こんにちは。マニュアル作成・ナレッジ共有ツール「NotePM」ブログ編集局です。
セキュリティを向上させる認証手法として、ワンタイムパスワード(OTP)を自社のシステムで導入しようと検討している人もいるでしょう。しかし、ワンタイムパスワード(OTP)にはどのようなメリットやデメリットが存在し、どれを選べばよいのかよく分からないという社内担当者も多いかもしれません。
そこで本記事では、ワンタイムパスワード(OTP)の仕組みと導入におけるメリット・デメリット、選び方を解説します。ワンタイムパスワードの導入を検討している方はもちろん、現在ワンタイムパスワード(OTP)を利用している方も、ぜひご覧ください。
目次
ワンタイムパスワード(OTP)とは
ワンタイムパスワードとは、1回使い切りのパスワードのことを指します。数十秒ごとにパスワードが自動生成され、一度利用すると再利用はできません。One Time Passwordの英語の頭文字を取って、OTPとも呼ばれることがあります。ワンタイムパスワードが利用されるのは、ネットバンキングや企業の内部システムなど、高セキュリティな環境が求められているケースです。その他にも、各種クラウドサービスやオンラインショッピングなどでも使われることがあります。
ワンタイムパスワード(OTP)の導入メリット
ワンタイムパスワード(OTP)を導入するメリットには、主に以下の2つがあります。
- セキュリティ向上
- パスワード管理の負担軽減
それぞれのポイントを詳しく解説します。
セキュリティ向上
導入メリットの1つ目は、セキュリティ向上です。ワンタイムパスワード(OTP)は一度限りしか使えず有効期限が短いため、不正アクセス者にパスワードが盗まれても、すぐに無効となって使えません。また、ワンタイムパスワード(OTP)で生成されるパスワードはランダムな数字列が用いられるため、容易には推測できないという特徴があります。そのため、ワンタイムパスワード(OTP)を使用することで、セキュリティの向上が見込めます。
パスワード管理の負担軽減
導入メリットの2つ目は、パスワード管理の負担軽減です。ワンタイムパスワード(OTP)を使えば、複雑で長いパスワードを記憶したり、定期的に変更したりする必要はありません。また、アプリケーションや専用デバイスがパスワードの生成を行うため、手動でパスワードを作成する手間も省けます。そのため、パスワード管理にかかる時間と労力を削減でき、セキュリティリスクを軽減しながら、利便性を向上させられるでしょう。
ワンタイムパスワード(OTP)の導入デメリット
導入する前には、デメリットについても理解しておきたいと考える人もいるでしょう。ワンタイムパスワード(OTP)を導入するデメリットには、以下の2つがあります。
- ウイルス感染・サイバー攻撃のリスク
- フィッシングサイトでの悪用
それぞれ、解説していきます。
ウイルス感染・サイバー攻撃のリスク
導入するデメリットの1つ目は、ウイルス感染・サイバー攻撃のリスクがあることです。例えば、PCやスマートフォンなどのデバイスがマルウェアやウイルスに感染してしまった場合、ワンタイムパスワード(OTP)が生成された画面を第三者が閲覧出来てしまう可能性があります。
そのため、ワンタイムパスワード(OTP)を使用する際は、ウィルス対策をしてデバイスのセキュリティを高めておく必要があります。また、OSのアップデートを怠らず、何か被害を受けたときにすぐ検知できるような仕組みを整えておくことも大切です。
関連記事:【2024年版】標的型攻撃対策ツールおすすめ19選を徹底比較!
