パスキー認証導入の背景とゲスト紹介
オルタナラジオ 投資のスキマ話。この番組は、ニーサや個別株といった資産運用の王道とは少し離れた、新しい投資の可能性や選択肢について、三井物産デジタル・アセットマネジメント、通称MDMのお二人がリスナーの皆様にお届けします。
こんにちは、MCを務めます株式会社ゆげの南です。
よろしくお願いします、MDM代表の上田です。
よろしくお願いします、MDMの丸野です。
はい、今日はですね、ゲストをお呼びしております。
そのきっかけとなりました、リスナーさんからのコメントをちょっとご紹介したくて、スポティファイに書いていただいたみたいなんですけれども、ちょっとご紹介します。
今回の配信内容自体とは関連はないのですが、オルタナでは全面的にパスキー認証が必須になりますよね。
相続が発生したときや、その前段階として契約者本人がオルタナにアクセスできない状態になったときのため、他社への引き継ぎ方法についての説明が欲しいです、という書き込みをいただいているんですけれども。
お客様は窓口にご案内しましょう。
いや、それを言っちゃお芝居です、上田さん。答えていきましょう。しっかりとラジオでいただいた質問をラジオで答えていきましょう。
まだ、相続の発生したときの手続きについては、パスキー認証と実はあまり関係のない話にはなるんですけれども、改めていいきっかけをいただいたということで、
確かにパスキー認証ができないときにどうなっちゃうのかというところも含めて、今日は専門家をお呼びしております。
まず前提として、この投稿者さんのおっしゃる通り、オルタナではパスキー認証というものを、今年、2026年の4月21日から導入しておりまして、
今日、そもそもパスキー認証って何とかですね、そもそもなんでこんなものが必要なのかというところから、弊社三井物産デジタルアセットマネジメントのCISO、最高情報セキュリティ責任者のケンゴさんにお越しいただいております。
パスキー認証とは何か?
ケンゴさんよろしくお願いします。よろしくお願いします。
最高情報セキュリティ責任者CISOってすごい肩書きですね、ケンゴさん。
かっこいいですね。使いやすい肩書きをいただいたぐらいのもので、規定とかだとどっちかというとシステムリスク統括責任者みたいな形にはなっています。
詰まるところを、聴講者の皆様の安全も含めて、いい感じに守っていこう、全担当者と捉えていただけると。
担当者と責任者。
そもそも大きい違いですね、担当者と責任者。
そうですね、責任者です。
なるほど、じゃあケンゴさんがセキュリティの要として、皆さんが安心してオルタナ買えるように取り入れとなってくださっているということなんですけど。
ケンゴさんはセキュリティ界隈では結構有名人の方なんですけど、弊社以外にも某公的機関でも貢献されているというところもありますし、
あとすごい思い出の中では、一番最初にケンゴさんがやってくれたセキュリティの研修がすごい印象に残ってまして、パスワードで日々設定するものがあるじゃないですか。
人類にはパスワードは早いと。
へー、興味深い。
圧倒的な研修をいただいて、やっぱりパスワードって皆さん何桁で設定されているとかサービスによっていろいろ違うと思うんですけど、
本当に簡単に覚えられるものだと簡単に突破されてしまうので、できるだけ難しいパスワードを設定した方がセキュリティ的には良いんですけど、
そうすると今度は覚える方が大変じゃないですか。そうするとやっぱり人類にはそれを覚えるのは難しいし、
それをやっぱりサイトごとに変えた方がディスク的には分散できていいじゃないですか。
っていうのも、サイトごとにパスワードを変えるみたいなものも、今だとパスワードマネージャーっていう専門のツールを使うと、
クロームとかでやりやすくなったりすると思うんですけど、
そういうものをちゃんと使っていこうねみたいなことを研修で、そもそもパスワードだけでいいのかっていうのもあるんですけど、
どうしてもサイト側のサービス側の都合でパスワードだけでログインしたりっていうのもあると思うんですけど、
その時に簡単に覚えられるような4桁のパスワードとかじゃなくて、
ちゃんとパスワードマネージャーで設定したパスワードを設定しようねみたいなところを改めてちゃんと教えてもらったっていうのがいい思い出ですね。
すごいなんかそうだよねっていう話なんですけど、人類には早すぎるっていうフレーズがやっぱかっこいいですね。
さすが最高責任者CISO。
でも今丸野さんがおっしゃったみたいに、私もだからMacとかiPhoneとかで生体認証最近できるじゃないかな、決済するとき。
これパスキーであってます?
