証券業界の認証革新——利便性と安全性の両立に向けたバランス設計

今年に入り証券口座の乗っ取り被害が急増したことを受け、金融庁は2025年7月15日に証券会社向け監督指針の改正案を公表しました。改正案ではログインや出金、出金先口座変更といった操作時にフィッシング耐性の高い多要素認証の設定を必須化し、振る舞い検知・リスクベース認証による不正アクセス検知体制の整備が標準措置として求められています。これまで銀行が先行していた厳重な認証システムを、証券業界にも広げる動きですが、ただ新しい技術を導入すればいいというわけではありません。大切なのは、安全性を高めながらも、お客さまが使いやすいサービスをどう実現するかという点でしょう。

セキュリティを高めるあまり利便性を軽視すると、かえって安全性を損なうという逆説的なリスクも忘れてはなりません。多要素認証を強化すると同時に、ユーザーの認証負担が増大し、「MFA（多要素認証）疲労攻撃」による誤承認リスクが顕在化しています。連続的に認証を求められることでユーザーが操作を安易に承認してしまう現象は、セキュリティ強化策が逆効果を招く事例です。また、最近注目されているFIDO2（パスキー）という新しい認証方式は、スマートフォンの機種変更時の面倒な再設定作業を大幅に減らしてくれますが、プラットフォーム依存やマルチアカウント管理、クラウド同期障害などの課題は依然残ります。

海外ではリスクベース認証を柔軟に運用することで、日常利用時のユーザー負担を抑えつつセキュリティを確保する取り組みが進んでいます。このアプローチ（適応型認証）では、平常時には従来どおりスムーズに取引を行え、疑わしいときだけ認証を強化するため、ユーザビリティを高く維持できます。アクセスのリスク評価にはIPアドレスや位置情報、端末情報、アクセス時間帯、過去の行動パターンなど多数の要素が、複数のサービスをまたいで組み合わされ、機械学習によってユーザーごとの行動プロファイルを構築して異常検知の精度向上に役立てています。必要なときだけ厳格にし、通常時は煩雑さを感じさせない——海外ではこうした設計思想が一般化しており、日本の証券会社にとっても、参考になる部分がありそうです。

今回の監督指針改正を意味のあるものにするには、リスクに応じて認証の強さを調整する仕組みをうまく活用し、お客さまに負担をかけない認証の流れを各社が作り上げることが重要です。ただし現実問題として、多くの証券会社が導入できるシステムで、高精度な行動分析やリアルタイムでのリスク判定を行うのはなかなか難しいのが実情です。最先端の仕組みは確かに魅力的ですが、システムの性能や運用上の制約を考えた「現実的なバランス設計」こそが必要でしょう。監督指針が目指すのは、強固なセキュリティと使いやすさの両立です。その実現には、段階的な導入、複数システムの組み合わせ運用、多様な認証手段の選択肢提供、そしてお客さま向けのわかりやすい説明——これらを組み合わせたアプローチが最適解となるはずです。

このコンテンツの著作権は、株式会社大和総研に帰属します。著作権法上、転載、翻案、翻訳、要約等は、大和総研の許諾が必要です。大和総研の許諾がない転載、翻案、翻訳、要約、および法令に従わない引用等は、違法行為です。著作権侵害等の行為には、法的手続きを行うこともあります。また、掲載されている執筆者の所属・肩書きは現時点のものとなります。