セキュリティ

デバイス認証

「デバイス認証」はパスワードに加えて、お客さまご利用の端末を認証することにより、当社WEBサイトにログインできる端末を制限する多要素認証の一つです。

当社サーバーからお客さまの端末へ識別情報を発行し、ログイン時にその識別情報を確認することで、認証を行います。

デバイス認証について

FIDO（スマホ認証）

「FIDO （顔認証・指紋認証）」は、パスワードに加えて、お客さまのスマートフォンに登録された本人確認情報を利用する多要素認証の一つです。パスワード等による認証に比べ、より安全にログインいただけます。本人確認情報として生体認証またはパスコードをご利用可能です。

FIDO（スマホ認証）について

電話番号認証

「電話番号認証」は、各チャネルへのログインの際にユーザーネームとログインパスワードの入力に加えて、当社にご登録の電話番号から当社指定の認証用電話番号への発信を必要とする多要素認証の一つです。
スマートフォンや特別な環境を必要としないため多くのお客さまにご利用いただけ、指定された番号に発信するだけの簡単な操作でセキュリティを強化できます。

電話番号認証サービス

パスキー認証

2025/10/25（土）より、SBI証券メインサイトへログイン時の多要素認証として「パスキー認証」を導入いたします。
「パスキー認証」とは、登録された生体情報（指紋認証、顔認証、PINコード、パターン認証など）により本人確認を行う、ログイン時の認証方法です。
パスキー認証を利用してメインサイトへログインする場合には、ユーザーネーム・ログインパスワードの入力や「デバイス認証」や「電話番号認証」などの多要素認証が不要になります。

パスキー認証について

パスワードの桁数拡充・複雑化・連続失敗時の自動ロック

証券口座ログイン時のセキュリティ強化のため、当社ではパスワードを10文字以上とし、英字、数字、記号を組み合わせた複雑なものを推奨しています。これにより、ブルートフォース攻撃^※1や辞書攻撃^※2からの保護を強化し、不正アクセスを防止します。

1. 可能な組み合わせを全て試す方法
2. あらかじめ用意された一般的なパスワードのリスト（辞書）を使用してパスワードを解読する方法

二重のパスワードで安全性を追求

SBI証券ではログインのために「ユーザーネーム」と「ログインパスワード」をお配りし、顧客サイトへのログインの際は必ずこの「ログインパスワード」を入力していただきます。

これに加えて、セキュリティをより高めるために売買注文を出す際などには「取引パスワード」を入力していただきます。異なるパスワードによる二重チェックによってセキュリティを確保しています。

「ユーザーネーム」および「ログインパスワード」「取引パスワード」は変更可能ですので、他人から推測されにくい複雑なパスワードに変更されることをおすすめいたします。

ご利用のパスワードは決して他人に知られることのないようにご注意ください。また、特に、万一の場合の被害拡大を防止する観点から、他のネット証券やインターネットバンキングなど、他の金融機関と同じパスワードのご利用はお避けください。なお、長期間同じパスワードを使用し続けるのはおすすめしません。

• パスワードが自動的に入ってしまう場合は パスワードの自動入力についてをご確認ください。

パスワードの設定

出金時の二要素認証必須化

2025/7/25（金）夕刻より、出金額にかかわらず、出金時は「二要素認証」が必須となっております。
インターネットからの出金指示時に認証コードを記載したメールを配信いたします。
メールに記載の認証コードを追加入力することで出金指示を受付いたします。

お客さま情報のマスキング対応

SBI証券では、万が一の不正アクセスに備えお客さま情報に対しマスキング^※を実施しております。
本対応により、お客さま情報の一部のみを表示することで大切な情報が盗み取られるリスクを低減しております。

• マスキングとは、お客さま情報の一部を「*」に置き換える処理を指します。

マスキング対応について

各種ログイン制限

WEBサイトやアプリ・ツールへのログインを制御する設定が可能です。
ログイン自体を遮断することで悪意のある第三者からの不正アクセス・不正取引を防止することができ、利用していないチャネルや多要素認証のための環境が準備できないチャネル、ツールだけに絞って制御することも可能です。