違うかも。
いい質問です。
そっからもう本来に。
私のリテラシーの低さがまた増点してしまいましたが。
いいところについてます。
じゃあそもそもパスキー認証って何ですかっていうところから、けいごさんにぜひお伺いしていきたいんですけど。
ありがとうございます。
まずみなみさんの質問に答えると、それはパスキー認証かもしれないし、そうじゃないかもしれない。
答えてないじゃないですか。
けいごさんってちょっと哲学的な人なんですか?もしかして。
聞きましょう。
ここが肝でして、つまりパスキー認証がいいところっていうのは、それがパスキー認証がそうじゃないかっていうことを意識しなくていいことなんですよ。
つまりさっき丸野さんが言ってた人類にとっては早すぎるっていうのは、人類自身が管理しなきゃいけなかったんだけど、
それがiPhoneだとかAppleとかGoogleっていうそういう技術をサポートしているプラットフォームがよしなにやってくれるよというところがポイントなんですよね。
つまるところ、今まで人間がこうやってこういうパスワードを使って、例えばパスワードマネージャーに入れなきゃいけなくてみたいなところが勝手にMacの上でちょちょちょっとやって、人間に対してはそのUIでやりますということだけ、指紋だけ押してくださいっていうふうに言ってくれることで強くなっていると。
パスワードとの違いはそうやって人間が入れなきゃいけなくて、つまり人間の認知に対して騙すところを技術的プラットフォームの実装的なところでカバーすることで騙されなくなりますよと。
一般的にここら辺のパスキー認証というのはどっちかというと一般用語なんですけど、これを技術的あるいは行政から要求されている用語に置き換えるとフィッシング体制のある認証というふうに言います。
フィッシングって何でしたっけ?釣り?
釣りです。
魚釣りの方じゃないですね。
そうですね。釣られるのは人間っていう。
いろいろと哲学的な。
全部哲学的。
人類には速いとか釣られるのは人間とか。
これは全然実は哲学的じゃなくて、実際に攻撃者が狙うのはやっぱりそこら辺。
例えば同じサイト、同じアップルのサイト、グーグルのサイトをブラウザ上で見ると一見全く同じ色とかロゴになってれば撃っちゃうじゃないですか。
本物って思っちゃうじゃないですか。
裏側全然そうじゃないもんね。
そういうことか。
URLよく見たら違うとか。
そうです。
例えば上野さんから、みたいなメールアドレスからめっちゃ急ぎだから、ここの銀行交差にいくら振り込んでみたいなのが、
例えばLINEとかFacebookのメッセンジャーで来たら、どうします?
信じちゃう人は言っていますよ。
そういうことで人間に対して引っかかりやすい餌をまいて釣りをするがごとくパスワードを入力させるみたいな方法がありました。
私もプライベートの携帯のメールの方に有名な銀行の名前とか有名なカード会社の名前で支給振り込んでくださいみたいな。
来ますよね。
めちゃくちゃ来ますよね。
だけどそういう人間が自分の認知でコントロールするというのを超えて認証システムを築いてくれているのがこのパスキー認証。
生成体だけですか?私いつもiPhoneとかだと指紋とかで。
あとフェイスIDカードとかなんですけど。
正確に言うとこれは結構技術的な話になるのでそこまで踏み込まないんですが、他にも例えばピン番号っていう方式もありますし、
生体認証もありますし、もっと言うと将来的に例えばAIに対して言葉で認証するみたいなことももしかしたらあり得るかもしれない。
肝としてはここでは人間が騙されないように機械的に特定の仕様に沿って多要素認証をちゃんと入れてますっていう世界標準的な仕様があって、それを実装している最も今一般的な名前がパスキー認証みたいな、そんなイメージでいただけるといいと思います。
オルタナがパスキー認証を導入した理由
オルタナでもこのパスキー認証が始まっていますね。
始めなければならないというルールに基づいて始まっています。
どういうきっかけでこういう風になっちゃったんでしたっけ?
