保険顧客ポータル向けパスキー導入ガイド
保険顧客ポータル向けパスキー:レガシーCIAMを運用する規制対象の保険会社において、アカウント乗っ取り(ATO)を減らし、OTPコストを削減し、契約者向けMFAを最新化します。
このページは自動翻訳されています。英語の原文は こちら.
- 保険業界におけるアカウント乗っ取りの損失は加速しています。NYDFSは2025年10月、公開されている見積もりシステムでMFAを強制せず、ドライバーデータに対するクレデンシャルスタッフィング攻撃を許したとして、自動車保険会社8社に対し合計1,900万米ドルの罰金を科しました。
- 保険会社の規模におけるSMS OTPのコストは、1メッセージあたり0.01~0.05米ドルに達します。月2回ログインする契約者を500万人抱える保険会社は、配信失敗やサポート通話を考慮する前でも、OTP配信だけで年間120万~600万米ドルを費やしています。
- パスワードのリセットやMFAのサポート通話は、保険のコールセンター業務の推定20~40%を占めており、エージェントの時間や本人確認の手順によっては、1回の通話につき5~25米ドルのコストがかかります。
- Aflacのパスキー導入では、50万件の登録と96%のログイン成功率を達成しました。Branch Insuranceでは、導入後にエージェントのサポートチケットが約50%減少したことを確認しています。
- FIDOのデータによると、パスキーによってログインのコンバージョン率が30パーセントポイント向上することが示されています。HealthEquityはさらに踏み込み、2025年秋にオプトアウトなしですべてのユーザーにパスキーを義務化しました。
1. はじめに#
保険顧客ポータルは、同時に複数の方向から圧力を受けています。アカウント乗っ取り(ATO)のリスクが高まり、SMS OTPの大規模運用はコストがかさみ、パスワードやMFAの失敗による影響はコールセンターが吸収しなければならず、さらに規制当局からはフィッシング耐性のあるMFAがますます求められています。このような背景から、保険はパスキーの顧客認証における最も明確なユースケースの1つとなっています。
本記事の内容:
- 保険ポータルがパスキーの強力なユースケースである理由 ATOリスク、高コストなOTPフロー、不正検知の遅れ、そして高まる規制圧力。
- パスキーと従来の認証方法の比較 SMS OTP、電子メールOTP、TOTP、デバイストラストにおける、セキュリティ、UX、コンプライアンス、コストの観点での比較。
- 保険会社の導入において何が異なるのか レガシーCIAM、マルチブランドのポータルアーキテクチャ、代理店と契約者のフローの違い、そして地域的な規制。
- 保険会社が実践的な運用モデルでパスキーを導入する方法 何を測定すべきか、成熟度モデルをどう活用するか、そしてOTP中心のログインからフィッシング耐性のあるMFAへどう移行するか。
- パスキーがデジタル導入とセルフサービスへの移行をどう促進するか CレベルおよびVPレベルのリーダー向けの戦略的根拠:チャネルシフト、コールセンターの呼量削減、および認証のオブザーバビリティとビジネス成果の結びつけ。
2. なぜ保険顧客ポータルはアカウント乗っ取りの主要な標的になるのか?#
保険の顧客ポータルは非常に機密性の高い個人情報を保持しているにもかかわらず、脆弱なログインセキュリティに依存していることがよくあります。そのため、クレデンシャルベースの攻撃の自然な標的となります。契約者のアカウントには、社会保障番号、銀行の口座情報、健康記録、請求履歴が含まれています。これらはすべて、個人情報の窃取や不正な保険金請求を通じて現金化される可能性があります。
エンタープライズPasskeyホワイトペーパー. パスキープログラム向けの実践ガイド、展開パターン、KPI。
トランザクションの監視によってリアルタイムで不正が検知される銀行ポータルとは異なり、保険の不正は表面化するまでに数週間から数か月かかることがよくあります。契約者のアカウントへのアクセスを得た攻撃者は、保険会社が侵害を検知するずっと前に、受取人の変更、不正な保険金請求の提出、個人情報の持ち出しなどを行うことができます。
問題の規模:
- フロントドアでのクレデンシャルスタッフィング: NYDFSは2025年10月、公開されている見積もりシステムでMFAを強制しなかったという理由で、自動車保険会社8社に合計1,900万米ドルの罰金を科しました。攻撃者はクレデンシャルスタッフィングを使用して、機密性の高いドライバーデータに大量にアクセスしました。
- SMS OTPは高価で脆弱: 保険会社の規模(数百万の契約者)では、SMS OTPの配信コストは急速に膨れ上がります。月に1,000万件のOTPを送信する保険会社の場合、1メッセージ0.03米ドルとすると年間360万米ドルの費用がかかります。これは100%の配信成功を前提としています。実際には、キャリアのフィルタリング、番号ポータビリティ、国際ローミングにより、OTPの5〜15%が届かず、配信が失敗するたびにサポートへの問い合わせが発生する可能性があります。
