証券口座乗っ取りで注目が高まったパスキー、次に取り組むのはデジタルクレデンシャル - FIDOアライアンス説明会

パスワードレスで認証が可能な「パスキー」などの仕様策定、普及促進を図るFIDOアライアンスは、パスキーの現状と今後の取り組みに関する説明会を開催した。証券会社の不正ログインに端を発した問題で、国内でもパスキーに対する注目度が増しており、これを機に日本でのさらなる普及を図りたい考えだ。

さらにFIDOアライアンスは、今後デジタルIDウォレットに向けたパスキーの新たな取り組みを開始したことも表明している。これは、「デジタルクレデンシャル」の採用を促進するために、パスキーの技術を応用しようというもので、グローバルで相互運用が可能なデジタルIDウォレットのエコシステム確立に貢献していくことを目指している。

説明会に参加したFIDOアライアンスのメンバー。写真左から、ボードメンバーでFIDO Japan WG副座長・メルカリ執行役員CISO市原尚久氏、同LINEヤフーID会員サービスSBU IDユニットユニットリード伊藤雄哉氏、執行評議会・ボードメンバー兼FIDO Japan WG座長・NTTドコモチーフセキュリティアーキテクト森山光一氏、エグゼクティブディレクター兼CEOアンドリュー・シキア氏、チーフ・マーケティング・オフィサーのメーガン・シャーマス氏、APACマーケット開発シニアマネージャー土屋敦裕氏

証券口座乗っ取りで大きく普及したパスキー

FIDOアライアンスは2013年に設立。日本では2015年にNTTドコモが対応を発表するなど、比較的早い段階から取り組みが進められてきた。当初のFIDOからFIDO2へと進化し、Web標準化団体W3Cと開発したWebAuthn技術と融合した「パスキー」が2022年に登場。機能と利便性が大幅に向上したことで普及が拡大した。

2013年に登場したFIDO認証。公開鍵暗号方式を採用し、フィッシング耐性を重視していた

日本では、2025年になり証券口座に対する不正アクセスによって7,000億円を超える被害が発生した。金融庁や業界団体の日本証券業協会が監督指針やガイドラインを改定し、「重要な操作時におけるフィッシングに耐性のある多要素認証の実装必須化」が定められた。その“フィッシングに耐性のある多要素認証”の一例がパスキーで、証券会社では急遽パスキーの導入が進んだ。

日本では、証券口座の乗っ取り事件が発生し、大きな被害が発生したことから、証券業界におけるパスキー採用が進んだ
この問題では、FIDOアライアンスは警察庁／金融庁／デジタル庁／日本証券業協会／日本クレジット協会とも協力してきた

さらに日本証券業協会は、FIDOアライアンスの「リエゾンパートナープログラム」に参加しており、FIDO Japan ワーキンググループ（WG）の一員として普及促進などに関して活動していくことになった。結果として、Japan WGの参加社・団体数は64社・団体となったそうだ。

結果として多くの証券会社がパスキーへの対応を進めている
日本証券業協会はFIDOアライアンスのリエゾンパートナーシップを締結

こうした状況下で、国内におけるFIDO認証を受けてパスキーを展開している、または展開予定の事業者数は55社に達した。昨年の時点では28社だったので、ほぼ倍増となる。これ以外にもパスキーを採用した事業者はあるため、さらに多く導入が進んでいるというのが日本の現状だ。

証券会社以外でパスキー導入を進めた事業者の例
すでに導入している事業者の一部
FIDO Japan WGメンバーの数も拡大
FIDOによる認証を受けたパスキー導入事業者は55に達した

ここまで順調に利用を拡大してきた

パスキーの歴史を振り返ると、世界的に初めて導入したのはPayPalとドコモだったという。その後、対応サービスが順次拡大し、パスキーに対応したアカウント数は2023年には70億を突破、2024年には150億アカウントに達した。実際に利用されているパスキーの数でも、2025年で30億を突破したという。2022年の登場以来、「ゼロからわずか3年足らずで30億を超えた」とFIDOアライアンスのエグゼクティブディレクター兼CEOであるアンドリュー・シキア氏は胸を張る。

