DIGITAL Foresight 2025-26 Winter Review

INDEX
  • 多要素認証/NTTテクノクロス

もはや多要素認証も破られる時代
フィッシング耐性を高める現実解とは

証券口座の乗っ取りなど、「リアルタイムフィッシング」と呼ぶ新手のサイバー攻撃による被害が拡大している。パスワードに代わる認証として導入した多要素認証すら、リアルタイムフィッシングの前では無力化されてしまう。そのような時代に、どのような対策が有効なのか。そうした中、画面入力に頼らず、顔認証や指紋認証などのデバイス認証をWebサービスの認証に利用する「パスキー」が注目されている。パスキーのメリットと、導入・運用の課題を解決できるソリューションを探る。(聞き手:日経BP 総合研究所 上席研究員 菊池 隆裕)

リアルタイムフィッシングがもたらす新たな脅威

NTTテクノクロス
ビジネスイノベーション事業部/アシスタントマネージャ
井上 淳 氏

菊池 よく知る大手企業がランサムウエア攻撃により大きな被害を受けたり、証券口座が乗っ取られたりと、サイバー攻撃が続いています。現状の特徴を教えてください。

井上 最近の手口で特徴的なものが「リアルタイムフィッシング」です。利用者と正規のサイトのやり取りを全部フィッシングサイトが仲介するという手口です。画面に入力したものはすべてフィッシングサイトを経由しますから、IDやパスワードだけでなくワンタイムパスワードも含めて、多要素認証でも突破される可能性があります。

菊池 パスワードから多要素認証へと移り変わるように見えていましたが、多要素認証すら危なくなっているのですね。

井上 2021年ごろは多要素認証や多層防御が中心でしたが、2024年ごろからリアルタイムフィッシングの脅威が強く意識されるようになりました。そこでリアルタイムフィッシングへの対応として「パスキー」が注目されるようになっています。

フィッシング耐性が強く利便性も高い「パスキー」

菊池 パスキーとはどのようなものですか。

井上 簡単に言ってしまえば、IDやパスワードの代わりに顔認証や指紋認証、端末のPINコードなどのデバイス認証をWebサービスの認証に利用する仕組みです。パスワードが不要なので、ポチッとボタンを押すだけのワンボタンログインが可能です。秘密鍵は端末内に保存されるため、他の端末からはログインできません。ブラウザが正規サイトかどうかを判別するため、フィッシング耐性が高まります。利便性と高いフィッシング耐性を両立できます。

菊池 これはいいですね。使いやすさとセキュリティレベル向上を両立できるのですね。

井上 既に普及しているユーザーデバイスで生体認証などが使えるため、大規模なB2Cシステムなどでも導入しやすいメリットもあります。

菊池 それならばすべてのWebサービスがパスキー認証にすればいいと思いますが、阻害要因もあるのでしょうか。

井上 パスキー導入の周辺には大きく2点の課題があります。1点目が、ログイン手段をパスキーだけに限定できるかという問題です。パスキーを格納したデバイスを紛失したような場合を想定し、どのようなリカバリ手段を備えるか。さらに事業者側からすると、パスキー導入により問い合わせが殺到するリスクにも備え、FAQの充実などを図る必要があります。2点目がパスキー登録時の本人確認問題です。登録時には本人認証が必要ですが、それがパスワード認証ではセキュリティは向上しません。

※講演の一部をOn-Demand形式で視聴いただけます。

API連携で迅速稼働、低コストで使えるパスキー認証

菊池 それらの課題にどのような対応が可能でしょうか。

井上 提案したいアプローチとして、パスキーだけに限定せず、他の認証と併用することが挙げられます。パスワード認証だけで通してはいけませんが、他の認証方式と併用しながらパスキーを徐々に導入していくことが考えられます。

菊池 NTTテクノクロスでは、パスキーをソリューションとして提供していますね。

井上 パスキー認証サービス「PASUTTO」です。PASUTTOでは、パスキー認証をAPIで提供します。Webサイトやアプリにスクリプトを埋め込み、API連携で実装します。大きな改修をせずにパスキー認証を導入できます。

菊池 API連携だけであれば、短期間で導入もできそうです。

井上 APIをいくつか呼ぶインターフェースを用意していただくだけです。導入にはさまざまなステップがありますが、まず試してみるというレベルであれば1週間程度で実装可能です。

菊池 金融庁のガイドラインなどに早期に対応しなければならないといった場合でも、迅速に対応できますね。

井上 確かにスピード感は重要ですが、重要なのは、ガイドラインなどの対応を踏まえつつ、各サービスのセキュリティ要件に合致した設計ができるかという点です。PASUTTOであれば、そうした多様な要件に対して柔軟なアプローチが可能です。 例えば、厳格な本人確認が求められる場合は最初からマイナンバーカードの公的個人認証(JPKI)などと組み合わせることができますし、段階的な導入が許容されるのであれば、まずはPASUTTOを導入してパスキーを利用したい利用者のニーズに応えつつ、フェーズを分けて本人確認を強化していくことも可能です。

菊池 利便性、迅速性、フィッシング耐性についてはわかりました。コストについても教えてください。

井上 リーズナブルな設定にしています。特に認証サービスではID単位での課金が多いのですが、PASUTTOではサービスの利用回数に応じた料金体系を用意しているところが特徴です。パスキーは導入したいけれど、ユーザー数が多くてID課金だとコスト負担が重いというお客さまに評価されています。利用頻度が低いサービスでは、コストを抑えて運用できます。

菊池 フィッシング耐性を高めるには、現場に合わせて段階的に導入できるパスキー認証の検討が有効だとわかりました。

[画像のクリックで拡大表示]
NTTテクノクロスのパスキー認証サービス「PASUTTO」
ユーザーデバイスの指紋認証や顔認証機能を利用して、パスワードに頼らないパスキー認証を実現。安全性と利便性を両立できる新しい認証方式として効果が期待される

NTTテクノクロス

https://www.ntt-tx.co.jp/

INDEXページ


PAGE
TOP