このページは自動翻訳されています。英語の原文は こちら.
銀行向けPasskeysレポート. パスキープログラム向けの実践ガイド、展開パターン、KPI。
- RMiT 2025年11月版は、BNMの認証ガイダンスを拘束力のある規制へと転換し、マレーシアのすべての認可銀行、保険会社、電子マネー発行者、および決済システム運営者を対象としています。
- SMS OTP は現在、独立した第2要素として明示的に非準拠となっています。MFAは傍受に対する耐性を持ち、特定の受取人および金額に結び付けられている必要があります。
- デバイスバインディングは、1つのアカウントにつき1台のモバイルデバイスをデフォルトとしています。複数デバイスでのアクセスには、顧客の明示的なオプトインと監査可能な例外プロセスが必要です。
- パスキー(FIDO2/WebAuthn)は、フィッシング耐性のあるMFA、パスワードレス認証、およびデバイスバインディングの要件を同時に満たしており、完全なコンプライアンス準拠への最も直接的な道筋となります。
- マレーシアの銀行は2024年に3億8,300万リンギット(1億米ドル)以上の不正取引を阻止しており、これがフィッシング耐性のある管理の義務化への移行を後押ししています。
1. はじめに#
マレーシア国立銀行(BNM)は、2025年11月に更新版のRisk Management in Technology (RMiT)ポリシーを発行し、2023年6月版から置き換えました。この更新はテクノロジーリスク領域の広範囲にわたっていますが、最も影響が大きい変更は、認証、デバイスバインディング、多要素認証(MFA)、および不正防止の領域にあります。金融機関向けのこのマレーシアのバンキング規制は、もはやベストプラクティスやガイダンスではなく、必須の基準となりました。
BNMは2023年以降、徐々に金融機関をSMS OTPから脱却させてきました。理由は単純です。詐欺師は顧客が認証コードを見る前にSMSを傍受するツールを構築し、SIMスワップ攻撃によって犯罪者は自分たちが管理するデバイスにコードをリダイレクトできるようになったからです。2024年までに、マレーシアの銀行は全体で3億8,300万リンギット(1億米ドル以上)を超える不正取引を阻止しました(年次報告書による)。2025年11月の更新では、この進展を踏まえ、法的拘束力のある規制へと明文化しています。
この記事では、更新されたRMiTにおける認証とMFAの主な変更点を分解し、規制の背景を説明するとともに、パスキーとフィッシング耐性のある認証がコンプライアンスの全体像の中でどのように適合するかを示します。 以下の質問に答えていきます。
-
RMiTポリシーとは何ですか?また、誰に適用されますか?
-
2025年11月以前の認証の状況はどのようなものでしたか?
-
認証とMFA要件に対する最も重要な変更点は何ですか?
-
パスキーは、金融機関が更新されたRMiTに準拠するのにどのように役立ちますか?
2. マレーシア国立銀行(BNM)のRMiT(テクノロジーリスク管理)ポリシーとは何ですか?#
RMiTポリシーは、規制対象の金融機関がテクノロジーリスクをどのように管理するかを規定するBNMの中心的規制フレームワークです。BNM RMiTコンプライアンスは、ITガバナンス、サイバーセキュリティ、デジタルサービス、クラウド利用、および認証制御の要件を定めており、デジタルチャネルと脅威レベルが進化する中で、金融サービスの可用性、回復力、および信頼性を維持することを目標としています。
このポリシーはまた、クラウドの利用をアウトソーシングの一形態として扱い、機関が顧客データと暗号鍵の適切な所有権と管理を保持することを要求しています。実際のところ、RMiTはマレーシアで事業を展開するすべての規制対象金融機関が自社のテクノロジーリスク態勢を構築する上で従うべきコンプライアンスのベースラインです。
3. RMiTポリシーには誰が準拠する必要がありますか?#
RMiTの要件は、BNMによって規制されているすべての金融機関に適用されます。その範囲は広く、伝統的な銀行だけでなく、保険会社、電子マネー発行者、決済システム運営者、および送金業者も含まれます。以下の表は、主なカテゴリをまとめたものです。
| 機関カテゴリ | 例 |
|---|---|
| 認可銀行 | CIMB Bank、Maybank、HSBC Malaysia、Hong Leong Bank、AmBank、Public Bank |
| 認可投資銀行 | CIMB Investment Bank、Affin Hwang、AmInvestment Bank |
| 認可イスラム銀行 | Bank Islam Malaysia、Bank Muamalat、CIMB Islamic Bank |
| 認可保険・再保険会社 | AIA Berhad、Allianz General、Etiqa General、AXA Affin |
