Revolutのパスキー導入：先進的な試みと今後の課題

Revolutが静かにパスキーの展開を開始しました。本記事では、銀行のセキュリティ、ユーザー体験への影響、そして改善点について包括的に分析します。

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

1. はじめに#

デジタルバンキングの世界では、ユーザー体験を損なうことなく強固なセキュリティを確保する必要性から、革新的なソリューションが生まれています。その中でも、ユーザー認証の新しい標準としてのパスキーは特に注目されています。ロンドンを拠点とする先進的なネオバンクであるRevolutは、最近、個人アカウントとビジネスアカウントの両方でパスキーの展開を静かに開始しました。この戦略的な動きは、より安全で便利なデジタル体験への高まる需要に応えるだけでなく、Revolutを**銀行業界におけるパスキー導入の先駆者**として位置づけるものです。

Get a free passkey assessment in 15 minutes.

Book free consultation

パスキーの展開により、RevolutはCoinbaseやWhatsApp、任天堂、Uberといった巨大テック企業が牽引するパスキー導入の波に乗っています。金融セクターにおいて、Revolutはこれまでにパスキーを展開した最大級の銀行とまではいかなくとも、最初期の銀行の一つです。

2. パスキーの本質とその重要性#

パスキーはパスワードレス認証の次なる段階を象徴するもので、ユーザーにシームレスかつ安全なアカウントアクセス方法を提供します。従来のパスワードとは異なり、パスキーでは複雑なパスワードを覚える必要がありません。代わりに、各ユーザーとデバイスに固有のキーを用いた非対称暗号技術を利用します。この方法は、フィッシング攻撃やデータ侵害のリスクを低減してセキュリティを強化するだけでなく、ユーザーはFace ID、Touch ID、またはWindows Helloを使うだけで済むため、ログインプロセスが簡素化され、全体的なユーザー体験が向上します。

3. Revolutのパスキー展開：革新と課題が混在#

Revolutはパスキーを段階的に導入しており、ビジネスアカウントと個人アカウントで機能が同時に展開されているわけではありません。私たちの調査で明らかになった主な違いを以下の表にまとめました。

機能	Revolut個人	Revolutビジネス
ログインページにパスキーでのログインボタンが表示されるか	いいえ	はい
新しいデバイスでのログイン成功後にパスキー作成を促すポップアップが表示されるか	はい、しかしすべてのデバイスで作成に失敗	はい、すべてのデバイスで表示されるが、パスキー作成はWindows 11でのみ成功
アカウントのセキュリティ設定にパスキー設定項目があるか	はい、しかしパスキーを作成するボタンはない	いいえ
ネイティブiOS/Androidアプリでのパスキー対応	いいえ	いいえ

3.1 Revolutのパスキー統合の利点#

Revolutのパスキー統合において、以下の点は高く評価できます。

銀行セクターにおけるセキュアなデジタルリーダーシップ： パスキー導入を率先することで、Revolutは銀行業界におけるデジタルリーダーとしての地位を固めるだけでなく、他の金融機関にも追随を促しています。
ユーザー体験の向上： パスキーは最もシンプルなユーザー認証形式です。ユーザーはMFAのために2台目のデバイスを用意する必要も、複雑なパスワードを覚える必要もありません。
SMS OTPコストの削減： 大企業レベルでのパスキー導入の推進力となっているのは、UXの向上やセキュリティ上の利点だけでなく、時代遅れで安全性が低いSMS OTP（銀行では依然として広く使われています）にかかる莫大なコストの削減でもあります。

