今回の記事では、ワンタイムパスワードを導入することでどのようなメリットが得られるのか、ワンタイムパスワードの種類や生成サービスなどを中心に詳しく解説します。
DXの実現に向け、あらゆる業種においてICTが進んでいます。
営業支援システムや顧客管理システム、バックオフィス業務では経費精算システムや勤怠管理システムなどが代表的な事例といえるでしょう。
しかし、これらのシステムはそれぞれ独立しているため、システムごとにID・パスワードを設定しなければなりません。
複数のシステムでパスワードを共用していると、万が一アカウント情報が漏えいした場合に不正アクセスの被害が拡大してしまいます。
そこで注目されているのが、アクセスするたびに一度きりのパスワードとして利用できる「ワンタイムパスワード」とよばれるものです。
ワンタイムパスワードを導入するメリット
なぜ今、多くの企業でワンタイムパスワードが注目されているのでしょうか。
まずは、ワンタイムパスワードを導入することで企業にとってどのようなメリットがあるのか、大きく分けて2つポイントに絞って紹介します。
セキュリティ対策効果
ワンタイムパスワードの最大のメリットは、セキュリティ対策効果が極めて高いことです。
ワンタイムパスワードはその名の通り、一度きり(ワンタイム)しか使用することができないため、万が一パスワードが外部に流出したとしても、すでにそのパスワードを使ってシステムへログインすることはできません。
二段階認証などによって、通常のアカウントでのログインとワンタイムパスワードでのログインを設定しておくことによって、万が一通常のアカウントが流出したとしてもワンタイムパスワードでのログインが壁となり、不正アクセスを未然に防いでくれるのです。
また、冒頭でも紹介したように、業務や用途に応じて複数のシステムが林立している現在、ユーザーの中には複数のサイトやシステムで同じパスワードを設定しているケースもあります。
万が一、パスワードが流出してしまうと、パスワードを共用している全てのシステムに被害が及ぶおそれがあり大変危険です。
しかし、ワンタイムパスワードが設定されていれば、そのような被害の拡大も未然に防ぐことができるでしょう。
ユーザーの負担を減らす
同じパスワードをシステム間で共有しないことはセキュリティ対策の基本といえますが、一方でこれはユーザーにとって大きな負担となります。
冒頭でも例に挙げた各種システムを利用している場合、ユーザーはそれぞれのシステムで異なるパスワードを設定し、それを覚えておかなければなりません。
利用頻度の高いシステムであればパスワードも覚えられますが、月に1回程度しかログインしないシステムがあった場合、その度にパスワードを忘れてしまい、再発行が必要になることも考えられます。
しかし、ワンタイムパスワードを導入しておけば、ユーザーは複数のシステムごとにパスワードを管理しておく必要がなく、負担を軽減しながらも高い安全性を担保することができます。
ワンタイムパスワードの種類
ワンタイムパスワードとはログインごとに一度きりの利用ができるパスワードということが分かりましたが「そもそも、なぜそんなことが可能なのか?」と疑問に思われる方もおられるのではないでしょうか。
そこで、ここからはワンタイムパスワードの基本的な仕組みについて解説していきます。
ワンタイムパスワードには大きく分けて、それぞれ仕組みが異なる以下の2つの種類が存在します。
- 時刻同期方式(タイムスタンプ方式)
- チャレンジレスポンス方式
時刻同期方式(タイムスタンプ方式)
時刻同期方式(タイムスタンプ方式)とは、その名の通りログインの時刻に応じてワンタイムパスワードを生成する仕組みです。
パスワードは専用のスマホアプリやトークンとよばれる小型の専用端末に表示されるパターンがあり、ログイン時刻に応じてワンタイムパスワードが変化します。
時刻同期方式(タイムスタンプ方式)によるワンタイムパスワードは、大手金融機関が運営するネットバンキングなどでも利用されています。
チャレンジレスポンス方式
チャレンジレスポンス方式とは、ログイン時にアクセス先のサーバーが発行する文字列に対し、クライアント端末側での計算結果を送信、その答えが合っている場合に認証が成功する仕組みです。
