はじめに
量子コンピューター 1 の実用化が現実味を帯びる中、金融機関のサイバーセキュリティ対策は新たな転換点を迎えている。金融庁は2024年11月、「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書」2 を発出し、PQC(耐量子計算機暗号)3 への段階的な移行を業界全体に促した。
PQC対応は量子コンピューターによって現在の暗号が破られるリスクへの備えとして重要であり、顧客情報の漏えいや事業継続に直結する課題である。そのため、対応は単なる技術的な暗号更新にとどまらず、経営層のリーダーシップによる全社的なリスク管理やITガバナンス高度化を求める経営課題として位置づけられている。一方で、現行の個人向けの認証手段はパスワードや多要素認証に依存し、特に高齢者やデジタル弱者にとって大きな利用障壁となっている。
PQC対応をリスク低減のための「守り」だけでなく、UX(ユーザー体験)を抜本的に見直す「攻め」の機会と捉え、パスワードレス・行動生体認証など新たな認証基盤を戦略的に導入することで、「誰一人取り残さない」金融サービス実現の契機とすべきである。
本稿では、PQC対応と連動して次世代認証技術の戦略的導入を推進することの有効性について考察する。
1 量子コンピューターとは、原子などの物質を構成する「量子」が持つ「重ね合わせ」の特性を利用し、並列計算を可能にすることで、これまで以上の速度・規模の情報処理を可能にするとされる次世代コンピューター。
2 金融庁「『預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書』の公表について」(2024年11月26日)
3 Post-Quantum Cryptographyの略。量子コンピューターによって従来の暗号方式が破られるリスクに対応するための暗号技術。
1. PQC時代の金融認証基盤とユーザー体験の再設計
量子コンピューターの進展により、従来の公開鍵暗号は量子アルゴリズムによって短期間で解読されるリスクが現実化しつつある。金融庁報告書では、PQCへの段階的な対応開始と優先度に応じたPQC実装を強く促している。PQC対応は、暗号の安全性が失われることによる事業継続リスクへの対処だけでなく、全社横断的な取り組みが求められる複雑性や、継続的なリスク管理を要する経営課題である。金融機関はこれを経営基盤全体に影響を与える戦略的課題として認識し、経営層が主導的に取り組む必要がある。
しかしながら、実際の金融機関においては、PQC対応が「守り」、すなわちリスク低減や規制対応としてのみ捉えられがちである。多くの現場や経営層では、PQC対応が直接的な収益や顧客満足度の向上につながるものではなく、むしろコストや業務負荷の増大といったネガティブな側面が強調される傾向が根強い。そのため、全社的な推進力が生まれにくく、現場主導の積極的な取り組みや経営層による迅速な意思決定が後回しにされるという課題が顕在化している。
このような状況を打開するためには、「攻め」の視点が不可欠である。金融庁報告書でも示唆されている通り、PQC対応を単なる守りの施策にとどめず、デジタルトランスフォーメーション(DX)推進や新たな顧客体験の創出といった、経営戦略と連動した「攻め」の契機と捉える必要がある。「誰一人取り残さない」金融サービスの実現は、非対面チャネルの利用率向上やブランド価値向上、将来的な顧客基盤の拡大にも直結する。これは金融機関の持続的成長や競争力強化にも資するものである。
2. PQC対応の顧客認証とUX刷新の必要性
金融庁報告書および有識者会議では、PQC移行に際して「顧客認証基盤」を最優先で対応すべき領域として繰り返し強調している。インターネットバンキングやスマートフォンアプリ、API連携など、顧客接点となるシステムは外部からの攻撃リスクが高く、公開鍵暗号の量子脆弱性が顕在化しやすい。これらの領域でPQC対応が遅れれば、直接的な顧客被害や社会的信用失墜につながるリスクが大きいため、リスクベースで優先順位をつけた計画的な対応が不可欠である。
現行の顧客認証基盤(パスワードや多要素認証への依存)は、金融サービスの利用者体験に直結する中核的な要素であるにも関わらず、高齢者やデジタル弱者にとって大きな利用障壁となっている。金融サービスの利用機会を損なっている可能性があることから、今後の人口動態やデジタル化の進展を考慮すれば、こうした課題への対応は一層重要性を増していく。
