ワンタイムパスワードとは?仕組み・発行方法・選び方とおすすめ製品8選を紹介

情報漏洩や第三者による不正アクセスなど、セキュリティ対策が重視されている昨今、ワンタイムパスワードが注目されています。とはいえ、ワンタイムパスワードをはじめて聞いた方や、一般的なパスワードとの違いがわからないという方も多いのではないでしょうか。本記事では、ワンタイムパスワードの概要やシステムの概要について詳しく解説します。ワンタイムパスワードを選ぶ際に、おさえておきたい3つのポイントをまとめているので、導入を検討している方はぜひ参考にしてみてください。

ワンタイムパスワードとは?

ワンタイムパスワードとは、その時々で一度しか使えないパスワードのことです。通常のパスワードは、ユーザーが再設定をしない限りパスワードが変わることはありません。一方で、ワンタイムパスワードは、ログインを実行するたびにパスワードが変わります。第三者によるアクセスを防ぐ手法として、主に金融機関での導入が進んでいます。

Ads

ワンタイムパスワードの仕組み

ワンタイムパスワードには、「タイムスタンプ認証方式」と「チャレンジレスポンス方式」の2つの種類があります。

タイムスタンプ認証方式

タイムスタンプ認証方式は、トークンと呼ばれる専用機器やスマートフォン向けのアプリを利用したワンタイムパスワードです。ユーザーがトークンのボタンを押すと、そのタイミングで有効なパスワードが生成されます。ログイン時にパスワードを入力し、サーバーによる照合で一致すると認証が完了します。

チャレンジレスポンス認証方式

チャレンジレスポンス認証方式は、チャレンジと呼ばれる文字列を入力し、サーバー側で照合するワンタイムパスワードの方式です。ユーザーがログインを要求すると、サーバーで文字列が生成され、ユーザーに送信します。その後、ユーザーが文字列に対して求められている結果を送り返し、サーバーでの結果に基づいて認証する仕組みです。

Ads

ワンタイムパスワードを利用するメリット

従来のIDとパスワードに加え、ワンタイムパスワードを活用した二段階認証を組み合わせることで、セキュリティ対策の強化につながります。万が一、固定のパスワードが第三者に流出した場合でも、ワンタイムパスワードによって不正ログインを防げるでしょう。また、固定のパスワードは、セキュリティ対策を維持するために、定期的な変更が求められる場合もあります。しかし、似たようなパスワードを使い回すことも多く、逆にセキュリティに不安を抱えることとなります。一方で、ワンタイムパスワードは、ログインするごとにパスワードが変わることから、従業員に負担がかかることなく、高度なセキュリティの維持が可能です。

  • 二段階認証によるセキュリティの強化
  • パスワード流出時の不正防止
  • 定期的なパスワード変更の負担軽減

ワンタイムパスワードを発行する方法

ワンタイムパスワードは、どのようにパスワードが発行されるのでしょうか。トークン、アプリ、メールや電話を使った3つの方法を紹介します。

1.トークンを使う方法

トークンとは、ワンタイムパスワードを生成する小型の機器です。ボタンを押すと、その時点で使用可能なパスワードが表示され、ログインできます。ただし、トークンは、第三者に悪用されるリスクも多いことや、電池切れで使用できなくなることもある点に注意が必要です。

2.アプリを使う方法

アプリを使った方法では、ログイン時に自動でワンタイムパスワードが生成されます。トークンのようにワンタイムパスワード専用の機器を持つ必要がなく、セキュリティ面でも優位性があります。

3.メール・SMS・電話を使う方法

メールやSMS、電話を使う方法は、あらかじめ登録したメールアドレスや電話番号にワンタイムパスワードが送信されます。SMSの場合、暗証番号を記載したメッセージが送られてくるため、そのままコピーしてログイン画面で入力します。第三者にワンタイムパスワードが送信されることもなく、安全性にも優れているのが特徴です。

