MyJCBアプリの新機能「パスキー」について

本稿はJCB Advent Calendar 2025の12月12日の記事です。

はじめに

初めまして。JCBデジタルソリューション開発部の小見山と申します。現在社会人二年目でMyJCBアプリの開発を主に担当しています。

今回はMyJCBに最近追加された新機能「パスキー」について解説していこうと思います。

MyJCBアプリに新たに追加されたパスキー登録画面

FIDOとは?パスキーとは?

そもそもFIDOやパスキーって何なのかについて、MyJCBアプリで導入した目的を踏まえて説明していきます。

結論から言うと、ID/パスワードを使わずに、安全にログインする技術のことです。

金融業界では年々、不正アクセスによる被害総額は増加傾向にあります。フィッシング詐欺や、なりすましなど、様々な手法を用いて悪意のある人間が不正にログインし、被害をもたらしています。

(参考ページ)

これらの不正アクセスによる被害を食い止めるため、この度MyJCBアプリではFIDOを導入することになりました。

FIDOというのは「Fast Identity Online」の略で、パスワードを使わずに安全にログインするためのルールのことです。

このFIDOという技術を使ったユーザー向けの機能が「パスキー」になります。

パスキーって何がいいの?

では、なぜID/パスワードではなく、パスキーを使用することで不正アクセスを防げるのでしょうか?

これまでID/パスワードによる不正アクセスが多く発生していた最大の原因は、秘密情報(パスワード)をサーバーと直接やりとりしているからです。

一方、パスキーは秘密情報をデバイス(スマホやPC)の中に厳重に保管し、外には出さないという仕組みです。

わかりやすく「フィッシング詐欺(偽サイト)」を例に考えてみましょう。

ログインする際、ユーザーは自らID/パスワードを入力し、送信します。
サーバーは送られてきたパスワードが正しいか判定しますが、この「送信」の瞬間に、偽サイトに誘導されたユーザーは、犯人にパスワードを渡してしまいます。
一度渡してしまえば、犯人はその後いつでも自由に不正ログインできてしまいます。

対してパスキーはどうでしょうか。

ユーザーがログインしようとすると、まずスマホ(OS)が「今見ているサイトのURLは正しいか?」を自動でチェックします。 その上で初めて、指紋や顔などの生体認証が求められます。これをクリアすることでログインできます。

もしURLが違う(偽サイトの)場合、スマホは「使う鍵がない」と判断して認証画面すら出しません。 つまり、人間が騙されても、システムが水際で止めてくれるのです。

この通り、パスキー認証は不正アクセスを防ぐよりセキュアなログイン方法と言えます。

パスキーの仕組み

ここではパスキーがどういった仕組みで認証しているかについて図で説明していこうと思います。

パスキー認証のフロー図

パスキー認証のフローは上記の図のようになっています。

ただ、この図を見ただけではイメージしづらいと思うので、秘密鍵をハンコ、公開鍵をハンコの印影だと考えてください。

ユーザーは秘密鍵(ハンコ)を自分の端末の中に保持しています。これは端末が記憶するので外に持ち出すことはできません。

それに対して、公開鍵(ハンコの印影)はサーバーが保持します。

こちらはハンコそのものではなく、ただの跡なので、コピーされても問題はありません。

これを踏まえて図に記載した手順をわかりやすく解説していくと以下のようになります。

(1)ユーザーはサーバーに対してログインを試みます

(2)サーバーはユーザーの要求に対して本人確認のための書類(認証要求)を送信します

(3)ユーザーは認証要求に対して指紋認証などの認証を実施します

(4)認証が成功するとハンコ(秘密鍵)を使用してサーバーから送信された書類にハンコを押します。これにより署名が生成されます

(5)ユーザーはハンコが押された書類(署名)をサーバーに送り返します

(6)サーバーは書類の印影(署名)と元々保管されていた印影(公開鍵)を比較します

(7)検証の結果、一致していればログインが成功します

このように、署名が本物だとサーバーが判断することで、ユーザーは無事にログインすることができます。

パスキーの注意点

パスキーはとても便利でセキュアなログイン方法ですが、使用する際には注意点が存在します。

MyJCBアプリではパスキーを作成すると、仮に本人がID/パスワードでパスキー登録済みのアカウントにログインしようとしても弾くようになっています。(不正アクセス防止のため)

パスキーはOSのアカウント(iOSならAppleアカウント、AndroidならGoogleアカウント)に紐づいているため、機種変更をしてOSアカウントも変更してしまった場合(AndroidからiPhoneに変えたなど)は、パスキーを設定したアカウントにログインできなくなってしまいます。

※パスキーによってログインできなくなった場合は(MyJCBブラウザ)より、新規登録/再登録をお願いします。

上記を気をつければMyJCBアプリにおいてパスキーは便利で最も安全なログイン方法と言えます。

終わりに

いかがでしたか?

パスキー認証がいかに安全で、便利な仕組みかお分かりいただけたかと思います。

MyJCBアプリへのログインには、ぜひパスキーをご利用ください!

最後に、JCB では我々と一緒に働きたいという人材を募集しています。
詳しい募集要項等については採用ページをご覧下さい。 www.saiyo.jcb.co.jp

本文および図表中では、「™」、「®」を明記しておりません。 記載されているロゴ、製品名は各社及び商標権者の登録商標あるいは商標です。

©JCB Co., Ltd. 20︎21