FIDO APAC Summit 2024からメルカリと住信SBIネット銀行のセッションを紹介

連載 [第2回] :

FIDO APAC Summit 2024レポート

2024年12月17日(火)

FIDO APAC Summitから、日本より参加のメルカリと住信SBIネット銀行のセッションを紹介する。

FIDO Allianceがマレーシアのクアラルンプールで開催したFIDO APAC Summit 2024から、メルカリのセッションと住信SBIネット銀行が行ったセッションを併せて紹介する。後半の住信SBIネット銀行のセッションでは、前のバージョンのアプリからの反省を活かして顧客の信用を勝ち取った内容となっている。

メルカリのセッションはCISOが担当

メルカリのセッションは昨年と同様、CISO（Chief Information Security Officer、最高情報セキュリティ責任者）の市原尚久氏が登壇した。

登壇したメルカリのCISO、市原尚久氏

市原氏は今年もメルカリがパスキーを選択した背景、効果などについて解説を行った。今年のセッションではフィッシングによる被害が拡大していることをグラフで示して解説。メルカリのようなC2Cのビジネスではユーザーの保護と利便性の向上という観点から非常に重要であることを説明した。

日本国内のフィッシング詐欺は増加傾向にある

その対応としてパスワードだけではなくSMSによる認証方法を追加したものの、ユーザーの利便性は向上せずかえって使いづらくなってしまったとして、そこからFIDOの推奨するパスキーへの移行が2023年に始まったと解説した。

SMS認証からパスキー認証へ

結果として認証の成功率はSMSの67.6％からパスキー認証では82.5％に改善し、認証にかかる処理時間も24.9秒から4.4秒まで高速化されたことを説明した。この数値は昨年のプレゼンテーションと同様となっている。

SMS認証からパスキー認証に替えることで大幅な改善が行われた

また社内の認証システムも2023年からOktaの提供するFastPassの生体認証をデフォルトで利用するように変更され、社員IDに対するフィッシング被害からの防御を行っていることを説明した。

社員の認証もOktaの生体認証に変更

まとめとして2023年3月から継続してパスキーの導入が進んでいることを解説。ここではMercoinから始まったパスキー導入が、Mercari本体に導入されていったようすがわかる。パスキー自体もデバイスに紐付いたパスキーからシンクドパスキー（Synced Passkeys）にWebサイトもスマートフォンアプリも対応しているようだ。

メルカリのパスキー導入の歴史

2020年からFIDOの認証を導入している住信SBIネット銀行

次に紹介するのは住信SBIネット銀行株式会社のシステムリスク管理部長細野高志氏のセッションだ。タイトルは「Revolutionizing Online Banking: An Innovative User-Centric Approach with FIDO Authentication」だ。

登壇した細野氏

細野氏は住信SBIネット銀行の概要を説明し、1986年に住友信託銀行の子会社として住信オフィスサービスという名称で創業されて以来、2007年に住信SBIネット銀行に商号を変えてネット銀行としてインターネットをフルに活用した各種サービスの提供を行っている。注目したいのはFIDOの仕様に沿った認証を2020年から提供しているという部分だろう。メルカリの市原氏が前職のLINEに在職していた時期（2017年～2022年）と重なることから、認証の改善を積極的に行っていた企業であることがわかる。

住信SBIネット銀行の沿革。2020年にFIDOの認証を導入している

その部分をクローズアップしたスライドでは、2014年からモバイルアプリとは別の認証のためだけに使われるアプリを開発提供していたことからも認証をセキュアにしたいという意図を感じられる。

モバイル向けには2014年から認証のためのアプリを提供

結果として2024年現在で500万人のユーザーがパスキーを利用しているという。ATMにカードを入れなくても利用できるATM Through the Appを2020年に提供開始、2022年にはカードレスで現金の引き下ろしができる機能を提供するなど、ユーザーの利便性を高める機能を相次いで提供している。そしてそのベースになっている技術こそFIDOが推奨するパスキーだ。

2014年に提供した認証アプリの課題を解説

認証のためだけのアプリと口座を操作するアプリが存在していることで操作が複雑になり、顧客からの満足度も低いものだったという。アプリの評価も低く、問い合わせが増加、フィッシング対策としても不十分だったという厳しい評価であったと説明した。

以前のスマート認証アプリの詳細をさらに詳しく説明

過去の認証アプリによって多要素認証が可能となるはずだったが、使いづらいユーザーインターフェースのために利用されることが少なく、結果としてフィッシングサイトに認証のための暗号を入力してしまう例が発生。ここで本格的に認証の見直しが始まったという。

古い認証アプリから新しい認証アプリへの切り替えの推移

ここでは古いアプリからほぼ強制的に切り替えを行ったことで、3か月後には約70％のユーザーが新アプリに移行したと説明。結果として、2021年3月18日には古いアプリを停止させることができたという。

古いアプリの遷移フローと新アプリのフローの違いを説明

このスライドでは古いアプリによる処理フローが遷移している概要とパスキーによってシンプルになった処理フローが解説されている。振込処理を行う場合であっても古いアプリの場合はアプリでのユーザーネームとパスワードでのログインの後に取引用のログインを再度行う必要があり、アプリを遷移して実行するなどユーザーの体験としては快適とは呼べない内容だったと説明。一方パスキーに移行した新アプリでは、ログイン操作は1回で完了することで即座に振込が可能となっており、劇的に改善されている。

FIDOパスキーを使うことでフィッシング詐欺は減少している

ここでは約80％のユーザーがモバイルアプリを利用し、アプリユーザーの90ぇせがFIDOのパスキーを使っていることが説明された。結果としてフィッシング詐欺の事例は減少しているという。

アプリユーザーが増加しているにも関わらず問い合わせ数は増加していない

新しいアプリに替えたことでユーザーが増加しているにもかかわらず、認証に関する問い合わせは増加していないことを説明。ここでもユーザー体験の改善が数値の上からも理解できる内容となっている。

パスキーによって新しいアプリ「ATM on App」やカードレス口座処理が可能に

パスキーによって、従来のような複雑な操作をユーザーに強いることもなくなり、ユーザーの満足度は向上しているという。

その結果として、開発チームだけではなくマーケティングやセキュリティのチームなどが一丸となってビジネスに前向きになっていけるようになったと締めくくって、セッションを終えた。

モバイルバンキングというユーザーの利便性を求めたはずだったものが、結果的に使いづらいアプリとなってしまったという反省から、パスキーを応用することで安全性と改善されたユーザー体験を提供することが可能になったと説明した細野氏だったが、過去の失敗を臆することなく公開した姿勢は高く評価されるべきだろう。2023年のベトナムでのサミットでも、そして今回のサミットでも感じたことだが、東南アジアのユーザー企業はあまり失敗を語りたがらないようだ。その中であえて失敗からの巻き返しを解説した住信SBIネット銀行のセッションは特筆すべき内容となった。