コンテンツへスキップ

ある調査によると、盗まれた認証情報は、あらゆる業界において依然として初期侵入経路の上位2つの一つとなっている。 2026年ベライゾン・データ侵害調査報告書—また、デジタル口座を通じて金融サービスへの直接的なアクセスを提供する銀行においては、口座乗っ取り詐欺、クレデンシャルスタッフィング、リアルタイムのフィッシング攻撃が、依然として大規模に横行し続けている。.

規制当局の対応は明確である。PSD3およびPSR1はEU加盟国全体で積極的に導入が進められており、DORAも施行されている。また、EU、米国、アジア太平洋地域の規制当局は、「フィッシング耐性のある認証」という単一の要件に向けて足並みを揃えつつある。.

FIDO2パスキーは、現在、その基準を満たすための最も明確な道筋となっています。しかし、議論はパスキーだけで終わるわけではありません。量子コンピューティングの台頭により、現在の認証アーキテクチャの暗号学的基盤は長期的な脅威に直面しており、先見の明のある金融機関は、今からその対策を講じておく必要があります。 本記事では、銀行業界におけるFIDO2パスワードレス認証の仕組み、PSD3およびPSR1の要件、そしてポスト量子暗号をロードマップに組み込むべき理由について解説します。さらに、貴機関の現状を評価するための8つの質問もご紹介します。.

なぜ銀行取引において、パスワードだけでは不十分になってしまったのでしょうか?

現代の銀行詐欺では、パスワードだけを標的とするケースはめったにありません。攻撃者は、パスワードを軸に構築されたシステムを悪用します。例えば、リアルタイムのフィッシングプロキシは、ユーザーがSMSで送信されたワンタイムコードの入力を完了する前にそれを傍受し、SIMスワップ攻撃は認証メッセージを攻撃者が制御する端末に転送し、ヘルプデスクの受付窓口でのソーシャルエンジニアリングは、一次認証を完全に迂回します。 共有秘密鍵に基づく認証は、ポリシー制御だけでは塞ぎきれない攻撃対象領域を生み出してしまう。.

なぜ銀行は、認証情報攻撃にとって特に狙われやすい標的となるのでしょうか?

アカウント乗っ取り詐欺は、デジタルバンキングにおける依然として最大の脅威となっています。クレデンシャルスタッフィングツールは、過去に流出した数十億件ものユーザー名とパスワードの組み合わせを、自動化されたキャンペーンを通じて銀行のポータルサイトで試行しています。 多要素認証(MFA)によってセキュリティ水準は向上しましたが、すべてのMFAが同等の効果を持つわけではありません。SMSによるワンタイムパスワード(OTP)やプッシュ通知は依然としてフィッシング攻撃の対象となり得ます。攻撃者がユーザーを騙してリアルタイムのプッシュ通知を承認させれば、その認証フローにおける第2の要素が何であれ、攻撃者はアクセス権を取得できてしまうのです。.

FIDO2パスキーは、ポリシーレベルではなくアーキテクチャレベルでこの問題に対処します。共有秘密鍵を排除し、認証情報を特定の信頼先(RP)ドメインに紐付けることで、フィッシング攻撃を経済的に成立させる仕組みそのものを排除します。つまり、傍受・中継・再送信の対象となるものが一切存在しなくなるのです。.

銀行業界において、FIDO2のパスワードレス認証はどのように機能するのでしょうか?

FIDO2は、によって開発されたオープンな認証規格であり、 FIDOアライアンス W3Cとの協力のもと。そのWebAuthn仕様により、ブラウザやアプリケーションは、パスワードの代わりに暗号化された認証情報(パスキー)を使用してユーザーを認証できるようになります。.

