多要素認証とは何か
生体認証
SMSワンタイムパスワード
メールワンタイムパスワード
OTP の一種。あらかじめメールアドレスを証券会社に登録しておき、ID+パスワードでログインすると、証券会社から電子メールでワンタイムコード(4~8桁の数字)や記号がが届き、それを入力しないとログインが完了しないという方式です。
SMSワンタイムパスワードと同じ理由で、メールワンタイムパスワードは多要素認証としては弱い方式だとされています。
SMSワンタイムパスワードと同じ理由で、メールワンタイムパスワードは多要素認証としては弱い方式だとされています。
電話認証
OTP の一種。あらかじめ電話番号を証券会社に登録しておき、ID+パスワードでログインすると、電話を掛けることが求められ、自動音声にしたがってログインが完了する方式です。
SMSワンタイムパスワードと同じ理由で、電話番号が漏れている可能性が大きく、メール電話認証は多要素認証としては弱い方式だとされています。
SMSワンタイムパスワードと同じ理由で、電話番号が漏れている可能性が大きく、メール電話認証は多要素認証としては弱い方式だとされています。
認証アプリ
OTP の一種。あらかじめ Google Authenticator、Microsoft Authenticator、証券会社独自アプリなどをスマホにインストールしておき、サイトに登録するときに送られてくる QRコードを読み取ると、アプリが、そのサイト専用のワンタイムパスワードを30秒ごとに生成します。
ワンタイムパスワード生成のために通信することはないので、盗聴などの心配はありませんが、初期登録用のQRコードや、スマホ本体を盗まれたときには、なりすましされるリスクがあり、多要素認証としては弱い方式だとされています。
ワンタイムパスワード生成のために通信することはないので、盗聴などの心配はありませんが、初期登録用のQRコードや、スマホ本体を盗まれたときには、なりすましされるリスクがあり、多要素認証としては弱い方式だとされています。
FIDO
Fast IDentity Onlineの略。パスキーと呼ばれることもあります。2026年(令和8年)2月時点で、現実的に利用できる最も安全な多要素認証とされています。
FIDO は、パスワードに代わる安全なログイン方式を作るための認証規格であり、FIDO Alliance という国際団体が策定しています。スマホの場合は顔認証や指紋認証と、PCの場合は PINコードとセットで運用されることが多いです。
まず、サイトにユーザー登録します。すると、ユーザーの利用端末(スマホやPC)が、公開鍵と秘密鍵のペアを作ります。公開鍵はサイト(サーバ)に送られ保存されます。秘密鍵は暗号化され利用端末に保存されます。
次にサイトにログインしようとすると、パスキーでのログインを求められます。スマホなら顔認証や指紋認証で、PCなら PINコードを使って、その端末に保管されている秘密鍵をとりだし、その秘密鍵で鍵をかけたデータをサイト(サーバ)に送ります。サーバ側にある公開鍵で解錠することで、認証が通ります。これは、公開鍵暗号の応用です。秘密鍵を使って鍵をかけたデータは、セットになっている公開鍵を使わないと解錠できません。
秘密鍵は利用端末から外に出ることはなく、また、外に出す手段も用意されていません。このため、攻撃に対して比較的強い認証方式だとされています。
2026年(令和8年)2月現在、楽天証券、SBI証券、マネックス証券が FIDO を導入しています。他の証券会社も、FIDO 導入の準備を進めていることをアナウンスしています。
ただし、絶対に破られないという保証はありません。また、秘密鍵が入っているスマホやPCを盗まれたとき、ストレージ(HDDやSSD)を暗号化したり、簡単にログインされないようにしておかないと、なりすましをされる恐れがあります。
FIDO は、パスワードに代わる安全なログイン方式を作るための認証規格であり、FIDO Alliance という国際団体が策定しています。スマホの場合は顔認証や指紋認証と、PCの場合は PINコードとセットで運用されることが多いです。
まず、サイトにユーザー登録します。すると、ユーザーの利用端末(スマホやPC)が、公開鍵と秘密鍵のペアを作ります。公開鍵はサイト(サーバ)に送られ保存されます。秘密鍵は暗号化され利用端末に保存されます。
次にサイトにログインしようとすると、パスキーでのログインを求められます。スマホなら顔認証や指紋認証で、PCなら PINコードを使って、その端末に保管されている秘密鍵をとりだし、その秘密鍵で鍵をかけたデータをサイト(サーバ)に送ります。サーバ側にある公開鍵で解錠することで、認証が通ります。これは、公開鍵暗号の応用です。秘密鍵を使って鍵をかけたデータは、セットになっている公開鍵を使わないと解錠できません。
秘密鍵は利用端末から外に出ることはなく、また、外に出す手段も用意されていません。このため、攻撃に対して比較的強い認証方式だとされています。
2026年(令和8年)2月現在、楽天証券、SBI証券、マネックス証券が FIDO を導入しています。他の証券会社も、FIDO 導入の準備を進めていることをアナウンスしています。
ただし、絶対に破られないという保証はありません。また、秘密鍵が入っているスマホやPCを盗まれたとき、ストレージ(HDDやSSD)を暗号化したり、簡単にログインされないようにしておかないと、なりすましをされる恐れがあります。
参考サイト
- 多要素認証の設定必須化を決定した証券会社:日本証券業協会
- 多要素認証:野村総合研究所(NRI)
- FIDO Alliance
- フィッシング詐欺に引っかからないために:ぱふぅ家のホームページ
- 偽SMSで個人情報を狙うスミッシング:ぱふぅ家のホームページ
- 生体認証は万全か:ぱふぅ家のホームページ
(この項おわり)
こうした事態を受け、日本証券業協会と証券会社は、ログイン時の多要素認証を必須にしました。
証券各社は多要素認証の急いでいますが、方式によっては、その安全性に差違があります。