VASCO ワンタイムパスワード

ワンタイムパスワードとは?


目次

ワンタイムパスワードとは?

パスワード

ワンタイムパスワード(One Time Password、OTP)とは、コンピュータリソースにアクセスする際に発行される、一回限りの使い捨てパスワードのことです。ハードウェアトークンやソフトウェアトークンを使用して、一回限りの使い捨てパスワードを自動生成し、そのパスワードとIDやユーザー名を使用してコンピュータリソースにログインすることで、固定パスワードよりもセキュアなユーザー認証を実現する仕組みです。

ワンタイムパスワードって何で必要なの? ワンタイムパスワード導入の目的

ワンタイムパスワードは主に固定パスワードの脆弱性によるフィッシング被害対策や中間者攻撃(Man In The Middle attack, MITM attack)対策の一つとして導入されることが多いのですが、パスワードを覚える必要がないことによる利用者の利便性向上、パスワード管理負荷の軽減も導入目的として挙げられます。ここでは、ワンタイムパスワード導入目的である固定パスワードの脆弱性対対策、利用者の利便性向上、パスワード管理負荷の軽減の3項目についてご説明します。

固定パスワードの脆弱性対策

固定パスワードの場合、何らかの理由でパスワードを他人に知られてしまうと、即座になりすましが可能なことが一番の問題点です。また、固定パスワードを他人に知られてしまった事に気づくことができない場合が多く、長期間、なりすましによる被害に気づかない可能性も問題点として挙げられます。最近は、特定の銀行やオンラインショップ、モバイル通信事業者を装い、パスワード変更を促すメールを送信し、偽のサイトでパスワードを入力させる悪質なフィッシング詐欺が横行しており、被害が後を絶たない状況です。

固定パスワードの一般的な強化策としては

  • アプリケーション毎に異なるパスワードを設定
  • 定期的なパスワードの更新
  • 推測されやすい文字列を使用しない
  • パスワードを他人に教えない
  • パスワードの使い回しはしない

などの対策が挙げられますが、利用者の負荷が高くなるという問題があります。

利用者に負荷をかけずに、固定パスワードの脆弱性を解決するためにワンタイムパスワードは導入されています。

利用者の利便性向上

パスワード

最近はクラウドサービスを利用する企業が増えています。社内ドメイン、ERP、CRM、SFA、VPN、無線LAN、Office365など、一人の従業員が複数のパスワードを使い分けている場合もあります。中には、パスワードが覚えられないので、携帯電話にメモしている方もいます。ワンタイムパスワードを利用することで、パスワードはその都度、自動生成されますので、わざわざ覚える必要がなくなります。このように、システム利用者の利便性を向上することもワンタイムパスワード導入の目的の一つです。

パスワード管理負荷の軽減

パスワード

企業の情報システム担当者にとって、全社員のパスワード管理は大変な作業の一つです。人事異動にともなうパスワード変更やセキュリティ強度を維持するための定期的なパスワード変更、利用システムの追加にともなうパスワード発行など、従業員数が多く、利用するシステムが多い場合はパスワードを管理するだけでも大変です。

ページのトップへ

ワンタイムパスワード導入例 − ワンタイムパスワードはどこで使っているの?

金融機関

銀行オンラインバンキング・オンライン証券などお金を扱う金融機関が挙げられます。検索エンジンで「ワンタイムパスワード 銀行」と検索するだけでも、ゆうちょ銀行、東京三菱UFJ銀行、みずほ銀行、三井住友銀行、東京都民銀行などなど、本当に多くの銀行で利用されていることが分かります。既にワンタイムパスワードをご利用中の方も多いのではないでしょうか。

オンラインゲーム

オンラインゲーム検索エンジンで「ワンタイムパスワード オンラインゲーム」と検索すると、スクエア・エニックス、コナミ、バンダイナムコなど国内外のオンラインゲームでも活用が進んでいることが分かります。ゲーム中にアイテムを購入するなど課金の仕組みがあり、セキュアな環境をユーザーに提供するために導入が進んでいるようです。

大手企業

企業利用者の利便性向上」でも触れましたが、クラウドサービスの導入などによる利用サービスの増加が契機となり、利用者の利便性向上、セキュリティ強度維持、運用負荷軽減などを目的にワンタイムパスワードの導入が進んでいます。従業員が多い企業の導入率が高い事が一つの特徴です。

行政機関・自治体

行政機関総務省が2015年11月に発表した報告書において、個人番号利用事務について、業務端末を利用する際の認証方法など、ハードウェアへのセキュリティ強化を行うよう公表されました。マイナンバー制度開始に伴うセキュリティ対策の一環として、個人番号利用事務においては、業務端末への二要素認証の導入などが必須となります。これに伴い、ワンタイムパスワードを含む、二要素認証の導入が進んでいます。

二要素認証とは?

