パスキーだけでは不十分？ 証券のパスワードレス移行

証券各社がパスキー導入を急いでいるものの、導入だけで十分か疑問が残ると伝えられています。2025年春のフィッシング被害増加と、日証協・金融庁の2026年夏までの多要素認証導入指示が背景で、各社は異なる出発点と戦略で対応しています。

証券各社がパスキーの導入を進めています。パスキーは端末内の秘密鍵とサービス側の公開鍵で本人確認を行う方式で、フィッシングで認証情報が流出しにくい点が注目されています。2025年春のフィッシング被害増加を受け、業界と当局が多要素認証の強化を求めたことが導入を後押ししています。導入の目的や準備状況は各社で異なっており、導入後の効果や運用上の課題が議論されています。 導入状況と論点： ・2025年春にフィッシングとみられる手口で顧客のID・パスワードが盗まれ、不正取引が増加したと報じられています。 ・日証協と金融庁は2025年秋にガイドラインを公表し、2026年夏までにフィッシング耐性のある多要素認証を導入するよう求めています。 ・パスキーは秘密鍵が端末外に出ない仕組みで、認証情報の窃取リスクを低減するとされます。 ・SBI証券はFIDOを既に導入しており、ガイドライン公表後に短期間でWebサイトへのパスキー導入を完了しました。 ・ウェルスナビは当初からユーザー体験の向上を目的にパスキー対応を前提とした認証基盤を準備していました。 ・同じパスキー導入でも、不正対策重視、ガイドライン対応、体験向上の三つの出発点があり、各社の戦略に違いが出ています。 まとめ： パスキーの導入は口座の認証方法やユーザー体験に影響を与える重要な変化です。日証協・金融庁は2026年夏までの導入を求めており、各社の対応方針の違いが普及や運用の在り方に影響しそうです。現時点では導入後の効果の全体像は未定です。