サーバーが発行する文字列を「チャレンジ」とよび、それに対してクライアント端末が計算結果をレスポンスとして返すことから「チャレンジレスポンス方式」とよばれています。
チャレンジに対する計算結果は、事前に設定されている計算式に当てはめることで答えが導き出される仕組みとなっています。
ワンタイムパスワード生成サービス6選の比較表
ワンタイムパスワードの導入にあたっては、ワンタイムパスワード生成サービスを提供している事業者の中から最適なものを選択することで、素早く確実に実現できます。
どのような事業者があるのか、今回は代表的な6つのサービスをピックアップし、それぞれの特長を比較しながら解説します。
| サービス名 |
特徴 |
方式 |
|---|---|---|
| YubiKey |
|
|
| トラスト・ログイン |
|
|
| DigitalPersona |
|
|
| ROBOT ID |
|
|
| SafeNet Trusted Access |
|
|
| PassLogic |
|
|
YubiKey
YubiKeyは、2007年にスウェーデンで設立されたYubico社が提供しているワンタイムパスワード生成サービスです。
日本語の「指」が語源となっており、専用のハードウェアトークンを使用してワンタイムパスワードを発行します。
トークンはUSBメモリのような形状で、PCの端子に差し込んだ後、物理ボタンを押下するだけでワンタイムパスワードが入力されます。
また、優れた耐衝撃性・耐水性を有しており、物理的な破損のリスクが極めて低いのも大きな特徴です。
ドライバや専用ソフトウェアなどをインストールする手間もなく導入が容易なほか、物理ボタンが搭載されているためPCの操作が苦手なユーザーであっても迷う心配がありません。
YubiKeyは米国の国防総省が認定したセキュリティ基準もクリアしているほか、文字列の生成はYubiKey本体の内部で完結する仕組みのため外部機器からの解析は不可能です。
ワンタイムパスワードに求められる極めて安全性の高い認証を実現します。
トラスト・ログイン
トラスト・ログインは、GMOインターネットグループ株式会社が提供しているワンタイムパスワード生成サービスです。
シングルサインオン(SSO)のサービスとして提供されており、その中の一機能としてワンタイムパスワードに対応しています。
トラスト・ログインには月額料金が0円の「無料プラン」と、月額330円/IDの「PRO」が存在しますが、ワンタイムパスワードに対応しているのは「PRO」のみです。
トラスト・ログインのワンタイムパスワードは、スマートフォンなどのモバイルデバイスでパスワードを発行する仕組みを採用しています。
従業員に対してワンタイムパスワード専用のトークン端末を持たせる必要がないため、スムーズに導入できるでしょう。
トラスト・ログインはワンタイムパスワードに対応したシングルサインオンとして国内トップクラスの導入社数を誇り、信頼性の高いサービスといえます。
DigitalPersona
DigitalPersonaは、株式会社ヒューマンテクノロジーズが提供しているワンタイムパスワード生成サービスです。
ワンタイムパスワード以外にも指紋認証や顔認証、ICカードといった多要素認証に対応。
このうち、ワンタイムパスワードは専用のハードウェアトークンと、スマートフォンでパスワードを生成するソフトウェアトークンから選択できることが特徴です。
多要素認証のメリットは、さまざまな環境に応じた認証を使い分けることができる点です。
たとえば、ネットワーク環境が整った場所ではワンタイムパスワードによる認証を行い、オフライン環境ではICカードによる認証を行うなど、状況に応じた選択ができます。
これまで中小企業や大企業、さらには官公庁にいたるまで多くの採用実績を誇り、さらには米国の国防総省にも採用されているDigitalPersonaは、極めて信頼性が高く安全なワンタイムパスワード生成サービスといえるでしょう。
ROBOT ID
ROBOT IDは、ナレッジスイート株式会社が提供しているワンタイムパスワード生成サービスです。