もちろんそのきっかけとしてはやっぱり資産を預けていただくお客様の安全を確保していくというところがあります。
これ自体は利便性とのトレードオフ、まさしく今回ご質問いただいたご家族の相続とかどうするのかみたいなとっても利便性としてはあるのでバランスをとっていくところなんですけど、今回その安全側にウェイトを置いたきっかけっていうのは、
これは去年の各証券会社、特にネット証券会社における不正取引事例というのがポイントになりました。
結構ニュースになったやつですね。社会問題になりましたね。
株を勝手に売られて違う株を買われるみたいな。
恐ろしい。
本当に複数件というか。
何件も何件もありましたし、その総被害額も本当に数十億というようなレベルでした。
なるほど。それでもう皆さんのようなところにすぐに対応するようにというような。
当局中心に業界全体に。
業界全体で。
もう少しこのいわゆるユーザーさんがログインするときの認証をちゃんとしたやり方というかにやろうみたいな感じで。
すごいめちゃくちゃざっくり。
やってくれっていうのがですね。
当局からも我々にも要請もありましたし、僕らとしてもそこに対しても対応していくっていうのは。
期限も明確に定められた上で今対応しているという感じですよね。
なるほど。
パスキー認証移行後の懸念と対策
安全に移行できて、かつずっとちゃんと適切に使い続けられるっていうことが確約されていれば絶対パスキーの方がいいんだろうなっていうのは今ケンゴさんの話聞いてて思ったんですけど。
やっぱり冒頭の質問者さんみたいに。
相続の話はまた全然別の話だと思うので。
パスキー入れなくなっちゃったらどうしたらいいんですかみたいなところだけちょっと取り出して話したいと思うんですけど。
携帯とか変えたらどうするとか。
そうそうそうそう。
なんかその辺って結構ユーザーさんからも気になるポイントとしてお問い合わせありそうだなと思ったんですけど。
やっぱりすごい処方的ですけど、スマホ変えても新しい機種でもできるの大丈夫みたいなところもちょっと気になるんですけど。
そのあたりってどうですか。
ありがとうございます。
ご懸念の点は最も一つの端末しか登録してないとその端末が使えなくなったときはちょっと確かに困ってしまうことになります。
ですので私のお勧めとしては複数の端末、つまりスマホだったり自分のパソコンを使ったり、もしくはもう結構リテラシーの高い方であればパスワードマネージャーを使うみたいな形で、
一つダメになっても別のやつでパスキー認証できるから大丈夫っていう状態にしておくのが一番良いかと思います。
なんか投資のポートフォリオみたいですね。
確かに。
でもスマホしかない人はどうすればいいですか。
いい質問です。
なるほど。スマホしかない方でもそのスマホ上にパスワードマネージャーとかを登録できるので、そのパスワードマネージャーを別途登録するとか、
今だとGoogleのアカウントとかでも同期はできるので、Google側でもやっておくみたいな形でいろいろ対処可能。
パスキー設定ポチッと押すと、どこに保存しますかみたいな選択肢がいくつか出てきますよね。
出てきます。
けんごさんはどれを使っているとかあるんですか。
ありがとうございます。私はまず自分の個人スマホであるAndroid、あとは個人のMac、正確に言うとそのMacのAppleアカウントを使っている。
もう一つはパスワードマネージャーと、あともう一個はGoogleアカウントという感じで、仮にGoogleがその僕のアカウントを永久バンしてきても何とかなりますみたいな状態にはしています。
ガーファーに守られている感じですね。
どれかは。
全ガーファーに。
全ガーファーかもしれないですね。
めちゃくちゃ気付いているかもしれないですね。
確かに。一社なくなっても大丈夫みたいな。
それは文さん聞いてますね。
そういう意味で言うと本当に文さん投資みたいな感じでは確かにありますね。
よくお客様から複数選択肢が出てきたときにどうすればいいのって聞かれて、僕もちょっと対応困ることがあるんですけど、結論から言うと全部登録しておけばいいってことですね。
そうですね。当社の場合は利便性を考慮してそうなっていると思っていて、ちょっと他社さんだと安全性をもうちょっと重視して本当に一個だけみたいなケース。
というのはどこかで聞いたことがありますね。
なるほど。なんか今みたいな話って結構そのパスキー認証に変わるから皆さん急いでくださいねみたいな案内に入ってたりします?
