パスキーだけでは不十分？ 証券各社が目指す「パスワードレス」への長い道のり（5/7 ページ）

[斎藤健二，ITmedia]

第3の壁――パスキーだけでも万全ではない

　仮にパスワード認証を廃止し、パスキーのみに移行できたとしても、セキュリティ上のリスクが完全になくなるわけではない。

　パスキーの秘密鍵は、AppleのiCloudキーチェーンやGoogleパスワードマネージャーなどに保存される。これらのサービスへのアクセス権を攻撃者が奪い取れば、パスキーも悪用される可能性がある。

　パスキーを使う際には、端末の生体認証やPINコードによる本人確認が求められる。しかし、全ての端末のパスワードマネージャーがこの保護を備えているわけではない。設定次第では、生体認証なしでパスキーを利用できる環境も存在する。

パスキーの安全性の説明（出典：楽天証券の公式Webサイト）

　パスキー導入は、ゴールではなくスタートである。SBI証券の渡辺氏は「パスキーを入れればセキュリティ対策が終わるというわけではない」と話す。同社はパスキー導入後も、取引時のリスクベース認証や出金時のワンタイムパスワードを維持する方針だ。

　楽天証券の平山氏は、こうしたリスクを見据えて「認証の在庫」という考え方を示し、「パスキーもいずれ破られる。攻撃者は賢い。そのため、在庫を持っておかないと、一つが破られた時に対応できない」と話す。同社はログイン、取引、出金、重要情報の変更と、場面ごとに異なる認証方式を組み合わせている。

　パスキーは万能な解決策ではない。多層的な防御を組み合わせることで、初めて堅牢なセキュリティが実現するのだ。