複数のアカウントを統合的に管理できるシングルサインオン(SSO)のサービスとして提供されており、その中の一部機能としてワンタイムパスワードに対応しています。
時刻同期方式(タイムスタンプ方式)によるワンタイムパスワードに対応し、パスワードの生成はスマートフォンやタブレットなどのモバイル端末で行います。
通常のアカウントによるログインに加えて、2要素認証を実現することで安全性を担保しています。
また、ROBOT IDはユーザーの属性や条件に応じてアクセス権限やセキュリティレベルを柔軟に設定可能。
セキュリティレベルを高め、強固な安全性を担保したい場合にはパスワードに用いる文字数を増やしたり、生体認証なども組み合わせたりすることもできます。
SafeNet Trusted Access
SafeNet Trusted Accessは、米国のセキュリティ企業であるタレス社が提供しているワンタイムパスワード生成サービスです。
トークンの発行やユーザー管理などを行う「Token Management」とよばれる機能と、シングルサインオン(SSO)やアクセス制御などを行う「Policy Management」とよばれる2つの機能で構成され、ワンタイムパスワードを含むさまざまな認証を実現します。
ワンタイムパスワードの機能を司るのは主にToken Managementで、専用のハードウェア端末から発行するハードウェアトークン、またはスマートフォンなどからソフトウェア上で発行するソフトウェアトークンが選択できます。
デフォルトの状態で「Salesforce」や「Microsoft365」などの主要なクラウドサービスとも連携可能で、ワンタイムパスワードのスムーズな導入が実現できるでしょう。
PassLogic
PassLogicはパスロジ株式会社が提供する、簡単に使い勝手よく強固なセキュリティを実現するワンタイムパスワード生成サービスです。
PassLogicのワンタイムパスワードは、Webブラウザ画面にて乱数表のマス目位置と順番(位置パターン)を覚える事でパスワードを入力します。
位置パターンを記憶することで毎回変わる乱数を簡単に入力することができ、ユーザーは特別な機器を使うこともなく簡単にセキュリティ対策を行う事ができます。これを「トークンレス・ワンタイムパスワード」と呼んでいます。
このトークンレス・ワンタイムパスワードとクライアント証明書認証を組み合わせ、多要素認証を実現することもできます。
さらにトークンレス・ワンタイムパスワードに加え、ハードウェアトークンやソフトウェアトークン(スマートフォンアプリ)の併用も可能です。
Windows OSへのサインインをこれらに置き換えることもでき、外出先やテレワークでのパソコンの保護や、リモートデスクトップ先のセキュリティ対策としての利用もできます。
これらに加え、複数の業務システムに一括ログインできるシングルサインオン、VPNやVDI、クラウドストレージやOffice365をはじめとしたクラウドサービスなどの業務システムとの連携にも対応しています。
サービスはクラウド、オンプレミス両方で提供されており、企業規模や用途に合わせて選択できます。
ワンタイムパスワードはセキュリティ対策に効果的
今回紹介してきたように、ワンタイムパスワードはセキュリティ対策に極めて高い効果が見込めると同時に、ユーザーが個別にパスワードを管理する手間を軽減できるメリットもあります。
一口にワンタイムパスワードといっても、専用のハードウェアトークンによってパスワードを生成するものもあれば、手持ちのスマートフォンから手軽に生成できるソフトウェア型のものもあります。
ワンタイムパスワード生成サービスによっても生成方法は異なり、中には両者を自由に選択できるケースもあるため、用途に応じて検討してみましょう。
また、ワンタイムパスワード生成サービスを選ぶポイントとして、信頼性が高い事業者であるかも重視しなければなりません。
中小企業や大手企業など、多くの民間企業において採用されていることもひとつの目安ですが、官公庁への採用実績があることもポイントになります。
今回紹介したワンタイムパスワード生成サービスは、いずれも企業・官公庁への採用実績が豊富で信頼性の高い事業者が提供しているため、ぜひ参考にしてみてください。