文字通り、二つ以上の要素で認証することを意味しています。2FA(2 Factor Authentication)、多要素認証(マルチファクター認証)などと呼ばれることもあります。一般的には従来のIDとパスワードを使った認証に対して、もう一つ認証要素を加えることを意味しています。

では、具体的にどんな認証要素を組み合わせて認証するのでしょうか?3つのカテゴリに分けてご説明します。

利用者が知っていること(Something You Know:SYK)
固定パスワードや暗証番号、認証用IDなど、利用者が知っている情報を認証要素として活用します。
利用者が持っているもの(Something You Have:SYH)
ハードウェアトークン(小さな認証用器具)、ソフトウェアトークン(スマートフォンなどにインストールする認証用ソフト)、スマートカード(クレジットカードタイプの認証カードなど)、電子証明書など、利用者が持っているものを認証要素として活用します。
利用者の身体的特徴(Something You Are:SYA)
指紋、静脈、網膜、音声など、利用者個人の特徴を認証要素として活用します。

身近なところでは、銀行のATMで預金を引き出すときに必要な「キャッシュカード」と「暗証番号」が二要素認証の一例です。・・・・二要素認証の続きを読む

ページのトップへ

セキュリティトークンの種類

ワンタイムパスワードを利用するためには、一度きりのパスワードを生成するトークンと呼ばれるパスワード生成ツールが必要となります。一言にトークンといっても、様々な種類がありますので、簡単にまとめてみました。

セキュリティトークンは、ハードウェアトークンとソフトウェアトークンの大きく二つに分類できます。また、トークンを使用せずにワンタイムパスワードを利用する場合もあります。

トークン有無 方式 概要
トークンあり ハードウェアトークン 専用カードやUSBといったハードウェアでワンタイムパスワードを生成
ソフトウェアトークン PCやスマートフォンなどに専用ソフトウェアをインストールして使用
トークンなし ウェブ・メール PCやスマートフォンに専用ソフトウェアをインストールすることなく利用し、メールやウェブ上でワンタイムパスワードを確認

では、ハードウェアトークンから比較してみましょう。

ハードウェアトークンの種類

DIGIPASS DP280 DPKEY860
キーホルダタイプ カードタイプ USBタイプ

キーホルダタイプ

とても小さく、ボタンも一つしかないため、使いやすいという特徴があります。ボタンを押すだけでパスワードを確認できる手軽さと持ち運び易さが売りです。


カードタイプ

このタイプはとても薄く、お財布やカード入れなどに入れて持ち運びやすいという特徴があります。ボタンはワンボタンタイプのものとキーパッドタイプのものがあります・・・・・セキュリティトークンの種類の続きを読む

ページのトップへ

ワンタイムパスワード製品の選定基準 - どんなものを選べばいいの?

固定パスワードの脆弱性対策として選択する場合

フィッシングフィッシング対策

フィッシングは基本的にオンライン詐欺であり、個人情報を盗み摂る行為です。 フィッシングは、悪質なウェブサイト、メール、インスタントメッセージなどを使い、銀行口座やクレジットカードなどの情報を盗みとることを目的としています。銀行に成りすましたメールを送信し、悪意のあるウェブサイトで口座番号やパスワードを入力させ、預金を盗み摂るなどの行為をフィッシング詐欺と呼びます。

ここで示した例の通り、パスワードを盗み摂ることで詐欺行為を行います。ワンタイムパスワードは一定時間しか有効ではないため、フィッシング対策に優れた製品であると言えます。セキュリティトークンの種類でご紹介したどのセキュリティトークンであっても対策効果があります。

中間者攻撃対策

中間者攻撃

フィッシング詐欺の一部である中間者攻撃は、利用者とサーバの間に攻撃者が入り込み、どちらにも悟られないように通信を盗み見て、自分の都合のいいように通信内容を改ざんし、悪事を働くフィッシング詐欺です。この図を見て頂ければ、単純にワンタイムパスワードを生成しただけでは、被害を防ぐことができないことがお分かりいただけると思います。

2006年ごろには、実際に二要素認証を突破するフィッシングが発生し、大きな問題となりました。 この問題に対応した製品が、キーパッドタイプなどのワンボタンタイプではないトークンです。ワンタイムパスワード生成の要素に口座番号や振り込み金額などを含めることができるため、中間者が口座番号などを書き換えると、サーバーとワンタイムパスワードが整合しないため、不正送金を防止できます。このように、銀行が採用するトークンの多くがキーパッドタイプになっている理由はこのためです。