2022年からスタートしたパスキーは、順調に利用を拡大してきた

パスキーが登場した頃の世界各国の規制では、パスワードを前提として、いかにリスクを下げるか／要素を追加するかといったことに焦点を当てていたが、パスキーの登場でこうした規制が変化してきた。米NIST（国立標準技術研究所）はガイドラインでパスキーに言及し、欧州でもENISAが多要素認証でパスキーを提示。台湾でも金融監督委員会でパスキーに触れられている。日本では、デジタル庁や金融庁が推奨しているのがパスキーだ。

米NISTのガイドライン、英国や豪州の政府サービスでのログインなど、各国でパスキー利用が推奨されてきている
世界の金融機関での利用状況

すでに一部の国では、電子政府・電子行政のログインにおいてパスキーが採用されている。シキア氏によれば、オーストラリア／英国／ドイツ／米国／韓国／台湾などがその例。グローバルでは金融機関でのパスキー採用も拡大しており、今年に入ってCHASE、U.S. Bankなどが導入。「2026年にはさらに増える」とシキア氏は強調する。

FIDOアライアンスのアンドリュー・シキア氏

パスキーの普及が一定規模になって導入事業者の情報が集まってきたこともあり、FIDOアライアンスはパスキーに関するさまざまな情報を提供する「パスキーセントラル」に加えて、パスキーにまつわる様々なベンチマークも掲載する「パスキーインデックス」も公開するようになっている。

パスキーインデックスにおける様々なベンチマーク

パスキーインデックスには、パスキー利用率の高い事業者の情報が集約されており、例えばパスキーでのログイン時間短縮率は73％、認証成功率は93％、ヘルプデスクへの問い合わせ減少率は81％になっているという。ちなみにここでは「スマートフォンにおけるパスキー利用率が5割を超えている日本の3社のデータ」が活用されている。これはドコモ／LINEヤフー／メルカリのことだそうだ。

この国内3社のデータでは、パスキー利用者は40代が最も多いものの、若者から50～70代まで、まんべんなく利用されており、男女差もあまりなかったことから、年齢、性別を問わず幅広い層で利用できるのがパスキーだという結果になっていた。

日本の3社のデータによるパスキー利用者の現状。若者だけに限らず、高齢者の利用も比較的多い

UI／UXの不安定さは解消に向かう

パスキーには課題もある。例えば現状、パスキーを提供しているサービスにおいてそのUI／UXが一定しておらず、ユーザー体験がバラバラになってしまっている。FIDOアライアンスのJapan WGで座長を務めるNTTドコモのチーフセキュリティアーキテクトである森山光一氏はこうした状況を認めつつ、その背景について、「パスキーという名称が定着する前から取り組みを開始していた企業」において当時のUI／UXがまだ残っているためだと説明する。

FIDOアライアンス Japan WG座長の森山光一氏

例えば、前述のとおりパスキーの導入で先行していたドコモは、アプリベースのFIDO認証を提供しており、これを2026年5月にも廃止することを発表したばかり。最近のパスキーでは、WebAuthnによってアプリベースの認証が不要になっており、こうした古い機能は順次標準的なUI／UXに置き換えられていく見込みだ。

FIDOアライアンスは、パスキーセントラルにおいてUXガイドラインも提供しており、こうしたベストプラクティスなどの情報を参照することで、ユーザー体験を高めてパスキーを導入できるとしている。

将来のデジタルIDウォレット時代に向けてパスキーが貢献

こうした中で、新たにFIDOアライアンスが取り組もうとしているのが「デジタルクレデンシャル」だ。同アライアンスはワーキンググループを設置してこの課題についての議論を開始しており、今後の検討を進めていく。これは、今後普及していくとみられている「検証可能なデジタルクレデンシャル」や「デジタルIDウォレット」の採用促進を目標とした取り組みだという。