3.2 改善の余地#

パスキー統合へのRevolutの大胆な一歩は称賛に値しますが、その展開にはいくつかの欠点が見られます。

情報提供リソースの不足： ユーザー向けの公式なパスキーFAQやガイドが見当たらない（私たちは見つけられませんでした）ことは、機能がユーザーに提供されているにもかかわらず、展開に関するコミュニケーションにギャップがあることを示しています。詳細なドキュメントを提供することで、パスキーに関する不明点を解消し、すべてのユーザーがよりスムーズに移行できるようになります。
一貫性のないパスキーUX： パスキー機能の利用可能性や機能性がデバイスやプラットフォームによって異なることが観察されました。パスキー設定が確実に表示され、パスキー作成を促すポップアップが実際のパスキー作成プロセスにつながる（私たちのテストではWindows 11でのみ機能しました）ような、一貫したユーザー体験を確保することで、ユーザーの信頼性が向上するでしょう。
Conditional UIの欠如： Conditional UIの導入は、状況を大きく変える可能性があります。パスワードレスだけでなくユーザー名も不要なログインを提供することで、ユーザー体験を向上させ、ログインプロセスをさらに効率化し、より直感的にすることができます。
ネイティブアプリとの統合がない： 現状、Revolutのモバイルファーストのアプローチは、ネイティブのiOSおよびAndroidアプリケーション内でのパスキーサポートには及んでいません。パスキーをネイティブアプリに統合することで、iOSおよびAndroidデバイスの高いパスキー対応状況を活用できるでしょう。
プラットフォーム間での統一された認証がない： ウェブとネイティブアプリのパスキー認証の間のギャップを埋めることは複雑な課題です（サンプル設定に関する技術的な詳細については、こちらのブログ記事をお読みください）。しかし、ウェブアプリ、iOSアプリ、Androidアプリ間でパスキーを共有できる統一された認証メカニズムを構築すれば、セキュリティとユーザーの利便性を高めることができます。

Revolut has introduced passkeys

Join them

以下では、Revolutの個人アカウントとビジネスアカウントについて、また、特定のデバイスやプラットフォームでパスキーがどのように展開されているかについて、さらに詳しく見ていきます。

4. Revolutビジネスのパスキー分析#

Revolutビジネスのパスキー分析は、まずウェブアプリケーションを詳しく見てから、ネイティブアプリを分析します。

4.1 Revolutビジネスのウェブアプリケーション#

以下では、簡潔にするため、特定のプラットフォーム、デバイス、ブラウザの組み合わせに絞って解説します。

注意点として、Revolutからのパスキーポップアップは、既存の認証方法で正常にログインした後に一度だけ表示されます。ポップアップを再度表示させるには、RevolutのCookieを削除するか、シークレットモード/プライベートブラウジングモードでサイトにアクセスする必要があります。

Revolutビジネスのログインページにアクセスすると、メールアドレスの入力欄の下、Google/Appleのソーシャルログインの上に、**「パスキーで続行」**という目立つ新しいログインオプションがあることにすぐに気づくでしょう。

4.1.1 Windows 11 + Chrome#

パスキー作成を促すポップアップは次のように表示されます。

興味深いことに、Revolutビジネスでは、主要なユーザー識別子がメールアドレスであるにもかかわらず、パスキーは電話番号に紐付けられています。これはおそらく、Revolutの個人アカウントが最初に電話番号で作成されるためでしょう。

Windows 11とChromeでパスキーの作成に成功したら、ログアウトしてログインページで**「パスキーで続行」**をクリックできます。すると、パスキー認証を処理するためのブラウザUIが表示されます。

現在のRevolutビジネスのログイン手順では、パスワードを入力し、ネイティブアプリでのプッシュ通知または2要素目としてのメールマジックリンクで本人確認を行う必要があります。これに対し、パスキーでのログインでは追加の認証方法は不要です。なぜなら、パスキーは本質的に2FAとして機能するからです。これにより、コンテキストを切り替えたり2台目のデバイスを使用したりする必要がなくなるため、特にデスクトップデバイスでのユーザー体験が大幅に向上します。