利用者の利便性向上として選択する場合

社内ドメイン、ERP、CRM、SFA、VPN、無線LAN、Office365など、一人の従業員が複数のパスワードを使い分けている場合、ワンタイムパスワードを導入することで、複数のパスワード覚える必要がなくなります。この場合、アクティブディレクトリ、クラウドサービス、ネットワーク機器などとの連携が豊富な製品を採用することをオススメします。社員のスマートフォンや会社支給のスマートフォンにソフトウェアトークンをインストールすることでハードウェアトークンの購入費用も削減できます。

また、ウェブブラウザやJava アプレットを活用して、トークンレスでワンタイムパスワードや電子証明書の仕組みを利用できる製品もあります。

ページのトップへ

ベンダー選定の基準

豊富な実績

セキュリティ製品ですので、豊富な実績、特に日本国内の実績が気になるのではないでしょうか。ワンタイムパスワード製品にも銀行やオンラインゲームで多くの実績を上げているベンダーもあれば、企業内で利用することに特化したベンダーもあります。セキュリティ強度の面で考えるとやはり、金融業界で数多く採用されているベンダーを選択するのも一つの方法です。

ベンダーの信頼性

殆どのベンダーが独自のパスワード生成アルゴリズムを採用し、セキュリティ強度を高めています。ベンダーの信頼性を測る一つの指標として、過去に生成アルゴリズムの漏えい事故や漏えいの疑いがあるセキュリティインシデントの有無も事前に確認しておきたいポイントです。ベンダーによっては、ハードウェアトークンを分解すると生成アルゴリズムを守るために動作しなくなる製品もあります。パスワード生成アルゴリズムの漏えいは、利用者の機密情報漏えいにつながる非常にインパクトの大きいセキュリティ事故となりますので、信頼性の高いベンダーのソリューションを選択しましょう。

電池の持ち

ハードウェアトークンを利用することを検討されている場合は、電池の持ちも選定基準の一つとして考えておいた方がいいでしょう。可能であれば、リプレースのタイミングまで電池交換不要な製品を選ぶことをオススメします。

セキュリティトークンの種類

金融機関がワンボタンタイプのトークンからキーパッドトークンへ移行したり、スマートフォンなどで利用するソフトウェアトークンの利用を開始したように、数多くのトークンから用途にあった製品を選択できるベンダーを選定した方が、導入後の拡張やリプレースのコストを最小限に抑えることができます。

カスタマイズ性

自社のロゴやイメージキャラクターなどを使ってオリジナルのハードウェアトークンとしてコンシューマーに配布したいというニーズも多いです。ベンダーによってカスタマイズ可能な範囲に大きな違いがありますので、ブランドイメージを大事にされる企業はカスタマイズ性についても事前に確認しておきたいポイントです。

生体認証、固定パスワードとワンタイムパスワードの比較

二要素認証の一つである、生体認証とワンタイムパスワードを以下の項目で比較してみました。大きな違いとしては、生体認証は比較的クローズドなネットワークで利用されており、ワンタイムパスワードはインターネットなどのオープンなネットワークで利用されている点です。なりすまし強度の高い生体認証ですが、導入コストが高いことから研究施設や軍事施設など機密性の高い情報があるクローズドな場所で利用されていることが多いようです。

項目 固定パスワード ワンタイムパスワード 生体認証
仕組み 固定のパスワード認証 鍵と時間の概念を活用した 一回限りの使い捨てパスワード認証 生体情報の照合による認証
登録方法 ユーザIDとパスワードを紐づけてサーバに登録 ユーザIDとトークン(鍵)を紐づけて サーバに登録 生体情報をスキャンして サーバに登録
認証精度 認証精度という概念がない 認証精度という概念がない 認証精度を気にする必要がある
認証データの変更 セキュリティ強度確保のため定期的にパスワードを変更する 数十秒毎に パスワードが自動生成される 変更しない
対応アプリケーション 非常に多い 多い 少ない
ドライバーのインストール なし なし あり
インターネットでの利用 ×
普及率 高い 高い 低い
なりすまし強度 低い 高い 非常に高い
運用負荷 高い 低い 高い
(個人情報保護のため)
導入コスト 非常に低い 低い〜高い 高い

ご不明な点がございましたら、お問い合わせフォーム からご連絡ください。

ページのトップへ

お問い合わせ
  • お問い合わせフォーム
  • 資料請求フォーム
VASCO ワンタイムパスワードに関するお問い合わせ
TEL:03-3237-3291