
好きな所から読む
ワンタイムパスワードとは?
ワンタイムパスワードは、一度しか利用できないその場限定で使用するパスワードです。有効期限が短いため、不正アクセスのリスクを軽減できる点が特徴です。
従来はインターネットバンキングやネットショッピングでの二段階認証など使用用途が限定されていましたが、近年の情報漏洩やサイバー攻撃の多発化により、クラウドサービスを利用している企業で認証機能の1つとして使用されるケースが増えています。
今後は働き方改革の影響や価値観の多様化により、企業でのクラウドサービスへの移行はさらに増加することが予想されます。情報資産を守るためのセキュリティ対策を強化する一つの手段として、ワンタイムパスワードが注目されています。
ワンタイムパスワードの種類は?
スマートフォンアプリ、メール、専用トークン、音声の4種類があります。アプリやメールでの利用が中心ですが、近年は専用トークンを使った二段階認証も増えています。
スマートフォンアプリ
iPhoneやAndroid上でアプリをダウンロードし、アプリ上でワンタイムパスワードが生成されます。専用トークンを管理しなくても、スマートフォンを持っていれば利用できる点が特徴です。三菱UFJ銀行や三井住友銀行など金融機関を中心に専用アプリを発行している他、Googleが発行した認証アプリGoogle Authenticatorが例として挙げられます。
SMS(メール)
サーバーが自動作成したパスワードが、スマートフォンのSMSやサービス利用時に登録したメールアドレス宛に送られます。
アプリをインストールしなくても利用できるので、スマートフォンに不慣れな年代層でも利用できる汎用性が魅力です。
専用トークン
カードキー、USBキー、キーホルダーなど小型端末を利用してワンタイムパスワードの入力を行います。パスワードは自動作成されるので手軽に入力作業を行える他、パスワードの有効期限が30秒~1分前後と短いため不正アクセスのリスクを軽減します。
ただし、盗難や紛失に遭った場合は不正アクセスのリスクが上がるため、取り扱いには注意が必要です。
音声
Webサイトに電話番号を登録し、ワンタイムパスワードの入力時に電話をしてもらうよう設定するシステムです。
音声でパスワードを伝えられるので操作性に悩む必要は無い他、電話を受け取った本人だけに音声でパスワードを知らされるので、パスワードを流出する心配もいりません。
ワンタイムパスワードの仕組みとは?
チャレンジレスポンス方式とタイムスタンプ方式の2種類があります。
それぞれの特徴をみていきましょう。
チャレンジレスポンス方式
ユーザーとサーバー間でデータのやりとりを行い、その都度パスワードを作成します。
以下の流れで認証作業を行います。
- ユーザーが認証サーバーに対してアクセス
- 認証サーバーが規則性の無い文字列を作成してユーザーに返答
- ユーザーは指定された計算式を使い導き出した答えをレスポンス
- サーバーがパスワードの整合性を確認
- 一致した場合はログイン成功
タイムスタンプ方式
専用トークンを使用してワンタイムパスワードを作成します。
専用トークンに表示されたパスワードを入力して、間違いなければログインできます。
認証サーバーでは個々のユーザーごとのトークン情報、時間帯で変化するパスワード内容が保持されています。
専用トークンを持っていないとパスワードを入力できないのに加えて、たとえ同じトークンを持っていてもユーザー情報が異なっていれば合アクセスをブロックするため、不正アクセスのリスクを大幅に軽減可能です。
ワンタイムパスワードを使う3つのメリットとは?
不正アクセスのリスク軽減、簡単に作業を行える、パスワードを何度も変更する必要が無くなるといったメリットが挙げられます。
不正アクセスのリスク軽減
ID/パスワードのアカウント情報がハッキングされたとしても、ワンタイムパスワードを活用した二段階認証を設定しておけば、社内ネットワークへの侵入はできません。
ワンタイムパスワードの入力ができないからです。
犯罪者によるサイバー攻撃や情報盗取の起点は、依然としてパスワード設定の甘さを突いた形での侵入パターンが多くなっています。
働き方改革の影響により法的拘束力が付いたため、企業側としては表立った残業や休日出勤の要請を社員に行いづらくなりました。
資金的に余裕がある企業は社員の採用や業務効率化ツールの導入などを行うことで社員一人ひとりに振る仕事量を分散させることが可能ですが、人材や新しいツールを導入する余裕が無い企業は、既存社員の業務改善に期待するしかありません。
社員からすると就業時間内に多くの仕事をこなさなければならず、業務上のストレス削減や利便性を最優先に考えます。
その結果、単一パスワードの使い回しや生年月日や名前の入った解読しやすいパスワードの設定などが起こり、犯罪者からパスワードのハッキングがされやすい状況が作られます。
ワンタイムパスワードを活用することで仮にアカウント情報が流出しても最後の砦として機能するため、不正アクセスを許しません。
また、ワンタイムパスワード自体が流出してもその場限りしか使用できないので、使用済みのパスワードに有効性はありません。
操作性に悩む必要は無い
ワンタイムパスワードは、スマートフォンのSMSや専用アプリに届いた英数字の入力を行うことで認証作業は終わります。パスワードの作成も自動で送られてくるため、非常に便利です。特別難しい作業では無いので社員に大きな負担を掛けることなく、セキュリティレベルを強化できます。
パスワード変更の必要性を軽減
近年の情報漏洩事件の影響を受け、多くの企業でWebサイトやアプリごとに複数のパスワードを使い分けることを推奨しています。また、セキュリティレベルの維持や不正アクセスのリスクを軽減するために、一定期間ごとにパスワードの変更を義務付けている場合もあります。
ですが、多くの仕事をこなしながら複数のパスワードを管理しておくことは大変です。社員の負担やストレスが増大するだけでなく、メモ用紙でパスワード管理を行っていた場合はメモの紛失により、情報漏洩のリスク向上や特定のサービスへのログインができないといった事態も発生するからです。
ワンタイムパスワードを導入することで、パスワードの変更を頻繁に行う必要性を無くします。
ワンタイムパスワードの活用事例とは?
