パスキーだけでは不十分？　証券各社が目指す「パスワードレス」への長い道のり

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [パスキーだけでは不十分？　証券各社が目指す「パスワードレス」への長い道のり](https://www.itmedia.co.jp/business/articles/2601/06/news006.html)【ITmedia ビジネスオンライン】(2026年01月06日) --- > [!NOTE] この記事の要約（箇条書き） - 証券業界は、2025年に急増したフィッシング詐欺や不正アクセス対策として、「パスキー」の導入を急いでいる。 - 日本証券業協会と金融庁は、2026年夏までに「フィッシング耐性のある多要素認証」の導入を求めるガイドラインを公表し、パスキーを具体的な手段として挙げている。 - ウェルスナビ、SBI証券、楽天証券などがパスキーを導入しており、導入の動機は不正対策とユーザー体験向上の両面で異なる。 - パスキーは、デバイスに保存された「秘密鍵」とサービス側の「公開鍵」のペアで本人確認を行う新しい認証方式で、秘密鍵が端末外に出ないためフィッシング詐欺に強い。 - スマートフォンの生体認証（顔認証や指紋認証）と連携し、パスワードを覚える必要がなく、機種変更時の引き継ぎも容易になるため、ユーザー体験の向上にも寄与する。 - ユーザーから生体情報が証券会社に送られることへの不安があるが、生体認証は端末内の秘密鍵の使用許可を得るためのものであり、生体情報自体は外部に送信されない。 - SBI証券はパスキーとパスワード両方でのログインを許可している一方、楽天証券はセキュリティ重視の観点から発行できるパスキーを1つに制限するなど、各社で導入戦略に違いが見られる。 > [!NOTE] 要約おわり --- ## パスキーだけでは不十分？　証券各社が目指す「パスワードレス」への長い道のり（1/7 ページ） » 2026年01月06日 08時00分公開 \[， ITmedia\] ## 筆者プロフィール：斎藤健二金融・Fintechジャーナリスト。2000年よりWebメディア運営に従事し、アイティメディア社にて複数媒体の創刊編集長を務めたほか、ビジネスメディアやねとらぼなどの創刊に携わる。2023年に独立し、ネット証券やネット銀行、仮想通貨業界などのネット金融のほか、Fintech業界の取材を続けている。　証券各社がパスキーの導入を急いでいる。パスキーとは、従来のIDとパスワードに代わる新しい認証方式だ。スマートフォンやPCに保存された「秘密鍵」と、サービス側に登録された「公開鍵」のペアで本人確認を行う。秘密鍵は端末から外に出ないため、たとえフィッシング詐欺でだまされて偽サイトにアクセスしても、認証情報を盗まれる心配がない。 [![](https://image.itmedia.co.jp/business/articles/2601/06/passkey_ks01.png)](https://image.itmedia.co.jp/l/im/business/articles/2601/06/l_passkey_ks01.png) 各社が導入するパスキー認証（出典：ウェルスナビの公式YouTube）　しかし、実際に使ってみると、「パスキーを入れただけで、本当にセキュリティは向上したのか」という疑問が浮かんでくる。　これを解消するため、ウェルスナビ、SBI証券、楽天証券の3社に取材すると、各社が抱える課題と、その先に見据える戦略の違いが見えてきた。 ## 不正アクセス急増で、業界が一斉に動く　2025年春、証券業界に激震が走った。フィッシング詐欺とみられる手口で顧客のIDとパスワードが盗まれ、証券口座から不正に株式を売買される被害が急増したのである。　楽天証券の平山忍副社長執行役員は、「今年に入ってから、不正アクセスによる不正取引が急増した。5月上旬にはいったん収まったものの、その後もフィッシングサイトに引っかかり、メールアドレスや電話番号といった基本情報を抜き取られることが増えた」と、当時を振り返る。 [![](https://image.itmedia.co.jp/business/articles/2601/06/passkey_ks02.jpg)](https://image.itmedia.co.jp/l/im/business/articles/2601/06/l_passkey_ks02.jpg) 楽天証券の平山忍副社長執行役員（筆者撮影）　この事態を受け、日本証券業協会と金融庁は2025年秋、証券会社に対して「フィッシング耐性のある多要素認証」を、2026年夏までに導入するよう求めるガイドラインを公表した。その具体的な手段として挙げられたのが、パスキーである。　SBI証券の渡辺純子サービス開発部長は「2021年よりFIDOを導入していたが、日証協のガイドラインでパスキーの導入の推奨があったことも踏まえて、パスキーの早期導入を図った」と話す。同社はガイドライン公表からわずか数カ月で、Webサイトへのパスキー導入を完了させた。 [![](https://image.itmedia.co.jp/business/articles/2601/06/passkey_ks03.jpg)](https://image.itmedia.co.jp/l/im/business/articles/2601/06/l_passkey_ks03.jpg) SBI証券の渡辺純子サービス開発部長（筆者撮影）　一方、ロボアドバイザー最大手のウェルスナビでは異なる経緯をたどる。同社は不正アクセス問題が顕在化する以前から、パスキー導入を計画していた。「パスワードよりもセキュアで、ユーザー体験も良いため、当初から導入を計画していた」と、浦野勝由執行役員VP of Technologyは説明する。