| タカフル・リタカフル事業者 | AIA PUBLIC Takaful、Etiqa Family Takaful、FWD Takaful |
| 開発金融機関 | Agrobank、Bank Rakyat、BSN、SME Bank、EXIM Bank |
| 承認された電子マネー発行者 | Boost、GrabPay、BigPay、TNG Digital、Kiplepay |
| 決済システム運営者 | Visa、Mastercard、PayNet、UnionPay、JCB、Alipay Connect |
| 登録加盟店アクワイアラー | iPay88、Adyen Malaysia、GHL Cardpay、Revenue Monster |
| 仲介送金業者 | MoneyGram、Western Union、Merchantrade Asia、Tranglo |
実務的な観点から言えば、あなたの組織がマレーシアの金融セクターで事業を行うためのBNMのライセンス、登録、または承認を保持している場合、RMiTが適用されます。
最新ニュースを受け取るためにPasskeys Substackを購読しましょう。
4. 2025年11月以前のBNMによる認証要件はどのようなものでしたか?#
2025年11月の更新前にも、RMiTには有意義な認証要件が含まれていましたが、多くは必須の基準ではなくガイダンスのレベルにとどまっていました。ベースラインを理解することで、どれだけ変化したかが明確になります。
4.1 MFA制御#
-
MFAは、高リスクの取引、特にオープンな第三者への資金送金や決済取引に求められていました。
-
特に10,000リンギット以上の取引に焦点が当てられていましたが、2023年版からはすべてのデジタル取引でMFAを推進し始めました。
-
2023年版では、「傍受や操作に対する耐性がある」認証への移行を明示的に推奨しており、これはSMSベースのOTPの終わりの始まりを告げるものでした。
-
2023年には、MFAは「ガイダンス」(ベストプラクティス)から「標準」(必須)へと格上げされました。
4.2 認証制御とアクセス管理#
-
機関は最小特権の原則を適用し、少なくとも年1回アクセス権限マトリックスをレビューする必要がありました。
-
特権アカウントには、アクセスが内部からか外部からかにかかわらず、必須のMFAを含むより厳格な管理が求められていました。
-
内部ネットワークへのリモートアクセス(例:VPN経由)には、交渉の余地のない標準としてMFAが必要でした。
4.3 デジタルサービス制御#
2023年版RMiTの付録11は、デジタルバンキングのセキュリティに関する重要な参考資料でした。そこでは、トランザクション署名(MFAを受取人や金額などの取引の詳細にリンクさせる)、デバイスバインディング(ユーザーのデジタルアイデンティティを信頼できるデバイスにリンクさせる)、および一般的な不正対策が義務付けられていました。
5. BNM RMiTポリシーの最も重要な変更点は何ですか?#
2025年11月の更新では、2022年と2024年の不正対策仕様を含む、以前のいくつかの通達や仕様が統合・強化されています。その結果、機関がユーザーを認証しデジタルサービスを保護する方法について、より鋭く、義務的な要件を備えた単一の包括的なポリシーが作成されました。最も重要となる5つの領域があります。
5.1 デフォルトで1ユーザーにつき1デバイス#
"デジタルサービス取引の認証をデフォルトで口座名義人につき1台のモバイルデバイスまたは安全なデバイスに制限するための、安全なバインディングおよびアンバインディングプロセスを確保する"
— RMiT 付録3、第3項(a)
これは、詐欺師が既存のアカウントに新しいデバイスを登録し、正規のデバイスがアクティブなまま資金を抜き取るSIMスワップ詐欺やアカウント乗っ取り攻撃への直接的な対応です。「デフォルト」という枠組みが重要です。顧客は複数デバイスの使用を選択できますが、これを明示的にリクエストし、関連するリスクを受け入れる必要があります。機関は複数デバイスをデフォルトにすることはできません。
実用上、これはオンボーディングおよび認証フローにおいてデバイスの登録を追跡し、デフォルトで単一のバインディングを強制し、顧客からのリクエストによる例外の明確で監査可能なプロセスを維持する必要があることを意味します。
5.2 電話番号変更時の堅牢な検証#
"新しい携帯電話番号の登録または既存の携帯電話番号の置き換えは、顧客の真正性を確認するための堅牢な検証方法を適用した後にのみ処理される"
— RMiT 付録3、第3項(c)
