「金融商品取引業者等向けの総合的な監督指針」等の一部改正(案)(←いわゆる証券不正取引対応)に以下のパブコメを米国OpenID Foundationより提出いたしました。米国OpenID Foundationのサイトは英語のみですので、日本語をのせる適切な場所がございませんので、こちらに掲載しておきます。
金融商品取引業者等向けの総合的な監督指針(新旧対照表) (案)に対するパブリックコメント
1. 金融庁への評価と本改定案の意義
まず、本改定案の全体像について深く敬意を表します。今回の監督指針改定は、近年高度化・巧妙化が著しいフィッシングや不正アクセス等のサイバー脅威に対して、業界全体が実効性ある対応をとるための具体的かつ現実的な指針を提示しており、極めて有意義です。特に、フィッシング耐性のある多要素認証の必須化や、振る舞い検知の強化、不正取引防止策の体系化など、国際的にも高水準の要求事項が盛り込まれている点は高く評価いたします。また、業界ガイドラインやISAC等の情報共有機関の活用を促す構造は、単なる規制ではなく「継続的改善」を前提とした実務的なフレームワークとなっており、監督指針のモデルケースとも言えると考えます。
2. 指摘事項と改善提案
(1) P.5 メール・SMS内のリンク禁止の位置づけについて
改定案では「メールやSMS内にパスワード入力を促すページのURLやログインリンクを記載しない」と記載されていますが、これは利用者保護の観点から重要である一方、実務上は正当な理由でリンクを送付するケース(パスワードリセットリンク、マジックリンク、WebOTP対応SMSなど)も存在します。特にWebOTPはブラウザ連携で正しいサイトに人の手を介さずに自動入力されるため、フィッシング耐性が高い技術です。
一方で、攻撃者は依然として利便性の高いリンク入りメッセージを送り続けることが予想されるため、一律禁止ではなく「原則禁止・適切な代替策がない場合に限定許容」とし、位置づけも「セキュリティ確保のための補足的措置」として後段に移す方が、利用者利便とセキュリティのバランスが取れると考えます。
(2) P.5 正当サイト確認措置の位置づけ
「利用者がアクセスしているサイトが真正であることの証明確認措置」も重要ですが、人間の視認に依存する手段はフィッシング耐性が限定的です。これも付加的対策として後段に記載し、主たる防御策は自動化・暗号化ベースのフィッシング耐性認証技術に置く方が望ましいと考えます。
(3) P.6 フィッシング耐性多要素認証の実装と必須化
「ログイン、出金、出金先銀行口座の変更など重要操作時におけるフィッシング耐性のある多要素認証の必須化」は極めて重要です。しかし実務上、設定後にめんどうであるなどの理由で、顧客が自らパスワード認証へ戻す運用や、特別な取引口だけパスワード認証が残ってしまうケースが散見されます。言うまでもなく、せっかく取引に対して高度認証を設定しても、パスワード認証の口が残っていたら意味がありません。
そのため、一旦高度認証を設定したらパスワードは廃止し、ユーザーが戻せない仕組みを明示することが望まれます。また、現行のリスクベース認証の考え方を活かし、ログイン時はパスワード・取引時はパスキーのような段階的適用も選択肢として提示すべきです。これにより、API非提供の証券会社でもPersonal Finance Manager(PFM)が利用可能であり続け、かつリスク低減が可能です。中期的には、API提供と高度認証の同時カットオーバーが消費者影響を最小化しつつ不正防止に資すると思われます。
(4) 認証手段登録時の安全性確保
攻撃者がパスワードログインを足掛かりに自身のパスキーを登録するリスクがあります。そのため、パスキー等の高度認証の初回登録は、公的個人認証など強い本人確認を経たセッション内でのみ許可するよう明記すべきです。
(5) P.6 振る舞い検知の継続的適用
現行案では、パスキー必須化までの暫定措置として振る舞い検知を推奨していますが、パスキー導入後もセッション乗っ取りや不正操作は発生し得るため、振る舞い検知や行動分析は恒久的に必須とすべきです。
(6) P.6 アカウントロックのリスクと代替案
「認証連続失敗時のアカウントロック自動発動」は、特にログイン用の識別子として、顧客番号連番利用などをしている場合、DoS攻撃による大規模アカウントロック&コールセンター飽和攻撃に悪用され、この混乱に乗じて攻撃者がアカウント乗っ取りをすることが想定されます。機械的な総当りには遅延応答(例:1分待機)や追加認証要求が有効であり、アカウントロックは最終手段と位置づけるべきです。
(7) セッションセキュリティと事業者間連携の強化
本案ではセッションセキュリティの観点がやや薄い印象です。Cookie送信元のブラウザ・IP変化検出による権限制限や、異常取引検知情報の事業者間共有(例:OpenID Shared Signals Frameworkの活用を米国のサイバーセキュリティー・インフラセキュリティー庁(CISA)やアメリカ国家安全保障局(NSA)は推奨しています)を記載することで、広域的な不正防止が可能になります。
(8) 用語の見直し:「多要素認証」から「高度認証」ないし「安全な顧客認証(Secure Customer Authentication)」へ
「フィッシング耐性のある」と各所で補っているので大丈夫ではあろうとは思いますが、一般に「多要素認証」という語は広義すぎ、質の低い多要素認証が機械的に採用される恐れがあります。本案で本当に強調すべきは「フィッシング耐性」など諸種の脅威に対する耐性です。用語の置き換えや補足により、意図が明確になり、実務面での質的向上が見込まれます。
3. 最後に
本改定案は、単なる形式的規制ではなく、最新の攻撃手口や技術動向を踏まえた実効性重視の内容になっており、利用者保護と利便性の両立を図る先進的な試みと評価します。上記の改善提案は、現場実務や最新の国際的動向を踏まえ、より高い防御力と運用可能性を両立させるためのものです。金融庁が引き続きこうした高い水準の指針策定を主導されることに、強い期待と敬意を表します。