金融庁は15日、「金融商品取引業者等向けの総合的な監督指針」等の一部改正(案)の公表について とのタイトルでパブコメの募集を開始しました。締切は8月18日(月曜)17時00分(必着)です。
本件は、証券会社のウェブサイトを装ったフィッシングサイト等で窃取した顧客情報(ログインIDやパスワード等)によるインターネット取引サービスでの不正アクセス・不正取引(第三者による取引)の被害が多発したことを踏まえ、インターネット取引における認証方法や不正防止策を強化するために、所要の改正を行うものです。
このブログの読者にとって興味深いのは、(別紙1)の以下の部分でしょうか?
「金融分野におけるサイバーセキュリティに関するガイドライン」や日本証券業協会の「インターネット取引における不正アクセス等防止に向けたガイドライン」等も踏まえ、提供するサービスの内容に応じた適切なセキュリティ対策を講じているか。その際、犯罪手口の高度化・巧妙化等(「中間者攻撃」や「マン・イン・ザ・ブラウザ攻撃」など)を考慮しているか。
(中略)
ログイン、出金、出金先銀行口座の変更など、重要な操作時におけるフィッシングに耐性のある多要素認証(例:パスキーによる認証、PKI(公開鍵基盤)をベースとした認証)の実装及び必須化(デフォルトとして設定)
(出所)金融庁「金融商品取引業者等向けの総合的な監督指針」の一部改正(案)【新旧対照表】
フィッシングに耐性のある認証の必須化、来ましたねぇ。なんでこれが重要かは『ワンタイムパスワードでは防げない、リアルタイムフィッシングの脅威~パスキーによるフィッシング耐性の本質とは~』などもご参照ください。一方では、「多要素」である必要があるかは議論のあるところだと思います。従前から申し上げているように、そろそろ「多要素認証の呪縛」から離れて、「どの脅威に対応しているのか」ということにより着目すべきだと思うからです。
他の資料は以下のとおりです。
(別紙1)「金融商品取引業者等向けの総合的な監督指針」の一部改正(案)【新旧対照表】
(別紙2)「信用格付業者向けの監督指針」の一部改正(案)【新旧対照表】
(別紙3)「高速取引行為者向けの監督指針」の一部改正(案)【新旧対照表】
(別紙4)「投資運用関係業務受託業者向けの監督指針」の一部改正(案)【新旧対照表】
一方では、解せぬ報道も〜生体認証の必須化ではないぞ!
一方では解せぬ報道もあります。代表例が日経の「証券口座乗っ取り対策、生体認証を必須に 金融庁・日証協が新指針」。ニッキンも「金融庁、生体など使う多要素認証必須に 証券口座乗っ取り対策強化案」と記事にしていますね。
しかし、上記監督指針の改正案には「生体認証」なんて書いていません。例としてパスキーも出ていますが、パスキーは生体認証ではありません。こういうところは「わかりやすいから」で逃げないでちゃんと書いてほしいところです。今回重要なのは、フィッシングに耐性のある多要素認証の必須化なんです。生体認証ではありません。当然、ローカルで「生体認証」してパスワードをサイトに送信するようなのはだめなんです。
というわけで、マスコミの方々にはぜひとも気をつけていただきたいところです。
なお、生体認証にはローカルとリモートがあります。モバイルデバイスを使うものに関しては、ISOで以下のように標準化されています。いずれも現在わたしが国内の対応する専門委員会の委員長をしているSC27 Information security, cybersecurity and privacy protection の出版物です。
ISO/IEC 27553-1:2022 Information security, cybersecurity and privacy protection — Security and privacy requirements for authentication using biometrics on mobile devices — Part 1: Local modes
ISO/IEC 27553-2:2025 Information security, cybersecurity and privacy protection — Security and privacy requirements for authentication using biometrics on mobile devices — Part 2: Remote modes
ご参考になれば。