Finomのパスキー：銀行セキュリティの革命

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

現代の銀行業務には、最高クラスのセキュリティと、顧客の生活をより便利にすることが同時に求められます。だからこそ、アムステルダムを拠点とする先駆的なフィンテック企業Finomは、ウェブアプリの主要な認証方法としてパスキーを導入し、大きな一歩を踏み出しました。この革新的な取り組みは、従来のパスワード（およびSMS OTPによる従来のMFA）のあり方に挑戦するだけでなく、より安全で便利、かつプライバシーを重視したユーザーエクスペリエンスへの高まる需要にも応えるものです。この記事では、Finomのパスキー実装における技術的な設定とエンドユーザーにとってのメリットを掘り下げ、このアプローチが銀行や金融サービスにおけるパスキーの新時代を告げる可能性について考察します。

パスキーは認証におけるパラダイムシフトを意味します。脆弱なパスワードベースのシステムから、より安全でフィッシング耐性のある認証へと移行するものです。Finomのウェブアプリケーションはこの技術を採用しており、ユーザーはコンピューター、スマートフォン、ハードウェアセキュリティキー（例：YubiKeys）など、さまざまなデバイスで認証できます。これにより、クロスプラットフォームやローミング認証器もサポートしています。

Finom has introduced passkeys

Join them

Finomは、ブラウザとオペレーティングシステムの互換性に関する業界標準に準拠することで、幅広いアクセシビリティを確保しています。Finomの公式パスキーFAQによると、以下のブラウザバージョンがパスキーをサポートしています。

• Chrome (v105+)
• Safari (v16+)
• Edge (v105+)

Finomの公式パスキーFAQとは異なり、私たちのテストでは、Windows 11 23H2およびmacOS Sonoma 14.2.1上の最新Firefoxバージョン（v122）でもパスキー認証が機能しました。

オペレーティングシステムのサポート全般に関して、デスクトップデバイスでは、Windows 11とmacOS Sonomaでパスキー認証のテストに成功しました（FAQには公式の最小OSバージョンの記載はありません）。

モバイルデバイスのユーザーは、パスキーを完全にサポートするために、システムをiOS 16以降またはAndroid 9以降にアップデートする必要があります。幸いなことに、モバイルデバイスの大多数（94%以上）はすでにパスキーをサポートしています。

Finomでのパスキー作成プロセスは、USB、NFC、BLE、ハイブリッド、内部オプションなど、さまざまなトランスポートモードを採用し、パスキーの全機能をサポートしています。この柔軟性により、ユーザーは個人の好みや状況に応じた複数の認証オプションを持つことができます。

WebAuthnサーバーの設定とPublicKeyCredentialCreationOptionsの詳細な分析から、注目すべき点をいくつか紹介します。

{
    "attestation": "direct",
    "authenticatorSelection": {
        "residentKey": "discouraged",
        "userVerification": "required"
    },
    "challenge": "JWi0v7X1X-O1UvXB_I5q2A",
    "excludeCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        },
        {
            "alg": -37,
            "type": "public-key"
        },
        {
            "alg": -35,
            "type": "public-key"
        },
        {
            "alg": -258,
            "type": "public-key"
        },
        {
            "alg": -38,
            "type": "public-key"
        },
        {
            "alg": -36,
            "type": "public-key"
        },
        {
            "alg": -259,
            "type": "public-key"
        },
        {
            "alg": -39,
            "type": "public-key"
        },
        {
            "alg": -8,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "app.finom.co",
        "name": "app.finom.co"
    },
    "user": {
        "displayName": "Vincent Delitz",
        "id": "dmluY2RlbGl0aaBhb2wuY29t",
        "name": "vincent@corbado.com"
    }
}

• excludeCredentialsパラメータを使用して、既存のパスキーがあるデバイスに新しいパスキーが作成されるのを防ぐ
• Relying Party IDをapp.finom.coに設定し、安全でドメイン固有の認証を保証する
• direct attestationでは、デバイスがattestationステートメントを提供する必要があり、これにより認証情報の信頼性が証明される
• userVerificationがrequired（必須）に設定されており、正当なユーザーのみが認証プロセスを開始できるようにする
• Conditional UIがまだ展開されていないため、residentKeysはdiscouraged（非推奨）となっている。ただし、パスキー作成の動作は、認証器がresidentKeysの値を考慮するかどうかに大きく依存します（こちらの記事を参照）。さらに、Finomは将来のConditional UIサポートのために、すでにレジデントキーを作成しておくことでメリットを得られるはずです。一方で、この決定は、レジデントキーの容量が限られていることが多いハードウェアセキュリティキー（例：YubiKeys）のストレージを節約することにもなります。

PublicKeyCredentialRequestOptionsも同様に重要で、柔軟性とセキュリティを確保する設定で認証プロセスを円滑にします。

PublicKeyCredentialRequestOptions.json
{
    "allowCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "challenge": "s4R8Fsy7iSxxWIgUr7iTLA",
    "rpId": "app.finom.co",
    "userVerification": "discouraged"
}

