IDとパスワードが流出して、悪意のある第三者に不正利用されるケースが増えています。そんな中、セキュリティを強化する目的で注目されているのがワンタイムパスワードです。
ネットバンキングをはじめ、様々なシーンで利用が広がっているワンタイムパスワードですが、その仕組みや導入方法については、あまり知られていないのではないでしょうか。この記事では、ワンタイムパスワードとはどういったものかという基本からその仕組み、どうすれば自社に導入できるかといった方法まで解説しています。
目次
ワンタイムパスワードとは
ワンタイムパスワードとは、文字通り1回限り使えるパスワードのことです。ネットバンキング等のWEBサービスを利用する際、これまではIDとパスワードによる認証を行うのが一般的でした。現在はID・パスワードの認証に加えて、ワンタイムパスワードでの認証も必要とするケースが増えています。
ワンタイムパスワードを使うメリット2つ
ワンタイムパスワードを利用する最も大きなメリットは、セキュリティが向上することです。従来通りのID・パスワードによる認証では、万が一IDとパスワードが流出してしまうと、悪意のある第三者に不正に利用される危険性が生じます。
そこでワンタイムパスワードによる認証も追加しておけば、仮にID・パスワードが流出したとしても、第三者は該当のWEBサービスへログインできないので不正利用を防げるわけです。万が一ワンタイムパスワードが流出した場合でも、そのパスワードは一定時間経過したり一度認証がすまされたりしたあとでは無効となるため問題ありません。
もう1つのメリットは、管理者のパスワード管理の負担を減らせる点です。社員数が増えれば、管理が必要となるID・パスワードも増えます。しかしワンタイムパスワードを導入することによって、管理者はその手間を軽減できます。
管理者の管理負担を軽減するという点では複数のWebサービス・クラウドサービス・アプリケーションに1組のID・パスワードでログインできるようにするシングルサインオン(SSO)も有効です。
詳しくは以下の記事をご覧ください。
【関連記事】
シングルサインオン(SSO)とは?メリットと仕組みを解説
ワンタイムパスワードの利用シーン
ワンタイムパスワードの利用が特に進んでいるのは、ネットバンキングサービスです。ネットバンキングではID・パスワードが流出して、万が一不正利用されてしまうとその被害も甚大になると想定されます。そのためネットバンキングでは、セキュリティを強化する目的でワンタイムパスワードを採用しているわけです。
その他にも仮想通貨サービス・ポータルサイト・オンラインゲームなど、さまざまなWEBサービスでワンタイムパスワードを採用するケースが広がっています。また社内ネットワークへVPNでアクセスする際の認証用等に、ワンタイムパスワードが使われるケースも多いです。
ワンタイムパスワードのこれから
ワンタイムパスワードは、様々なシーンで利用が広がっていくと想定されます。利用時にID・パスワードに加えワンタイムパスワードも必要となるWEBサービスは、今後さらに増えていくことでしょう。
スマートフォンの普及等により、手軽に様々なサービスを利用できる現在、同じID・パスワードを全てのWEBサービスで使い回しているユーザーが多くいます。そのうちの1つがアタックを受けID・パスワードが流出した場合、他のサービスにおいてもリスト型攻撃によって不正利用されてしまう可能性が否定できません。(実際、リスト型攻撃による被害も多いです)そこで、ワンタイムパスワードによりセキュリティを強化しておくわけです。
また、ビジネスの現場でワンタイムパスワードの採用が見込まれるのは、テレワークを導入する際です。働き方改革や新型コロナウイルス感染予防等で、テレワークに注目が集まっています。テレワークで社内ネットワークへVPNでリモートアクセスを許可する際や、社内WEBメールの認証用にワンタイムパスワードを採用する企業が増えているのです。
ワンタイムパスワードの仕組み
ワンタイムパスワードで採用される主な仕組みは「チャレンジレスポンス方式」「時刻同期方式(タイムスタンプ方式)」の2種類です。以下、1つずつ解説いたします。
チャレンジレスポンス方式
「チャレンジ」と呼ばれるランダムな文字列を基に、ワンタイムパスワード(「レスポンス」)を生成する方式です。
