ワンタイムパスワードとは、言葉の通り「1度きりの使い捨てパスワード」です。ID+パスワードや生体認証と組み合わせてワンタイムパスワードを導入することで、より強固なセキュリティを実現できます。本稿では、ワンタイムパスワードについて、各社製品の特徴を比較しつつ、その仕組みや製品選択のポイントについて解説します。
ワンタイムパスワードとは
ワンタイムパスワードは、トークンやスマホアプリなどを使って発行した1度きりの使い捨てパスワードです。使い捨てなので、ワンタイムパスワードの文字列が流出したとしても悪用できません。ただ、ワンタイムパスワードを発行するトークンやスマートフォンなどを盗まれると、悪用される危険性はあります。
近年では、複数の認証情報を組み合わせてさらに高いセキュリティを実現する認証方式である「多要素認証」が注目されています。認証情報の種類は以下の通りです。
- 知識情報:ID+パスワードに代表される、本人のみが知っている情報
- 所持情報:トークンやスマートフォンなど本人が所有するものから生成する情報
- 生体情報:指紋や静脈など本人の生物学的情報
ID+パスワードだけでは、情報漏えいが発生した場合即座に悪用される可能性があり、セキュリティが低い状態と言わざるを得ません。そのため、他の認証情報であるワンタイムパスワードを現状のシステムに追加することで、さらに高いセキュリティが実現できます。
【豆知識】多要素認証・二要素認証・二段階認証の違い
「二要素認証」は多要素認証の一種です。一方「二段階認証」は、認証情報の種類は問わず、二段階の認証方式のことを指します。例えば、よく見られる「ID+パスワード」+「秘密の質問」は、どちらも知識情報ですので「二段階認証」になります。
ワンタイムパスワードの仕組み~受信方法・認証方式・トークンの種類~
ワンタイムパスワード製品を選択するためには、その仕組みと認証方式や受信方法の違いを知り、自社に適した製品を選ぶ必要があります。ここからはワンタイムパスワードの仕組みについて、受信方法・認証方式・トークンの種類の3点より解説します。
1、受信方法
ワンタイムパスワードの受信方法とその特徴は以下の通りです。
| 受信方法 | 特徴 |
|---|---|
| トークン | 専用の小型デバイスを利用してワンタイムパスワードを発行。 盗難や紛失リスクに注意。 |
| アプリ | トークンの機能をスマホアプリで実現。 盗難や紛失、スマホ画面の盗み見などに注意。 |
| メール | あらかじめ登録したメールやSMSでワンタイムパスワードを受信。 メールの内容を盗み見られる可能性に注意。 |
| 音声 | 電話の音声でワンタイムパスワードを受信。 メモを取るか覚えないといけないため手間がかかる。 |
現在多く見られる受信方法は、比較的利便性の高いトークン、アプリ、メールです。
2、認証方式
ワンタイムパスワードの認証方式とその特徴は以下の通りです。
| 認証方式 | 特徴 |
|---|---|
| タイムスタンプ | 現在時間を利用してワンタイムパスワードを発行。 |
| カウンタ同期 | ワンタイムパスワードの生成回数を利用してワンタイムパスワードを発行。 |
| マトリクス認証 | 数字の書かれたマトリクス表の中から、認証サーバー側が指定するマス目の数字を入力することでワンタイムパスワードとする方法。 |
| チャレンジ・レスポンス | 認証を依頼する側がパスフレーズを認証サーバーに送ってワンタイムパスワードを受け取る方式。 |
タイムスタンプやカウンタ同期は、トークンで見られる認証方式です。マトリクス認証は、近年ネットバンクなどでよく見られます。チャレンジ・レスポンス方式はメールやSMSでよく利用される認証方式です。
3、トークンの種類
トークンの種類とその特徴は以下の通りです。
| 種類 | 特徴 |
|---|---|
| ハードウェア | キーホルダー、カード、USBなど専用の「モノ」で配られるトークン。 メリット:クラッキングの危険性なし。 |
| ソフトウェア | スマホアプリやメール送信など、スマートフォンやパソコンで直接受け取る方式。 メリット:社員数に関係なく手軽に導入可能。 |
それぞれにメリットとデメリットがあるため、自社の場合はどちらがいいかを検討して選択しましょう。
ワンタイムパスワードの2つのメリット
ワンタイムパスワードを実装することで、大きく2つのメリットを得ることができます。それぞれ解説していきます。
1、ユーザーのパスワード管理の負担軽減
ワンタイムパスワードを導入することで、ユーザーのパスワード管理の負担を軽減できます。
以前までは、管理者はユーザーに対し、システムごとに定期的なパスワード更新を求めていました。しかし、システムごとにセキュリティ要件を満たす複雑なパスワードを用意・記憶することはユーザーにとって大きな負担です。