ユーザーがパスキーを登録すると、デバイスは公開鍵と秘密鍵のペアを生成します。秘密鍵はデバイス外に出ることは決してなく、銀行が保存するのは公開鍵のみです。認証の際、銀行がチャレンジを送信すると、デバイスは秘密鍵でそれに署名し、銀行がその署名を検証します。 秘密情報は一切送信されません。また、各認証情報は特定のドメインに暗号的に紐付けられているため、フィッシングサイトでは使用できません。たとえそのサイトが、正規の銀行ポータルサイトとピクセル単位で完全に一致する見た目の複製であったとしてもです。.

パスキーとハードウェアセキュリティキー:あなたの銀行に最適な選択肢は?

パスキーには主に2つの形式があります。 同期型パスキーは、AppleのiCloudキーチェーンやGoogleパスワードマネージャーなどのプラットフォームエコシステムを通じて、ユーザーのデバイス間で複製されます。これらは復旧を簡素化し、一般の小売顧客に適しています。一方、デバイス紐付け型パスキーは単一のデバイスに紐付けられ、外部へエクスポートされることはありません。これにより、特権アクセス、法人向け銀行サービス利用者、または高額な取引フローに対して、より高いセキュリティが確保されます。.

最高レベルの保証が求められる組織(法人向け銀行業務、特権管理者、あるいはユーザーのメインデバイスからの分離が義務付けられている環境など)にとって、ハードウェアセキュリティキーは、インターネットに接続されることなく、使用のたびにユーザーの物理的な存在確認が必須となる専用の認証手段を提供します。RSA iShield Key 2シリーズ FIDO2認定のハードウェア認証機能を提供し、以下と連携します RSA ID Plus クラウド、ハイブリッド、オンプレミスの各環境を横断して、銀行が単一のプラットフォームから、ユーザー層ごとに最適な認証手段を導入できるようにします。.

RSAは、自社のグローバルな従業員全体に「FIDO2」パスワードレス認証を導入し、12か月以内に管理対象のエンドポイントにおいてほぼ完全な導入を達成しました。レガシーシステムの依存関係の対処方法や企業規模での変更管理など、その全容については、以下の インサイドRSAFIDOとパスワードレス・ソリューションの大規模展開 FIDOアライアンスと共同で作成された事例研究。.

FIDO2はPSD3およびPSR1に準拠していますか?

FIDO2は、正しく実装されれば、PSD2の「強力な顧客認証(SCA)」要件を満たすことができます。認証デバイスが「所有」要素を提供し、生体認証またはPINが「固有性」または「知識」要素を提供します。 特定の取引金額や受取人に認証を紐付ける「動的リンク」をFIDO2のフローに組み込むことで、本人認証と支払い承認の両方を網羅した完全なSCAソリューションを実現できます。.

PSD3/PSR1の導入により、銀行認証にはどのような変化が生じるのでしょうか?

PSD3およびその関連規制であるPSR1は、2025年に政治的な合意に達し、現在積極的に実施が進められており、移行期間は2027年および2028年まで及んでいます。認証チームにとって最も重要な変更点は3つあります。 第一に、PSD3/PSR1では、フィッシング耐性のあるSCA(強固な顧客認証)に対する要件が強化されており、PSD2の基本的な2要素認証モデルから、傍受や中継が不可能な方式へと移行しています。第二に、フィッシング耐性のある認証手段が利用可能であったにもかかわらず導入されていなかった場合、銀行は不正利用の発生時により重い法的責任を負うことになります。 第三に、金融機関は、主要な認証方法を利用できないユーザーに対して、代替の認証方法を義務的に提供しなければならず、単一の方法による導入ではなく、複数の認証手段を組み合わせたアーキテクチャが求められます。.

デバイスに紐付けられたパスキーやハードウェアセキュリティキーを用いたFIDO2は、PSD3/PSR1の指針と完全に整合しています。すでにFIDO2を導入している金融機関は、コンプライアンスの証明や、規制当局から求められるアクセス審査記録および監査文書の作成において、より有利な立場に立つことができます。. RSAガバナンスとライフサイクル アクセス審査記録やコンプライアンス報告書の作成を自動化し、監査準備にかかる時間を数週間から数時間に短縮します。.

