パスキーだけでは不十分？ 証券各社が目指す「パスワードレス」への長い道のり（1/7 ページ）

[斎藤健二，ITmedia]

筆者プロフィール：斎藤健二

金融・Fintechジャーナリスト。2000年よりWebメディア運営に従事し、アイティメディア社にて複数媒体の創刊編集長を務めたほか、ビジネスメディアやねとらぼなどの創刊に携わる。2023年に独立し、ネット証券やネット銀行、仮想通貨業界などのネット金融のほか、Fintech業界の取材を続けている。

　証券各社がパスキーの導入を急いでいる。パスキーとは、従来のIDとパスワードに代わる新しい認証方式だ。スマートフォンやPCに保存された「秘密鍵」と、サービス側に登録された「公開鍵」のペアで本人確認を行う。秘密鍵は端末から外に出ないため、たとえフィッシング詐欺でだまされて偽サイトにアクセスしても、認証情報を盗まれる心配がない。

各社が導入するパスキー認証（出典：ウェルスナビの公式YouTube）

　しかし、実際に使ってみると、「パスキーを入れただけで、本当にセキュリティは向上したのか」という疑問が浮かんでくる。

　これを解消するため、ウェルスナビ、SBI証券、楽天証券の3社に取材すると、各社が抱える課題と、その先に見据える戦略の違いが見えてきた。

不正アクセス急増で、業界が一斉に動く

　2025年春、証券業界に激震が走った。フィッシング詐欺とみられる手口で顧客のIDとパスワードが盗まれ、証券口座から不正に株式を売買される被害が急増したのである。

　楽天証券の平山忍副社長執行役員は、「今年に入ってから、不正アクセスによる不正取引が急増した。5月上旬にはいったん収まったものの、その後もフィッシングサイトに引っかかり、メールアドレスや電話番号といった基本情報を抜き取られることが増えた」と、当時を振り返る。

楽天証券の平山忍副社長執行役員（筆者撮影）

　この事態を受け、日本証券業協会と金融庁は2025年秋、証券会社に対して「フィッシング耐性のある多要素認証」を、2026年夏までに導入するよう求めるガイドラインを公表した。その具体的な手段として挙げられたのが、パスキーである。

　SBI証券の渡辺純子サービス開発部長は「2021年よりFIDOを導入していたが、日証協のガイドラインでパスキーの導入の推奨があったことも踏まえて、パスキーの早期導入を図った」と話す。同社はガイドライン公表からわずか数カ月で、Webサイトへのパスキー導入を完了させた。

SBI証券の渡辺純子サービス開発部長（筆者撮影）

　一方、ロボアドバイザー最大手のウェルスナビでは異なる経緯をたどる。同社は不正アクセス問題が顕在化する以前から、パスキー導入を計画していた。「パスワードよりもセキュアで、ユーザー体験も良いため、当初から導入を計画していた」と、浦野勝由執行役員VP of Technologyは説明する。2024年11月に共通IDの認証基盤を導入した際も、パスキー対応を前提に技術選定を進めていたという。「今年の春先に証券業界で不正出金が社会問題化したタイミングで、先駆けてパスキーを導入できたのは良かった。ただ、元々はより良いユーザー体験を提供したいということが根底にあった」（浦野氏）。

ウェルスナビの浦野勝由執行役員VP of Technology（筆者撮影）

　同じパスキー導入でも、その出発点は各社で異なる。不正アクセス対策として、急きょ導入に踏み切った会社やガイドライン対応を迫られた会社、そしてユーザー体験向上の一環として以前から準備を進めていた会社。この出発点の違いが、各社の戦略に色濃く反映されている。