ドコモも一本化する認証方式「パスキー」 証券口座乗っ取りで普及加速も、混乱するユーザー体験を統一できるか：石野純也のMobile Eye（1/3 ページ）

[石野純也，ITmedia]

　パスワードレスを実現するセキュリティ仕様として注目を集めている「パスキー」だが、2025年には証券会社各社でのフィッシング被害が相次いだことにより、導入が急ピッチで決まっていった。ドコモやLINEヤフー、メルカリといった通信、IT系企業が手掛けるサービスから金融系サービスにパスキーが大きく広がり始めた1年だったといえる。

　12月5日には、FIDOアライアンスが記者会見を開催。国内での導入状況や、導入を検討している企業がその効果を参照しやすいよう、国内向けの年齢、男女比などのデータが公開された。こうした取り組みを通じて、パスワードのいらない世界の実現を目指す。

　一方で、過渡期ゆえにユーザー体験（UX）には課題もある。アライアンスのボードメンバーとして早くからFIDOの認証を導入してきたドコモもその1社で、現状ではアプリによる認証とパスキー認証、さらには回線認証が混在している。こうした点を解決する動きはあるのか。会見を元に、その現状を解説していく。

FIDOアライアンスがイベントに合わせ、記者会見を開催。導入が進むパスキーの現状を解説した

証券口座の乗っ取りで普及が加速したパスキー、2025年はほぼ倍増に

　FIDO Japan WG座長を務めるドコモのチーフセキュリティアーキテクト、森山光一氏は2025年に国内でのパスキー導入実績が大きく伸びたと語る。そのきっかけになったのが、一連の証券口座乗っ取り事件だ。FIDO Japanでも、金融庁や警察庁のサイバー警察局をはじめとした関係機関との連携やコミュニケーションを推進。ワークショップを開くなどして、情報共有を進めてきた。

国内での導入状況などを語ったFido Japan WG座長の森山氏。ドコモでは、チーフセキュリティアーキテクトを務める

　その成果もあり、10月15日には「金融庁や日本証券業協会からそれぞれ指針が出て、一部のガイドラインが改正された」（同）。この改正により、「重要な操作時におけるフィッシング耐性のある認証が必須化され、例としてパスキーが取り上げられた」（同）という。これと並行する形で、デジタル庁でも9月30日に出されたガイドラインでフィッシング耐性のある多要素認証の例としてパスキーが示されている。

　証券会社各社は、矢継ぎ早にパスキーを導入している。証券会社大手では、野村證券が10月にパスキーを導入。11月29日以降は取引でのパスキーを必須にしている。SBI証券でも、10月にパスキーを導入。楽天証券や大和証券にも導入された。森山氏が在籍するドコモ傘下のマネックス証券も、10月にパスキーを導入。遅れていたパスキーによる認証の強化が一気に進んだ。

証券口座のフィッシングによる乗っ取りが相次いだことで、金融庁や日本証券業協会がガイドラインを改正。その対応策としてパスキーの導入が一気に進んだ

　森山氏によると、2024年時点では対応予定まで含めて28社だった導入企業は、証券会社などが加わったことで「昨年からほぼ倍の広がりを見せている」（同）。証券業界以外でも、楽天グループが2026年に1月に楽天IDをパスキーに対応させ、グループ全体に広げていくことを表明済み。2025年度には、東日本旅客鉄道（JR東日本）やリクルート、NTTデータなどもパスキーを導入した（する）。

JR東日本やリクルート、楽天グループなど、証券会社以外での導入も広がっている

2025年には55社にまで拡大した（予定の企業も含む）

　フィッシング耐性に強いのはもちろん、ログイン成功率が高かったり、パスワード忘れによるミスなどがないことからサポートの負荷を軽減できたりと、先行して導入してきたドコモやLINEヤフー、メルカリなどでは高評価を得ていたパスキー。FIDO Japanでも、「お客さまを守るために導入されてはいかがでしょうかと、啓発には相当力を入れてきた」（同）と語る。

　その思いとは裏腹に、フィッシングの実被害が拡大したことで他業界への浸透が進んだ格好だ。ただ、国内外のサービスにはパスキーに未対応のものが多い。金融や証券、決済に絞っても、証券会社では対応が進んでいる一方で、銀行やクレジットカードなどには広がりきっていない現状がある。森山氏も「対岸の火事ではない」と、未導入の企業への導入や検討を呼びかけている。