情報漏洩や第三者による不正アクセスなど、セキュリティ対策が重視されている昨今、ワンタイムパスワードが注目されています。とはいえ、ワンタイムパスワードをはじめて聞いた方や、一般的なパスワードとの違いがわからないという方も多いのではないでしょうか。本記事では、ワンタイムパスワードの概要やシステムの概要について詳しく解説します。ワンタイムパスワードを選ぶ際に、おさえておきたい3つのポイントをまとめているので、導入を検討している方はぜひ参考にしてみてください。
ワンタイムパスワードとは?
ワンタイムパスワードとは、その時々で一度しか使えないパスワードのことです。通常のパスワードは、ユーザーが再設定をしない限りパスワードが変わることはありません。一方で、ワンタイムパスワードは、ログインを実行するたびにパスワードが変わります。第三者によるアクセスを防ぐ手法として、主に金融機関での導入が進んでいます。
ワンタイムパスワードの仕組み
ワンタイムパスワードには、「タイムスタンプ認証方式」と「チャレンジレスポンス方式」の2つの種類があります。
タイムスタンプ認証方式
タイムスタンプ認証方式は、トークンと呼ばれる専用機器やスマートフォン向けのアプリを利用したワンタイムパスワードです。ユーザーがトークンのボタンを押すと、そのタイミングで有効なパスワードが生成されます。ログイン時にパスワードを入力し、サーバーによる照合で一致すると認証が完了します。
チャレンジレスポンス認証方式
チャレンジレスポンス認証方式は、チャレンジと呼ばれる文字列を入力し、サーバー側で照合するワンタイムパスワードの方式です。ユーザーがログインを要求すると、サーバーで文字列が生成され、ユーザーに送信します。その後、ユーザーが文字列に対して求められている結果を送り返し、サーバーでの結果に基づいて認証する仕組みです。
ワンタイムパスワードを利用するメリット
従来のIDとパスワードに加え、ワンタイムパスワードを活用した二段階認証を組み合わせることで、セキュリティ対策の強化につながります。万が一、固定のパスワードが第三者に流出した場合でも、ワンタイムパスワードによって不正ログインを防げるでしょう。また、固定のパスワードは、セキュリティ対策を維持するために、定期的な変更が求められる場合もあります。しかし、似たようなパスワードを使い回すことも多く、逆にセキュリティに不安を抱えることとなります。一方で、ワンタイムパスワードは、ログインするごとにパスワードが変わることから、従業員に負担がかかることなく、高度なセキュリティの維持が可能です。
- 二段階認証によるセキュリティの強化
- パスワード流出時の不正防止
- 定期的なパスワード変更の負担軽減
ワンタイムパスワードを発行する方法
ワンタイムパスワードは、どのようにパスワードが発行されるのでしょうか。トークン、アプリ、メールや電話を使った3つの方法を紹介します。
1.トークンを使う方法
トークンとは、ワンタイムパスワードを生成する小型の機器です。ボタンを押すと、その時点で使用可能なパスワードが表示され、ログインできます。ただし、トークンは、第三者に悪用されるリスクも多いことや、電池切れで使用できなくなることもある点に注意が必要です。
2.アプリを使う方法
アプリを使った方法では、ログイン時に自動でワンタイムパスワードが生成されます。トークンのようにワンタイムパスワード専用の機器を持つ必要がなく、セキュリティ面でも優位性があります。
3.メール・SMS・電話を使う方法
メールやSMS、電話を使う方法は、あらかじめ登録したメールアドレスや電話番号にワンタイムパスワードが送信されます。SMSの場合、暗証番号を記載したメッセージが送られてくるため、そのままコピーしてログイン画面で入力します。第三者にワンタイムパスワードが送信されることもなく、安全性にも優れているのが特徴です。
ワンタイムパスワードの選び方3つのポイント
ワンタイムパスワードの導入を検討している方は、3つの選び方を参考にしてみてください。認証方式やコスト面での違いなどに注目しながら、自社に適したサービスを選びましょう。
ポイント1.パスワードの発行・受信方法で選ぶ
ワンタイムパスワードの発行方法は、トークン(機器)を利用した方法と、メールやアプリを利用する方法に大きく分けられます。トークンは、物理的に所有しておけるため、一定の安心感を得られるのがメリットです。ただし、ログインごとにボタンを押してパスワードを生成するため、常に携帯しなければならないほか、紛失や盗難に気を付ける必要があります。メールやアプリなどを利用した発行方法は、スマートフォン上でパスワードを生成するため、トークンを持つ必要がなく、セキュリティ面での安全性に優れています。しかし、メールや電話による受信方法では、インターネット環境が必要なことから、使用する場面が限られてしまう点に注意しなければなりません。
ポイント2.認証方式で選ぶ