多くの機関は現在でも、現在の番号にOTPを送信するだけで電話番号の変更を処理しています。そのアプローチは、番号がすでに侵害されているかSIMがスワップされている場合は機能しません。BNMの枠組みにおける「堅牢な検証」とは、変更されるチャネルを超える方法を意味します。身元再確認、生体認証を使用したステップアップ認証、または高リスクの変更に対する支店での確認などです。
5.3 新しいデバイスのクーリングオフ期間と取引限度額#
"デジタルサービスまたは安全なデバイスの初回登録時、および複数の連続した大量取引またはその他の異常な取引パターンの際には、適切な検証およびクーリングオフ期間を適用する"
— RMiT 付録3、第3項(e)
新しく登録されたデバイスは、すぐに完全な取引機能を持たせるべきではありません。機関は、デバイスとユーザーの行動が信頼できる履歴を構築するにつれて段階的にロック解除される、時間ベースの制限と頻度制御を実装する必要があります。ハッカーがアクセス権を得た場合、通常は1日の送金限度額を引き上げてすぐに資金を動かそうとします。クーリングオフ期間を設けることで、正当な所有者と銀行の不正対策チームに、セッションを検出して停止するためのウィンドウが与えられます。
リアルタイムの行動プロファイリングとリスクスコアリングを義務付ける不正検知基準と組み合わせることで、認証レイヤーはクレデンシャルだけでなくコンテキストを認識する必要があるという明確な期待が生まれます。
5.4 暗号化されていないSMSよりも安全なMFA#
これは、今回の更新で最も重要な認証要件です。長年にわたるBNMのガイダンスに基づいて構築されており、法的拘束力のある基準へと変わりました。
"暗号化されていないSMSよりも安全なMFAテクノロジーおよびチャネルの展開… MFAソリューションは、認証プロセス全体を通じて第三者による傍受や操作に対する耐性を持っている"
— RMiT 付録3、第5項および第6項
ポリシーはさらに踏み込み、トランザクションバインディングを導入しています。
"認証コードは、MFAを使用して支払人/送金人によってローカルで開始および生成されなければならない…支払人/送金人によって生成された認証コードは、確認された受取人と金額に固有のものでなければならない"
— RMiT 付録3、第6項(c)および第6項(d)
トランザクションバインディングとは、認証コードがセッションやログインだけでなく、特定の取引の詳細(受取人と金額)に結び付いている必要があることを意味します。これは、ユーザーがすでに認証を行った後に詐欺師が取引を操作する「OTPリダイレクト」攻撃に直接対処するものです。口座Aへの500リンギットの支払い用に生成されたOTPを、口座Bへの50,000リンギットの支払いに再利用することはできません。
依然として主要な第2要素としてSMS OTPに依存している機関にとって、これはこれまでで最も明確なシグナルです。つまり、移行パスは任意ではありません。以下の表は、どのMFA方式が新しい要件に適合するかをまとめたものです。
| MFA方式 | フィッシング耐性があるか | RMiTに準拠しているか |
|---|---|---|
| SMS OTP | いいえ | いいえ |
| TOTP(例:Google Authenticator) | いいえ | 一部(過渡期のみ) |
| プッシュ通知 | いいえ | 一部(過渡期のみ) |
| 取引詳細付きのアプリ内OTP | 一部 | はい(傍受に対する耐性がある場合) |
| パスキー(FIDO2 / WebAuthn) | はい | はい |
| ハードウェアセキュリティキー(FIDO2) | はい | はい |
5.5 BNM RMiTのためのパスキーと暗号鍵ベースの認証#
BNMはまた、パスワードレスの代替手段を提供することを機関に明示的に求めています。
"既存のパスワードベースの認証方式に代わる手段として、デジタル証明書やパスワードレスなどの堅牢な暗号鍵ベースの認証を顧客に提供する"
— RMiT 付録3、第9項
これは、パスキー、ハードウェアベースの認証、または証明書ベースの方式への移行に向けた明確な指示です。SMS OTPの置き換えに焦点を当てたMFAのアップグレードとは異なり、この要件はパスワード自体をターゲットにしています。これら2つの要件は連動して機能します。機関は第2要素としてSMSを超えた移行を行うと同時に、第1要素としてパスワードの代替手段を提供する必要があります。
ここにはパスキーが最も自然に適合します。単一のパスキークレデンシャルが両方の要件を同時に満たすからです。これは暗号鍵ベースの認証方式(第9項)であり、暗号化されていないSMSよりも安全であり(第5〜6項)、さらにパスキーは認証を特定のオリジン(ウェブサイトやアプリ)にバインドするため、トランザクションバインディングの意図にも対応します。
6. まとめ:2025年11月更新の前後#
| 領域 | 2025年11月以前 | 2025年11月以降 |
|---|---|---|