フィッシングサイトでの悪用
導入するデメリットの2つ目は、フィッシングサイトでの悪用のリスクがあることです。ログインフォームへの不正アクセス攻撃を防ぐことが可能ですが、フィッシングサイトを利用されてしまうと、不正利用者に自らパスワードを提供してしまう危険性があります。
そのため、フィッシングサイトやフィッシング詐欺などのサイバー攻撃に対して、適切な対策をしておく必要があります。ワンタイムパスワード(OTP)にも弱みがあることを理解し、セキュリティ上の脅威に対して注意を払い、自己防衛を続けていく必要があるでしょう。
ワンタイムパスワード(OTP)の選び方
ワンタイムパスワード(OTP)にはさまざまな種類があり、どれを選べばよいかわからないということもあるでしょう。ワンタイムパスワード(OTP)を選ぶときには、以下の3つのポイントを押さえましょう。
- パスワードの受領方法
- パスワードの生成方式
- 導入・運用コスト
それぞれ、解説していきます。
パスワードの受領方法
ワンタイムパスワード(OTP)の選び方の1つ目は、パスワードの受領方法です。ワンタイムパスワード(OTP)には、多様な生成方法や受け取り方法があるため、自社のシステムにあった方法を選んでいきましょう。一般的なパスワードの受領方法5つを、下表にまとめました。
| 受領方法 | 特徴 |
|---|---|
| メール | 登録されたメールアドレスにワンタイムパスワードが送信されます。インターネットに接続されたデバイスがあれば、容易にアクセス可能です。 |
| SMS | モバイル端末に送信されるテキストメッセージで、ワンタイムパスワードを受け取ります。電話番号を持っている限り、手軽に受け取れます。 |
| トークン | 専用のハードウェアトークンに表示されるワンタイムパスワードを使用します。インターネット接続が不要で高いセキュリティを誇りますが、デバイスを持ち運ぶ必要があります。 |
| スマホアプリ | スマートフォンにインストールされた専用アプリを使って、ワンタイムパスワードを生成・表示します。アプリを開くだけで手軽にパスワードが取得できます。 |
| 音声認証 | 電話をかけるか受けることで、音声でワンタイムパスワードを受け取ります。通話が可能な状況であれば、確認できます。 |
利用者の使用しているデバイスやセキュリティ性の高さを考慮して、最適な方法を選びましょう。
パスワードの生成方式
ワンタイムパスワード(OTP)の選び方の2つ目は、パスワードの生成方式です。主に使われるパスワード生成方式には、時刻同時方式とチャレンジレスポンス方式があります。
| 方式 | 特徴 |
|---|---|
| 時刻同期方式 | ワンタイムパスワード(OTP)システムとユーザー側のデバイスの認証時刻を基に、一定の間隔でパスワードが生成される方式です。タイムスタンプ方式とも呼ばれます。 |
| チャレンジレスポンス方式 | システム側がランダムな文字列(チャレンジ)を出し、ユーザー側がそれに対応する文字列(レスポンス)を打ち込んで認証する方式です。セキュリティは高いという特徴がありますが、やや操作が煩雑です。 |
自社のシステムにあった生成方式を検討し、ユーザーの利用状況に合わせて選択していきましょう。
導入・運用コスト
ワンタイムパスワード(OTP)の選び方の3つ目は、導入・運用コストです。トークンを利用する場合は端末代、アプリやメールを使う場合は通信費用がかかります。また、SMSやアプリを使う方法で、個人のデバイスで利用する場合と、セキュリティ面を考慮して端末を支給する場合では、費用が異なります。パスワードの受領方法と利用するデバイスの状況にあわせて、導入費用を比較検討することが大切です。
また、ワンタイムパスワード(OTP)システムの導入費用や、システム設定・保守・サポートに関する費用も検討しましょう。安全性と利便性を求める一方で、運用コストを事前に算出し、見極めていくことをおすすめします。
ワンタイムパスワード(OTP)のおすすめ10選
ワンタイムパスワード(OTP)のおすすめ10選を紹介していきます。
ROBOT ID
ROBOT IDは、WebサービスやアプリのIDとパスワードを一括管理できるシングルサインオン(SSO)システムです。通常のパスワードと、ワンタイムパスワード(OTP)の二要素認証に対応しています。ROBOT IDを利用することで、複数のパスワードを1つのID・パスワードにまとめて、高いセキュリティ環境でソフトウェアにログインできるようになります。また、CSVファイルを使い、大量の従業員データやID・パスワード情報をエクスポート・インポートできるため、管理者にとっても利便性の高いシステムです。
ROBOT IDの特徴
- 複数のIDとパスワードを一括管理
- CSVファイルで従業員データをエクスポート・インポート可能
- セキュリティレベルを柔軟に変更可能
URL: https://ksj.co.jp/robotid/
GMOトラスト・ログイン
GMOトラスト・ログインは、GMOグローバルサイン株式会社が提供するクラウド型のID管理システムです。1つのIDとパスワードで複数のサービスにアクセスできるため、数多くのパスワードを覚える必要もなく、セキュリティリスクの軽減にもつながります。また、ワンタイムパスワード(OTP)以外の多要素認証にも対応しており、IPアドレス制限やクライアント承認などを使って、セキュリティを強固にすることも可能です。状況に応じて、セキュリティレベルを柔軟に変更できる便利なシステムです。
GMOトラスト・ログインの特徴
- 1つのIDとパスワードで複数のサービスにアクセス可能
- 認証強化オプションでセキュリティレベルを変更可能
- 月額基本料金0円の無料プランあり
AuthWay
