今、セキュリティ強化は最重要課題!認証技術の最前線
これまで主流であったパスワード認証を悪用した情報漏えいや詐欺被害は増加の一途をたどっています。証券業界では、フィッシング詐欺による証券会社の顧客口座乗っ取り被害が多発したことを受け、金融庁が2025年7月に「金融商品取引業者等向けの総合的な監督指針」の改正案を公表し、多要素認証の実装および必須化の方針を打ち出しました。日本証券業協会でも、多要素認証の設定を必須化する動きがみられています。このように、今後ますますセキュリティ基準が厳格化し、安全性の高い認証技術の導入が進むと考えられます。今回は、パスワード認証を中心としたセキュリティ課題と新たな認証技術をご紹介いたします。
目次
1.認証技術とは?
認証技術とは、システムやサービスを利用するユーザーの本人確認やアクセス権限を確認する技術のことを指します。この認証技術により、不正アクセスや情報の漏えいを防ぎます。
現在利用されている主な認証方式には、大きく分けて「知識認証」「所有物認証」「生体認証」があります。下記、それぞれについて簡単に説明します。
- 知識認証
ユーザーだけが知っている情報に基づいた認証方法です。導入しやすい反面、情報漏えいのリスクは高いため、多要素認証との組み合わせによるセキュリティ強化が必要です。
例)パスワード、秘密の質問、PINコード など
- 所有物認証
ユーザーが「所有しているもの」を利用して認証をします。パスワードのように忘れたり推測されるリスクを軽減できますが、認証機器を紛失すると認証できなくなる恐れがあります。
例)ICカード、ワンタイムパスワード、アプリ認証、SMS認証 など - 生体認証
ユーザー自身の生体特徴から本人確認を行います。知識認証や所有物認証に比べて、複製が困難なことからセキュリティレベルが高いとされています。
例)指紋、顔、虹彩、静脈 など
2.パスワード認証の問題点と対応策
パスワード認証は、ユーザーがログインする際に、事前に設定しておいたIDとパスワードを入力することで認証を行うことです。導入のしやすさから、これまでさまざまな場面で使われてきた認証方法です。
一方で、多くのセキュリティリスクも抱えており、パスワードの管理方法や運用方法によって、サイバー攻撃による情報漏えいにつながりやすいことも指摘されています。サイバー攻撃を受けた事例として、複数サイトでのパスワードの使いまわしや安易なパスワード設定が原因として挙げられています。ユーザーがパスワードを記憶しておく必要があることや、忘れてしまった際に再設定の手間がかかることなど、ユーザーへの負担もかかります。
最近では、パスワード認証におけるセキュリティ面の問題を解決するために、下記のような方法が取り入れられています。
- 類推されにくいパスワード設定
文字数の種類と使用文字を多くする、IDと同じ単語を使わない、パスワードマネージャーによる自動生成などが推奨されています。使用文字を複雑にすることで、類推されにくい強いパスワードをつくり、不正アクセスの防止につなげます。
- 多要素認証
本人認証をする際の認証要素(知識・所有物・生体)のうち、2つ以上の異なる要素を組み合わせる認証方法です。認証要素が2つの場合は2要素認証、3つの場合であれば3要素認証と言われます。
たとえパスワードが漏えいしたとしても、他の要素による認証がないとログインできないため、パスワード認証のみよりもセキュリティを強化することができます。各業界のセキュリティガイドラインでも多要素認証の導入が求められています。 -
ログイン通知機能の活用
万が一、不正ログインがあった際に通知をするアラート機能やログイン履歴の確認も有効です。通常のアクセスと異なるデバイスや場所からのアクセスがあった場合に、メールで通知されるように設定しておくことで、不正なアクセスに早期に気がつくことができます。
3.パスワードレス認証
パスワード認証の問題点に対して、パスワードを使わずに認証をするパスワードレス認証が広がっています。パスワードレス認証は、ログインの際に生体認証や認証器などのセキュリティキーを設定することで認証する仕組みです。パスワードを使用しないため安全性が高く、情報漏えいの心配が少ないことや、パスワードの管理が不要なことからユーザビリティの向上にもつながります。また、フィッシングへの耐性が強いというメリットもあります。
ここから、パスワード認証の種類についてご紹介します。
引用元:
3-1.ワンタイムパスワード(OTP)