| デバイスバインディング | 求められていたが、複数デバイスが一般的で緩く管理されていた | デフォルトで1ユーザーにつき1デバイス。複数デバイスは監査証跡を伴う顧客の明示的な要求でのみ可能 |
| 電話番号の変更 | 現在の番号へのSMS OTPで処理されることが多かった | 堅牢な検証が必要(生体認証、支店への訪問、または独立したチャネル) |
| 新しいデバイスの登録 | 登録後すぐに完全なアクセスが可能になるのが一般的だった | 必須のクーリングオフ期間。信頼構築フェーズ中の取引限度額の適用 |
| SMS OTP | 推奨されなかったが、主要な第2要素として容認されていた | 唯一のMFAとしては明示的に非準拠。傍受耐性のある方式に置き換える必要がある |
| トランザクションバインディング | 高リスクの取引で求められていた(全般) | 認証コードは受取人と金額に固有であり、ローカルで生成される必要がある |
7. 地域のコンテキスト:マレーシアだけの動きではない#
マレーシアの更新されたRMiTは、より広範な地域のトレンドの中に位置付けられます。アジア太平洋地域全体で、金融規制当局は同じ一連の要件、つまりデバイスにバインドされたクレデンシャル、フィッシング耐性のあるMFA、およびパスワードやSMS OTPからの脱却へと収束しつつあります。
-
シンガポール(MAS): シンガポール金融管理局は、デジタルバンキングにおけるデバイスバインディングとトランザクション署名を以前から求めており、テクノロジーリスク管理(TRM)ガイドラインをBNMのアプローチに非常に近い方向へ段階的に強化してきました。
-
インド(RBI): インド準備銀行は、特にカード非対面(CNP)やUPI取引において、認証の追加要素と取引固有の承認を推進してきました。
-
香港(HKMA): 香港金融管理局の電子バンキングガイドラインでは、高リスクな操作に対して強力な顧客認証とデバイス登録制御を求めています。
-
ベトナム(ベトナム国立銀行): 通達45/2025では、特定の高額取引について、ICチップ搭載の国民IDカードまたは国家データベースに対して顧客の生体情報を検証することを銀行に義務付けており、一元化された検証ステップが導入されています。
暗号化されたデバイスバインディング、パスキー、トランザクションレベルの認証など、RMiT準拠に必要なアーキテクチャこそが、地域全体が向かっている方向です。現在このアーキテクチャに投資する機関は、単一の国家的なポリシーだけでなく、規制の収束に対応するための基盤を構築していることになります。
8. Corbadoが金融機関の更新されたRMiT準拠をどのように支援するか#
Corbadoのプラットフォームは、更新されたRMiTが対処しようとしている認証の課題に向けて構築されています。主要な要件がCorbadoの機能とどのようにマッピングされるかは以下の通りです。
-
フィッシング耐性のあるMFAとパスワードレス認証: Corbadoのパスキー実装は、暗号化されていないSMSよりも安全なMFAに対するBNMの要件(第5〜6項)と、パスワードに代わる暗号鍵ベースの認証の要件(第9項)へのコンプライアンスを満たす直接的な道筋を提供します。単一のパスキークレデンシャルが両方の要件に同時に対応します。
-
デバイスバインディング: Corbadoは、特定のデバイスに結び付けられたデバイスバウンドパスキーと暗号クレデンシャルをサポートしています。登録フローでは、顧客からのリクエストによる例外のための明確なメカニズムを備えつつ、デフォルトで1ユーザーにつき1デバイスを強制でき、すべて完全な監査証跡を伴います。
-
監査とコンプライアンスへの対応:Corbadoのテレメトリ、イベントロギング、およびレポート機能により、認証制御が設計されているだけでなく効果的に機能していることを簡単に実証できます。CorbadoはISO 27001認証取得済みのISMSの下で運営され、SOC 2 Type IIの証明を保持しており、自社のセキュリティ態勢をマレーシアの金融機関に期待される水準に合わせています。
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study9. 結論#
2025年11月のRMiT更新は、認証セキュリティに関する長年のBNMガイダンスを拘束力のある規制へと転換しました。SMS OTPは、独立した第2要素としてはもはや準拠していません。デバイスバインディングはデフォルトで必須です。取引の認証は、特定の支払いの詳細に結び付けられている必要があります。そして機関は、パスワードに代わる暗号鍵ベースの選択肢を提供しなければなりません。
すでにSMSから脱却し、フィッシング耐性のある方式への移行を開始している機関にとって、今回の更新はすでに行っていたことを明文化したものです。そうではない機関にとって、現在の慣行と新しい基準とのギャップは大きく、コンプライアンスの期限はすでに固定されています。