- パスワードリセットによるコールセンターの負荷: 保険のコールセンターはすでに複雑な請求や契約の問い合わせに対応しています。ここにパスワードのリセットやMFAのトラブルシューティングが加わると、エージェントの時間が収益を生む活動から奪われてしまいます。業界の推定では、消費者向けの金融サービスにおける総コールセンター業務量のうち、認証関連の問い合わせが20〜40%を占めるとされています。
- 強まる規制圧力: NYDFSにとどまらず、FTCセーフガード規則は2023年6月以降、銀行以外の金融機関に対してMFAを義務付けており、NAIC保険データセキュリティモデル法(25以上の州で採用)はすべてのライセンシーに対してリスクベースのMFAを義務付けています。
価値の高いデータ、不正検知の遅れ、上昇するOTPコスト、そして厳格化する規制はすべて同じ方向を示しています。つまり、保険ポータルにはフィッシング耐性のある認証が緊急に必要だということです。
- リアルタイムで不正利用を検知するトランザクション監視がある銀行とは異なり、不正が表面化するまでに数週間かかるため、保険ポータルはATOの標的として高い価値を持ちます。
- NYDFSは2025年10月、公開システムでMFAを欠いていたとして、自動車保険会社8社に1,900万米ドルの罰金を科しました。罰金は1日あたり最大75,000米ドルに達する可能性があります。
- 保険会社の規模では、SMS OTPのコストはサポートの諸経費を考慮する前でも年間120万〜600万米ドルにのぼり、メッセージの5〜15%は届きません。
- Aflac、Branch Insurance、HealthEquityはすでにパスキーを展開して測定可能な成果を上げています。具体的には、96%のログイン成功率、サポートチケットの約50%減少、オプトアウトなしの義務的な登録などです。
3. 保険ポータルにおいて、パスキーはSMS OTP、電子メールOTP、TOTP、デバイストラストと比べてどうですか?#
適切な認証方法を選択することは、セキュリティ、ユーザーエクスペリエンス(UX)、リカバリ、展開の複雑さ、サポート負担、コンプライアンス要件への対応、そして大規模環境でのコストを比較検討することを意味します。以下の表は、各オプションの比較をまとめたものです。
| 手法 | セキュリティ | UX | リカバリ | 展開の複雑さ | サポート負担 | コンプライアンス | 大規模環境でのコスト |
|---|---|---|---|---|---|---|---|
| SMS OTP | 低: SIMスワップ、SS7傍受、フィッシングによるリレー攻撃に脆弱。NYDFSはSMSを脆弱なMFAとして明示的に警告。 | 中: 馴染みはあるが遅い(メッセージを待ち、アプリを切り替え、コードを入力する)。大規模環境では5〜15%の配信失敗率。 | 容易: 電話番号に紐づくが、番号ポータビリティによってリカバリのギャップが生じる。 | 低: ほとんどのCIAMプラットフォームが標準でSMS OTPをサポート。 | 高: 配信の失敗、期限切れのコード、国際ローミングにより、コールセンターに多大な負荷がかかる。 | 最小限: 基本的なMFAのチェックリストは満たすが、NYDFSやCISAはフィッシング耐性のある代替手段を推奨。 | 高: 1メッセージあたり0.01~0.05米ドル。月1,000万件のOTPの場合、サポートコストを含めずに年間120万~600万米ドル。 |
| 電子メールOTP | 低: メールアカウントは頻繁に侵害される。OTPコードはフィッシングされやすく、リプレイ攻撃の対象となる。 | 低: 配信が遅い(数秒から数分)、アプリ間のコンテキスト切り替えが必要、コードが期限切れになる。 | 容易: メールに紐づくが、メールが侵害されるとリンクされているすべてのアカウントに連鎖する。 | 低: SMTP経由での実装が極めて簡単。 | 高: スパムフィルター、配信の遅延、期限切れのコードによりサポートチケットが増加する。 | 脆弱: NYDFSやFTCのガイダンスに基づくフィッシング耐性のあるMFA標準を満たさない。 | 低: メッセージあたりの限界費用はほぼゼロだが、間接的なサポートコストが高い。 |