ワンタイムパスワード(以下、OTP)は、一度限り有効なパスワードで、一定時間が過ぎると無効になるため、従来のパスワードに比べてセキュリティが高いとされています。
認証は、専用機器のハードウェアトークン、スマートフォンアプリ、メールやSMS、電話などを通じてOTPを受け取り、それを入力することで完了します。利便性の高さから、金融機関やオンラインサービスを中心に導入されています。多要素認証の一要素として他の認証方法と組み合わせて利用されることも多い認証方法です。
しかし、最近では「リアルタイム・フィッシング攻撃」と呼ばれる手口により、フィッシングメールなどで送られた偽サイトを通じて、OTPがリアルタイムで盗まれる被害も発生しています。対策として、アクセス時にはメールのURLからではなく公式Webサイトやアプリからログインすることが推奨されています。また、OTPに絵文字を使う方法も利用が進められています。利用者はSMSやメールなどで届く絵文字OTPをログイン画面上で表示される絵文字から選ぶことで認証が完了するという方法です。絵文字は直接入力が困難であることや、推測不能であることなどから不正アクセス防止につながる技術として注目されています。
引用元:
株式会社日本金融通信社:バンクガード、スーパーOTPの採用拡大 導入会社は2年超、被害ゼロ
3-2.生体認証
生体認証は、ユーザーの身体的特徴(指紋、顔)を利用して行います。デバイスなどを持ち歩く必要がなく、なりすましが困難なことから、利便性やセキュリティ強度が高いというメリットがあります。
具体的な例として、指紋認証はスマートフォンやPCのロック解除に、顔認証はオフィスの入退出管理などで利用されています。
3-3.マジックリンク
マジックリンクは、ユーザーがログインをする際にメールアドレスやSMSに送られてくる1回限りのURL(リンク)をクリックすることで認証を完了する認証方式です。パスワードが不要であるためユーザーの利便性が高くなることや、パスワードの不正利用によるサイバー攻撃に強いというメリットがあります。デメリットとして、マジックリンクを装うメールの偽のURLにアクセスすることで情報を抜き取られる場合があったり、メールアカウントが不正アクセスにより乗っ取られてしまうことでログインをされてしまうという脆弱性があります。
3-4.パスキー認証
パスキーはFIDO(ファイド)認証に基づいています。FIDO認証とは、Fast IDentity Online(素早いオンライン認証)の略で、公開鍵暗号方式により公開鍵と秘密鍵のペアキーを使ってデバイス上で整合性の認証を行うものです。秘密鍵で暗号化したデータはペアキーとなる公開鍵でしか復号化できないため、安全性が高いと言われています。
サイトのドメイン情報も認証の一部となるため、偽サイトに誘導されてパスワードが漏えいする「フィッシング詐欺」にも対応することができ、高いセキュリティを保ちます。
パスキーはさらに使いやすく進化しています。従来のFIDO認証では、認証情報がデバイスに保管されていたため、デバイスの変更に伴い再登録が必要でした。パスキーでは、クラウドサービスを通じて複数のデバイス間で認証情報を同期できるため、デバイスを変えても認証情報にアクセスできるようになりました。
現在パスキーを導入している企業は、Apple社、Microsoft社、Google社の他、国内ではLINEヤフー社、NTTドコモ社、メルカリ社、任天堂社などがあり、パスキーにしたことで認証時間の短縮や認証成功率の改善、フィッシング詐欺被害の減少につながったとしています。冒頭で述べた金融庁の指針に基づき、金融業界でもフィッシング耐性のある多要素認証としてパスキーの実装が広がっています。今後もパスキーを採用する企業は増加すると考えられます。
関連コラム
引用元:
4.次世代認証技術の事例
次世代の認証技術の開発も進んでいます。ユーザーの利便性と安全性の高さから、今後、活用が広がっていくと考えられます。いくつか、事例をご紹介します。
4-1.高度な生体認証(日本電気株式会社・株式会社日立製作所)
高度な生体認証とは、セキュリティレベルが高い生体認証技術を用いることで、なりすましが困難になると同時に、操作性・認証の迅速さなどの利便性を備えたサービスのことです。
NEC社(日本電気社)では顔・虹彩・指紋・掌紋・指静脈・耳音響を利用した生体認証サービスの提供とそれら複数の生体認証を組み合わせたマルチモーダル生体認証の導入が進められています。
2025年4月から日本の国際空港(東京国際空港、関西国際空港、成田国際空港)の一部で顔認証技術を活用したウォークスルーゲートが取り入れられました。入出国時の手続きをスムーズにすることで利用者の利便性を高め、業務効率化につなげる狙いがあります。