4.1.2 Android + Chrome#

Android 14とChrome 121では、**「パスキーで続行」**のログインボタンが非常に目立っています。

4.1.3 iOS + Safari#

iOS 17.3とSafariでも、**「パスキーで続行」**のログインボタンは同様に非常に目立っています。

4.2 Revolutビジネスのネイティブアプリケーション#

Revolutビジネス向けのネイティブiOSおよびAndroidアプリは、まだパスキーをサポートしていません。そのため、iOS（スクリーンショット参照）またはAndroidアプリの「セキュリティとプライバシー」セクションにパスキーのオプションはありません。

5. Revolut個人アカウント#

最初に注意すべき違いの一つは、Revolut個人アカウントでは主要なユーザー識別子として電話番号が使用される点です。パスワードの代わりに6桁から12桁のパスコードで認証が行われます。一方、Revolutビジネスでは4桁のパスコードが使用され、デフォルトのログインプロセスではパスワードが利用されます。

5.1 Revolut個人アカウントのウェブアプリケーション#

以下では、簡潔にするため、特定のプラットフォーム、デバイス、ブラウザの組み合わせに絞って解説します。

Subscribe to our Passkeys Substack for the latest news.

5.1.1 macOS + Safari#

初めてログインしたとき（またはCookieを削除した後/プライベートブラウジングモードで）、以下のパスキー作成を促すポップアップが表示されます。

何らかの理由で、前の画面で**「パスキーを追加」**をクリックした後、Touch IDによるパスキー作成プロセスを開始する機会なく、直接ログイン後のページに転送されてしまいました。この問題を調査したところ、Safariのデベロッパーツールのネットワークタブで、対応するAPIコール（https://sso.revolut.com/api/challenges /webauthn）を発見しました。しかし、このAPIコールはHTTP 403ステータスコードを返しており、この機能がまだ完全には展開されていないことを示唆しています。

Revolutビジネスアカウントとは対照的に、Revolut個人アカウントの設定にはパスキーのセクションがあります。

5.1.2 iOS + Safari#

5.2 Revolut個人アカウントのネイティブアプリケーション#

Revolut個人アカウント向けのネイティブiOSおよびAndroidアプリは、まだパスキーをサポートしていません。しかし、iOSアプリとAndroidアプリ（以下のスクリーンショット参照）の両方に、パスキー用のセキュリティ設定セクションが存在します。

6. 技術的な分析#

以下では、いくつかの技術的な側面についてさらに深く掘り下げていきます。

Become part of our Passkeys Community for updates & support.

Join

6.1 アカウントタイプに応じたRevolut SSOの異なるログインオプション#

技術的な実装の詳細を調査しました。主に、ログインページが読み込まれるたびにclient_idがバックエンドに送信され、それに応じてアカウントタイプに基づいた異なる認証オプションが返されます。

ビジネスアカウント： Apple、Google、パスキー（WebAuthn）ログイン
個人アカウント： Apple、Googleログイン

興味深いことに、Revolut個人アカウント向けのパスキーオプションは準備されているものの、まだ有効化されていません（下のスクリーンショット参照）。これは、展開が間近に迫っており、迅速に実装され、個人アカウントでも**「パスキーで続行」**ボタンが有効になる可能性を示唆しています。

表示されるログインオプションはclient_idに基づいて決定されます。例：https://sso.revolut.com/signin?client_id=o3r08ao16zvdlf2y5fde 実験として、client_idをランダムな値に変更したところ、Windows 11とChromeで、すべてのログインオプション（ログイン識別子として電話番号とメールアドレスを切り替える機能を含む）が表示されました。

6.2 PublicKeyCredential-RequestOptionsの分析#

ログインプロセス中に、PublicKeyCredentialRequestOptionsを分析しました。特筆すべきは、allowCredentialsが設定されていなかった一方で、リライングパーティIDは「sso.revolut.com」として設定されていた点です。userVerificationを「preferred」に設定することは、セキュリティの観点から賢明な選択です。

publicKeyCredentialRequestOptions.json
{
    "allowCredentials": [],
    "challenge": "WHAxZnJDaDB1VnNXMmlOQW1hVndqdTYzSzF3emR3b3gtRFRCWHVxRjJYRQ",
    "rpId": "sso.revolut.com",
    "userVerification": "preferred"
}