| TOTP(認証アプリ) | 中: SIMスワップのリスクは排除するが、コードは依然としてリアルタイムのリレー攻撃によるフィッシングの対象となる。 | 中: アプリのインストール、コードの手動入力、時間の同期が必要。技術に詳しくない契約者には摩擦となる。 | 困難: バックアップコードなしでデバイスを紛失した場合、アカウントの復旧には手動での本人確認が必要。 | 中: ユーザーの教育とアプリのインストールが必要。義務化しない限り、導入率は通常20%未満。 | 中: SMSよりも配信の問題は少ないが、デバイス紛失によるリカバリや設定の不具合は依然として発生する。 | 中程度: 基本的なMFA要件は満たすが、NYDFSやCISAの基準ではフィッシング耐性とはみなされない。 | 低: 認証ごとのコストはかからないが、アプリのサポートやリカバリによるオーバーヘッドが間接コストとして加わる。 |
| デバイストラスト | 中: 認識されたデバイスでの摩擦は減るが、フィッシング耐性は提供しない。Cookieやフィンガープリントはリプレイ可能。 | 高: 信頼されたデバイスではユーザーに見えず、シームレスな再ログインが可能。 | 中: デバイスの紛失やブラウザの変更により信頼がリセットされ、再認証が必要になる。 | 中: デバイスフィンガープリントのインフラと信頼低下(trust decay)ポリシーが必要。 | 低: 信頼されたデバイスではユーザー向けのプロンプトは少ないが、信頼のリセットが混乱を招く。 | 単独では不十分: 2つ目の要素がなければ、主要なフレームワークにおいてMFAとして認められない。 | 低: インフラストラクチャのコストのみ。認証ごとの費用はなし。 |
| パスキー(FIDO2/WebAuthn) | 高: 暗号ベースでドメインに紐づいており、設計上フィッシング耐性がある。クレデンシャルスタッフィング、SIMスワップ、リレー攻撃の影響を受けない。 | 高: 2秒未満で生体認証またはPINによる確認が完了。コード入力やアプリの切り替えが不要。Aflacは96%のログイン成功率を達成。 | 中: プラットフォームのエコシステム(iCloudキーチェーン、Googleパスワードマネージャー)に紐づく。エコシステムからロックアウトされた場合、リカバリには本人確認が必要。 | 中~高: WebAuthnサーバー、rpID戦略、登録フロー、フォールバックロジック、クライアントサイドのテレメトリが必要。 | 低: Branch Insuranceではパスキー導入後、サポートチケットが約50%減少。 | 強力: NYDFS Part 500、FTCセーフガード規則、NAICモデル法におけるフィッシング耐性MFAの要件を満たす。NIST SP 800-63Bは同期型パスキーをAAL2準拠として認めている。 | 低: 認証ごとのコストはゼロ。SMSの排除、不正削減、コールセンターの呼量削減によってROIが実現される。 |
結論: パスキーは、セキュリティ、UX、サポート負担、コンプライアンス、大規模環境でのコストのすべてにおいて最も高い評価を得る唯一のオプションです。トレードオフとして展開が複雑になりますが、これは一時的な投資であり、導入が進むにつれて元が取れます。
企業向けの無料パスキーホワイトペーパーを入手できます。
4. 保険会社におけるパスキーの展開は何が違うのか?#
保険におけるパスキーの展開は、銀行やSaaSでの展開とは異なります。保険会社は、レガシーインフラストラクチャ、マルチブランドの複雑さ、多様なユーザー層、そして実装のあらゆる決定に影響を与える多層的な規制要件に対処しなければなりません。
4.1 レガシーCIAMプラットフォーム#
多くの大手保険会社は、Ping Identity、ForgeRock、OktaなどのエンタープライズCIAMプラットフォームで消費者IDを管理しています。これらのプラットフォームは現在、プロトコルレベルでFIDO2/WebAuthnをサポートしていますが、そのサポートはバックエンドのセレモニーのみをカバーしています。導入層(登録の促し、デバイスを認識するプロンプト、エラー処理、クライアントサイドのテレメトリ)が不足しているか、大規模なカスタム開発を必要とします。
これにより、銀行の展開で見られたのと同じ「1%の罠」が生じます。つまり、IdPのチェックボックスはオンになっていても、契約者をパスワードからパスキーに移行させるプロダクトジャーニーを誰も構築していないため、導入が停滞してしまうのです。
4.2 マルチブランドのポータルとrpID戦略#
一般的な大手保険会社は、自動車、住宅、生命、専門保険などの商品を扱っており、これらは別々のサブドメインや、M&Aによって取得した別々のドメインで運営されていることがよくあります。パスキーはオリジンに紐づくため、auto.insurer.comで作成されたクレデンシャルは、両者が同じRelying Party ID(rpID)を共有しない限り、life.insurer.comでは機能しません。
解決策:
- パスキーの作業を開始する前に、親ドメイン(例:
insurergroup.com)をアンカーとする単一のrpIDを定義する。 - すべての認証を、この共有rpIDを使用する一元化されたSSOレイヤー(OIDC/SAML)経由でルーティングする。
