金融機関向け パスキー導入時の論点と必要となる検討事項
近年、金融業界は様々なデジタルサービスの展開に注力しており、利用者認証の重要性がますます高まっている。巧妙化するサイバー攻撃に対し、パスキー導入が急がれる中、事前に理解しておきたい導入時の論点、必要となる検討事項とは何か?
本稿では、「安全かつ利便性の高い認証方式」として金融業界で活用が進む「パスキー」導入時の論点について解説します。
1. 金融機関を取り巻く脅威動向
近年、デジタルバンクなどのBaaS、ステーブルコインなどのデジタル資産、証券、保険、資産運用アプリなど、金融機関のデジタルサービスは多様化しています。これらのデジタルサービスでは、利用者がサービスを利用する際に、安全かつ利便性の高い認証方式が重要となります。
昨今、証券口座において、フィッシング詐欺などによる不正アクセス・不正取引被害が相次いで発生しました。そうした事案からわかる通り、たとえワンタイムパスワードによる多要素認証を導入していたとしても、攻撃者がリアルタイムで入力値を窃取する手口(リアルタイムフィッシング)が横行しており、それだけでは一概に安全とはいえない状況です。
2. フィッシング耐性のある認証方式の必要性
NIST SP 800-63B revision 4において、フィッシング耐性とは利用者の警戒に頼ることなく、認証シークレット(パスワードなど)と有効なAuthenticator output(認証コードなど)が偽の検証者(検証者を装った攻撃者)に漏洩されるのを防ぐ能力*1と示されています。また、同文書では、手動入力を必要とするAuthenticatorは、Authenticator outputが認証対象の特定セッションに紐付けられないため、フィッシング耐性があるとはみなされない*1としています。
*1 NIST SP 800-63B revision 4, 26 Aug 2025, “3.2.5 Phishing Resistance”
https://pages.nist.gov/800-63-4/sp800-63b.html#verifimpers
つまり、SMSやメールで届くワンタイムパスワードを手動入力させる多要素認証方式は、フィッシング耐性があるとはみなされません。実際に、図1.のようにワンタイムパスワードを利用者が手動入力する場合では、リアルタイムフィッシングの被害が報告されており、この方式では被害を防ぐことができないことがわかります。
このような背景から「フィッシング耐性のある認証方式」の導入が急務となっており、金融サービスを守るためにフィッシング耐性を備えた「パスキー」の導入が今求められているのです。
3. パスキーの仕組みとフィッシングへの有効性
パスキーの仕組み
パスキーは、FIDO標準に基づいたFIDO認証Credentialです*2。利用者はデバイスのロック解除と同じ方法(生体認証など)で当人認証ができ、且つ公開鍵暗号方式が用いられていることからフィッシング耐性が高い認証方式といえます。パスキーの登録および当人認証のフローの概要は以下の通りです。
*2参考: FIDO Alliance “Passkey” https://fidoalliance.org/passkeys/
- パスキーの登録
- パスキーでの当人認証
公開鍵暗号方式の秘密鍵・公開鍵を用いた署名検証によって、保持デバイスでのユーザー検証結果を利用サービス側で確認する方法であるため、ユーザーの手動入力作業がなく、フィッシング耐性が高いことがフローからも見て取れます。
また、パスキーには、「同期パスキー」と「デバイス固定パスキー」の2つのタイプがあり、そのことも認識しておくことが重要です*3。
- 同期パスキー(Synced passkey)
同期パスキーは、パスワード管理ツール(Googleパスワードマネージャーなど)等のサービスを通じて同一ユーザーの複数の端末間で同期できるパスキーです。同期パスキーの特徴は、複数の端末にパスキーを同期することができるため、利便性に優れていることが特徴です。端末故障や端末紛失、新しい端末を追加する場合でも登録済の同じパスキーを使って認証することができます。 - デバイス固定パスキー(Device-bound passkey)
デバイス固定パスキーは、同一ユーザーであっても他の端末へは同期できない端末固有のパスキーです。デバイス固定パスキーの特徴はデバイスとパスキーが1対1の関係であることです。また、アクセス可能とするデバイスを一つのみとすることで、更に漏洩リスクを低減し、安全性を高く保つことが可能となります。
*3参考:FIDO Alliance “Passkey Types” (https://www.passkeycentral.org/introduction-to-passkeys/passkey-types)
フィッシングへの有効性
パスキーを使用した当人認証では、ローカル端末で生体認証などによるユーザー検証を行いますが、この検証に用いた認証情報はサービス側に送信されません。また、秘密鍵はデバイス内に安全に保存され、外部に送信しないため、攻撃者がなりすましで認証することは極めて困難です。パスキーは各サービスのドメインとユーザーを紐づけた状態で登録されます。図5のように、ユーザーが誤って偽サイトにアクセスし、認証を試行したとしても、対象サイトのドメインが異なるため、後続処理が実行されません。このため、認証は成功せず攻撃者の被害からサービスを守ることができます。
4. パスキー導入時の論点
金融機関において、パスキーの導入が急がれている一方、実際の導入事例や具体的な論点・ノウハウが公開されておらず、「具体的な検討に入るとわからない点が多くなる」といったお声をよく聞きます。パスキーの導入には十分な検討、コストを要することから、円滑かつ効果的な導入のためには、事前に論点を理解しておくことをお勧めします。