2024年11月に共通IDの認証基盤を導入した際も、パスキー対応を前提に技術選定を進めていたという。「今年の春先に証券業界で不正出金が社会問題化したタイミングで、先駆けてパスキーを導入できたのは良かった。ただ、元々はより良いユーザー体験を提供したいということが根底にあった」（浦野氏）。 [![](https://image.itmedia.co.jp/business/articles/2601/06/passkey_ks04.png)](https://image.itmedia.co.jp/l/im/business/articles/2601/06/l_passkey_ks04.png) ウェルスナビの浦野勝由執行役員VP of Technology（筆者撮影）　同じパスキー導入でも、その出発点は各社で異なる。不正アクセス対策として、急きょ導入に踏み切った会社やガイドライン対応を迫られた会社、そしてユーザー体験向上の一環として以前から準備を進めていた会社。この出発点の違いが、各社の戦略に色濃く反映されている。 [パスキーとは何か――「秘密鍵」という新しい認証](https://www.itmedia.co.jp/business/articles/2601/06/news006_2.html) [PAGE 2](https://www.itmedia.co.jp/business/articles/2601/06/news006_2.html) ## パスキーとは何か――「秘密鍵」という新しい認証　パスキーの本質とは何か。ウェルスナビの浦野氏は、「パスワードは秘密の文字列、パスキーは秘密鍵。デジタルな電子的な鍵である」と説明する。　分かりやすく例えるなら、証券会社の口座は「家」、パスキーは「家のドアの鍵」だ。家に入るには必ずこの鍵が必要で、鍵はスマートフォンの中に保管されている。スマホから鍵を取り出すには、スマホの機能を使った顔認証や指紋認証が必要になる。つまり、ログインするにはパスキーを保存したスマホが手元にあり、かつ生体認証を通過しなければならない。 [![](https://image.itmedia.co.jp/business/articles/2601/06/passkey_ks05.png)](https://image.itmedia.co.jp/l/im/business/articles/2601/06/l_passkey_ks05.png) パスキーの仕組み（Geminiを用いて筆者作成）　この仕組みがフィッシング詐欺に強い理由はこうだ。従来のパスワードは、いわば「合言葉」になる。偽サイトで合言葉を聞き出されてしまえば、攻撃者はその合言葉を使って本物のサイトに侵入できる。一方で、パスキーは物理的な鍵に近い。偽サイトに誘導されても、鍵そのものはスマホの中から出ていかないのである。　また、パスキーは秘密鍵を保管するパスワードマネージャーとセットで使うことが前提となっている。AppleのiCloudキーチェーンやGoogleパスワードマネージャーがその役割を担う。「ユーザーが何かを覚えておく必要がなく、スマートフォンの生体認証でロックを解除するという操作以外、負荷がほとんどない」と浦野氏は説明する。　パスワードマネージャーを使うもう一つのメリットが、クラウド同期である。パスキーがクラウド上に保存されるため、機種変更をしても引き継がれる。従来の認証アプリでは、機種変更や端末紛失時に「ログインできなくなった」という問い合わせが各社のサポート窓口に寄せられていた。そのため、「カスタマーサポートの負荷も相当高かった」と浦野氏は振り返るが、クラウド同期により、この問題は解消される。　ただし、生体認証を使うことへの不安を感じるユーザーもいる。「生体情報が、証券会社に送られるのではないか」という声が各社に寄せられているという。だが、生体認証はあくまで端末内の秘密鍵を使う「許可」を得るためのもので、生体情報そのものがサービス提供者に送られることはない。 [![](https://image.itmedia.co.jp/business/articles/2601/06/yk_os_pass03.png)](https://image.itmedia.co.jp/l/im/business/articles/2601/06/l_yk_os_pass03.png) SBI証券ではパスキーを設定しても、従来通りパスワードでのログインも可能だしかし楽天証券は発行できるパスキーを1つに制限している。「何台でも使えるようにしたら利便性は上がるが、利便性が目的ならパスキーを入れる必要はない」（楽天証券の平山氏） [「Not Allowed Error」しか返ってこない](https://www.itmedia.co.jp/business/articles/2601/06/news006_3.html) - [ ID管理を怠るとどうなる? 認証/アクセス管理を強化するための5つの方法 ](https://wp.techtarget.itmedia.co.jp/contents/95018) - [ AI導入によるセキュリティリスクを排除、設計段階からAIの安全性を担保する方法 ](https://wp.techtarget.itmedia.co.jp/contents/95135) Special PR ## アイティメディアからのお知らせ - [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL) Special PR あなたにおすすめの記事 PR ![__ALT__](https://image.itmedia.co.jp/business/images/pushone/icon_business.png) ## ITmedia ビジネスオンラインのおすすめ記事をお届けします ✔