認証方法は、トークンを使う方法、メールやアプリを使う方法のいずれの場合でも、表示されている数字を入力します。とくに、大きな違いはありませんが、アプリやメールの認証方式では、送られてきたパスワードをそのままコピー&ペーストできることも多く、間違えて入力するのを回避できます。トークンを使った認証方式は、パスワードが表示されている時間が限られており、一定時間がすぎると、新しいパスワードに切り替わります。入力を何回も間違えていると、パスワードも変わってしまうため、不便を強いられる可能性があります。
ポイント3.導入・利用コストで選ぶ
トークンを利用する場合、ワンタイムパスワードを発行する機器本体を準備しなければなりません。少人数で使うならコスト的にも大きな負担になりにくいものの、利用者数が増えると導入コストも増加します。一方、アプリやメールの受信方式では、機器を導入する必要がなく、コストを削減できます。ただし、通信環境の整備や月額費用、場合によってはスマートフォンを配布する必要も出てくるため、導入前にコストを計算しておきましょう。
ワンタイムパスワードを発行できるおすすめの製品・サービス
ワンタイムパスワードのサービスは、多くの企業から提供されています。それぞれの特徴や料金に応じて、どのサービスを選ぶか検討してみてください。
トークンレスに対応-AuthWay
AuthWayは、トークンレスに対応したワンタイムパスワードです。専用の機器を準備する必要がなく、メールやWeb上でパスワードを受信できます。また、パスワード以外にも、パターン認証、指紋認証による認証方式も提供しており、その時々に応じて使い分けが可能です。
ポイント
- トークンレスに対応(メール・Web受信)
- パスワード以外にも多様な認証方式を提供
- 低コストでの運用が可能(価格は要相談)
株式会社アイピーキューブ
AuthWayは、ワンタイムパスワード(OTP)を利用した認証サービスです。セキュリティを重視する企業や個人に対して、安全な認証方法を提供します。特に、リモートワークやBYOD(自分のデバイスを職場で使用する)が増える現代社会において、セキュリティ対策は必須です。AuthWayは、そのニーズに応えるためのサービスです。
すべてのOSに対応-YubiKey
YubiKeyは、Windows、Mac OS、Linuxなどの各OSに対応したワンタイムパスワードです。トークンによる認証方式を採用しており、小型のハードウェアをパソコンに差し込むだけで使用できます。また、専用のドライバやソフトウェアをインストールする必要もなく、ユーザー側で設定する手間を省けます。
ポイント
- すべてのOSに対応
- ハードウェアのボタンを押すだけで簡単に認証可能
- 端末価格は6,200円〜
株式会社ソフト技研
YubiKeyは、物理的なセキュリティキーとして機能するデバイスで、ユーザー認証を強化するために使用されます。パスワードだけでなく、物理的なキーも必要とする二要素認証(2FA)を提供します。これにより、不正なアクセスを防ぐことができます。
スマートデバイスを利用した二経路認証も採用-xIdentify
xIdentifyは、ワンタイムパスワードによる二要素認証に加え、スマートデバイスを利用した二経路認証も採用しているサービスです。パスワード、パターン、指紋の3つの認証方式に対応しており、強固なセキュリティを実現。また、利用環境に応じて、短期間で導入できるクラウド型と、自社のサーバーを活用したソフトウェア型の2形態を提供しています。
ポイント
- 多要素認証システムにより強固なセキュリティを実現
- 利用環境に応じて、自由に選べるサービス形態
- 価格は要問合せ
株式会社アイピーキューブ
xIdentifyは、多要素認証製品「AuthWay」とシングルサインオン(SSO)製品「CloudLink」を利用したクラウド型本人認証サービスです。ワンタイムパスワードや二経路認証による本人認証、クラウドサービスへのシングルサインオン(SSO)を実現します。
多要素認証が可能-SECUREMATRIX
SECUREMATRIXは、IDを入力することなく、すべてのデバイスから多要素認証を行えます。また、乱数表に設定した順番をもとにパスワードを入力するマトリクス認証や、会社から承認を得たデバイスのみからアクセス可能なデバイス認証の2種類を採用しています。オンラインだけでなく、オフラインでの利用にも対応しているため、外出先やテレワーク環境でも活用できます。
ポイント
- IDを入力することなく多要素認証が可能
- オフライン環境での利用にも対応
- 基本プラン:初期費用310,000円〜、年額費用77,500円〜
株式会社シー・エス・イー
SECUREMATRIXは、IDを秘匿化する新マトリクス認証を実現するサービスです。「ID」×「パスワード」×「証明書」を全てワンタイム化し、より強固なセキュリティを提供します。
セキュリティ体制の強化を実現-SafeNet Trusted Access
SafeNet Trusted Accessは、1つのIDを用いるだけで、複数のクラウドアプリケーションにアクセスできます。また、アクセス状況を可視化できるため、外部からの不正アクセスをチェックするのに役立ちます。安全でないと疑われるアクセスについては、追加の認証を求めるように設定も可能で、セキュリティ対策の強化につなげられます。