パスキーは、更新された要件を満たすための最も直接的な道筋です。単一のパスキークレデンシャルが、1つの実装でMFAのアップグレード、パスワードレスの代替、およびデバイスバインディングの要件を満たします。これに機密操作に対するステップアップ認証と新規登録時のクーリングオフロジックを組み合わせることで、パッチワークのような個別ソリューションではなく、一貫したアーキテクチャを機関に提供します。
このトピックに関する最も重要な質問への回答は以下の通りです。
-
RMiTポリシーとは何ですか?また、誰に適用されますか? RMiTはBNMのテクノロジーリスクの中核的フレームワークであり、銀行、保険会社、電子マネー発行者、決済システム運営者、送金業者など、マレーシアで規制されているすべての金融機関に適用されます。
-
2025年11月以前の認証の状況はどのようなものでしたか? 高リスクの取引や特権アクセスにはすでにMFAが必須でしたが、SMS OTPは依然として容認され、複数デバイスのセットアップは緩く管理されており、パスワードレスの代替手段はまだ求められていませんでした。
-
認証とMFAに関する最も重要な変更点は何ですか? デフォルトで1ユーザー1デバイス、電話番号変更時の堅牢な検証、新しいデバイスの必須クーリングオフ期間、トランザクションバインディングを伴うSMSより安全なMFA、パスキーまたは暗号鍵ベースの認証の提供義務、の5つの変更点が際立っています。
-
パスキーは金融機関のコンプライアンス準拠にどのように役立ちますか? パスキーは、MFAのアップグレード、パスワードレスの代替、およびデバイスバインディングの要件を単一の実装で満たすと同時に、フィッシング、SIMスワップ、およびOTP傍受攻撃に対する耐性も備えています。
Corbadoについて
Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト:Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します(既存のIDPと併用)。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています(passkey有効化率+80%)。 Passkeyエキスパートに相談する →
よくある質問#
BNMのRMiTコンプライアンスにおける「トランザクションバインディング」とは何を意味しますか?#
トランザクションバインディングとは、各認証コードが支払人によってローカルで生成され、承認される特定の受取人口座および支払金額と数学的に結びついている必要があることを意味します。これにより、ユーザーがすでに認証を行った後に詐欺師が取引の詳細を操作するOTPリダイレクト攻撃を防ぐことができます。ある口座への支払い用に生成されたコードを、別の支払いまたは金額の承認に再利用することはできません。
なぜRMiT 2025の更新では、顧客が新しいデバイスを登録した後にクーリングオフ期間が必要なのですか?#
クーリングオフ期間は、口座にアクセスした詐欺師が新しく登録されたデバイスを通じて即座に資金を送金するのを防ぎます。BNMは、金融機関に対し、新しく登録されたデバイスの初期の信頼構築フェーズ中に、取引限度額と時間ベースの制限を適用することを義務付けています。これにより、正当な口座名義人と機関の不正対策チームの両方に、完全な取引機能がロック解除される前の検出ウィンドウが提供されます。
マレーシアの更新されたRMiTは、他のアジア諸国の認証規制と比べてどうですか?#
マレーシアのRMiT 2025は、シンガポールのMAS、インドのRBI、香港のHKMA、ベトナムの国立銀行がすべて、デバイスにバインドされたクレデンシャル、フィッシング耐性のあるMFA、およびSMS OTPの排除に収束しつつあるという、アジア太平洋地域のトレンドと一致しています。ベトナムの通達45/2025では、特に高額取引において、ICチップ搭載の国民IDカードなどのデータに基づく生体認証を義務付けています。したがって、RMiTに準拠したアーキテクチャに投資する機関は、単一の国の要件だけでなく、地域の規制の収束に対応することができます。
顧客が登録済みの携帯電話番号を変更する場合、BNM RMiTでは現在どのような検証が求められていますか?#
更新されたRMiTでは、現在の番号にOTPを送信するだけではなく、電話番号の変更を処理する前に堅牢な検証が求められます。許容されるアプローチには、身元再確認、ステップアップ生体認証、または支店での確認があり、検証チャネルが置き換えられるチャネルから独立していることを保証します。これは、電話番号をすでに管理している詐欺師がそうでなければ変更を自己承認できてしまうSIMスワップ攻撃に直接対処するものです。
この記事を共有
関連記事
目次