• allowCredentialsが設定されており（ユーザーがクライアントとして使用しているデバイスに関係なく、すべてのクレデンシャルが設定される）、登録済みのパスキーのみが使用できるようにする
• ログイン時にはuserVerificationがdiscouraged（非推奨）となっている。これは、パスキー作成時にはrequired（必須）とされているため、興味深い点です。

Finomのパスキー実装における先進的な側面は、クロスデバイスでのパスキー共有の可能性です。Android向けのhttps://app.finom.co/.well- known/assetlinks.jsonおよびiOS向けのhttps://app.finom.co/.well-known/apple-app-site-associationで提供される関連付けファイルを分析すると、Finomがウェブとネイティブモバイルアプリケーション間でシームレスなパスキー統合の基盤を築いていることが明らかになります。クロスデバイス共有のサポート、例えば、ウェブアプリケーションのmacOSパスキーをiCloud Keychain同期を介してネイティブiOSアプリでも使用できるようにすることは、迅速に追加できます。この取り組みは、異なるプラットフォームやデバイス間での簡単な認証を可能にすることで、ユーザーエクスペリエンスをさらに向上させることが期待されます。

Finomのパスキー実装の中心には、比類なきセキュリティ、卓越したシンプルさ、そして妥協のないデータプライバシーという3つの基本要素を優先するというコミットメントがあります。

• セキュリティ： Finomのパスキーシステムは、サイバー脅威に対する障壁を築くように設計されています。従来のパスワードとは異なり、パスキーはユーザーのデバイスとFinomの検証済みドメインに安全に接続されており、フィッシングや不正アクセスのリスクを事実上排除します。
• シンプルさ： Finomのパスキー認証のシンプルさは、瞬時のログインプロセスに表れています。Face ID、Touch ID、またはWindows Helloを使用することで、ユーザーは複雑なパスワードを入力する手間なく、わずか数秒でアカウントにアクセスできます。この合理化された認証プロセスは、ユーザーの利便性を高めるだけでなく、ログイン時間を大幅に短縮し、銀行業界におけるアクセスの容易さの新しい基準を打ち立てます。
• データプライバシー： Finomは、ユーザーデータのプライバシーとセキュリティを最優先事項としています。パスキーがユーザーのデバイスに紐付けられたままになるシステムを採用することで、Finomは生体認証データを含む個人情報がユーザーの管理下にあり、サーバーと共有されることがないように保証します。このアプローチは、ユーザーのプライバシーを保護するだけでなく、個人情報や財務情報が不正アクセスや侵害から保護されているという自信をユーザーに与えます。

新しいデバイスでは、ユーザーはネイティブのFinom iOS / Androidアプリのプッシュ通知、またはメールのマジックリンクを使用して、パスキー作成を確認する必要があります。確認が完了するまで、ユーザーはパスキーを作成できません。

メールでパスキー作成リクエストを確認します。

または、プッシュ通知（ここではネイティブAndroidアプリ）でパスキー作成リクエストを確認することもできます。

パスキーの作成が成功すると、このポップアップが表示されます。

Finomは、ユーザーがメールアドレスを入力して「続行」をクリックすると、パスキーをデフォルトの認証方法（パスキーファースト）にすることで、ログイン体験を簡素化しています（デフォルトではパスワードフィールドは表示されません）。この直接的なアプローチは、不要な選択肢を排除し、パスワードの優先度を下げることでユーザーエクスペリエンスを向上させます。ただし、Conditional UIがないことは、将来の改善の可能性がある領域です。

パスキーのポップアップでパスキーログインフローをキャンセルすると、ユーザーは次の警告を受け取ります。

ユーザーが「再試行」をクリックすると、パスキーログインフローが再び開始され、パスキーのポップアップ（例：Face ID、Touch ID、Windows Hello）が表示され、ユーザーは再度生体認証をスキャンできます。

ユーザーが「別の方法を試す」をクリックすると、メールアドレスとパスワードの入力フィールドがある従来のログイン画面に転送されます。

Finomは、プライベートでない、または公共のアクセスが可能なデバイス（例：公共図書館のPC）でのパスキー認証の使用を強く推奨していません。このようなデバイスに内在するリスクは、そのアクセシビリティにあります。デバイスのロックを解除できる人（パスワード、画面ロック、またはデバイスに登録された指紋や顔認識などの生体認証データを通じて）は誰でも、あなたとして認証し、あなたのアカウントにアクセスできる可能性があります。

今日のユーザーが複数のデバイスを使用する現実を受け入れ、FinomはQRコードスキャンとBluetooth近接チェックを使用したクロスデバイス認証（ハイブリッドトランスポート）をサポートしています。この機能により、異なるデバイス間での流動的な認証体験が可能になり、デスクトップ環境からFinomにアクセスしようとする際に、モバイルデバイスに保存されたパスキーからのシームレスなログインが容易になります（クロスデバイス認証に関する詳細については、こちらの記事も参照してください）。

Finomは、ユーザーが認証方法をカスタマイズおよび制御できる直感的なパスキー管理機能を導入しました。パスキーの名前変更や削除機能を含むこれらの機能は、デジタルアクセス管理における柔軟性とセキュリティの必要性に対する深い理解を反映しています。