なぜ今、ポスト量子暗号が銀行の認証において重要なのでしょうか?

現在の非対称暗号を破ることができる量子コンピューティングは、まだ市販されていません。しかし、計画段階の問題はすでに存在しています。「今収集し、後で復号する(harvest now, decrypt later)」として知られる攻撃戦略――量子技術が成熟した時点で復号することを目的として、現在暗号化されたネットワークトラフィックを収集する――は、すでに高価値な機関を標的とする高度な脅威アクターによって実行されています。 認証トラフィックや長期にわたる顧客データが継続的な関心の対象となっている銀行にとって、これは量子脅威が現実のものとなる前に対策を講じる必要がある、真のリスク要因である。.

「今すぐ取得、後で復号」という脅威とは何ですか?

TLS、デジタル署名、およびFIDO2認証操作の基盤となっている今日の標準的な公開鍵暗号は、従来のコンピュータでは大規模に解くことができない数学的問題に依存しています。 ショアのアルゴリズムを実行できる十分な性能を持つ量子コンピュータがあれば、これらの問題を効率的に解くことができ、現在の標準に基づいて暗号化されたあらゆるデータを遡及的に解読できてしまう可能性があります。認証関連データを保存または送信する組織は、高度な攻撃者が将来の復号化に向けて、すでにそのデータをアーカイブしている可能性があることを想定すべきです。.

NISTのポスト量子基準と銀行の今後の道筋

2024年8月、, NISTは、ポスト量子暗号に関する最初の3つの規格を最終決定した: ML-KEM(格子ベースの鍵カプセル化)、ML-DSA(格子ベースのデジタル署名)、およびSLH-DSA(ハッシュベースの署名)――これらはすべて、古典的攻撃と量子攻撃の両方に対して安全であるように設計されています。 FIDOアライアンスは、PQCアルゴリズムをFIDO2規格に組み込むべく積極的に取り組んでおり、これにより、量子コンピューティングが進歩しても、パスキーやハードウェアセキュリティキーがフィッシング攻撃に対する耐性を維持できるようになります。.

RSA ID Plusは、ハイブリッドおよびオンプレミス展開に対応しており、PQC規格がIDインフラストラクチャに組み込まれるにつれ、金融機関にアーキテクチャ上の柔軟性をもたらします。銀行は、単一の大規模な移行を行う必要はなく、今すぐ認証方法を強化し、FIDOアライアンスのPQC仕様が成熟するにつれて、量子耐性アルゴリズムを段階的に導入することができます。詳細はこちら RSAの完全なパスワードレス認証機能.

パスワードレス銀行戦略を評価するための8つの質問

これらの質問は、RSAのエンタープライズ導入実績および金融機関向けの現行の規制ガイダンスに基づいて作成されています。監査上の指摘事項となる前に、これらの質問を活用して課題を特定してください。.

  1. 登録、復旧、およびポリシーの各フローにおいて、主要なログイン経路だけでなく、すべてのパスワードの依存関係を把握していますか?

登録およびアカウント復旧のフローは、パスワードに依存する要素の中で最も見過ごされがちなものです。パスキーを導入する前にこれらを排除することは、真のパスワードレスアーキテクチャを実現するために不可欠です。.

  1. 現在ご利用の認証方法は、フィッシング対策を含むPSD3/PSR1のSCA要件を満たしており、決済承認のための動的リンク機能も備えていますか?

FIDO2はSCAの要件を満たすことができますが、コンプライアンスの可否は実装の詳細によって決まります。ログイン時の本人認証と、支払い承認時のトランザクション署名の両方が設定に含まれていることを確認してください。.

  1. 御社の認証アーキテクチャは、一般ユーザー、法人ユーザー、支店スタッフ、特権管理者など、異なるユーザー層にわたる複数の認証手段に対応できますか?