FAQが別途あるのでそっち側にあったりするんですけど、複数やった方がいいよとか、けんごさんが何を使ってるかとかはさすがに関係ないですね。
じゃあ是非オルタナラジオのリンクも貼ってください。
是非この回のリンクを。
あともう一個これもたぶんすごいリテラシー低い質問ではあるんですけど、パスキー認証に移行したらもう今までのIDパスワードとかに戻すみたいなのはもうなくて、GO以外はないっていう感じ?
6月末までは移行期間中なのでどちらでもいけるんですけど、6月30日以降は原則パスキーでのログインのみっていう形になるので、
本当にそれでいいのかみたいなのが結構当局だったり、いろんな規制側も含めてお客様の資産を守るためにやってることではあるんですけど、
それを通じて取引できなくなるとか、自分の資産が見えなくなるとかって本末転倒っていうところもあるので、
ここはちょっと今後変わるかもしれないんですが、原則そこまでにパスキー設定いただくのがいいかなと思ってますね。
パスキー認証の限界と今後の展望
なるほど、ありがとうございます。他によくある質問、パスキー認証に関してユーザーさんお困りのことってあったりします?せっかく圭吾さんいらっしゃっているので。
困ってはないかもしれないですけど、さっき圭吾さんフィッシング耐性を上げるとおっしゃいましたが、パスキー認証は絶対大丈夫なのかと。
絶対はあるのかと言われたら、うーんって感じですか?
これは100%ではないです。あくまでもこれはこういう操作をしたい時に、そのデジタル上のアカウントっていうのが本人ですよねっていうところを確かめるためのものですね。
それが通っちゃった後っていうのはもうどうにもならない。極端なことを言うとパスキー認証だけさせておいて、
端末を奪ってガチャガチャって自分の口座に変えて入金するみたいなことができたりする。
100%これで安全っていうことには残念ながらならないというのはあります。
ただ仮にそういう100%じゃないことが起きてもいいように裏側で例えばこういうアクセスがあって、それがどういうようなアクセスだからちょっと怪しいんじゃないみたいな仕組みを同時に作っているという形ですね。
確かに。
スマホを奪われてそこのスマホ側の認証を突破されたら、それは確かにねみたいな。
ちょっと今めちゃくちゃ極端なね。
あれはめちゃくちゃ分かりやすいですね。
証券サービスに限らず全てのことを言いますよね。
もうちょっとあり得るシナリオとしてはウイルスが仕込まれていて、そのウイルスによって操作されましたみたいなケースとかですね。
でもこれまでのパスワードのようにサイトごとに覚えなきゃいけないとか、それを常に書いておかなきゃいけないとか、そういうところは圧倒的に便利?