各種ログイン制限について

通知機能の強化

お客さまの口座にログインが行われた場合、およびご登録情報の変更申込や出金指示があった場合に、ご登録のEメールアドレス宛に手続きがあった旨をお知らせするメールを配信いたします。本メール配信は、悪意ある第三者による不正アクセス・不正操作を未然に防止し、お客さまの資産をお守りする観点から、Eメール通知サービスの利用状況が「通知しない/配信停止」に設定されているお客さまにも配信^※されます。

通知対象

• ログイン
• 出金指示受付
• Eメールアドレス登録・削除
• ユーザーネーム・各種パスワード変更
• お客さまご登録情報変更
• デバイス認証利用解除・認証情報削除
• 振込先金融機関口座変更
• 外貨出金先金融機関口座変更
• ログイン一時利用停止・再開
• 一定回数ログイン失敗時のパスワードロック
• 登録電話番号照会

• ログイン通知については、「通知する」に設定されている場合に配信されます。

当社からお送りするEメールについて

取引時認証（リスクベース認証）

取引時認証（リスクベース認証）とは、お客さまのご利用状況やご利用環境などのデータを元にご本人からのアクセスか判定を行い、第三者の可能性がある場合に追加の認証を求めることで、第三者による不正取引を未然に防ぐ目的で対策を行います。

• ご本人のお取引の場合でも「普段と異なる」と判定され、認証が求められる可能性があります。

取引時認証（リスクベース認証）

EV SSL証明書の採用

SBI証券のWEBサイトをより安全にご利用いただけるよう、WEBサイトの正当性を確認する手段として「EV SSL証明書」を採用しております。

「EV SSL証明書」が閲覧中のWEBサイトに適用されていることを視覚的にご確認いただくことにより、SBI証券のWEBサイトを巧妙に装ったフィッシング詐欺サイトとの違いを見分けることができます。

EV SSL（Extended Validation SSL）証明書の導入

暗号化通信（TLS）を利用したデータ保護

インターネット上の取引は不安、という方もご安心ください。インターネット上でのお取引の安全を確保するため、SBI証券のWEBサイトはお客さまの情報をTLSによる暗号化通信を使用しております。 TLSはインターネット上で交わされるデータを暗号化することで、内容を他人に知られないようにする規格です。

お客さまがログインされた後、SBI証券のWEBサイトと交わされる情報は、暗号化技術を使用しておりますので、お客さまの情報が第三者の目に触れることはありません。

• TLSはSSLと同等以上のセキュリティレベルを有する新しい暗号化通信の方式です。

スマートフォンアプリ向けハッキングの防止

スマートフォンアプリ向けにハッキング防止ソリューション「eversafe（エバーセイフ）」を導入しております（一部アプリを除く）。

アプリには、ソースコードが毎回違うパターンで動作するセキュリティ技術が搭載されており、サイバー攻撃からお客さまのアプリを安全に守っております。サーバー基盤技術であることから、ハッカーの攻撃に対してリアルタイムのモニタリングが可能であり、モニタリングを通じてサイバー被害を未然に防ぐとともに第三者によるエンジニアリング行為および不正侵入行為を遮断することで、より安全・安心なお取引環境を提供いたします。

サーバーやシステムの管理体制

お客さまのデータ管理に使用いたしますサーバーはファイアウォールによって外部からの侵入を防止しています。当社では、万が一サーバーや回線の障害が起こった場合にも注文執行が滞ることのないよう、万全の体制を整えており、システムの監視も24時間体制で行っています。

また、SBI証券のカスタマーサービスセンターはオペレーターを配置し、充実したサポート体制を整えております。

情報セキュリティの管理体制

当社はお客さまに安心してご利用いただけるよう、自主的に情報セキュリティ管理体制を整備し、PDCAサイクルによる運用・見直しにより、安全性・信頼性を高め、事件や事故の未然防止に努めております。

2020年9月に発覚した不正アクセスに関するプレスリリース

デバイス認証・FIDO（スマホ認証）設定のお願いおよび電話番号認証を含めた多要素認証必須化の流れ　

2025/6/20（金）〜予定　セキュリティ機能をアップデートします

2025年 秋頃予定　フィッシング耐性のある多要素認証「パスキー認証」導入予定のお知らせ