近年では強固なパスワードを用意し、定期的な更新はせずにその他の認証要素で補うことが主流になっています。ワンタイムパスワードの発行には、ユーザー側で一つ手順が増えることにはなりますが、複数のパスワードを管理するよりは負担が少なく済みます。
ワンタイムパスワードを導入し、ユーザーには定期的なパスワード更新を求めない方針にすることで、ユーザーのパスワード管理の負担を軽減できるでしょう。
2、パスワード漏えいへのリスク対策
ワンタイムパスワードを導入しておけば、万一パスワード情報が漏えいしたとしても、すぐに第三者が悪用することは難しくなります。セキュリティインシデントの発生時には、迅速に対策を行うとともに悪用までのリードタイムを伸ばすことが重要です。
ワンタイムパスワードで悪用までのリードタイムを伸ばすことができれば、その間にシステムのパスワード変更を行うなどの対策はとりやすくなるでしょう。
さらにシングルサインオンで認証情報を統合しておけば、パスワード漏えいが発生した際にもすぐに使用しているシステムの特定、パスワード変更が可能になります。パスワード認証のセキュリティ対策には、シングルサインオンの導入もあわせて検討するのが良いでしょう。
ワンタイムパスワードのデメリット
ワンタイムパスワードによってユーザビリティを大きく損なうことなくセキュリティ性を高めることができますが、ユーザビリティが損なわれることは間違いありません。ワンタイムパスワード発行・入力のひと手間が増えることはワンタイムパスワードのデメリットの一つと言えるでしょう。
また、ワンタイムパスワードを導入したとしてもセキュリティ対策が万全になるわけではありません。利用する端末がそもそもウイルス感染していた場合、ID・パスワードに加えてワンタイムパスワード情報も抜き取られてしまいます。
加えて、ワンタイムパスワードを狙ったフィッシングサイトやメールの盗み見も存在しています。
日本経済新聞の2020年の記事では、ワンタイムパスワードを破る手口が横行し、インターネットバンキングの口座から不正送金を行う被害が増加していることが公表されています。ワンタイムパスワードを導入したからといって、セキュリティ対策が万全というわけではありません。
端末のソフトウェアを最新に保つ、不審なサイトにはアクセスしない、パスワード情報を人に伝えないなど、社員へのセキュリティ教育は欠かさず実施する必要があるでしょう。
引用:「ネットバンキング被害4倍に 「ワンタイムパス」破る」日本経済新聞ウェブサイト https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_kami_cyber_jousei.pdf
ワンタイムパスワード導入時の注意点
ワンタイムパスワードのデメリットを紹介しましたが、デメリットを回避するためにどのような点に注意すれば良いのでしょうか。ここではワンタイムパスワード導入時の注意点を3つ解説します。
1、ユーザーにワンタイムパスワード導入の説明を行う
ワンタイムパスワード導入時にはユーザーにワンタイムパスワードの発行・入力手順をあらかじめ説明しておきましょう。新しいシステムの導入にはユーザーに少なからず負担がかかります。
最初は小規模で導入テストを行い、手順や課題を明確にしておくことでスムーズに導入ができるでしょう。
2、ワンタイムパスワードの受信方法にあわせたセキュリティ対策を実施する
ワンタイムパスワードはワンタイムパスワードを受信する方式にも注意が必要です。ワンタイムパスワードをメール受信にしていた場合、メールアドレスのログイン情報が押さえられていればワンタイムパスワードも漏れてしまいます。また、メールが盗み見られてしまってもワンタイムパスワードが漏れてしまうでしょう。
トークンやアプリであっても紛失・盗難にあった場合、画面を盗み見られた場合にはワンタイムパスワードが漏れてしまうことになります。これらのリスクに対して、それぞれ対策を行うことが重要です。
メールであればメールの通信暗号化などを行いセキュリティ性を高める、トークンは紛失・盗難防止にストラップを取りつける、アプリはスマホにのぞき見防止フィルムを取りつけるなどを行いましょう。
3、端末へのセキュリティ対策を実施する
ワンタイムパスワードの送信方法と同様、そもそもワンタイムパスワードを入力する端末がウイルス感染していては、パスワード情報が漏えいしてしまいます。パスワード情報の漏えいを防ぐためには、端末側にも適切なセキュリティ対策が必要です。
具体的には、利用しているOSやソフトウェアを最新にするとともに、ウイルス対策ソフトを導入してウイルス定義ファイルを最新に保ちましょう。
また、いくらウイルス対策ソフトを導入していていも、自分からウイルス感染しやすい状況に入りこんでいては意味がありません。不審なサイトへはアクセスしない、不審なメールの添付ファイルやURLは開かないといった基本的なセキュリティ教育を徹底しましょう。
ワンタイムパスワード11製品を徹底比較!