当社のこれまでのパスキーに係るアドバイザリーの経験から、導入時のよくある論点を以下に解説します。
論点
- フィッシング耐性のある多要素認証(パスキー等)を、どの範囲に・どの程度導入すべきか
サービス事業者側がすべてのWebサービスやアプリに一律にパスキーを強制するのではなく、ユーザーの満足度を上げるためにも、ユーザー側に選択肢を持たせることやユーザーに理解を促し、リスクの高い取引や操作にパスキー登録を求める(基本必須とする)ことが必要となります。そのため、サービス事業者のサービス特性やリスクに応じて、設計することが重要です。また、複数のサービスを提供する事業者は提供サービスによってセキュリティレベルの違いが発生しないように統一した指標、ガイドラインを策定することをお勧めします。なお、高額取引などリスクの高いサービスへの導入は優先度を高くするなど、導入の優先順位も考慮することが必要となります。
- FIDO2/パスキー導入時に想定される制約は何か
FIDO2やパスキーの導入には、既存システムとの連携や一部旧端末・ブラウザの非対応といった技術的制約が考えられます。また、FIDO2においてもデバイス固定パスキーの利用をサービス事業者側から強制することができないといった制約があります。ユーザー体験の変化や社内運用態勢の見直しも必要となるため、事前に制約を洗い出すことが重要です。
- パスキー登録時の本人確認をどのように行うか
フィッシング耐性のある認証方式であったとしても、パスキーをユーザー本人以外が登録しては意味がありません。そのため、パスキー登録時の身元確認も重要なポイントとなります。サービス提供者側には、利便性を考慮した身元確認プロセスを経てパスキーの登録を行うなど、登録フローの設計段階からユーザーの安心・安全を確保することが求められます。
- 同期パスキーとデバイス固定パスキー、どちらを採用すべきか
同期パスキーは複数デバイス間で同じパスキーが利用できるため、利便性が高まる一方、セキュリティリスクや管理コストも増加します。デバイス固定パスキーはセキュリティ性が高まりますが、ユーザーの利便性に影響します。金融機関においては、セキュリティ性を考慮し、デバイス固定パスキーを採用する事業者が多いことは理解しつつも、ユーザーの利便性への考慮、説明をわかりやすく丁寧に行うことが求められます。
- 既存ユーザーのパスキー登録やアカウント回復時の懸念事項や検討ポイントは何か
パスキー導入後は、既存ユーザーにパスキーに移行してもらう必要があります。そのため、既存ユーザーに移行を促す取り組みや移行負荷の考慮、説明のわかりやすさが必要となることや、アカウント回復時においては、プロセスの安全性・利便性の考慮が重要な検討ポイントとなります。特に、端末紛失や買い替え時にスムーズで安全な回復手段を確保することが、ユーザー満足度の維持には不可欠です。
- スマートフォン非所持の顧客に対してどのように対応すべきか
パスキーなどのフィッシング耐性のある認証方式の採用を優先して、本来の事業目的や公平性の阻害が起こっては本末転倒となるため、スマートフォンを持たないユーザーに対しては、追加的な対策を講じることでリスクを軽減することをお勧めしています。例えば、リスクベース認証を併用して通常の振る舞いと異なる場合の挙動をより高度に検知可能とすることなどです。ユーザー自身にもリスクを理解して頂けるような説明を工夫する必要もあります。
上記は一部に留まる内容となりますが、円滑かつ効果的にプロジェクトを遂行するためには、事前に論点を理解しておく必要があると考えます。
5. 当社の支援サービス
当社では、本人確認(Identity proofing/Authentication)に特化したDigital Identity専門チームがあり、総合的な支援サービスをご提供しています。以下のような対応を得意としていますが、パスキー導入時の論点検討・最善解の導出、実施計画の策定・推進に関して、お困りごと・お役に立てる所があれば、まずは是非声をかけて頂けますと幸いです。
- 想定する脅威・リスクの可視化
最新のグローバル事例も交え、業務・システム特性を踏まえた脅威、リスクシナリオを可視化し、パスキー導入の目的や必要性を明確化すると共に、組織の認識醸成を図ります。
- 導入検討時の論点、その最善解を提案型でご提示
経営・現場双方の視点から、検討すべき論点を包括的に検討し、提案型で最善解をご提示します。海外の先進事例を踏まえた実践的なアドバイスが可能です。
- 今後の方向性、推奨案をご提示
仕様が定まらない所はその状況を正しくお伝えし、そこも踏まえて世の中、業界の動向を鑑みた今後の方向性、考えられる選択肢を示すと共に、業務・システム特性を踏まえた推奨案をご提示します。決断の一助となる情報を提示させて頂きます。
- 今後のロードマップ/実施計画案を策定可能
導入から運用までの具体的な実施計画(ロードマップ)や実行推進が可能です。プロジェクト管理や初期運用フェーズまで一貫してご支援します。
- 経営層への上申に対する助言を実施可能
経営層への報告資料等、意思決定に係る情報を整理、ご提示することも強みの一つです。上申に関しても一緒に検討させて頂き、導入計画の遂行を後押しします。
執筆者
櫻田 仁詩/Sakurada Hitoshi
デロイト トーマツ サイバー合同会社 金融インダストリー担当 シニアマネジャー
戸村 泰則/Tomura Yasunori
デロイト トーマツ サイバー合同会社 金融インダストリー担当 シニアマネジャー
小林 史佳/Kobayashi Fumika
デロイト トーマツ サイバー合同会社 金融インダストリー担当 シニアコンサルタント
小林 真弘/Kobayashi Masahiro
デロイト トーマツ サイバー合同会社 Digital Identity担当 シニアコンサルタント
※所属などの情報は執筆当時のものです。