日立製作所社が開発した公開型生体認証基盤(PBI)では、生体認証技術と公開鍵認証の技術を組み合わせています。そのため、生体情報を一度登録することで複数サービス間で共通して利用できることや、公開鍵認証で生体情報の高度なプライバシー保護にもつながります。
引用元:
4-2.行動的生体認証(株式会社みずほ銀行)
行動的生体認証とは、人の行動特性をAIが分析して認証する技術です。歩行、キーボード操作、マウス操作、スマートフォン操作の際の癖や傾向が用いられます。行動特性は模倣が難しく、利用者が追加で操作をする必要がないという利点があります。また、ログインからログアウトまで継続して認証を続けるため、たとえフィッシング詐欺などで他者が操作した場合でも、その行動特性から即時に判断して操作を中止することができます。一方で、本人であっても状況によって誤認定となる可能性もあり、各社で実証実験が進められています。
みずほ銀行社では、2020年にSCSK社と共同でBioCatch社の行動的生体認証技術を用いた実証実験を行っており、金融詐欺防止のための精度の高い技術として注目を集めています。
引用元:
株式会社みずほ銀行:行動的生体 AI 認証技術を用いた金融詐欺の防止に関する共同実証実験の開始について
4-3.分散型ID(石川県)
分散型IDとは、ブロックチェーンや分散型台帳技術(DLT)などの技術を用いて個人が自身のID情報をコントロールし、必要に応じて共有する仕組みのことです。従来の企業や政府による集中型のID管理では適切でない管理による情報漏えいや不正利用などの被害が発生していましたが、分散型IDではこれらを防ぐことができます。
石川県ではデジタルIDの発行に分散型IDの技術を用いた「SHIKI」を導入しています。県内の行政サービスや民間サービスと連携しているため、利用者はスマートフォン上で各種申請や届出のオンライン手続きをすることができ、今後は図書館をはじめとする公共施設の会員証、デジタル地域通貨の管理ができるようになる見込みです。県民自身が安全に情報を利活用できる仕組みが進んでいます。
引用元:
いしかわポータル:『いしかわポータル』の本人確認で利用可能なスマホアプリ『SHIKI』
4-4.リスクベース認証(三井住友カード株式会社・楽天証券株式会社)
リスクベース認証では、ユーザーのアクセス状況や行動パターンを分析し、そのリスクレベルに応じて認証強度を調整する認証方式です。ユーザーがログイン時の利用デバイス情報、位置情報、時間帯、IPアドレスなどから、通常と異なると判断された場合には、生体認証などの追加認証が求められます。ユーザーの利便性向上と不正アクセスやなりすましを未然に防ぐ方法として、インターネットバンキングやオンラインショッピングを中心に導入が進んでいます。
EMV3–Dセキュア(3Dセキュア2.0)は、ネットショッピングでクレジットカード決済を行う際に、リスクベース認証を用いて不正アクセスを防ぐ認証方法です。経済産業省の「クレジットカード・セキュリティガイドライン」により、クレジットカード会社およびすべてのEC加盟店には、2025年末までにEMV3–Dセキュアの導入が義務付けられ、各社の対策が進められています。
三井住友カード社では、EMV3–Dセキュア(3Dセキュア2.0)を導入することで、不正利用のリスクがある場合のみ認証が求められるため、オンラインで決済する度に認証が求められる手間が省け、ユーザーの利便性が高まりました。
楽天証券社では、リスクベース認証の追加認証に電話番号(フリーダイヤル認証・SMS認証)を採用しており、不正なアクセスが検知された場合、登録している電話番号から指定のフリーダイヤルに電話をかけることで認証が完了します。これにより、ログイン後の第三者による不正操作を防ぐことを目指しています。
引用元:
三井住友カード株式会社:クレジットカード決済の3Dセキュアとは?
5.まとめ
ここまで、様々な認証技術について紹介してきました。今後、社会の変化や高精度な認証技術の開発により、パスワードや認証カードなしでも本人認証ができるサービスが増えてくると考えられます。これに対して、企業・個人ともに早期の対策が重要となります。そうすることで、安全性の確保と業務効率化、ユーザー満足度の向上につながることでしょう。当社では金融業を中心としたお客様を中心にセキュリティ対応についてもご提案しています。ぜひお気軽にお問合せ下さい。
関連コラム
執筆者
.png)