ワンタイムパスワードの選び方3つのポイント

ワンタイムパスワードの導入を検討している方は、3つの選び方を参考にしてみてください。認証方式やコスト面での違いなどに注目しながら、自社に適したサービスを選びましょう。

ポイント1.パスワードの発行・受信方法で選ぶ

ワンタイムパスワードの発行方法は、トークン(機器)を利用した方法と、メールやアプリを利用する方法に大きく分けられます。トークンは、物理的に所有しておけるため、一定の安心感を得られるのがメリットです。ただし、ログインごとにボタンを押してパスワードを生成するため、常に携帯しなければならないほか、紛失や盗難に気を付ける必要があります。メールやアプリなどを利用した発行方法は、スマートフォン上でパスワードを生成するため、トークンを持つ必要がなく、セキュリティ面での安全性に優れています。しかし、メールや電話による受信方法では、インターネット環境が必要なことから、使用する場面が限られてしまう点に注意しなければなりません。

ポイント2.認証方式で選ぶ

認証方法は、トークンを使う方法、メールやアプリを使う方法のいずれの場合でも、表示されている数字を入力します。とくに、大きな違いはありませんが、アプリやメールの認証方式では、送られてきたパスワードをそのままコピー&ペーストできることも多く、間違えて入力するのを回避できます。トークンを使った認証方式は、パスワードが表示されている時間が限られており、一定時間がすぎると、新しいパスワードに切り替わります。入力を何回も間違えていると、パスワードも変わってしまうため、不便を強いられる可能性があります。

ポイント3.導入・利用コストで選ぶ

トークンを利用する場合、ワンタイムパスワードを発行する機器本体を準備しなければなりません。少人数で使うならコスト的にも大きな負担になりにくいものの、利用者数が増えると導入コストも増加します。一方、アプリやメールの受信方式では、機器を導入する必要がなく、コストを削減できます。ただし、通信環境の整備や月額費用、場合によってはスマートフォンを配布する必要も出てくるため、導入前にコストを計算しておきましょう。

ワンタイムパスワードを発行できるおすすめの製品・サービス

ワンタイムパスワードのサービスは、多くの企業から提供されています。それぞれの特徴や料金に応じて、どのサービスを選ぶか検討してみてください。

AuthWay 

AuthWayは、トークンレスに対応したワンタイムパスワードです。専用の機器を準備する必要がなく、メールやWeb上でパスワードを受信できます。また、パスワード以外にも、パターン認証、指紋認証による認証方式も提供しており、その時々に応じて使い分けが可能です。

ポイント

  • トークンレスに対応(メール・Web受信)
  • パスワード以外にも多様な認証方式を提供
  • 低コストでの運用が可能(価格は要相談)

YubiKey 

YubiKeyは、Windows、Mac OS、Linuxなどの各OSに対応したワンタイムパスワードです。トークンによる認証方式を採用しており、小型のハードウェアをパソコンに差し込むだけで使用できます。また、専用のドライバやソフトウェアをインストールする必要もなく、ユーザー側で設定する手間を省けます。

ポイント

  • すべてのOSに対応
  • ハードウェアのボタンを押すだけで簡単に認証可能
  • 端末価格は6,200円〜

xIdentify 

xIdentifyは、ワンタイムパスワードによる二要素認証に加え、スマートデバイスを利用した二経路認証も採用しているサービスです。パスワード、パターン、指紋の3つの認証方式に対応しており、強固なセキュリティを実現。また、利用環境に応じて、短期間で導入できるクラウド型と、自社のサーバーを活用したソフトウェア型の2形態を提供しています。

ポイント

  • 多要素認証システムにより強固なセキュリティを実現
  • 利用環境に応じて、自由に選べるサービス形態
  • 価格は要問合せ

SECUREMATRIX 

SECUREMATRIXは、IDを入力することなく、すべてのデバイスから多要素認証を行えます。また、乱数表に設定した順番をもとにパスワードを入力するマトリクス認証や、会社から承認を得たデバイスのみからアクセス可能なデバイス認証の2種類を採用しています。オンラインだけでなく、オフラインでの利用にも対応しているため、外出先やテレワーク環境でも活用できます。

