【小さな話題】『パスキー』設定は人生最大の難関かも?(その1)パスキーとは何か?高齢者素人向けと高齢者中級向けの説明/スマホ無しのパスキー利用
このところ、証券会社各社がパスキーなるものを導入している。殆どは当面、パスキーを利用してもしなくてもいい、というスタンスのようだが、中には野村證券のように、「今後のセキュリティ対策として11月29日(土)よりお取引においてパスキー認証が必須となります。」、「パスキー認証のご利用にあたっては、NOMURAアプリの利用が必須となりますので、あらかじめNOMURAアプリのダウンロードおよび「パスキー認証」のご準備をお願いいたします。」というように、利用者にパスキー使用、さらにはスマホ用のアプリのインストールまで一方的に押しつけるケースまである。しかし、この手続はなかなかうまく行かない。これまでに設定を試みた3社のうち成功したのは1社のみであり、私にとっては「人生最大の難関」となっている。
具体的な事例紹介の前にまず、ChatGPTにパスキーとは何か、70歳以上の高齢者でも分かるように説明してもらった。
【質問】最近証券会社各社からパスキーの設定を求められていますが、70歳以上の私には何のことやら分かりません。高齢者でも理解できるように説明してください。
いただいた回答は以下の通り【一部省略】
専門用語をできるだけ使わずに、「パスキーとは何か」「なぜ証券会社が設定を求めるのか」「どう扱えばよいか」を、70歳以上の方にも分かりやすいように説明します。
■パスキーとは何か
**一言でいえば「パスワードの代わりに使う“鍵(カギ)”」です。**
ただし、その鍵は
- 頭で覚える必要がなく
- メモする必要もなく
- あなたのスマホやパソコンに“内蔵される”
という特徴があります。
つまり、**自分では何も覚えなくてよく、機械が安全に覚えてくれるパスワード**のようなものです。
■パスキーを使うとどうなるのか
証券会社のログイン時に:
- パスワードを打ち込む代わりに
- **スマホの指紋認証**
- **顔認証**
- **パソコンのPINコード(4〜6桁程度)**
などでログインできるようになります。
つまり、
- 長いパスワードを覚える必要がなくなる
- 入力ミスがなくなる
- 偽サイトに騙される危険が減る
- 盗まれにくく、安全性が大幅に上がる
というメリットがあります。
■なぜ証券会社が設定を求めるのか
近年、
- なりすまし
- パスワードの盗み見
- 偽の証券会社サイト(フィッシング)
などが増え、**高齢者が狙われる被害が急増**しています。
パスキーはその対策として国際的に広まっており、日本の証券会社も導入を進めています。
■パスキーを使うと具体的にどうなる?
例:スマホでログインする場合
- 証券会社のアプリを開く
- 指でタッチ」または「顔を向ける」
- それでログイン完了
これだけです。
毎回長いパスワードを打つ必要がなくなります。
※ これはスマホがあなた本人しか開けない仕組みを利用しているため、非常に安全です。
■ よくある不安と答え
- ### Q1. スマホを落としたら取られるのでは?
→ **指紋や顔が一致しないと開かない**ので、基本的には大丈夫です。
### Q2. パスキーは自分で覚える必要がありますか?
→ **覚える必要はありません。**
スマホやパソコンが記憶します。
- ### Q3. パスキーを設定した後、パスワードはもう使えない?