1つの認証方式だけでは、すべてのユーザーグループのニーズを満たすことはほとんどありません。マルチ認証アーキテクチャは、将来のアップグレードではなく、計画段階での要件です。.

  1. アカウント復旧のプロセスは、主要な認証方法と同じくらい堅牢なものになっていますか?

復旧プロセスは、フィッシング攻撃に対して耐性のあるアーキテクチャにおいても、しばしば最も脆弱な部分となります。ヘルプデスクの復旧プロセスにおけるソーシャルエンジニアリングは、よく知られた攻撃ベクトルです。.

  1. 認証サービスに関するICTの第三者契約は、可用性の保証、インシデント通知の期限、監査権など、DORA第30条の要件を満たしていますか?

認証サービスは、DORAにおいて重要なICTサードパーティサービスに該当します。2025年1月より前に締結された契約については、次回の監督審査までに契約内容の修正が必要となる場合があります。.

  1. 現在使用している認証スタックにおけるポスト量子リスクについて、評価は行いましたか?具体的には、どの暗号アルゴリズムが使用されており、どのアルゴリズムを移行する必要があるのか、確認しましたか?

これは、対応に追われるのではなく、計画的に行動できるだけの十分な時間的余裕がある今のうちに、着手すべき計画策定作業です。.

  1. 御社のアイデンティティ・プラットフォームは、運用レジリエンスおよびデータ居住要件への準拠のために、ハイブリッドまたはオンプレミスでの導入に対応していますか?

ハイブリッドフェイルオーバーを伴わないクラウド専用認証では、DORAの事業継続要件を満たせない可能性があります。ハイブリッド展開は、規制当局の期待としてますます重要視されています。.

  1. 御社のプラットフォームでは、DORA、PSD3/PSR1、および各国の規制当局による監査に必要なアクセス審査記録、インシデントログ、コンプライアンス報告書を自動的に生成することは可能ですか?

大規模な手動によるコンプライアンス報告は持続可能ではありません。認証プラットフォームを評価する際には、自動化を明確な選定基準とすべきです。.

RSA ID Plus これら8つの質問すべてに「はい」と答えられるように設計されています。. RSAのパスワードレス認証ソリューションをご覧ください いただくか、 相談を申し込む RSAのアイデンティティ・セキュリティチームと。.

パスワード不要の銀行サービスの推進

パスワードレスバンキングは、単なる単一の製品に関する決定ではなく、認証方法、アカウント復旧フロー、規制関連文書、サードパーティとの契約、そして長期的な暗号化計画にまで及ぶアーキテクチャの転換です。 FIDO2パスキーは、フィッシング対策、ドメインに紐付いた強力な暗号技術、そしてPSD3/PSR1およびDORAへの直接的な規制準拠という基盤を提供します。導入を成功させるには、これらすべての側面にわたる調整された計画が必要です。.

RSAは、自社の全世界の従業員を対象に「FIDO2」パスワードレス認証を導入し、その過程で生じたあらゆる統合上の課題、レガシーシステムへの依存、および変更管理上の障壁を詳細に記録しました。. RSAのパスワードレス機能をご覧ください, 、以下をお読みください RSAのエンタープライズ導入事例, あるいは 相談を申し込む 貴機関の準備状況を評価するために。.

パスワード不要の銀行取引に関するよくある質問
銀行における「パスワードレス認証」とは何ですか?

銀行業務におけるパスワードレス認証では、パスワードや共有秘密鍵の代わりに、機密データを送信することなくユーザーを認証する暗号認証情報を使用します。FIDO2パスキーは公開鍵・秘密鍵暗号方式を採用しており、秘密鍵はユーザーの端末から決して外部に持ち出されることがなく、銀行側は暗号署名を検証します。 認証情報はドメインに紐付けられているため、フィッシングや認証情報の再利用といった攻撃ベクトルが排除されます。.

銀行業務において、FIDO2パスキーはどのように機能するのでしょうか?