圧倒的にシンプルになりましたし安全になります。
なんかすごく個人的な興味なんですけど、ケンゴさんってすごくそういうセキュリティシステムとかそういうところの多分第一人者って感じだと思うんですけど、
そういう方のこの思考法っていうかサービスを開発する時の発想って、やっぱさっきおっしゃったパスワードは人類には早すぎたみたいな話ありますけど、
やっぱり人間って覚えられないし、人間ってルール通りにいかないしみたいな、割と人間はできないものと認定してシステムを構築していくっていう感じなのかなと、
今日の哲学的な話っぷりを聞いてても思ったりしたんですけど、その辺ってバクッとした質問なんですけど。
そうですね。基本的にセキュリティって誰もやりたくないじゃないですか。
自分にすぐそこに危険があるってわけではないですし、必ず自分がヒットするわけでもないので、
であればそういうの考えずにシンプルにいきたいよねっていうそもそもの心理があると思うんですよね。
そういう心理が働いていると行動経済学とか考えると、例えばこういうゲートがあるけど、ゲートを通らずに脇道をずっと行っちゃうみたいな形になっちゃうとは思うんですよね。
ですので、そういう状況を想定して仕組みを整えていく、仕様を整えていくっていう仕事の仕方が大事なんじゃないかなと自分的には思っているところで。
あとまた秋山さんといつも話していると思うのは、セキュリティと利便性のトレードオフをどう取るかみたいなところがすごい考えるところで。
セキュリティガチガチにしようと思えばもっとできるというかなんですけど、そうするとどんどん使いづらくなってしまうし、
清すぎるところには魚は住まないみたいなことわざもありますけど、そこをどこに僕らとして線を引いていくのかっていうのがやっぱり一番大事で、
けんこさんは常にそこを考えながら仕事をしてくれているなって感じますね。
なるほど。上野さんから見ても。
そのバランスはすごい難しいんですけど、僕一番最初にパソコンを使ったのは小学校5年生で、40年近く前かな。
そのとき当たり前ですけどパスワードとかなかったんですよね。
マジですか?
マジですか?
ネットワークもつながっていないし、その端末を使うのって自分しかいないから、その必要もなかったわけですよ。
電卓にパスワードがないんでしょってことですね。
Windowsもしばらくはなかったはずですよ。
みんなで同じ端末を共有してて、家庭内でいろいろとトラブルが発生し始める。
何見てるの?みたいな。
ユーザーが別れ、いつのことからかパスワードが設定され、パソコンでできることが増えたんですよね。
ネットにもつながったりとか。
お金が動いたりなんだかんだになってくるとやっぱり上げる筋がない。
完全に切っちゃうと今みたいな話でアクセスできなくなって意味ないじゃんっていうところのバランスが難しいよなって思います。
そっか、そのトレードオフの背景に確かにやれることが増えているという、いいことだと思うんですけど現実があるんですね。
なるほど、面白いです。
リスナーへのメッセージと登録のお願い
けんごさんの哲学者的な側面にもっとフィーチャーしたかったのでまた来ていただきたいなと思っているんですけども、
今日ちょっとお時間が来てしまったということで冒頭の質問者さんもパスキーについて、なるほどねという落とし穴を感じていただけたらいいかなと思っております。
最後にけんごさん、オルタナを支える守護神としてリスナーに力強いメッセージをいただけると嬉しいのですがいかがでしょうか。
ありがとうございます。
まさしくパスキー認証はリスナーの皆様の安全性を飛躍的に高めるものだと思いますので、
ぜひ6月29日までに登録いただけますとお互いウィンウィン嬉しい状態になると思いますので、一緒に安全な体験を作っていきましょうということでお願いいたします。
また冒頭の質問者様のケアしたい部分についてはちょっと私は管轄外にはなるんですけれども、そういった個別お悩みを当社応じることができると思いますので、ぜひお問い合わせいただければ頑張って内部で考えます。
ありがとうございます。パスキーの設定ガイドはYouTubeにも上がっている?
YouTubeにちょうどこの公開時点ではすでに上がっていると思いますので、結構わかりやすいぞって評判のYouTubeの動画になっていますので、
ぜひ設定方法がわからないという方はYouTubeの方も見ていただけるとありがたいです。
わかりました。けんごさんもおっしゃったと思うんですけど、結構ウィンウィンな仕組みではあると思うので、最初なんかまた手続かなって思うかもしれないですけど、皆さんそっちの新しい世界線へ移行していただくといいんじゃないかなと思います。
今日も上野さん、丸野さん、そしてけんごさんありがとうございました。
ありがとうございました。
おるたなラジオ、投資の隙間話、ここまでお聞きいただきましてありがとうございました。
番組への感想・質問は概要欄のGoogleフォームからいただけると嬉しいです。
また、MDMが提供する資産運用サービス、おるたなについてもっと詳しく知りたい方は番組概要欄にサービスサイトのURLを掲載しておりますので、ぜひそちらからチェックしていただけると嬉しいです。
では次回もぜひお聞きください。