→ **使える場合が多いですが、徐々にパスキーへ移行します。**
(緊急時のためにパスワードは残されることが多い)
■ 最後に:高齢者にとってパスキーとは
- 面倒なパスワードを覚えなくてよい
- 悪質な詐欺に強くなる
- 指でタッチするだけでログインできる
という **安全で簡単な“新しい鍵”** です。
以上であらましは分かったがもう少し専門的な説明が欲しかったので、以下のように再度、尋ねてみた。
【質問】私は70歳以上ですが、PC-9801VMの頃からパソコンを使用しており40年の利用歴があり、インターネットもある程度は自力で設定できます。このレベル(中級レベル)で『パスキー』の仕組みを分かりやすく解説してください。
いただいた説明は以下の通り。
承知しました。
**「初心者向けのやさしさ」は保ちつつ、技術的な仕組みも“中級者が納得できるレベル”で説明**します。
■ パスキーとは(技術的に言えば)
**公開鍵暗号方式を使った「パスワードレス認証」の一種**です。
FIDO2 / WebAuthn という標準規格に基づいています。
- サーバ側には「公開鍵(public key)」だけ登録
- ユーザー側のデバイス(スマホ・PC)には「秘密鍵(private key)」が安全領域に保存
- 認証時には秘密鍵が署名し、サーバ側が公開鍵で検証する
という構造です。
つまり **サーバは“秘密”を一切持たず、盗まれようがない**のが最大の特徴です。
■ 従来のパスワード認証との違い
| 項目 | パスワード | パスキー |
| ---------- | ------------- | ---------------------- |
| サーバが保持する情報 | パスワードのハッシュ | 公開鍵のみ |
| クライアント側 | パスワードを入力する | 秘密鍵が端末に保存され署名を行う |
| セキュリティ | 盗まれる/漏洩リスクが高い | 秘密鍵は端末外に出ず、流出不可 |
| フィッシング対策 | URLを偽られると盗まれる | **偽サイトでは公開鍵が一致せず認証不能** |
| 操作性 | 長い文字列を手入力 | 指紋/顔/PINでワンタッチ |
■ パスキーの技術的ポイント(中級者向け)
- **秘密鍵の保護領域**
スマホやPCのTPM/Secure Enclaveなど、**OSのセキュア領域に秘密鍵が格納**されます。
- OSの外側から生の秘密鍵を読み出すことはできない
- アプリも秘密鍵には直接アクセス不可
- 認証は“署名リクエストに応じて署名する”だけ
つまり、物理的に盗まれても鍵の抽出は困難。
- **認証は「パスキー単体」では成立しない**
必ず以下の二段階が揃います:
- 端末に格納された秘密鍵
- その秘密鍵を使うためのローカル認証(指紋・顔・PIN)
指紋や顔は“端末ロック解除のキー”であり、**秘密鍵そのものが生体情報と1:1対応しているわけではありません。**
- **デバイスごとに鍵ペアが生成される**
同じアカウントでも、スマホ・PC・タブレットごとに別の鍵ペアを生成します。
サーバ側は「この人はこのデバイスでもログインしたい」と認めるたびに公開鍵をひとつずつ追加登録していくイメージです。
これにより
- デバイス間で鍵の使い回しがない
- 1台失っても他のデバイスは影響しない
という構造になっています。
- **同期型パスキー**
Apple・Google・Microsoft では、秘密鍵をクラウド経由で暗号化し同期できる方式も提供しています。
例:
- iPhone で作ったパスキーが iCloud キーチェーンで iPad でも使える
- Android で作ったパスキーが Google パスワードマネージャーで同期される
ただし、この同期も**エンドツーエンド暗号化されており、クラウド側が鍵の中身を知ることはできない**という仕組みです。
■ なぜ証券会社が必須化しているか(技術的理由)
特に重要なのは次の2点:
- **フィッシングに強すぎる**
偽サイトでは、
- 証券会社が保有している公開鍵と一致しない
- 署名を検証できないため、認証が絶対に通らない
「人間の判断」に依存しないため、高齢者の被害防止に最適です。
- **サーバに“盗まれる秘密”がない**
証券会社側にユーザー秘密情報がなくなるため、仮に大規模流出が起きても攻撃者は何も得られません。
これが金融業界にとって非常に大きい。
■ 実際の利用イメージ(中級者視点)
● ログイン時
- サーバから「あなたが本物ならこれに署名して」とチャレンジ送信
- 端末が秘密鍵で署名(生体認証が通れば実行)
- サーバが公開鍵で検証
- 一致すればログイン許可
つまり**常にチャレンジ方式で“その場で生成した署名”を確認する**
ため、リプレイ攻撃も不可。
■ 中級ユーザーが知っておくべき注意点
- スマホ故障時の“復旧手段”を事前に用意しておく
- PCとスマホの両方にパスキーを登録しておくと安心
- クラウド同期パスキーの有効化を確認する
- 同一端末からすべての鍵を消す」と再登録が必要になる
特に金融機関の場合、**複数デバイスにパスキーを登録しておく**