- レガシードメインをすぐに統合できない場合は、Related Originsを使用して再登録を強制することなくギャップを埋める。
4.3 代理店と契約者のフロー#
保険業界には、同じバックエンドシステムにアクセスする2つの大きく異なるユーザー層が存在します。
| 側面 | 契約者 | 代理店 / ブローカー |
|---|---|---|
| ログイン頻度 | 低(毎月の支払い、年次更新、請求) | 高(日々の見積もり、契約管理、コミッションの確認) |
| デバイスのプロファイル | 個人のスマートフォンやタブレット、OSやブラウザが多種多様 | 代理店の共有ワークステーション、企業のノートPC、ファイアウォールの背後にあることが多い |
| 信頼レベル | 初期の信頼度は低い。登録を通じて構築する必要がある | 基本的な信頼度が高い。多くの場合、代理店のオンボーディングを通じて事前に審査されている |
| 機密性 | 個人のPIIに完全にアクセス可能(SSN、銀行情報、健康記録) | 複数の契約者にわたって幅広くPIIにアクセス可能 |
| フォールバックのニーズ | 請求や支払いから決して締め出されてはならない | 見積もりや契約の締結から決して締め出されてはならない |
Branch Insuranceはこのアプローチを実践しました。彼らは(頻度が高く、より管理された環境にある)代理店から開始し、25%の初期導入率を達成してから契約者に拡大しました。代理店から始めることで社内の自信を深め、デバイス固有の問題を早期に浮き彫りにしました。
4.4 地域的なコンプライアンスの状況#
保険の認証は米国の規制問題だけにとどまりません。具体的な規則は市場によって異なりますが、方向性は一貫しています。すなわち、ID管理の強化、MFAカバレッジの拡大、そして顧客向けデジタルチャネルに対する監視の強化です。
- 米国: NYDFS Part 500は、ニューヨーク州で免許を受けた保険会社を含む対象企業に対し、2025年11月までに包括的なMFAを義務付けています。NYDFSはSMS OTPを脆弱であると明示し、フィッシング耐性のある代替手段を推奨しています。NAIC保険データセキュリティモデル法は、25以上の州でリスクベースのMFAを推進しており、FTCセーフガード規則は、一部の非銀行金融機関および仲介業者に対してMFAを義務付けています。
- EU: DORA(デジタルオペレーショナルレジリエンス法)は2025年1月17日に適用が開始され、EU全域の保険会社に適用されます。DORAは単なるMFAの規則よりも広範ですが、ICTリスク管理、インシデント報告、レジリエンステスト、そして顧客向けシステムのサードパーティによる監視に対する基準を引き上げています。
- オーストラリア: APRA CPS 234は、保険会社およびその他のAPRA規制対象企業に対し、リスクに見合った情報セキュリティ管理を求めています。APRAの2023年のMFAガイダンスは、特権アクセス、リモートアクセス、およびリスクの高い活動に対する認証の強化を明確に求めており、契約者に影響を与える重大なMFAの欠如は報告対象となるセキュリティ上の弱点に該当する可能性があると指摘しています。
- カナダ: OSFIガイドラインB-13は、保険会社を含む連邦政府の規制対象金融機関に適用されます。OSFIは、外部向けチャネルや特権アカウント全体でMFAを含むリスクベースのIDおよびアクセス管理を導入すべきであると述べています。
複数の地域で事業を展開する保険会社にとって、実用的な結論はシンプルです。適用される最も厳しい規制に対応できるよう顧客認証を設計することです。共通する方向性は、SMS OTPへの依存を続けるのではなく、リスクベースでよりフィッシング耐性のあるMFAへ移行することです。
エンタープライズPasskeyホワイトペーパー. パスキープログラム向けの実践ガイド、展開パターン、KPI。
5. パスキー導入の前後で保険会社は何を測定すべきか?#
クライアントサイドのテレメトリなしでパスキーを展開するのは、引き受けデータなしで保険証券を発行するようなものです。コールセンターがパンクするまで、どこで、誰に対して、何が失敗しているのか分かりません。保険会社が扱う契約者の属性が多様であることを考えると、銀行の展開で見られた「ブラインドロールアウト」の失敗はここでも同様に当てはまります。
少なくとも、保険会社は以下の3つのビジネス上の成果を測定すべきです。
- ログイン成功率: パスキー導入後、契約者や代理店はより確実にサインインを完了しているか?
- 登録率: ユーザーは実際にパスキーを作成しているか?それとも最初のプロンプトの後に導入が停滞しているか?
- フォールバックとサポート件数: ユーザーはSMSやパスワードのリカバリに戻ってしまっていないか?認証関連のサポートチケットは減少しているか?