多種多様な認証方式を提供!トークンの種類も選べる「SafeNet Trusted Access」
タレスDIS CPLジャパン株式会社
- 参考価格:10ユーザー・月額770円(最少)、1000ユーザー・460円~
- 提供形態:オンプレミス / クラウド / SaaS / ASP / サービス / その他
- 従業員規模:全ての規模に対応
- 対応機能:タイムスタンプ、カウンタ同期、マトリクス認証、専用トークン、ソフトウェアトークン
「SafeNet Trusted Access」は、シングルサインオンと強固なアクセスセキュリティを実現するクラウド型のアクセス管理サービスです。社内のシステムとクラウドの認証を一元化したい場合に適しています。
ワンタイムパスワード機能は本製品の一部です。対応しているトークンの認証方式はタイムスタンプ・カウンタ同期・マトリクス認証の3種類とバラエティ豊か。トークンの種類は専用トークンとスマホアプリが選べます。
専用トークンは月額料金に含まれているため、初期コストもかかりません。自社の社員数に応じてトークンの種類をどちらにするかを選べます。
専用トークン・トークンなしを選べる「AuthWay」
株式会社アイピーキューブ
- 参考価格:600,000円 ~
- 提供形態:オンプレミス / パッケージソフト
- 従業員規模:50名以上
- 対応機能:タイムスタンプ、カウンタ同期、専用トークン、ソフトウェアトークン
ワンタイムパスワードによる二要素認証とスマートデバイスによる二経路認証の両方が使える、多要素認証システム「AuthWay」。セキュリティレベルの高いタイムスタンプ方式を採用したワンタイムパスワードで、強固なセキュリティを実現します。
スマートデバイスでの認証は、パスワード認証(知識情報)、パターン認証(所持情報)、指紋認証(生体認証)による二経路認証が可能です。
「AuthWay」はパッケージソフトでの提供なので、クラウド型を選びたい場合は同じ会社の「xIdentify」を選びましょう。
複数の認証方式が使えるクラウド認証サービス「らく認」
飛天ジャパン株式会社
- 参考価格:別途問い合わせ
- 提供形態:クラウド
- 従業員規模:全ての規模に対応
- 対応機能:タイムスタンプ、専用トークン、ソフトウェアトークン
「らく認」は、ワンタイムパスワードだけでなく、バラエティ豊かな認証方式を提供するクラウド認証サービスです。認証方式の1つにワンタイムパスワード認証も含まれています。
ワンタイムパスワードは、金融機関にも採用されているOATH規格(オープンな認証規格)に準拠しており、高いセキュリティ対策が可能です。さまざまなWebシステムに導入しやすく、国内にサーバーを置いているためトラブルが発生した場合の対応にも優れています。
ワンタイムパスワード以外にも利用したい認証方式がある場合や、基幹システムのセキュリティ基盤に利用したい場合にも検討してみたい製品です。
多要素認証も使えるIDaaSサービス「SeciossLink」
株式会社セシオス
- 参考価格:Standardライセンス1ユーザー月額150円
- 提供形態:クラウド / SaaS
- 従業員規模:全ての規模に対応
- 対応機能:ソフトウェアトークン
SaaS型で統合ID管理を実現するSaaS型ID管理・認証サービス(IDaaS)サービス「SeciossLink」。IDaaSサービスは近年注目されているクラウドサービスです。多くのシステムをクラウド化する中で、シングルサインオン(SSO)などで認証処理を一元管理できるサービスが求められています。
本製品は、シングルサインオンやID認証連携などの機能を提供。また、ソフトウェアトークンタイプのワンタイムパスワード機能を標準で提供しています。
社内システムがほとんどクラウド化していて、IDaaSサービスの導入を検討している場合には、選択肢の1つとしたい製品です。
トークンのみが必要な場合に「ワンタイムパスワードトークン」
飛天ジャパン株式会社
- 参考価格:C200-H3+ (青)1年保証2,200円など
- 提供形態:サービス / その他
- 従業員規模:全ての規模に対応
