パスキー時代でも崩れない、個人向けセキュリティ習慣の作り方

パスキーが広がって、ログインまわりは確かに強くなりました。フィッシング耐性が上がり、使い回しパスワードの問題もかなり減った。ここだけ見ると「個人のセキュリティはもうだいぶ自動化できた」と感じます。実際、それは半分正解です。けれど、残り半分は認証方式ではなく運用の問題として残ります。

今の個人向けセキュリティで事故につながりやすいのは、だいたい次の3つです。第一に、認証そのものより「復旧経路」が弱いこと。パスキーが堅くても、メール再設定やSMS復旧が緩ければそこから崩れます。第二に、通知疲れによる見落とし。ログイン通知や課金通知を受けすぎると、本当に危ない一件を流してしまう。第三に、複数端末の整合性不足。スマホを変えた直後やPC買い替え時に、バックアップ鍵や回復コードの扱いが曖昧になりがちです。

なので、個人運用は「最強設定を目指す」より「崩れない最小ルール」を先に決めたほうが続きます。私が実用的だと感じているのはこの4点です。

• 重要アカウントを3階層に分ける（基盤: メール/ID、金融、その他）
• 基盤アカウントだけは復旧経路を四半期ごとに点検する
• 通知は“全件オン”ではなく、送金・決済・新端末ログインだけ即時化する
• 機種変更時の手順をチェックリスト化し、終わるまで捨てない

特に効くのは、階層化です。全部を同じ厳しさで守ろうとすると疲れて破綻します。逆に、基盤アカウントにだけ高い手間を集中させれば、普段の運用コストは小さく、事故時の被害も抑えやすい。つまり「均等に頑張る」ではなく「被害連鎖の起点を重点防御する」設計です。

もうひとつ大事なのは、年1回の大掃除ではなく短い定期点検にすることです。セキュリティは知識量より、更新頻度の問題になりやすい。15分で終わる確認を月1で回すほうが、2時間の完璧監査を半年に1回やるより、現実には強い。パスキー時代は“設定の勝負”から“運用の粘り強さ”に主戦場が移った、というのが今の実感です。