少し前に書いた金融機関のネットワーク認証について、いろんな言葉がごっちゃになっていています。

まあ、やり方を機械的に覚えれば済むことなのかもしれませんが、ITの仕事に関わっていたくせに根本的によく判っていないので、ChatGPTの力を借りながら、頭の中を整理してみました。

• 本人確認（顔認証／指紋認証／パスコード認証）
• 認証方式（デバイス認証／パスキー認証／パスワード認証）
  • デバイス認証
  • パスキー認証
• 金融機関の現状
• まとめ

パスコード、デバイス認証、パスキー、、、いろんな用語が登場してきます。さらに認証の仕方は、金融機関によって方法が違うので、そのやり方を覚えるだけでも、物忘れが進んでくるシニアには辛いところです。

認証という言葉でも、次の二種類に分かれます。

本人確認（顔認証／指紋認証／パスコード認証）

これは、本人であることを確認する仕組みの種類、つまりは、鍵を使うときに、持ち主かどうか確認する手段。

スマホではこの３種類がありますが、PCでは、一般的にはWindowsのパスワードしかありません。スマホでは一般にパスコードと呼ばれる数字で入力するコードを使っても認証ができますが、ともになりすましがしやすいので、それを補足するために、メールや電話番号にワンタイムパスワードが送られ、それを再度入力する仕組みになっています。（個人的には面倒ですがこのほうが判りやすい）

認証方式（デバイス認証／パスキー認証／パスワード認証）

これは認証の仕組みの種類。つまりは、鍵の種類や開け方に相当します。

従来は、どの金融機関もユーザーIDとパスワードを入力するだけで認証（いわゆるパスワード認証）としていたのですが、なりすましを防止するために開発されてきたのが、デバイス認証とパスキー認証です。

ともに、秘密鍵と公開鍵という２つの鍵で管理されており、デバイス上に補完される秘密鍵で生成された暗号を公開鍵で検証する、という形で認証されています。

デバイス認証

多くの銀行で使われているのがこの方法です。仕様は金融機関毎に独自で作られたもので、公開鍵はクラウド（金融機関のサーバー）で管理されているので、堅固と言われています。

ただし、スマホ固有情報やアプリ登録情報をサーバー側で管理されているので、スマホ変更時は「旧端末での解除」や「機種変更手続き」などが必要となります。

私の使用しているSMBCの場合は、旧端末のアプリで設定解除をした後に、新端末にアプリをインストール後、届出電話番号による自動コールバックで再登録が必要になります。

パスキー認証

最近、野村證券など一部の証券会社などで採用され始めているのが、この方法です。

公開鍵の置き場所が、クラウド（GoogleやApple）になっています。Androidの場合は、Googleのパスワードマネージャー（ブラウザがパスワードを覚えている仕組み）で管理されます。

クラウドにそんな大事なもの預けて大丈夫かと思いますが、それはしっかりと暗号化されており安全、とのことです。

Googleのパスワードが盗まれても、パスキーが即使われる訳ではなく、デバイス上の情報と組み合わせて使われるのでセキュリティ上、即危ないということにはなりませんが、盗まれた他人の端末で個人認証がされてしまう可能性があるので、これを防ぐためには、Googleアカウントの二段階認証を設定しておくべきのようです。

Googleアカウントの設定を見ると、二段階認証は設定していなかったので、即時設定しました。ただし、設定すると、パスワードを新たに入力する時には、登録されているデバイスに本人かどうかを確認するポップアップが出てきますので、それを承認する必要があります。

また、スマホを無くした、盗まれた場合は、二段階認証を設定した時に生成したバックアップコードを使ってログインします。なので、このバックアップコードは紙媒体などで厳重に保管する必要があります。

なんか紙を無くすために紙に舞い戻るなんて妙な話ですね。

Googleに保管することが嫌ならば、秘密鍵をデバイス上に保管することもできるようですが、デバイスの紛失、盗難が起きた場合は、更に対処のハードルが高いようです。

金融機関の現状

一部都銀など・・・デバイス認証

ゆうちょ銀行など多くの銀行・・・パスワード認証

一部の証券会社・・・パスキー認証

従来は、多くの金融機関がパスワード認証ですが、それを補完、強化するために、

• メールによるワンタイムパスワードの送信
• 自動コールバックによる本人確認
• ワンタイムパスワード専用カードによるパスワード発行

などが行われてきましたが、スマホの場合は、デバイス認証やパスキー認証に大手から順に移行されているようですね。

ちなみにPCからログインする場合は、PCで本人認証をするのは難しいので、パスワード認証の補完（メールや電話など）という方法になっているようです。

ただし、野村證券のように、PCで認証を行う場合も、二段階認証はスマホで行うようになっている場合もあります。

まとめ

便利だからといって、銀行側の省力化の策略にのって、通帳を無くしてしまうと、ネットが使えなくなってくると、パニックに陥りそうです。

この点、高齢者の利用者が多いゆうちょ銀行は、ネット化しても通帳も従来どおり使えるし、ネットの認証も簡易的で、高齢者に優しい銀行と言えます。

ネット使用がおぼつかなくなったら、ゆうちょか、近所の信金に移し直すのも手かもしれませんね。

PCサイトで済むものはスマホで敢えて行わないようにしたほうがよいかと思います。

なんだか、調べるうちに、エンディングノードをきちんと残そうと思えば、IDとパスワードを書き連ねるだけでは済まなくなってきている、ことが判ってきました。

通帳と印鑑で済んでいた時代のほうが楽で良かったですね。