- 対応機能:専用トークン
ワンタイムパスワードトークン(ハードウェア)のみを購入する製品です。トークンの種類は、キーホルダータイプまたはカードタイプで、ボタンを押すだけでワンタイムパスワードを生成できます。OATH規格に準拠している認証サーバーなら連携可能です。
デザインのカスタマイズもできるため、自社のイメージカラーやロゴマークを入れることもできます。
クラウド型の総合本人認証サービス「xIdentify」
株式会社アイピーキューブ
- 参考価格:月額25,000円(100ユーザー)~
- 提供形態:クラウド / SaaS / ASP / サービス / その他
- 従業員規模:100名以上
- 対応機能:タイムスタンプ、専用トークン、ソフトウェアトークン
「xIdentify」は、「AuthWay」のクラウド版で、同等の機能を持つ総合本人認証サービスです。パッケージ版の「AuthWay」は600,000円かかりますが、「xIdentify」の場合は100ユーザーで月額25,000円と初期費用を抑えられます。
迅速に導入したい場合や、クラウド型の本人認証サービスを探している場合は、「xIdentify」も選択肢の1つにしましょう。
スマホアプリまたはメール通知でワンタイムパスワード送信「Secioss Access Manager Enterprise」
株式会社セシオス
- 参考価格:500ユーザーまで・年間ライセンス720,000円~
- 提供形態:パッケージソフト
- 従業員規模:全ての規模に対応
- 対応機能:ソフトウェアトークン
シングルサインオン(SSO)の認証機能やアクセス管理機能を持つソフトウェア「Secioss Access Manager Enterprise」。多要素認証を採用しており、以下の認証方式について、順序や種類を好きに組み合わせて利用できます。
- ID/パスワード認証
- クライアント証明書認証
- 統合Windows認証
- FIDO認証
- ワンタイムパスワード認証(ソフトウェアトークン)
- SAML認証
ワンタイムパスワードは、スマホアプリとメール通知の両方に対応しています。提供形態はパッケージソフトのため、クラウド版をお探しの場合は別の製品を検討しましょう。
Linux用のID統合管理ソフトウェア「Secioss Identity Manager Enterprise」
株式会社セシオス
- 参考価格:500ユーザーまで・年間ライセンス480,000円~
- 提供形態:オンプレミス / その他
- 従業員規模:全ての規模に対応
- 対応機能:ソフトウェアトークン
「Secioss Access Manager Enterprise」と同じく、シングルサインオン(SSO)の認証機能やアクセス管理機能を持つソフトウェア「Secioss Identity Manager Enterprise」。違いはLinuxOS上で動作する点と、本製品はオンプレミスとIaaS両方の提供形態がある点です。
ワンタイムパスワードの仕様も、スマホアプリとメール通知の両方に対応したソフトウェアトークンとなっています。システムの構築基盤は、オンプレミスとIaaSどちらにも対応可能です。自社のシステムに合わせて、構築基盤をオンプレミスかIaaSにするかを決めましょう。
トークン一つでセキュアな二要素認証「YubiKey」
株式会社ソフト技研
- 参考価格:3,800円~
- 提供形態:サービス
- 従業員規模:全ての規模に対応
- 対応機能:専用トークン
「YubiKey」の魅力は、ハードウェアトークンをUSBで端末に挿し込み、ボタンを押すだけでパスワードを生成・入力できる手軽さです。全てのOS、ブラウザで利用できるため、シーンを問わずに活用することができます。
二要素認証にも対応しており、認証方式も多彩なラインナップから選ぶことができます。外国の官公庁で利用されている点からも信頼できる製品であると言えるでしょう。
ワンタイムパスワードを取り入れたSSO「トラストログイン」
GMOグローバルサイン株式会社
- 参考価格:基本料金無料 / ワンタイムパスワードは1IDあたり月額110円のオプション