ユーザーがパスキーを登録すると、デバイスは公開鍵と秘密鍵のペアを生成します。秘密鍵はデバイス上に安全に保存され、外部へ持ち出されることはありません。 認証の際、銀行からチャレンジが送信され、端末は秘密鍵を用いてこれに署名を行い、銀行は保存されている公開鍵を用いてその署名を検証します。各認証情報は銀行のドメインに暗号的に紐付けられているため、フィッシングサイトでは使用できません。.

FIDO2はPSD3およびPSR1に準拠していますか?

FIDO2は、正しく実装されれば、PSD3/PSR1の「強力な顧客認証」要件を満たすことができます。デバイスに紐付けられたパスキーやハードウェアセキュリティキーは「所持」要素を満たし、生体認証やPINは「固有性」または「知識」要素を満たします。 支払い承認のための動的リンクは、FIDO2のフローに組み込むことができます。銀行は、自社の具体的な実装が本人認証と取引署名の両方を網羅していることを確認する必要があります。.

銀行における「同期済みパスキー」と「デバイス紐付け型パスキー」の違いは何ですか?

同期されたパスキーは、iCloud Keychain や Google Password Manager などのプラットフォームエコシステムを通じてデバイス間で複製されるため、利便性が向上し、セルフサービスによる復旧が可能になります。デバイスに紐付けられたパスキーは、単一の認証デバイスにのみ紐付けられ、外部へエクスポートされることはありません。これにより、特権アクセス、法人向け銀行取引、または高額取引において、より高いセキュリティが確保されます。.

ポスト量子認証とは何か、そしてなぜ銀行にとって重要なのか?

ポスト量子認証は、量子コンピューターによる攻撃に耐性を持つ暗号アルゴリズムを使用します。現在のFIDO2は楕円曲線暗号に依存していますが、十分な性能を持つ量子コンピューターであればこれを解読できる可能性があります。 「今収集し、後で復号する」という脅威は、攻撃者が将来の復号に備えて、暗号化された認証トラフィックをすでにアーカイブしている可能性があることを意味します。NISTは2024年8月、3つのポスト量子暗号(PQC)規格を最終決定しました。銀行は、認証のロードマップにPQCへの移行計画を今すぐ盛り込むべきです。.

DORAは銀行の認証要件にどのような影響を与えるのでしょうか?

DORAは、EUの金融機関に対し、サイバーインシデント発生時においても、認証サービスを含むICTシステムの業務継続性を維持することを義務付けています。認証プラットフォームは、可用性の保証、インシデント通知の期限、監査権限などを規定する、ICT第三者プロバイダーに関するDORA第30条の要件を満たさなければなりません。また、DORAでは、認証システムの可用性を網羅した包括的な監査ログおよび検証済みの事業継続計画も義務付けられています。.

PSD3/PSR1の導入により、強固な顧客認証に関してどのような変更があるのでしょうか?

PSD3およびPSR1は、PSD2のSCA要件を強化しており、フィッシング対策が施された認証に対する明確な要件、フィッシング対策が利用可能であったにもかかわらず導入されなかった詐欺事案における銀行の責任拡大、および代替認証手段の義務化などが盛り込まれています。移行期限は2027年および2028年まで延長されています。.

クラウドベースの認証ソリューションは、DORAの事業継続要件を満たすことができるでしょうか?

プラットフォームおよび契約が第30条の要件を満たしている場合、クラウドベースの認証はDORAの要件を満たすことができます。ハイブリッドフェイルオーバーを伴わないクラウド認証のみに依存している機関は、DORAが求める業務継続性を立証するのに苦労する可能性があります。 RSA ID Plusは、単一のプラットフォームからクラウド、ハイブリッド、オンプレミスの各認証をサポートしており、ハイブリッドフェイルオーバー機能により、クラウド接続が途絶えた場合でも認証サービスの可用性を確保します。.

デモをリクエスト

デモのお問い合わせ