6.3 アソシエーションファイルの分析#

また、ネイティブのiOSおよびAndroidアプリへの展開がどのようになるかを分析するため、sso.revolut.comのリライングパーティIDを使用し、assetlinks.json（Android）およびapple-app-site-association（iOS）ファイルへのパスを追加して、これらのファイルがパスキー展開に関してどのような情報をすでに保持しているかを確認しました。

6.3.1 assetlinks.json#

https://sso.revolut.com/.well-known/assetlinks.jsonにアクセスしようとすると、nginxから404エラーが返されます。これは、ファイル管理にリバースプロキシが使用されていることを示唆しています。https://app.revolut.comというドメインを使用することで、https://app.revolut.com/.well-known/assetlinks.jsonでassetlinks.jsonを見つけることができ、Revolut個人アカウントに関する洞察に富んだ情報が得られました。

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "11:F2:5B:D6:30:60:CE:B4:EF:EC:48:7C:C8:1F:6D:3D:D0:3A:75:C3:E9:D2:C5:32:3D:69:55:9D:C1:7F:6A:23"
            ]
        }
    },
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut.test",
            "sha256_cert_fingerprints": [
                "90:EC:5D:75:11:4E:67:B7:F1:3F:C0:D0:57:85:9B:78:0D:A0:BA:49:E2:22:4C:60:42:7E:D2:EA:00:84:D1:B7"
            ]
        }
    }
]

https://well-known.dev経由で、Revolutビジネス用のアソシエーションファイルもhttps://business.revolut.com/.well-known/assetlinks.jsonで発見しました。

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.business",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "9F:07:80:54:0F:3A:C9:6F:D7:26:02:8A:37:C5:CD:48:DB:A3:67:EE:2D:93:B3:9D:DE:51:BC:F2:2E:7F:B1:88",
                "F8:F5:95:3A:C3:85:DB:0D:85:C3:56:E9:9B:37:BD:CA:4D:EE:B0:D2:52:C6:2A:36:4F:BA:C8:3B:C6:AF:3A:C2"
            ]
        }
    }
]

Revolut個人アカウント用とビジネスアカウント用のどちらのassetlinks.jsonファイルも、ネイティブAndroidアプリとウェブアプリを関連付けるためのリライングパーティIDで指定されたパスには配置されていません。そのため、ウェブとネイティブAndroidアプリの両方でパスキーが機能するようにするにはどのような変更が必要なのか、非常に興味深いところです。

6.3.2 apple-app-site-association#

Revolut個人アカウント用のapple-app-site-associationファイルはhttps://revolut.com/.well-known/apple-app-site-associationでアクセス可能ですが、ウェブ認証情報に関する詳細はまだ追加されていません。

apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            }
        ]
    }
}

対照的に、Revolutビジネスのapple-app-site-associationファイルには、特にウェブ認証情報に関して、より包括的な情報が含まれています。これは、iOSアプリQUZEZSEARC.com.revolut.businessがRevolutビジネスのウェブアプリケーションと認証情報を共有するように設定されていることを示しています。このファイルはhttps://business.revolut.com/.well-known/apple-app-site-associationでアクセスできます。