のが一番の安全策です。
■ まとめ(中級レベル版)
- パスキーは公開鍵暗号を使う「パスワードレス認証」
- 秘密鍵は端末外に出ず、流出不可能
- サーバは公開鍵しか持たない
- 偽サイトでは鍵が一致せずフィッシングが無効
- 生体認証は“秘密鍵を使う許可を出すためのローカルチェック”に過ぎない
- 証券会社が採用するのは当然の流れ
ところで、私が挑戦した3社のうちパスキーログインに成功した1社ではスマホは登録時もログイン時も全く使わなかった。このことについて尋ねたところ、以下のような回答をいただいた。
これは **「パスキーの“秘密鍵”をパソコン内部のセキュア領域(TPM など)に保存し、
その秘密鍵を使う際の本人確認を“PC の PIN”で行う」** という仕組みによるものです。
つまり、
- スマホでは指紋や顔で本人確認
- パソコンでは PIN で本人確認
- 本人確認の後、端末内の秘密鍵で署名し、パスキー認証が通る
という構造になっています。
スマホを使うかどうかは関係ありません。
**パスキーの本質は“秘密鍵がどこにあるか”**がすべてです。
■ 仕組みのポイント(中級者向けの技術解説)
- パソコン内の“TPM(Trusted Platform Module)”が鍵を保持
Windows 10/11 の多くの PC は**TPM 2.0**(ハードウェアのセキュアチップ)を持っています。
ここにパスキー用の秘密鍵* Windows Hello(PIN)の保護情報 が保存されます。
秘密鍵は TPM から“出てくることがない”ため、流出不可です。
- PIN は“秘密鍵を使う許可”のためのローカル認証
誤解されがちですが、
### PIN = パスキーそのもの
ではありません。
PIN とは
**「TPM に保存された秘密鍵を使って良いかどうかの本人確認」** です。
つまり、
- PC が PIN を要求する
- PIN が Windows Hello により正しいと確認される
- TPM 内部で秘密鍵による署名が実行される
- 公開鍵との照合が通り、ログイン成功
という流れです。
- PIN はインターネットに送られない
スマホの指紋認証と同じく**PIN はローカル端末限定の認証**なので、仮にネットワークを盗聴されても PIN が漏れることはありません。
パスワードとの大きな違いはここです:
| 種類 | 認証の場所 | サーバに送られる? |
| ------------------ | ----- | --------------------- |
| パスワード | サーバ | 送られる(ハッシュ化後だが流出リスクあり) |
| PIN(Windows Hello) | PC 内部 | 送られない(ローカル限定) |
- パソコン単体でもパスキーが完結する理由
パスキーは「秘密鍵と公開鍵」を使う方式なのでスマホが必須ではありません。**“秘密鍵をどのデバイスに置くか”をユーザーが決めればよい**だけです。
- スマホ → スマホの Secure Enclave に秘密鍵
- PC → TPM に秘密鍵
- USB セキュリティキー → USB 内部のセキュアエレメントに秘密鍵
証券会社は**PC の TPM にある秘密鍵で署名してきたかどうか**だけを確認すれば本人とみなせます。
■ なぜ証券会社によって“スマホ必須”と“PCのみでOK”が分かれるのか?
これは **証券会社のセキュリティ方針とサポート体制の違い**によるものです。
- **スマホ必須**
→ デバイス紛失時の復旧をスマホで統一したい
→ 顔/指紋認証(生体)を強制したい
→ クラウド同期パスキー前提の設計
- **PCのみでもOK**
→ Windows Hello + TPM を高く評価
→ 高齢ユーザーがスマホを使わないケースも想定
→ 業務用 PC での利用を重視
どちらが安全かと言えば
**TPM + PIN でも十分に強固**です。
(PINが短い場合でも、TPM経由の署名方式のため、総当たり攻撃は事実上不可能)
■まとめ
**スマホなしでパスキーが使えるのは、PC の TPM が秘密鍵を保持し、Windows Hello(PIN)がその鍵の“使用許可”を担っているため。**
- パスキーの秘密鍵は PC 内から外に流出しない
- PIN はローカル認証でありサーバに送られない
- 認証は「秘密鍵で署名 → 公開鍵で検証」という方式
- スマホは必須ではなく、単なるローカル本人確認手段の1つにすぎない
私個人はスマホは殆ど使わないし、スマホ画面は小さすぎて老眼の私としては誤入力が多すぎて証券会社の取引などには到底使えない。また、ログインのたびにパソコンとスマホをBluetoothで接続させなければならないというのも面倒でたまらない。敢えて実名を挙げさせていただくが、
パスキー必須、そのためにスマホアプリのインストールまで強制する野村證券の方式は、顧客の利用環境に配慮しない最低・最悪のやり方。せめてパソコン単体でもパスキーログインが併用できるようにサービス内容を変更してもらいたい。またそれが可能になるまでは、パスキー必須化は延期してもらいたい。
|
twitter|