これら3つの数字が正しい方向に向かっていれば、展開は機能しています。そうでない場合は、さらに拡大する前にプロンプトのタイミング、フォールバックの設計、デバイスのサポート範囲、またはユーザーへの教育を調整する必要があります。
5.1 一般的なログインよりも、請求やアカウント変更のジャーニーが重要である#
保険のポータルは、単なる「ログインして残高を確認する」だけの体験ではありません。最もリスクの高い瞬間は、契約者が請求を行う、支払い情報を変更する、住所を更新する、ドライバーを追加する、受取人を変更する、機密性の高いドキュメントにアクセスするといったタイミングで発生します。これらのジャーニーを一般的なログインのKPIにひとまとめにするべきではありません。
したがって、保険会社は高リスクなアカウントイベントごとにパスキーのパフォーマンスを分けて追跡すべきです。全体的なログイン成功率が良く見えても、請求関連や支払い関連のジャーニーが依然としてSMSや手動リカバリにフォールバックしている場合、導入は最も重要な部分で実際にオペレーショナルリスクを軽減しているとは言えません。これが、保険とより頻繁に使用される消費者向けアプリとの最大の違いの1つです。
5.2 ログイン頻度が低い場合、導入戦略は変わる#
多くの契約者は、更新時、請求の問題発生時、または保険金請求を行う時など、年に数回しかログインしません。そのため、保険におけるパスキーの導入は、毎日使用する製品とは根本的に異なります。プロンプトを表示し、教育し、最初の悪い体験から回復させる機会が少ないのです。
だからこそ、保険会社は全体としてだけでなく、ジャーニーごとに登録を測定すべきです。支払いや請求状況の確認が成功した後に表示されるプロンプトは、前回のセッションから数か月経過した最初のログイン画面でのコールドプロンプトよりもはるかに高いコンバージョン率を示す可能性があります。保険業界において、最適な導入のタイミングは通常、ログイン頻度ではなく、信頼とタスクの完了に結びついています。
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study6. 保険認証成熟度モデルとは何か?#
この4つのレベルからなるフレームワークは、保険会社が自社の現在の認証状況をベンチマークし、目標となるマイルストーンを設定し、取締役会、規制当局、監査人に進捗状況を報告するための方法を提供します。各レベルは前のレベルに基づいて構築されます。
| レベル | 名称 | 認証手法 | フィッシング耐性 | コンプライアンスの状況 | サポート負担 | コストプロファイル | 可視性 |
|---|---|---|---|---|---|---|---|
| 1 | SMSのみ | 唯一の第2要素としてパスワード + SMS OTP | なし: SMSはSIMスワップ、SS7、フィッシングリレーを通じて傍受可能 | NYDFSのフィッシング耐性ガイダンスを満たさない。FTCコンプライアンスは最小限。NAICのリスクベースのギャップあり | 高: OTPの配信失敗、コードの期限切れ、パスワードリセットがコールセンター業務の20〜40%を占める | 高: 大規模環境で1つのOTPあたり0.01~0.05米ドルに加え、サポートコストが発生 | 最小限: サーバーサイドのHTTPログのみ。クライアントサイドのセレモニーデータなし |
| 2 | MFA対応 | 第2要素としてパスワード + SMS/TOTP/プッシュ | 低: TOTPとプッシュはリアルタイムのリレー攻撃によるフィッシングの対象。プッシュはMFA疲労攻撃(Fatigue Attack)に脆弱 | FTCおよびNAICの基本的なMFAチェックボックスは満たす。NYDFSのフィッシング耐性の推奨事項は満たさない | 中: SMSの配信問題は減るが、TOTPの設定エラーやプッシュ疲労によって新しいチケットのカテゴリーが追加される | 中: TOTPはメッセージごとのコストを排除するが、アプリのサポートのオーバーヘッドは残る | 限定的: MFA方式の選択を追跡できる可能性があるが、セレモニーレベルのテレメトリが不足 |
| 3 | フィッシング耐性あり | プライマリ方式としてパスキーを展開。非対応デバイスのフォールバックとしてパスワード/OTP | 高: FIDO2/WebAuthnのクレデンシャルはドメインに紐づいた暗号ベース。フィッシング、スタッフィング、SIMスワップの影響を受けない | NYDFS、FTC、NAICの要件を満たすかそれを超える。NIST SP 800-63B AAL2に準拠 | 低: Branch Insuranceではチケットが約50%減少。Aflacは96%のログイン成功率を達成 | 低: 認証ごとのコストはゼロ。SMSの排除と不正削減によってROIが実現される | 中程度: 登録と認証のファネルが計測され、基本的なエラーの分類が実装されている |
| 4 | フィッシング耐性 + オブザーバビリティ | デフォルトとしてのパスキー。デバイストラストのスコアリング、異常検知に基づくリスクベースのステップアップ認証、スマートフォールバック | 最高: 暗号認証 + 継続的なデバイストラスト評価 + 振る舞いシグナル | 監査対応済み: 完全なテレメトリがCEO/CISOの証明、NYDFSの審査、および規制報告をサポート | 最低: プロアクティブな異常検知により、問題がコールセンターに到達する前に防止される | 最低: 最適化されたフォールバックルーティングにより、残存するSMSへの支出を最小限に抑える。不正による損失が減少 | 完全: 導入曲線、デバイス/OS別のエラー率、信頼の低下、SCA要素の適用範囲をカバーするリアルタイムのダッシュボード |
