多要素認証基盤サービス「SpotPath」とは
SpotPathは、導入の容易さやコストパフォーマンス、柔軟な規制対応力を特徴とする独立認証基盤です。パスキー認証(FIDO2/Passkey)や電話認証、Authenticatorなど多様な認証方式を搭載しており、利用者のリテラシーや証券会社が提供する様々な取引ツールへの統合的な多要素認証導入を可能にします。同サービスは、開発確認環境や各種ドキュメント、テスト・リリースサポートを含むセキュリティプロダクトとして、迅速な実装と柔軟なリリース体制を提供しています。
今回の立花証券への導入では、フィッシング耐性が高く、生体認証やデバイス認証と組み合わせることでパスワードレスかつ安全なログインを実現するパスキー認証機能が主要機能として提供されます。これには、認証中の画面遷移やエラーハンドリング、ヘルプページへの導線を含むUI/UXも一体的に含まれます。
金融機関を取り巻くサイバー脅威と規制強化
近年、インターネット取引における不正アクセス、フィッシング、マルウェアなどのサイバー脅威が増加しています。これを受け、金融庁および証券業界では、多要素認証の導入が重要なセキュリティ対策として位置付けられています。
金融庁は、非対面取引において以下の認証方式の導入を求めています。
-
固定式ID・パスワードのみに頼らない認証方式
-
別の端末による複数経路認証
-
ハードウェアトークン等によるトランザクション署名
また、日本証券業協会(JSDA)もガイドラインで、ログイン時や出金時、出金先口座変更時といった重要操作において、「フィッシング耐性のある多要素認証」の実装および「必須化」を推奨しています。これは、不正売買・出金の防止・検知、顧客への注意喚起など、総合的な対策を義務付けるものです。
このような背景のもと、立花証券では既に電話認証による多要素認証の仕組みを運用していました。しかし、金融庁やJSDAが推奨する「フィッシング耐性のある認証方式」への対応が新たな課題となっていました。さらに、同社が保有するPC版、スマートフォン版、各種専用ツールなど、多彩な取引ツールすべてに対して統一した認証基盤を整備する必要があり、個別開発を不要とする効率的なソリューションが求められていました。
立花証券における導入のポイント
トレードワークスは、SpotPathのパスキー認証機能を活用し、既存の電話認証と組み合わせる形で、立花証券が提供するすべての取引ツールに対応した実装を実現しました。
主な導入ポイントは以下の通りです。
-
パスキー認証の新規追加: 電話認証に加え、フィッシング耐性の高いパスキー認証を導入し、パスワードレスで安全なログインを実現し、認証体制を強化。
-
全取引ツールへの対応: PC版、スマートフォン版、各種専用ツールなど、立花証券の多彩な取引ツールすべてにパスキー認証を実装し、統一的な認証体験を提供。
-
APIベースの迅速な導入: 認証画面の個別開発が不要であり、最低限のAPI実装で複数の取引ツールへ一括対応することで、導入期間を大幅に短縮。
-
将来の拡張性確保: 今後、他の認証方式への拡張も可能な基盤設計により、制度変更にも柔軟に対応できる体制を構築。
今後の展望
トレードワークスは、今後、マイナンバー認証キー(J-PKI認証)やDID/VC(分散型ID・検証可能な証明書)への対応に加え、不正アクセス検知など、金融機関のガイドラインに対応するための開発を進めています。
同社は、金融機関への導入を推進するとともに、開発コストの影響で多要素認証の導入が困難だったすべての事業者に対し、引き続き顧客情報を安全に管理する手段としてSpotPathを提供していく方針です。
ソース元:
- 株式会社トレードワークス IR情報
https://www.tworks.co.jp/ir/