チャレンジレスポンス方式では、ユーザーがサーバーに対しアクセスを要求すると、サーバーはチャレンジを生成しユーザーに返します。ユーザーは指定された計算式を使いレスポンスを生成してサーバーへ送り返します。サーバーはユーザーから送られたレスポンスと、サーバー自身が計算したパスワードを照合し、一致していれば認証が成功となるわけです。
時刻同期方式 (タイムスタンプ方式)
認証時の時刻を基に、専用の「トークン」と呼ばれる端末でワンタイムパスワードを生成する方式です。最近では、ハードウェアではなくスマートフォンのアプリなどでトークン代わりにするケースも増えています。
ユーザーが手元のトークンのボタンを押すと、その時刻において有効なワンタイムパスワードが表示されます。ユーザーがワンタイムパスワードを入力すると、サーバーが照合を行い正しければ認証するわけです。
ワンタイムパスワードの種類4つ
ワンタイムパスワードの種類は、ユーザーがパスワードを生成する方法によって4つの種類があります。以下、それぞれの種類の特徴を解説します。
アプリ
専用のスマートフォンアプリで、ワンタイムパスワードを生成する方法です。生成されたパスワードは、アプリ上に表示されます。
代表的なアプリの1つが、Google社が無料で提供している「Google認証システム(Google Authenticator)」です。Google認証システムはGoogleの各種サービスをはじめ、Amazon等の他のサービスでも利用されています。社内でワンタイムパスワードを導入する際にも、Google認証システムを採用することが可能です。
トークン
ワンタイムパスワードを生成するための、小さなハードウェアです。トークンのボタンを押すと、その時点で有効なパスワードが表示されます。トークンは万が一紛失すると悪意のある第三者に悪用される可能性がある他、電池が切れたり壊れたりして使えなくなることもあるので、アプリで代用されるケースが増えています。
メール
WEBサービスにあらかじめ任意のメールアドレスを登録しておき、サーバー側で生成したワンタイムパスワードをメールで受け取る方法です。アプリの方が簡単に使える反面、メールならアプリのインストールも必要なくより汎用的に目用できるというメリットがあります。
音声
あらかじめ対象のWEBサービスに登録した電話番号宛に、音声でワンタイムパスワードを知らせてもらう方法です。ワンタイムパスワードの入力が必要になった際は、専用の画面上で登録済みの電話番号充てにワンタイムパスワードを通知するよう設定します。すると電話がかかってきて、音声でパスワードが通知されるわけです。
よく選ばれるワンタイムパスワードの導入方法
ワンタイムパスワードの仕組みや種類については理解いただけたでしょうか。次に気になるのは、「どうすれば自社のサーバーにワンタイムパスワードを導入できるか」という点です。
ワンタイムパスワードを自社に導入する方法として、よく選ばれているのはIDaaS(Identity as a Service)です。IDaaSはIdentity as a Serviceの略で、クラウド型のID管理サービスを指します。IDaaSを使えば既存のサーバーやサービスと連携してIDを一元的に管理できる他、ワンタイムパスワードによる認証を追加できます。
また、クラウド環境に専用のアプライアンスを導入して、社内のサーバーと連携させワンタイムパスワードを実現することも可能です。それぞれコストや適切な規模等が異なるため、自社の運営にあったものを選ぶようにしましょう。
なお、カゴヤのサービスでは、VPS・FLEX(クラウドサーバー、ベアメタルサーバー)に専用アプライアンス(Powered BLUE)を導入して、ワンタイムパスワードをはじめとする認証機能を自社サービスに追加できます。Powered BLUEの概要については別記事で紹介しておりますので、興味があればあわせてご覧ください。
まとめ
ネットバンキングやテレワークでの社内ネットワークへのアクセス等で、1回限り有効となるワンタイムパスワードの利用が広がっています。ワンタイムパスワードは1度使われたり時間がたったりすると無効となることから、ID・パスワードと異なり仮に流出しても問題はありません。
認証機能を強化するために、ワンタイムパスワードが採用されるケースは今後も増えることでしょう。社内サーバーにワンタイムパスワードを導入する方法として、IDaaSや専用アプラインスの利用があげられます。