【図表 1】認証方式別の比較
NTTデータ経営研究所が作成
パスワードレスや行動生体認証など先進的な認証基盤の導入は、単なるセキュリティ強化にとどまらず、他行との差別化やさらには新たなサービス開発やデータ活用の基盤ともなり得る。このように、PQC対応とUX刷新を一体で推進することは、金融機関の社会的責任と経営戦略の両面で合理的かつ必然的な選択肢である。
3. クリプトインベントリの段階的作成と先行着手
PQC移行の第一歩として、金融庁報告書は「クリプトインベントリ(暗号利用状況の棚卸し)」の作成を推奨しているが、いきなり全てのシステムを対象に棚卸しするのは現実的ではない。まずはリスクや業務影響の大きいインターネットバンキングやAPI認証など、顧客認証領域を中心に優先度の高いシステムに絞って着手することが現実的である。限定的な領域で「型」を作り、稼働量見積りや実施手順の整理やリスクを見極めたうえで全社展開することが、全社的なPQC移行の成功の鍵となる。
【図表 2】段階的なクリプトインベントリの作成
NTTデータ経営研究所が作成
優先順位付けには、リスクアセスメントが不可欠である。業務影響の大きさ、リスク顕在化の可能性、データの保秘期間、法令・基準などを考慮し、移行対象の優先順位を明確にすることが推奨されている。特に顧客接点や外部公開システムは、万一の事故が直接的な顧客被害や社会的信用の失墜につながるため、最優先で棚卸し・対策対象とすべきである。
クリプトインベントリ作成の実務には多くの課題がある。レガシーシステムやベンダー依存のブラックボックス的システム、ハードコードされたアルゴリズムなど、現場での把握が困難な資産も多い。設計書や運用台帳の確認、現場担当者へのヒアリング、ツールによる自動検出など、人的作業とツール活用のハイブリッドで進める必要がある。外部委託先やシステムベンダーが運用する領域についても、連携して情報を収集しなければならない。
さらに、クリプトアジリティ(暗号切替えの柔軟性)を備えたシステムへの移行は、設計・実装・テスト・運用まで長期にわたるプロジェクトとなる。PQC移行は短期間で完了しないため、長期的な視点と段階的なアプローチが求められる。クリプトアジリティの成熟度評価(CAMM)やリスク評価フレームワーク(CARAF)の活用によって、自組織の現状を客観的に把握したうえで、段階的に成熟度を高めていく必要がある。対応優先度の高いインターネットバンキングなどの認証基盤については、PQC対応の技術要件や移行ロードマップについて、システムベンダーと早期に協議を開始することが不可欠である。
4. 攻めの認証基盤刷新がもたらす未来と提言
顧客認証基盤の刷新は、PQC対応を進めるうえでの「守りのセキュリティ戦略」であると同時に、金融機関が提供するサービスの利便性・アクセシビリティを向上させ、顧客接点を最適化する「攻めのDX施策」となる。パスワードレス・行動生体認証の導入は、全てのユーザーにとって使いやすく安全な認証方式であり、顧客満足度の向上、既存顧客の離脱抑制、顧客基盤の拡大に寄与する。
このような刷新は、単なる利便性向上にとどまらず、UXの抜本的な見直しを通じて、金融機関のブランド価値強化や社会的包摂(インクルージョン)、デジタルチャネルの利用拡大、さらには高齢者向け商品や見守りサービスといった新たなサービス創出にもつながる。デジタルチャネルの利用率向上は、ペーパーレス化の推進、コールセンターや店舗の負荷軽減など、業務効率化やコスト削減といった経営的なメリットも大きい。
PQC対応の延長線上に認証基盤の刷新を位置づけることで、サイバー攻撃や将来の規制変化にも柔軟かつ迅速に対応できる体制を構築でき、金融機関の持続的な競争力強化につながる。守りと攻めの両面からPQC対応を再定義し、組織全体で推進することが、これからの金融機関に求められる姿勢である。
おわりに
PQC対応は暗号の安全性が損なわれるリスクへの備えだけではなく、顧客体験の抜本的改善を推進する好機でもある。特にパスワードレスや行動生体を用いた次世代認証技術の戦略的導入は、高齢者やデジタル弱者を含むすべての利用者にとって使いやすさを向上させ、非対面チャネルへの移行を促し、店舗やコールセンターの負荷軽減といった業務効率化にも寄与する。非対面チャネルのセキュリティ強化とUX改革を推進することにより、利用者層の拡大や多様なニーズへの対応力強化を期待したい。