{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.business",
                "paths": [
                    "/",
                    "/accept-payments/in-person",
                    "/accept-payments/online-requests",
                    "/accept-payments/web-integrations",
                    "/accounts",
                    "/accounts/connect-external",
                    "/accounts/connect-external/*",
                    "/accounts/new",
                    "/accounts/transactions",
                    "/account-transactions/*",
                    "/action/confirm",
                    "/add-card-to-wallet",
                    "/advances",
                    "/advances/manual-repayment",
                    "/app/*",
                    "/application",
                    "/approvals/requests",
                    "/article/*",
                    "/articles/*",
                    "/bug-report",
                    "/card-reader/order",
                    "/cards",
                    "/cards/*",
                    "/cards/*/sca-counters-exceed",
                    "/cards/*/sca-counters-warn",
                    "/cards/*/security",
                    "/cards/*/settings",
                    "/cards/*/transactions",
                    "/cashback",
                    "/catalogue/manage",
                    "/challenges/*",
                    "/consumer-tickets/*",
                    "/crypto",
                    "/e-commerce",
                    "/exchange",
                    "/expense-documents/*",
                    "/expenses",
                    "/expenses/*",
                    "/faq",
                    "/faq/*",
                    "/favourites",
                    "/form",
                    "/form/*",
                    "/help-centre",
                    "/help-centre/topic/*",
                    "/hub/integrations",
                    "/insurance",
                    "/invoices",
                    "/invoices/*",
                    "/marketplace",
                    "/merchant",
                    "/merchant/*",
                    "/new-card-acceptance-pricing",
                    "/offboarding",
                    "/open-onboarding-application-next-step",
                    "/orders",
                    "/pay-in-store/order/*",
                    "/payments",
                    "/payments/scheduled",
                    "/payments/transfers",
                    "/plan/subscriptions",
                    "/points",
                    "/pricing-plans",
                    "/qr-code-sign-in/*",
                    "/referrals",
                    "/referrals/invite-contacts",
                    "/referrals/invitee-details/*",
                    "/request-info",
                    "/request-info/merchant",
                    "/requests",
                    "/requests/request",
                    "/reset-password",
                    "/rewards",
                    "/sales/revolut-me",
                    "/statements",
                    "/savings",
                    "/send",
                    "/settings/accounts-and-documents",
                    "/settings/business-profile",
                    "/settings/manage-devices",
                    "/settings/merchant-profile",
                    "/settings/merchant-profile/branding",
                    "/settings/notifications",
                    "/settings/personal-profile",
                    "/settings/trusted-merchants",
                    "/settings/vat-number",
                    "/signup/invite",
                    "/stories/*",
                    "/story/*",
                    "/subscriptions",
                    "/team",
                    "/team/approvals",
                    "/team/member/add",
                    "/team/roles",
                    "/tip/settings",
                    "/topup",
                    "/transactions",
                    "/transactions/*/add-expense-info",
                    "/transactions/*/add-info-flow",
                    "/transactions/*/chargeback-status",
                    "/transfers",
                    "/treasury",
                    "/upgrade",
                    "/vouchers"
                ]
            }
        ]
    },
    "webcredentials": {
        "apps": ["QUZEZSEARC.com.revolut.business"]
    }
}

Androidの場合と同様に、ウェブアプリのリライングパーティID（sso.revolut.com）が期待される場所にアソシエーションファイルを持っていないことを考えると、ネイティブアプリとウェブアプリ間でのパスキーのクロスプラットフォーム共有がどのように実装されるのかは、依然として興味深い点です。

7. まとめ#

結論として、Revolutのパスキー展開は、銀行セクターにおけるユーザー認証に革命をもたらす重要な一歩です。パスキーを採用することで、Revolutは従来のパスワードから脱却してセキュリティを向上させるだけでなく、よりシンプルなログインプロセスを通じてUXを大幅に強化しています。初期展開では、デバイス間での一貫性の欠如やネイティブアプリのサポートがないといった課題に直面しているものの、Revolutの取り組みはデジタルイノベーションとユーザー中心設計へのコミットメントを明確に示しています。

技術的な分析から、シームレスなパスキー統合の基盤は築かれているものの、改善すべき点がいくつかあることが明らかになりました。コミュニケーションの強化、プラットフォーム間での一貫性の確保、そしてネイティブモバイルアプリケーションを含むサポートの拡大が、次の重要なステップです。これらの課題に取り組むことは、Revolutの実装を洗練させるだけでなく、業界のベンチマークを設定し、他の金融機関が早期にパスキーを導入することを促進するでしょう（パスキーのPSD2準拠に関する私たちのブログ記事も参照してください）。