以下の図は、4つの成熟度レベルを、SMSのみの状態から完全なオブザーバビリティまでの進展として視覚化したものです。
このモデルの活用方法:
- 評価: すべての顧客向けポータルにおいて、認証方法、テレメトリの適用範囲、コンプライアンスのギャップを監査することで、現在のレベルを特定します。
- 目標設定: 少なくともレベル3に到達するための12〜18か月のロードマップを設定します。NYDFSの監督下にある保険会社は、CEOとCISOの二重認証要件をサポートするためにレベル4を目標とすべきです。
- コミュニケーション: 場当たり的な改善ではなく、構造化された進捗を示すために、取締役会へのプレゼンテーションや規制当局への提出資料にこのモデルを活用します。
エンタープライズPasskeyホワイトペーパー. パスキープログラム向けの実践ガイド、展開パターン、KPI。
7. パスキーがどのようにデジタル導入とセルフサービスへの移行を促進するか#
ほとんどの保険会社の幹部は、認証をIT部門の課題として扱っています。それは間違いです。コールセンターや支店からデジタルセルフサービスへの契約者の移行を戦略的課題に含めているCレベルやVPレベルのリーダーにとって、認証はそれを阻む最大の摩擦要因です。
7.1 認証はすべてのデジタルイニシアチブの入り口である#
セルフサービスの保険金請求、オンラインでの契約変更、デジタル支払い、電子署名のワークフローなど、すべてのデジタル保険のイニシアチブはログインから始まります。契約者がこの入り口を確実に通過できなければ、下流の投資はどれもROIをもたらしません。
データは明確です:
- **消費者の43%**が、ログインの管理がオンラインサービスを利用する意欲に影響を与えると回答しています。
- 64%が、アカウントを作成しなければならない、またはログインできないという理由で購入を放棄したことがあります。
- **消費者の60%**が、保険、年金、住宅ローンのポータルをナビゲートするのが難しいと感じており、ログインが最初で最も一般的な失敗のポイントとなっています。
- 保険会社とのやり取りにおいてデジタルチャネルを好むと答えた**保険顧客はわずか20%**です。その大きな理由は、認証をはじめとする体験が銀行や小売業のアプリよりも劣っているためです。
以下の図は、これら4つのデータポイントがどのように組み合わさって、単一の導入を阻害するパターンを形成しているかを示しています。
ポータルの再設計、チャットボット、デジタルの請求ワークフローに何百万ドルも費やしている保険会社にとって、パスワードとSMS OTPによるログイン体験は投資全体を台無しにします。ログインに失敗したり、フラストレーションで諦めたりした契約者は、結局コールセンターに電話したり支店を訪問したりします。これらはまさに、デジタル戦略で置き換えるはずだった高コストのチャネルです。
7.2 セルフサービスへの移行を定量化する#
契約者を人間のサポートによるチャネルからデジタルのセルフサービスに移行させることは、保険業界において最も影響力の大きいコスト削減戦略の1つです。
- **電話での対応には1回あたり8~15米ドル**のコストがかかるのに対し、セルフサービスでは1米ドル未満です。保険会社の規模では、電話からデジタルへのチャネルシフトが10%進むだけでも、年間で数百万ドルの節約になります。
- ポータルユーザーは非ポータルユーザーと比較して契約をキャンセルする可能性が12%低くなります。マルチチャネルを利用するユーザーは、25%高い定着率を示しています。
- デジタルセルフサービスを展開する保険会社は、15~25%のサービスコスト削減と、30%低い請求処理コストを報告しています。
- 保険顧客の82%は電話をせずに問題を解決したいと考えていますが、十分なセルフサービスツールがあると報告しているのはわずか56%です。認証の摩擦がこのギャップをさらに広げています。
以下のグラフは、これらの経済性がチャネル間でどのように比較されるかを示しています。
パスキーは、顧客の意図と実際のポータル利用の間のギャップに直接対処します。5〜15%の確率で失敗するパスワードとOTPのフローの代わりに、生体認証による確認によってログインが2秒未満で完了すれば、電話をかける代わりにデジタルジャーニーを完了する契約者が増えます。
7.3 Corbadoのオブザーバビリティが独自に明らかにするデジタル導入の真実#
ほとんどの保険会社は、自社のデジタル導入率が目標よりも低いことを知っています。しかし、彼らが答えられないのは**「なぜか」**ということです。デバイスの互換性の問題なのか?登録フローの摩擦なのか?パスキーが警告なしに失敗する特定のOSやブラウザがあるのか?プロンプトがまったく表示されない特定のユーザー層がいるのか?
ここで、Corbadoの認証オブザーバビリティが市場の他のツールにはないものを提供します。それは、認証テレメトリをデジタル導入率、セルフサービスの完了率、チャネルの移行といったビジネス指標に直接結びつける機能です。
Corbadoは以下のことを明らかにします:
- 契約者が認証ファネルのどこで離脱しているか - 単なる「ログイン失敗」ではなく、どのセレモニー段階で、どのデバイスで、どのユーザーセグメントで失敗したか。
- どのコホートがレガシーな手法に行き詰まっているか - 例えば、Androidを使用している60歳以上の契約者が、デバイスが非対応であるためにパスキーのプロンプトを一度も見ることなく、SMSへ、そして最終的にコールセンターへと静かにルーティングされていること。
- 認証の成功とデジタルエンゲージメントの直接的な関連性 - ログイン成功率が10パーセントポイント向上した場合、ポータルのセルフサービス利用はどれだけ増加するのか?コールセンターへの電話はどれだけ減るのか?