• 異なるデバイス用の複数のパスキー： Finomは、ユーザーのデバイス全体で複数のパスキーを作成することを推奨しています。このアプローチにより、パスキーを介したFinomのサービスへの途切れないアクセスが保証され、シームレスなマルチデバイス体験が実現します。
• スマートな重複防止： PublicKeyCredentialCreationOptionsのexcludeCredentialsパラメータを活用することで、Finomは同じデバイス上での重複したパスキーの作成を防ぎます。この措置は、セキュリティを強化するだけでなく、各デバイスに一意のパスキーを持たせることでユーザーエクスペリエンスを合理化します。
• パスキー削除時のパスキー認証要求： パスキーを削除する前に、ユーザーはパスキーを使用してその操作を認証する必要があります。この追加のセキュリティ層は、Finomがユーザーアクセスの保護を重視していることを強調し、正当な所有者のみがそのような重要な変更を行えるようにします。

注意点として、アイコン検出ロジックは一見するほど賢くはありません。私はAndroidのGoogleパスワードマネージャーにパスキーを保存しましたが、Windowsとして表示されました。これは、本質的に特定のオペレーティングシステムに縛られないYubiKeysのようなクロスプラットフォーム/ローミング認証器にも当てはまります。

パスキーの作成が成功すると、ユーザーはメールで通知を受け取ります。

ユーザーがパスワードをリセットする必要がある場合、ネイティブiOS / Androidのデバイスバインディングが削除されるだけでなく、すべてのパスキーも削除されます。より正確には、パスキーの公開鍵がサーバー側で削除されるため、パスキーでのログインは不可能になります（デバイスバインディングを復元した後でも）。パスキーの秘密鍵はデバイスに残りますが、その後のログイン試行には使用できません。

Finomのパスキー実装は、単にセキュリティとユーザーエクスペリエンスを向上させるだけではありません。これは、従来のSMS OTPシステムからのコスト削減に向けた戦略的な動きであり、既存の銀行や金融機関と競合する自信を持つ、モダンでデジタルファーストなフィンテックとしての地位を確立するためのものです。システムの現在の設計は有望であり、ネイティブアプリサポート、Conditional UIの展開、パスキーによる取引確認へと拡大する余地があります。

歴史的にセキュリティ上の欠陥が指摘されてきたSMS OTPという方法から脱却することで、Finomは認証およびMFA戦略において大きなメリットを得るための基盤を築いています。この移行は、SMS OTPに関連するリスクを軽減するだけでなく、最先端技術を活用してユーザーデータを保護し、銀行のユーザーエクスペリエンスを向上させ、SMS OTPによるMFAのコストを大幅に削減するというFinomの使命とも一致しています。

私たちのテスト中に、いくつかの主要な改善点を特定しました。

• ネイティブアプリへのパスキーサポートの拡大： モバイルバンキングの普及を認識し、Finomが近いうちにネイティブのiOSおよびAndroidアプリケーションにパスキーサポートを展開することを期待しています。これは、同社のモバイルファースト戦略にも合致するでしょう。特にmacOSデスクトップデバイスから来たユーザーとして、同じiCloud Keychainに接続されたiPhoneのiOSアプリでのログインは、今日のログイン体験と比較して大幅に簡素化できます。
• パスキーのみの認証： 時間の経過とともに、Finomがパスキー対応デバイスで最初で唯一の認証要素としてパスキーを推進することも期待しています。これには、認証の唯一の形式としてパスキーを使用して新しいアカウントを作成することも含まれます（バックアップとしていくつかのフォールバックを用意）。
• Conditional UIの実装： Conditional UIの導入は、他のプレイヤーでパスキーの採用に大きな成功をもたらしたことが示されている、ユーザーエクスペリエンスのもう一つの大きな最適化となるでしょう。
• 支払い確認にパスキーを使用： テスト中に、支払い確認もパスキーで機能するかどうかを確認するためにテスト支払いも行いました。しかし、Finomは依然としてネイティブアプリのプッシュ通知とSMS OTPを（後者は大幅なコスト要因）確認に使用しています。これは規制上の目的かもしれませんが、将来的にはここでもパスキーが採用されることを期待しています。

Become part of our Passkeys Community for updates & support.

Join

Finomのパスキー戦略において、まだ答えられていない疑問が1つあります。それは、PSD2およびSCAコンプライアンスに対するFinomのスタンスは何か、という点です。この問題は一般的に完全には対処されていませんが、この問題に関するFinomの見解を詳しく知ることは興味深いでしょう。パスキーのPSD2コンプライアンスに関するさらなる洞察と考えについては、こちらのブログ記事を参照してください。

Finomのパスキー導入は、銀行および金融サービスセクターにとっての優れた事例であり、フィンテック企業が現代のユーザーのニーズに応える高度なセキュリティ対策の採用をいかにリードできるかを示しています。Finomのパスキーシステムを詳細に分析することで、この記事は、他のソフトウェア開発者、プロダクトマネージャー、セキュリティ専門家が金融・銀行セクターにおけるパスキーの実装について学ぶ手助けとなることを目指しています。