パスキーだけでは不十分？ 証券各社が目指す「パスワードレス」への長い道のり（4/7 ページ）

証券各社が導入している「パスキー」だが、完全移行までの道のりは長そうだ……。

[斎藤健二，ITmedia]

パスキーを入れても、セキュリティレベルは上がらない？

　パスキーを導入した証券会社に、率直な疑問をぶつけてみた。パスキーを導入しても、従来のIDとパスワードでログインできる状態も続いている。これで本当にセキュリティは向上したのか。

　実際、多くの証券会社がパスワード認証を残している。SBI証券はパスキーを設定した後も、従来のIDとパスワードによるログインが可能だ。ウェルスナビも同様で、浦野氏は現状をこう説明する。「当社もまだパスワードによるログインを許容している状態だ。パスワード認証が存在している限り、セキュリティレベルはパスワード認証のレベルに留まっている」

SBI証券などは複数のパスキーを生成し、どのパスキーでもログインが可能だ

　パスキーは、導入したユーザーにとっては強固なセキュリティを提供する。だが、従来のID・パスワード認証を残している限り、攻撃者はそちらを狙えば良い。

　これに対し、楽天証券は異なるアプローチを取る。パスキーを登録すると、以降は原則としてIDとパスワードではログインできなくなる。

楽天証券は、パスキーを設定するとパスワードでのログインはできなくなる（出典：楽天証券の公式Webサイト）

　ただし、これはパスキーを設定したユーザーに限った話である。「パスキーを導入された方については、セキュリティのレベルは1段も2段も上がっている。一方で、使いたくないという人のセキュリティレベルは変わっていない」（平山氏）。パスキーを強制できない以上、この課題はどの証券会社にも共通している。

　障害時の代替手段の問題もある。パスキーだけに絞った場合、システム障害が発生するとユーザーは何もできなくなる。「障害は必ず起こる。その時の対応をどうするかが肝だ」（平山氏）

　証券取引には夜間の米国株取引など、限られた時間で取引を完了させなければならない場面がある。その瞬間にログインできなければ、ユーザーにとっては致命的な損失になりかねない。

　浦野氏は「パスワードレスな世界を実現することで、初めてセキュリティレベルが向上する」と認めた上で、こう続けた。「ただ、AppleやGoogleのような大きなサービスであっても、パスキーだけに認証方法を限定するというリスクはとりづらい状況だ」