取締役会でプレゼンテーションを行うCIOやデジタル担当SVPにとって、これは「パスキーを導入した」という話を「パスキーによってデジタルのセルフサービス導入がX%増加し、コールセンターの呼量がY%減少し、四半期あたりZドルの節約になった」という話に変えます。これこそが、投資を正当化し、より広範なデジタル変革のロードマップを加速させる戦略的シナリオなのです。
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study8. Corbadoが保険会社のパスキー導入をどのように支援するか#
ほとんどの保険会社は、すでにWebAuthnセレモニーを処理できるCIAMプラットフォーム(Ping、ForgeRock、Oktaなど)を導入しています。彼らに欠けているのは、「パスキーをサポートしている」状態から「契約者の50%がパスキーを使用している」状態へと変える導入レイヤーです。Corbadoはそのレイヤーを提供します。
8.1 導入エンジン#
Corbadoの構築済みUIコンポーネントと判定ロジックは、CIAMプラットフォームがカスタム開発に委ねている登録ジャーニーを処理します。
- コンテキストに応じた登録プロンプトは、アカウント設定の奥深くに埋もれるのではなく、信頼性の高い瞬間(MFAのチェックが成功した直後など)に表示されます。
- 段階的な緊急性により、ほとんどの保険会社が必要とする12〜18か月の導入曲線に合わせて、「任意(Optional)」の通知から「推奨(Recommended)」、そして「必須(Mandatory)」へと設定可能なタイムラインに沿って移行します。
- A/Bテストを利用して登録メッセージ、タイミング、配置を検証し、様々な契約者セグメントや製品ラインにわたってコンバージョン率を最適化します。
8.2 デバイスインテリジェンス#
Corbadoは、デバイスレベルのパスキー互換性のマトリクスを継続的に更新して維持します。
- 特定のSamsungモデルでパスキーの実装に不具合がある場合、Corbadoは自動的にプロンプトを抑制し、フラストレーションを与えることなくフォールバックへとユーザーをルーティングします。
- Passkey Intelligenceは、プロンプトを表示する前にデバイスの機能を検出し、サポートが急増する原因となる「操作が中断されました(Operation Interrupted)」というエラーを防ぎます。
- 保険業界特有のデバイスの多様性(退職者が使用する古いタブレット、代理店の共有ワークステーション、企業が管理するノートPCなど)は、設定可能なトラストポリシーを通じて処理されます。
8.3 スマートフォールバック#
Corbadoは、デバイスや環境がパスキーの準備ができていない場合に、ユーザーを代わりの手段にインテリジェントにルーティングすることで、永久的なロックアウトを防ぎます。
- 非対応デバイスの契約者にはエラー画面ではなく、次善の手段へのスムーズな移行が表示されます。
- 本人確認(eKYC、IDスキャン + ライブネス)を使用したリカバリフローにより、コールセンターを介さずに再登録が可能になります。
- 代理店固有のフォールバックポリシーは、ハイブリッド(QRコード)フローをブロックする共有ワークステーションや企業のプロキシ環境に対応します。
8.4 フォレンジックテレメトリ#
Corbadoは、サーバーサイドのCIAMログでは提供できない「X線ビジョン」を提供します。
- デバイストラストダッシュボードは、パスキーの種類、デバイスの分類、およびSCA要素の適用範囲ごとに成功率を表示します。
- リアルタイムの異常検知は、セキュリティインシデントになる前に異常なパターン(共有デバイスの急増、不審な環境からの登録など)をフラグ付けします。
- 監査対応のレポートは、NYDFSの年次証明、NAICの審査、社内の取締役会への報告に必要なデータをCISOに提供します。
Corbadoは既存のCIAMスタックを置き換えるものではありません。その前に配置され、デバイスの断片化、ユーザー教育、運用の可視性といった現実世界の複雑さを処理し、パスキー投資がROIを生み出すか、それとも1%未満の導入率で停滞するかを決定づけます。
9. 結論#
保険の顧客ポータルは、同時に複数の方向から圧力を受けています。増大するATO攻撃、高コストなSMS OTPインフラストラクチャ、パスワードリセットによるコールセンターの過負荷、米国、EU、オーストラリア、カナダにまたがる規制要件の厳格化、そして高コストな人的チャネルからデジタルセルフサービスへ契約者を移行させる戦略的義務です。パスキーは、フィッシングされやすいクレデンシャルを排除し、認証ごとのコストを取り除き、サポートの負担を軽減し、より強力なMFAへの移行と歩調を合わせ、デジタル導入を阻むログインの摩擦を取り除くことで、これら5つのすべてに対処します。