FIDOアライアンスの新たな取り組みがデジタルクレデンシャル

シキア氏は、「2025年のかなりの時間を費やして、関係者に対してどのような課題があるか、FIDOアライアンスから提供できる価値に関して対話をしてきた」と話し、結果としてポジティブな反応だったことからこの領域への取り組みを開始したのだと説明する。

シキア氏は、デジタルクレデンシャルに関して「パスキーがユーザー認証で行っているのと同じ信頼性・シンプルさ・相互運用性を持って、個人が自身のデジタルクレデンシャルを安全に管理・提示・委任できる世界」だと話す。しかも標準化されてプライバシーを保護した方法で実現するのが重要だという。

日本ではマイナンバーカードがスマートフォンに保管されているが、同様に世界各国でデジタルIDウォレットの開発が進められている。特に欧州では「EUデジタルIDウォレット」という形で2026年末までに欧州各国で最低1つのウォレットが提供されることになっている。

こうしたウォレットによって運転免許証やパスポート／国民IDカード／健康保険証／学生証など、様々な物理カードがデジタルで保管されるようになり、モバイル端末から必要な情報だけを共有して本人確認や様々な取引が行えるようになる。

シキア氏はこうした現状において、「エコシステムが分断されており、信頼・セキュリティ・相互運用性に関する課題がある」と指摘。この中でFIDOアライアンスはパスキーの開発と採用で培った世界中の企業や政府、パートナーとの協力を生かして普及に向けた取り組みを実施するという。

デジタルクレデンシャルにおける課題は、複数の関係者やステークホルダー、認定プログラムの欠如などの断片化の問題
これまでFIDOアライアンスがパスキーで取り組んできたアプローチがここで貢献できるとしている

シキア氏は、パスキーとデジタルクレデンシャルのアーキテクチャが類似している点を示しつつ、デジタルクレデンシャルのアーキテクチャでは複数のクレデンシャルフォーマットとプレゼンテーションプロトコルをサポートしていると説明。これは、mDL/mdoc、SD-JWT、VC（Verifiable Credentials）などのクレデンシャルを保管し、それを提示するためのプロトコルもOpenID4VP、HAIP、ISO/IEC 18013-7といった複数が用意されているということ。こうしたフォーマットやプロトコルとの連携を行っていく。

パスキーとデジタルクレデンシャルのアーキテクチャは類似しており、そこにFIDOが貢献できる領域がある

その中でEMVCo／ISO／OpenID Foundation／W3Cなどのパートナーと協力し、3つの取り組みを進めていく方針。取り組みの1つ目はウォレット認定で、デジタルIDウォレットの安全性、プライバシーの保護、発行者やサービス事業者との相互運用性を確保するための認定基準を策定する。

2つ目の仕様策定に関しては、ISOやOpenID Foundationなどの標準化団体などによる既存のプロトコルやフレームワークを補完し、デバイス間で認証情報を提示するための仕様を策定する。これはパスキー向けの「CTAP」を基盤とした、複数端末間でクレデンシャルを提示するための新しいプロトコルで、「FIDOのCTAPは、もともとパスキー用に設計されたが、複数端末間のユースケースにおいてデジタルクレデンシャルの用途でも機能する」とシキア氏は言う。

このCTAPは、パスキーにおいてハイブリッドと呼ばれるユースケースで使われており、例えばパスキーを設定していないPCでログインしようとするとQRコードが表示され、パスキーを登録したスマートフォンなどでQRコードを読み取ってパスキー認証を実施すると、PC側でログインができるようになる、という機能だ。PCとスマートフォンをBluetoothで接続し、デバイス同士が近傍にあることを認証することで、QRコードを撮影して外部に送信されたとしてもリモートログインを防ぐことができる。これがデジタルクレデンシャルにも応用できる、というわけだ。