- 提供形態:クラウド / SaaS / サービス
- 従業員規模:全ての規模に対応
- 対応機能:ソフトウェアトークン
「トラストログイン」はGMOグローバルサインが提供するクラウドのシングルサインオンサービスです。セキュリティ機能のなかにワンタイムパスワードが取り入れられており、ワンタイムパスワードを利用した認証が可能になっています。
基本プランは無料でワンタイムパスワードのオプションを追加したとしても1IDあたり月額110円と低コストで導入可能です。まずは手軽にワンタイムパスワードを取り入れてみたいという企業にも、今後シングルサインオンを本格的に導入したいという企業にもおすすめです。
シンプルかつ強固な認証とSSO連携「ROBOT ID」
ナレッジスイート株式会社
- 参考価格:導入初期費用10,000円、月額1,000円(パブリッククラウド版)
- 提供形態:クラウド
- 従業員規模:全ての規模に対応
- 対応機能:ソフトウェアトークン
「ROBOT ID」は業務で利用するアカウントを一括管理できる統合管理アプリケーションです。SAMLでのシングルサインオン機能とワンタイムパスワードや生体認証などの最新の認証技術で認証情報を統合管理できます。
パブリッククラウド版であれば、初期費用はかかるもののユーザー数無制限で月額1,000円から利用できるため、中小企業でも導入がしやすいサービスでしょう。もちろん保守ありのプライベートクラウド版も提供していますので、大企業にもおすすめです。
ワンタイムパスワードの選定ポイント3つ
ここでは、ワンタイムパスワードの製品・サービスの選定ポイントを3つの観点から解説します。
1、受信方法で選ぶ
まずは社内環境から、利用できる受信方法でワンタイムパスワードのしぼりこみを行いましょう。業務用に社用スマートフォンを全社員に支給している場合は、アプリ・メール・音声でのワンタイムパスワード受信が可能です。
逆に全員が社用スマートフォンを持っていない場合は、全社員がアプリ・メール・音声でのワンタイムパスワード受信ができない可能性があります。その場合は専用のトークンやマトリクス表で対応ができます。
もしくは社用スマートフォンを持っている社員にはアプリ・メール・音声で、持っていない社員には専用のトークンやマトリクス表を配るなど使い分けを行うと良いでしょう。ただし、受信方法が複数になると管理が煩雑になる可能性がありますので、ワンタイムパスワードの管理方法には注意が必要です。
2、認証方式で選ぶ
トークンやアプリを使った認証方式は、タイムスタンプ方式やカウンタ同期方式が主流です。メールやSMSを使う場合はチャレンジ・レスポンス方式、持ち運びしやすいマトリクス表を使う場合はマトリクス認証方式が利用できます。
トークンによる認証は簡単ですが、チャレンジ・レスポンスやマトリクスの認証は慣れていない方だと難しく感じる可能性があります。利用する場合には手順の整備や社員への説明などの準備が必要となるでしょう。
3、トークンの種類と費用で選ぶ
ハードウェアタイプのトークンは、所持していることそのものが本人の証となります。しかし全社員にハードウェアのトークンを配るには初期コストがかかります。また、トークンを持つ人が増えるほど、トークンの紛失・盗難にあうリスクも高くなります。ハードウェアのトークンを導入する場合は、社員数が少ない企業や一部の社員しか利用しないシステムで利用するのがおすすめです。
一方、ソフトウェアタイプのトークンは、社員数の多い大規模企業や利用者の多いシステムに適しています。ただし、ソフトウェアタイプのトークンは月額制のサブスクリプションタイプであることが多いです。利用者数が多く毎月の運用費用がかさむ場合は、1ユーザーあたりではなくユーザー数無制限の製品・サービスを選ぶのがおすすめです。
ワンタイムパスワードでセキュリティリスクに備えよう
ワンタイムパスワードは、増大するセキュリティリスクに対して比較的安価に対応できる仕組みです。社内システムの認証方式がID+パスワード方式のみになっている場合は、ワンタイムパスワードの導入も検討しましょう。