Aflac(50万件の登録、成功率96%)、Branch Insurance(チケットの50%減少)、HealthEquity(オプトアウトなしの義務的な展開)は、大規模な導入が機能することをすでに証明しています。鍵となるのは、パスキーをインフラストラクチャのチェックボックスとしてではなく、プロダクトジャーニーとして扱うことです。登録フローに投資し、クライアントに計測を実装し、フォールバックを計画し、認証のパフォーマンスを取締役会が実際に気にかけるビジネス指標(デジタル導入率、コールセンターの呼量削減、セルフサービスの完了)に結びつけるテレメトリを構築してください。
保険認証成熟度モデルを使用して現在の体制をベンチマークし、12〜18か月の目標を設定し、取締役会や規制当局に対して構造化された進捗を報告してください。
Corbadoについて
Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト:Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します(既存のIDPと併用)。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています(passkey有効化率+80%)。 Passkeyエキスパートに相談する →
よくある質問(FAQ)#
パスキーは保険顧客ポータルのアカウント乗っ取りリスクをどのように軽減しますか?#
パスキーは保険会社のドメインに紐づいた公開鍵・秘密鍵暗号を使用するため、パスワードやSMS OTPフローで問題となるフィッシング、クレデンシャルスタッフィング、SIMスワップ攻撃の影響を受けません。Aflacはパスキー導入後に96%のログイン成功率を報告し、Branch Insuranceはサポートチケットが約50%減少したことを確認しました。認証中に共有シークレットが送信されないため、攻撃者がネットワークを制御していても再利用可能な認証情報を収集することはできません。
保険顧客ポータルの認証要件を形成するコンプライアンスの枠組みにはどのようなものがあり、パスキーはどのように役立ちますか?#
米国では、NYDFS Part 500、FTCセーフガード規則、NAIC保険データセキュリティモデル法などが保険会社に強力なMFAの導入を促しています。米国以外では、EUの保険会社はDORA、オーストラリアの保険会社はAPRA CPS 234、カナダの保険会社はOSFIガイドラインB-13の対象となり、これらすべてが顧客向けシステムの認証制御に対する要件を引き上げています。パスキーは、脆弱なSMS OTPフローへの依存を減らしつつ、FIDO2/WebAuthn暗号化クレデンシャルによるフィッシング耐性のあるMFAを提供するため、これらの要件を満たすのに役立ちます。
保険ポータルの認証において、パスキーはSMS OTP、TOTP、デバイストラストと比べてどうですか?#
SMS OTPは大規模環境では1メッセージあたり0.01~0.05米ドルのコストがかかり、SIMスワップやフィッシングに脆弱で、配信の失敗によりコールセンターに高い負荷をもたらします。TOTPアプリはメッセージ単位のコストを排除しますが、依然としてフィッシングの対象となり、コードの手動入力が必要です。デバイストラストは既知のデバイスでの摩擦を減らしますが、フィッシング耐性はありません。パスキーは、フィッシング耐性のあるセキュリティ、認証ごとのコストゼロ、2秒未満のログイン時間を兼ね備えており、セキュリティ、UX、コスト、コンプライアンスの各側面で最も高い評価を得る唯一の手法です。
保険会社におけるパスキーの展開は、銀行やSaaS企業と何が違うのですか?#
保険会社は、自動車、住宅、生命保険の商品が別々のサブドメインで稼働しているマルチブランドポータルの複雑さに直面しており、統一されたrpID戦略が必要となります。Ping、ForgeRock、OktaなどのレガシーCIAMプラットフォームはバックエンドのWebAuthnを処理しますが、導入のためのツールは限られています。代理店と契約者のフローでは、異なる信頼レベルとデバイスプロファイルが必要です。規制の圧力も複数の管轄区域に及びます。米国の保険会社はNYDFS Part 500、NAICモデル法、FTCセーフガード規則に直面し、EUの保険会社はDORAの対象となり、オーストラリアの保険会社はAPRA CPS 234、カナダの保険会社はOSFIガイドラインB-13に従う必要があります。そのため、適用される最も厳しい基準を満たす展開計画が求められます。
保険認証成熟度モデルとは何ですか?保険会社はそれをどのように使用して進捗をベンチマークできますか?#
保険認証成熟度モデルは4つのレベルを定義しています。レベル1(SMSのみ)は単一要素OTPでフィッシング耐性なし。レベル2(MFA対応)はパスワードとSMSまたはTOTPによるMFA対応で基本的なコンプライアンスを満たす状態。レベル3(フィッシング耐性あり)はパスキーが展開され、登録が保護され、スマートフォールバックを備えた状態。レベル4(フィッシング耐性 + オブザーバビリティ)は、完全なテレメトリ、デバイストラスト、継続的監視を備えた状態です。保険会社はこのモデルを使用して現在のレベルを特定し、目標となるマイルストーンを設定し、取締役会や規制当局に進捗状況を報告することができます。
この記事を共有
関連記事
目次