現在では主にインターネットバンキングやネットショッピングにおける認証サービスへの活用が中心です。スマートフォンや専用トークンで作業を行えるため、利便性に優れています。今後は企業向けのID認証サービスIDaaS(Identity as a Service)の認証機能の一つとしても活躍する機会が増えるのに加え、個人がプライベートで利用するWebサイトやクラウドサービス用のパスワード管理として使用するパスワードマネージャーへの普及も予想されます。
銀行での事例
銀行名 | 使用用途 | メリット&デメリット |
三井住友銀行 |
|
|
三菱UFJ銀行 |
|
|
横浜銀行 |
|
|
ワンタイムパスワードを利用した認証サービスとは?
シングルサインオンや多要素認証を搭載したクラウドサービス上でID認証サービスを提供するIDaaS(Identity as a Service)では、認証機能の一つとしてワンタイムパスワードを活用しています。
クラウドサービスは自社で運用・管理を行うオンプレミスよりも、コスト面や運用面で多くのメリットが見込めます。また、企業だけではなく社員にも様々な好影響をもたらす点も見逃せません。
クラウドサービスはインターネットに接続できる環境さえ整っていれば自宅やテレワーク環境、顧客先など様々な場所で利用できます。アクセス地点は問わないので、在宅勤務やリモートワークなど現在企業が推進している場所を問わない働き方とも親和性が高いのが特徴です。
クラウドサービスを導入するメリット
企業 | 社員 | |
内容 |
|
|
IDaaSの機能とは?
IDaaSの基本的な機能をまとめました。
利便性と安全性を両立させるために多彩な機能を搭載しています。
機能&特徴 | 導入効果 | |
シングルサインオン |
|
|
多要素認証 |
|
|
アクセス管理 |
|
|
ID管理・連携 |
|
|
おすすめのワンタイムパスワードサービス4選
YubiKey、AuthWay、DigitalPersona、ROBOT IDの特徴を紹介します。
YubiKey
アメリカ・スウェーデンに拠点を置くYubico社が製造した専用トークンを活用した認証サービスです。IT製品のレビューサイトITreview が開催した「ITreview Grid Award 2020 Summer」において、2部門で最高評価を獲得したID認証サービスCloudGate UNOの認証機能の一つとしても採用されています。
YubiKeyの特徴は柔軟性と利便性を兼ね備えたサービスである点です。Windos、Mac OS X、Linux OSなど全てのOSやブラウザに対応しており、対応機種を問いません。また、PCに差し込み専用のトークンにタッチするだけで認証作業が終わりますので、スムーズにログインが可能です。
そして、専用ソフトウェアやドライバーのインストールも必要ありません。アメリカの消防署やスウェーデンの自治体など、高いレベルでの安全性をを問われる組織にも多数採用されています。
AuthWay
アイピーキューブ社が提供している多要素認証システムです。特徴はワンタイムパスワードの種類が豊富である点です。スマートフォン向けのソフトウェアトークン・ハードウェアトークンに加え、SMS機能を活用したトークンレスタイプなど好みのタイプを選択できます。
また、セキュリティレベルを強化したい場合は指紋認証やパターン認証などと組み合わせることで、安全性を強化できます。そして、自社システムがLDAP(Lightweight Directory Access Protocol)かRadius(Remote Authentication Dial In User Service)認証のどちらかに対応していれば、特別な追加作業を必要とせず多要素認証を実現できます。
DigitalPersona
DigitalPersonaは全世界で2億人以上が使用している豊富な実績を持つ認証サービスです。コベルコや日本製薬、四国電気保安協会など様々な業界の企業が導入をしています。
DigitalPersonaの特徴は状況によって多様な認証機能の使い分けができる点です。顔認証や指紋認証などの生体機能、スマートフォンや専用トークンを使用したワンタイムパスワード、パスワードレスで認証が可能なカードキーなど、多彩な認証機能をオフィス外での利用時や一定期間のログオフ時間があった場合に、認証の使い分けができます。
自社によって自由にカスタマイズができるだけでなく、なりすましによる不正操作のリスクを軽減できます。
ROBOT ID
ナレッジスイート社が提供している統合管理サービスで、多くのメディアに取り上げられている注目度の高い認証サービスです。ROBOT IDの特徴は、クラウドサービスやWebサイトで使用されるアカウント情報を一括管理できる点です。対応範囲が広く、複数のクラウドサービスやアプリでの社員のアカウント情報をまとめて管理することができるので、管理者の業務負担を軽減できます。
また、パスワードレスの認証規格の開発・発行を行う団体FIDO Allianceによって開発された、FIDO2認証機能も搭載しています。FIDO2認証機能は専用のデバイス機器を用意しなくても、専用トークンやカードキーによる認証を可能とし、利便性と安全性を兼ね備えた認証を実現できます。