セキュリティキー上のパスキーを管理する

概要

トピック：コンシューマー、セキュリティキー上のパスキー、セキュリティキー、管理、名前の変更、削除
カスタマージャーニー：認知 > 検討 > 登録 > 管理 > 認証
作成日：2022年5月14日

ユーザーがセキュリティキーの表示、追加、名前変更、削除ができるようにします。

note

このパターンは2022年に初めて公開されました。「パスキー管理のUI：すべてのパスキータイプの組み合わせに関するベストプラクティス 」の2024年デザインパターンについても参照してください。

セキュリティキー上のパスキーを管理する機能を追加する

• ユーザーが以前追加したセキュリティキーを表示し、最後に使用したのはいつかを確認できるようにする。
• ユーザーがセキュリティとプライバシーの設定でセキュリティキーを追加できるようにする。
• ユーザーがセキュリティキーの名前を新しく変更できるようにする。
• ユーザーがアカウントからセキュリティキーを削除できるようにする。

結果

• 以前アカウントに追加したセキュリティキーとその最終使用履歴に関して混乱する可能性を減らす。
• 貴重な資産を守り、ユーザーからの信頼を築く。
• ユーザーに複数のセキュリティキーの追加を推奨することで、アカウントロックアウトを減らす。

フロー：セキュリティキー上をパスキー管理する

ユーザーが2つ目のセキュリティキーの追加を選択しない限り、登録後はすぐにセキュリティとプライバシーの設定に戻ります。

フロー：セキュリティキーを管理する

セキュリティキーとプライバシーの設定にセキュリティキーの管理インターフェイスを表示します。

「セキュリティと設定」ページにセキュリティキーのデータを表示して、登録が正常に完了したこと、セキュリティキーの不正使用が発生していないことをユーザーが確認できるようにします。以下の項目を含め、ユーザーはセキュリティキーのニックネーム変更や登録解除が可能です。

• キーのニックネーム
• 追加日と最終使用日
• アテステーション・セキュリティキーの製造元情報（オプション）
• 主要なCTAとして、キーを追加するオプションを頻繁に使用
• 名前変更と削除のオプション

フロー：詳細を確認する

詳細リンクで、セキュリティキーに関する詳細情報を段階的に公開します。

セキュリティキーの登録前後で、詳細リンクが表示されるようにします。どちらもユーザーがセキュリティキーの使用に関して疑問や懸念点を持つタイミングであり、関連するタッチポイントであるためです。

コンテンツ

ユーザーによってテストされた内容の例文をコピーし、ニーズに合わせて編集します。

[セキュリティキー名] 名前変更 削除
追加日：[日付と時刻]
最終使用日：[日付と時刻]
製造元情報：[メーカーとモデル]

セキュリティキーを使用すると、DigitalBankにサインインするときの2段階認証を便利かつより安全に完了できます。

セキュリティキーとは？
セキュリティキーは、それをサポートするサイトにおいて、パスワードを補完する形で機能する小型の物理デバイスです。1つのキーを複数のアカウントまたはサイトで使用できます。

セキュリティキーを使用すべき理由とは？
セキュリティキーはサインインの認証資格情報（ユーザー名やパスワードなど）を盗もうとする偽サイトからユーザーを保護します。他の2要素認証（テキスト、メール、メッセージ、認証アプリ、プッシュ通知など）では、セキュリティキーと同等レベルの保護は提供されません。

セキュリティキーの仕組み
まずは上のボタンを使用して、セキュリティキーを追加する必要があります。追加したら、ユーザー名とパスワードを使ってサインインし、その後に使用できるようになります。これにより、アカウント保護に利用できる最も強力な認証形式が作成されます。

セキュリティキーが使用するセキュリティ技術とは？
ほとんどのキーでは、ドライバーやソフトウェアなしで安全な認証を可能にする、FIDO®と呼ばれる認証標準を使用しています。ユーザーがキーを使ってウェブサイトにサインインすると、FIDO®はウェブサイトの実際のドメイン名を検証するブラウザからのチャレンジに暗号署名し、フィッシング（偽サイトを使ってユーザーを騙し、個人情報を共有させるなど）に対する強力な保護を提供します。攻撃者はキーから利用可能な署名を取得するために、ウェブサイトのドメイン名またはブラウザを制御する必要があります。

セキュリティキーがUSBメモリに似ている理由？
ハードウェアのセキュリティキーは見た目がUSBメモリに似ていて、コンピューターのUSBポートに挿入することもできますが、これらはストレージデバイスではありません。セキュリティキーを使用するときに個人情報を追跡したり、サイトあるいはオンラインのアカウント間でリンクしたりすることはできません。

セキュリティキーが盗まれたら？
キーはパスワードの代わりではなく、パスワードを補完する形で機能します。そのため、誰かがキーを盗んでも、パスワード（またはキーを登録しているサイト）を知らない限り、銀行口座にアクセスすることはできません。バックアップ手段を用いてサインインし、アカウントから盗まれたキーを削除できます。

