い替えを検討することも一つの選択肢です。

コストを上回るメリットがあると考えられるため、証券会社以外でもパスキーが導入されている現在、この技術の利用にシフトしていくことが推奨されます。

誤解①パスワードマネージャーを使っていれば十分安全だからパスキーを使う意味はない(10:31)

パスワードマネージャーを使用しているから十分安全で、パスキーを使う意味はないという意見があります。この考え方は、ある意味では間違いではありません。

しかし、パスキーを使用する真の意義は、パスワードマネージャーの利用を強制できることにあります。ID・パスワードを適切に管理できる方にとってはパスキーは不要かもしれませんが、それができない方が存在するため、実際に様々な問い合わせが発生しています。

「パスワードが通らない」「ログインできない」といった問い合わせは頻繁にありますが、パスキーを使用すれば一度正しい方法でログインしてパスキーに登録すれば、以降は指や顔だけでログインが可能になります。

パスキーの利点は以下の通りです。

  • 複雑なパスワードの自動生成
  • パスワードを記憶する必要がない
  • 適切なドメインへの入力(なりすましサイトでは動作しない)

フィッシング詐欺では偽サイトのドメインが異なるため、パスキーは正規サイトでのみ動作します。これにより、フィッシング詐欺にかかる確率を極限まで下げることができます。

長いパスワードを覚えて適切なサイトを自分で確認できる方は、実際にフィッシング詐欺の被害に遭っていないはずです。しかし、現実には年間5000億円を超える被害が発生しており、パスワードマネージャーだけでは防ぎきれない問題があることを示しています。

パスキーの導入は、パスワードマネージャーを使用するリテラシーがない方や使い方が分からない方を守るためのものでもあります。

誤解②デバイスを紛失するとパスキーは使えなくなる?(13:40)

デバイスを紛失するとパスキーが使えなくなるという誤解があります。

実際には、パスキーは大抵の場合、パスワードマネージャーのサーバーにバックアップされているため、デバイスを紛失しただけで二度とログインできなくなることはありません

別のデバイスで同じパスワードマネージャーのアカウント(GoogleアカウントやApple IDなど)にログインして同期できれば、パスキーの復旧は可能です。

例えば、Android端末を紛失した場合でも、他のPCなどからGoogleアカウントにログインできれば、他の端末から安全に保存されたパスキーを復旧することができます。

同期や復旧の具体的な方法については各プラットフォームで異なりますが、それほど意識することなく実行できるはずです。

誤解③パスキーだって〇〇したらアカウント盗めるでしょ?(14:40)

「寝ている間に指紋認証を取られたらどうするんだ」「端末を盗まれたらどうするんだ」といった指摘があります。

これらの指摘の多くは物理的な犯罪に関するものですが、パスキーは基本的に物理的な犯罪を防ぐものではありません。物理的な犯罪を防げないからパスキーを導入すべきでないという考え方は乱暴です。

パスキーが実現したいのは、現在24時間体制で受けているサーバーからの漏洩、フィッシング詐欺、リスト攻撃、遠隔地からの攻撃といったリスクに対する対策ですこれらの攻撃は、端末やデバイスが手元にないと実行できないパスキーの方が、遠隔から攻撃可能なパスワードよりもはるかに安全です。

また、従来の2要素認証や多要素認証では、SMS やメールでワンタイムパスワードを受け取る必要があり、ログイン体験が悪くなっていました。メールを確認してコードをコピー・貼り付けするよりも、パスキーで即座にログインできる方が利便性が高いのは明らかです。

振り込め詐欺などは現在でも減っておらず、これらは本人が騙されるという物理的な犯罪です。パスキーの導入後もセキュリティ意識を高く維持する必要があることに変わりはありません。

パスキーは全ての犯罪を防止できるものではありませんが、現状のフィッシング詐欺などの被害を軽減することができる重要な技術です。

誤解④Big Techに依存することになってしまうのでパスキーは使いたくない(18:31)

Big Techへの依存を理由にパスキーを使いたくないという意見があります。

OSベンダー(Microsoft、Apple、Google)やブラウザ(Google Chrome、Safari、Firefox)に依存したくない場合は、サードパーティ製のパスワードマネージャーを使用する選択肢があります

1Password やDashLaneなどのパスワードマネージャーにはパスキー機能が搭載されており、これらはBig Techではありません。特に1Passwordは古くから多くのユーザーに利用されており、パスキーに対応しています。

少なくとも、Big Techへの依存を理由にパスキーを使わない理由にはなりません。

誤解⑤パスキーを導入したらパスワードは完全に不要になる?(19:38)

パスキーを導入してもパスワードが完全に不要になるわけではありません

確かにパスキーはパスワードなしで安全に認証できますし、サイト管理者や証券会社としても、パスキー導入後はできるだけ早くパスワードをなくしたいというのが理想です。

しかし、現実的にはパスワードは残り続けると考えられます。その理由は、ユーザーが誤ってパスキーを削除してしまう可能性があるためです。

このような場合、アカウントの復旧が必要になりますが、復旧方法に穴があると、いくらパスキーで安全性を向上させても、アカウント復旧の部分が弱点になってしまいます。

サポート窓口への電話や書類でのやり取りによる復旧では時間がかかりすぎるため、パスワードによる復旧手段を残しておく必要があります。パスワードはパスキーより不完全ですが、少なくとも復旧は可能です。

一度ログインできれば再度パスキーを作成できるため、誤って削除してしまった際の復旧手段としてパスワードは必要です。簡単すぎる復旧方法を用意すると、アカウントが乗っ取られる危険性があるため、バランスが重要になります。

パスキーへの慣れも重要な要素で、複数のパスキーを作成しておくことも可能です。例えば、iPhoneユーザーでGoogle Chromeを使用している場合、Apple OS単位のパスキーとGoogle Chromeのパスキーの両方を作成できます。どちらか一方にアクセスできなくなってももう一方でログインできるため、バックアップとして複数のプラットフォームでパスキーを作成することも有効です。

まとめ(22:58)

FIDO2認証が導入された際、使える端末をお持ちの方であればパスキーを導入しない理由はないと考えられます。

導入は技術的にハードルが高い面もありますが、利便性の向上、問い合わせの削減、安全な認証の実現といったメリットがあります。楽天証券では多要素認証の導入だけで、2024年5月1日以降の被害が確認できていないという発表もあり、多要素認証自体の効果は実証されています。

さらに銀行レベルまでセキュリティを引き上げるために、パスキーの導入が一つの目安となると考えられます。セキュリティレベルの向上に対応できない企業には行政指導が行われるという強い意思も表明されているため、各社でパスキー導入が進んでいくことが期待されます。

またこちらの動画「【証券口座乗っ取り】 5月31日までに設定しないとログインや取引ができなくなる!?SBI証券・楽天証券の必須設定」では、自分で行えるセキュリティ対策についても紹介していますのでぜひご覧ください。