ポイント
- 1つのIDでクラウドアプリケーションへのアクセスが可能
- アクセス状況の可視化によってセキュリティ体制の強化を実現
- 価格は要相談
Thales
SafeNet Trusted Accessは、クラウドベースのアプリケーションを保護するためのサービスです。企業の生産性、運用、インフラのニーズを満たすためにクラウドアプリケーションは重要な役割を果たしていますが、その使用が増大するにつれて、ユーザーのクラウドアクセス用IDの管理負担が増大します。SafeNet Trusted Accessは、これらの問題を解決するためのソリューションを提供します。
場所やデバイスに依らず利用可能-PassLogic
PassLogicは、社内・社外に限らず、どこからでも利用可能なワンタイムパスワードです。また、パソコン、スマートフォン、タブレットいった複数のデバイスにも対応しており、テレワーク環境でのセキュリティ強化に適しています。1ユーザーから登録できるクラウドプランを提供しているため、ランニングコストを抑えられます。
ポイント
- 場所やデバイスに依らず利用可能
- 人数に合わせて導入できるクラウドプランを提供
- クラウド版:480円/1ユーザー〜、パッケージ版:初年度177,600円〜、年間保守サポート35,520円〜ここにリストを入力
パスロジ株式会社
PassLogicは、多要素認証(MFA)とシングルサインオン(SSO)を提供するプラットフォームです。ゼロトラスト環境でのIDaaSやオンプレミス環境の認証基盤として利用可能です。情報セキュリティ対策として、組織の"入口"の対策を提供します。
高度なセキュリティ環境を実現-SeciossLink
SeciossLinkは、高度なセキュリティ環境を実現できるワンタイムパスワードです。IPアドレスや、時間帯、ユーザ・グループなどの要素に応じて、自由度の高い制御を実現。また、Google WorkspaceやMicrosoft365などへのシングルサインオンにも対応しており、一つのIDとパスワードで管理できます。
ポイント
- 特定ユーザーのみのアクセスを許可する制御機能を搭載
- 複数サービスへのシングルサインオンに対応
- 無料から導入できる3つのプランを提供
株式会社セシオス
SeciossLinkは、Passlogy社が提供するワンタイムパスワードを利用した認証サービスです。ユーザーは、自身が設定したパスワードパターンに従って、表示される乱数表から数字を選択し、その組み合わせがワンタイムパスワードとなります。
ログインを一括管理-Secioss Identity Manager Enterprise Edition
Secioss Identity Manager Enterprise Editionは、さまざまな外部アプリケーションとの連携に対応したワンタイムパスワードです。統合ID管理ソフトウェアを採用しており、Microsoft365、Salesforce、Slackといったサービスのログインを一括で管理できます。また、パスワードの有効期限や使用文字の設定に加え、万が一、パスワードを忘れてしまっても、ユーザー自身でリセットが可能です。
ポイント
- 複数の外部アプリケーションとの連携に対応
- パスワード管理機能による運用面での最適化
- Enterprise ライセンス:年額 6,000 円/1 ユーザー
Secioss Identity Manager Enterprise Edition(SIME)は統合ID管理ソフトウェアです。Active DirectoryやOpenLDAP、Google Workspace、Microsoft 365、Salesforce、cybozu.com、SCIM API等と連携可能で、ユーザ、グループ、連絡先等の情報を伝搬し、ユーザのパスワードポリシーの管理も可能です。
セキュリティ強化のためにワンタイムパスワードを活用しよう
ワンタイムパスワードは、自社のセキュリティを強化するために欠かせないツールです。従来の固定のパスワードに加え、ログインするたびに変わるワンタイムパスワードを追加することで、第三者による不正アクセスを防止できます。本記事で解説した3つの選び方や、おすすめのサービスを参考にし、強固なセキュリティの環境を構築しましょう。
あわせて読みたい
セキュリティソフトは「ウィルス対策ソフト」「アンチウィルスソフト」などとも呼ばれ、PCやスマートフォンなどのデジタル機器をウィルスやハッキングの脅威から守り、安全性を高めるソフトウェアのことです。インターネットデバイスが増加し、サイバー攻撃[…]
はじめに Amazon、Facebook、twitterから各種アプリまで、日々沢山のサービスを使う機会があると思います。そういう時に手間になってくるのがパスワードの管理ですよね。同じパスワードを使い回すのもセキュリティ的[…]
