[事例ニュース]

2026年2月2日(月)日川 佳三、河原 潤（IT Leaders編集部）

リスト

　金融業界では、IDとパスワードの組み合わせによる従来の認証方式に対し、フィッシングサイトへの誘導や不正ログインによる実被害が深刻化している。その実態を受けて、金融庁と日本証券業協会は2025年7月にインターネット取引におけるセキュリティ対策を強化するための改正案（「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正について）を公表。フィッシングに耐性のある多要素認証の実施と必須化を求めている。

　「現在多くの証券会社が多要素認証を導入しているが、依然としてリスクが残るため、パスキー認証などのより安全性の高い認証機能の導入が求められている」（富士通）。

　SMBC日興証券では、これまでもフィッシングサイトへの誘導や不正ログインに対するセキュリティ対策を講じてきたが、顧客の利便性を損なうことなく、より強固な本人確認手段を導入することが喫緊の課題となっていた。

　今回、取り組みの一環で、個人顧客向けWebサービスのオンライン取引において、パスキー認証を用いたオンライン生体認証サービスの運用を開始した。富士通が提供する、国際標準規格のFIDO2に準拠したパスキー認証サービスを導入して仕組みを構築している。富士通が用意するSDK（ソフトウェア開発キット）により、約5カ月で導入を完了させている（図1）。

図1：SMBC日興証券が導入したオンライン生体認証サービスの概要（出典：富士通）
拡大画像表示

　パスキー認証は、ID/パスワードの代わりにスマートフォンの生体認証（顔、指紋など）やPINコードを用いてログインする認証方式である。パスワード認証や2段階認証よりフィッシング詐欺への耐性が高く、パスワード管理の負担を解消しながら、スムーズで強力なセキュリティを確立できる（図2）。

図2：パスキー認証の仕組み（出典：富士通）
拡大画像表示

　なお、FIDO2は、非営利団体のFIDO（Fast IDentity Online）アライアンスが提唱する技術仕様に基づく認証方式である。FIDO2準拠の生体認証器（アップル製デバイスの指紋認証「Touch ID」および顔認証「Face ID」、Windows標準の顔認識/指紋認証「Windows Hello」など）を使い、公開鍵暗号方式を用いたチャレンジ＆レスポンス型の認証によって、パスワードを入力することなく本人を認証する。