ポイント

  • IDを入力することなく多要素認証が可能
  • オフライン環境での利用にも対応
  • 基本プラン:初期費用310,000円〜、年額費用77,500円〜

SafeNet Trusted Access 

SafeNet Trusted Accessは、1つのIDを用いるだけで、複数のクラウドアプリケーションにアクセスできます。また、アクセス状況を可視化できるため、外部からの不正アクセスをチェックするのに役立ちます。安全でないと疑われるアクセスについては、追加の認証を求めるように設定も可能で、セキュリティ対策の強化につなげられます。

ポイント

  • 1つのIDでクラウドアプリケーションへのアクセスが可能
  • アクセス状況の可視化によってセキュリティ体制の強化を実現
  • 価格は要相談

PassLogic

PassLogicは、社内・社外に限らず、どこからでも利用可能なワンタイムパスワードです。また、パソコン、スマートフォン、タブレットいった複数のデバイスにも対応しており、テレワーク環境でのセキュリティ強化に適しています。1ユーザーから登録できるクラウドプランを提供しているため、ランニングコストを抑えられます。

ポイント

  • 場所やデバイスに依らず利用可能
  • 人数に合わせて導入できるクラウドプランを提供
  • クラウド版:480円/1ユーザー〜、パッケージ版:初年度177,600円〜、年間保守サポート35,520円〜ここにリストを入力

SeciossLink

SeciossLinkは、高度なセキュリティ環境を実現できるワンタイムパスワードです。IPアドレスや、時間帯、ユーザ・グループなどの要素に応じて、自由度の高い制御を実現。また、Google WorkspaceやMicrosoft365などへのシングルサインオンにも対応しており、一つのIDとパスワードで管理できます。

ポイント

  • 特定ユーザーのみのアクセスを許可する制御機能を搭載
  • 複数サービスへのシングルサインオンに対応
  • 無料から導入できる3つのプランを提供

Secioss Identity Manager Enterprise Edition 

Secioss Identity Manager Enterprise Editionは、さまざまな外部アプリケーションとの連携に対応したワンタイムパスワードです。統合ID管理ソフトウェアを採用しており、Microsoft365、Salesforce、Slackといったサービスのログインを一括で管理できます。また、パスワードの有効期限や使用文字の設定に加え、万が一、パスワードを忘れてしまっても、ユーザー自身でリセットが可能です。

ポイント

  • 複数の外部アプリケーションとの連携に対応
  • パスワード管理機能による運用面での最適化
  • Enterprise ライセンス:年額 6,000 円/1 ユーザー

セキュリティ強化のためにワンタイムパスワードを活用しよう

ワンタイムパスワードは、自社のセキュリティを強化するために欠かせないツールです。従来の固定のパスワードに加え、ログインするたびに変わるワンタイムパスワードを追加することで、第三者による不正アクセスを防止できます。本記事で解説した3つの選び方や、おすすめのサービスを参考にし、強固なセキュリティの環境を構築しましょう。

あわせて読みたい

関連記事

セキュリティソフトは「ウィルス対策ソフト」「アンチウィルスソフト」などとも呼ばれ、PCやスマートフォンなどのデジタル機器をウィルスやハッキングの脅威から守り、安全性を高めるソフトウェアのことです。インターネットデバイスが増加し、サイバー攻撃[…]

関連記事

はじめに Amazon、Facebook、twitterから各種アプリまで、日々沢山のサービスを使う機会があると思います。そういう時に手間になってくるのがパスワードの管理ですよね。同じパスワードを使い回すのもセキュリティ的[…]

Ads
フォローして最新情報をチェック!

SNSで最新情報を発信中

情報を受け取りたい方は、是非フォローください

ビジネスのご相談

広告掲載 / ライティング支援 /
オウンドメディアコンサルティング / 取材依頼など

お問い合わせ

ライター募集

一緒にUtillyのコンテンツをつくりませんか?
サービスレビューやコラムを執筆いただける方を募集しています。

募集要項