複数のセキュリティキーを追加
複数のセキュリティキーを追加することを強くお勧めします。セキュリティキーの紛失または盗難が発生した場合、登録済みのバックアップ用セキュリティキー（またはその他のバックアップ認証手段）がないと、本人確認を行う間、アカウントへのアクセスが中断される可能性があります。1つは簡単にアクセスできる場所に、もう1つは別の安全な場所に保管するようお勧めします。

セキュリティキーの購入
セキュリティキーはメーカーによってさまざまで、主にオンラインリテーラーから購入できます。当社では、DIFO認定のセキュリティキーをお勧めします。FIDOⓇ認定キーの一覧は下記サイトでご確認ください。
(https://fidoalliance.org/certification/fido-certified-products/)

セキュリティキーに名前を付ける
セキュリティキーのニックネームは自分にのみ表示されます。分かりやすいニックネームを付け、後でこのアカウントに登録したキーがどれなのか分かるようにしてください。

UXリサーチ

ユーザーリサーチでは、セキュリティキーに対して参加者が抱く主な疑問と懸念点に対処するトピックを特定しました。これらの疑問や懸念点は、セキュリティキーを採用する際の障壁となる可能性があります。

このドキュメントでは、FIDOセキュリティキーを第2要素として使用する多要素認証 (MFA) の実現を目指すサービス事業者と実装者向けに、規制当局によるガイダンスのある業界（金融機関、医療など）のユースケースに基づいたユーザーエクスペリエンス (UX) のガイドラインとベストプラクティスを提供します。本ガイドラインは、FIDO実装時の意思決定を迅速化し、ユーザーに提供すべき情報と制御を特定することを目的としています。これらのUX推奨事項は、モバイルアプリやモバイルウェブよりも、デスクトップやノートパソコンなどのコンピューターからアクセスされるブラウザベースのサイト向けに最適化されていることに注意してください。ただし、ガイドラインには、セキュリティポリシーやアカウントの回復に関する推奨事項は含まれていません。

このドキュメントの原則は、BlinkがFIDOのUXタスクフォースメンバーと協力して実施した、モデレートありのコンシューマー調査とモデレートなしのコンシューマー調査の複数セッション (N = 68) に基づいて策定されました。ユーザーリサーチの参加者には、主に業務目的でセキュリティキーを所有し、使用しているコンシューマーと、個人のオンラインバンキングで2要素認証を使用しているものの、調査セッション前にはセキュリティキーの使用経験がない将来のセキュリティキーユーザーが含まれています。本リサーチの範囲には、将来のユーザーにキーの購入を促す戦略は含まれていないことに注意してください。ユーザーリサーチに加えて、現在市場にあるセキュリティキーの2要素認証エクスペリエンスがFIDOのUXタスクフォースによってレビューされ、その結果得られた知見が調査・評価の過程で活用されました。

これらの推奨事項は、プロシューマーがデスクトップ/ノートパソコン上でFIDOセキュリティキーを第2要素として使用する場合のMFA実装方法について、FIDOアライアンスのUXタスクフォースが持つ見解を表しています。本ドキュメントにおける「プロシューマー」とは、セキュリティとプライバシーを重視し、私生活においてこれらに関する技術やサービスを早期に取り入れるコンシューマーを指します。

展開戦略

• アカウントのセキュリティ全般、特にセキュリティキーに関する管理と学習のためのオンサイトハブとして、「セキュリティとプライバシーの設定」ページを推奨します。ユーザーが「セキュリティとプライバシーの設定」ページに移動するよう促し、サインインオプションとしてセキュリティキーが使用可能であることをわかりやすく伝えてください。また、ユーザーがセキュリティキーの性質と利点を学び、かつセキュリティキーを選んで購入や登録のアクションを実行できるコンテキストを作成します。
• FIDOセキュリティキーの登録方法とそれを使用した認証方法、どのセキュリティキーがFIDOによる認定を受け、かつサイトでの使用に互換性があるのか、さらにはFIDOセキュリティキーがウェブサイトの認証において安全かつ確実で便利な代替手段である理由など、関連するさまざまな知識を顧客サポート向けに準備します。
• セキュリティキーの紛失や盗難が発生した場合にアカウントへのアクセスがブロックされないよう、ユーザーには複数のセキュリティキーを登録するよう強く推奨します。

エコシステム

このパターンは2022年に初めて公開されました。「パスキー管理のUI：すべてのパスキータイプの組み合わせに関するベストプラクティス 」の2024年デザインパターンについても参照してください。

セキュリティ

このドキュメントでは、FIDOセキュリティキーを第2要素として使用する多要素認証 (MFA) の実現を目指すサービス事業者と実装者向けに、規制当局によるガイダンスのある業界（金融機関、医療など）のユースケースに基づいたユーザーエクスペリエンス (UX) のガイドラインとベストプラクティスを提供します。本ガイドラインは、FIDO実装時の意思決定を迅速化し、ユーザーに提供すべき情報と制御を特定することを目的としています。これらのUX推奨事項は、モバイルアプリやモバイルウェブよりも、デスクトップやノートパソコンなどのコンピューターからアクセスされるブラウザベースのサイト向けに最適化されていることに注意してください。ただし、ガイドラインには、セキュリティポリシーやアカウントの回復に関する推奨事項は含まれていません。