AuthWayは、ワンタイムパスワード(OTP)の二要素認証および多要素認証を提供するセキュリティシステムです。ハードウェアとソフトウェアの両方のトークンを発行できる多要素認証が可能で、セキュリティレベルを高めることができます。ワンタイムパスワード(OTP)認証は時刻同時方式を採用しています。トークン・メール受信・Web配信・QRコードなど、複数の方法からパスワードの発行方法を選択できるのも特徴です。API連携にも対応しているため、既存システムとの統合がスムーズに行えるでしょう。
AuthWayの特徴
- ハードウェアとソフトウェアの両方のトークンを発行可能
- 時刻同時方式のワンタイムパスワード(OTP)認証
- パスワードの発行方式は複数の方法から選択可能
URL: https://ip3.co.jp/solution/authway//
xIdentify
xIdentifyは、株式会社アイピーキューブが提供する本人認証システムです。多要素認証システムAuthWayと、シングルサインオン製品のCloudLinkを利用した製品です。導入方法は、クラウド型とソフトウェア型から選べます。クラウド型では自社でシステムを構築する必要がないため、短期間で使用環境を整えることができます。また、企業が利用しているクラウド環境でも利用可能です。時刻同時方式を採用しているため、強固なセキュリティの二要素認証が実現できるでしょう。
xIdentifyの特徴
- クラウド型・ソフトウェア型から選択可能
- 強固なセキュリティの時刻同時方式採用
- メールでパスワードを受領可能
URL: https://ip3.co.jp/solution/xidentify/
Yubikey
Yubikeyは、Yubico社が製造するハードウェア型の認証デバイスです。USBポートに専用端末を挿入して指でタッチするだけというシンプルな操作で使えます。使用するたびにワンタイムパスワード(OTP)が生成され、再利用はできないため高セキュリティな環境を構築できます。また、指紋認証に対応したYubikey Bioシリーズ、フィッシング攻撃の対策ができるYubikey 5シリーズなどいくつかの種類があるため、目的に応じて選べるのも魅力です。
Yubikeyの特徴
- ハードウェア型の認証デバイス
- シンプルな操作で容易に使用可能
- Yubikey独自のワンタイムパスワード(OTP)を生成
URL: https://www.yubico.com/yubikey/?lang=ja
DigitalPersona
DigitalPersonaは、生体認証やワンタイムパスワード(OTP)、ICカードやセキュリティーキーなどさまざまなソリューションを提供するプラットフォームです。DigitalPersonaのワンタイムパスワード(OTP)は、端末のトークンか、スマートフォンを利用したソフトウェアのトークンの2種類から選択できます。また、複数の認証手段を組み合わせることも可能です。ワンタイムパスワード(OTP)やスマートカード、顔認証など複数の認証機能を併用することで、より堅牢なセキュリティ環境を構築できるでしょう。
DigitalPersonaの特徴
- 端末のトークンとソフトウェアのトークンの2種類から選択可能
- 複数の認証システムから選択可能
- 指紋認証・顔認証の生体認証にも対応
URL: https://www.digitalpersona.jp/
Okta
Oktaは、クラウドベースの統合認証サービスです。Oktaには、SSO(シングルサインオン)・多要素認証・アクセスポリシー管理・自動プロビジョニング・APIアクセス管理など、幅広い機能があります。SSOでは、ユーザーは1つのIDとパスワードで複数のアプリケーションやサービスにアクセスできるため、ログインに関する作業を効率化できます。また、状況に応じて多要素認証システムを利用して、パスワードだけでなく生体認証やワンタイムパスワード(OTP)など複数の要素で認証を行えるため、セキュリティの強化も可能です。
Oktaの特徴
- クラウド・オンプレミス環境の両方に対応
- 複数の要素を併用してセキュリティの強化が可能
- 30日間の無料トライアル期間あり
SafeNet Trusted Access
SafeNet Trusted Accessは、Thalesグループが提供するクラウドベースのアクセス管理システムです。シングルサインオン機能により、ユーザーは一度のログインで複数のアプリケーションやサービスにアクセスでき、ログイン管理を効率的に行えます。ワンタイムパスワード(OPT)やスマートカードなどの追加認証手段を用いて、セキュリティを強化することも可能です。ユーザーごとに認証方式やアクセス可能なアプリを詳細に設定できるため、便利に使えるでしょう。
SafeNet Trusted Accessの特徴
- クラウド型で導入が比較的容易
- アクセスポリシーを詳細にカスタマイズ可能
- 30日間の無償評価版あり
URL: https://cpl.thalesgroup.com/ja/access-management/safenet-trusted-access
らく認
らく認は、クラウド型の認証サービスです。顔認証・指紋認証・静脈認証などの多様な生体認証の他、ワンタイムパスワード(OPT)やQRコード認証など複数の認証方式を備えています。パスワードを使用せずに強固なセキュリティ環境下で認証が可能で、情報漏洩のリスクを低減できます。スマートフォンやタブレットなどの様々なデバイスで利用可能です。
らく認の特徴
- 生体認証・ワンタイムパスワード(OPT)・QRコード認証など多様な認証方式
- クラウド型で導入・保守・運用が容易
- フリートライアルプラン有
URL: https://www.rakunin.co.jp/portal/
Uni-ID MFA
Uni-ID MFAは、NRIセキュアテクノロジーズが提供する多要素認証システムです。シングルサインオン(SSO)対応で、スマホアプリやメール、ハードウェアトークンなど多様な方法でワンタイムパスワード(OTP)を受領できます。クラウドとオンプレミス環境の両方に対応しているのも特徴です。ECサイトや金融機関など、多様なサービスへの多要素認証に適しています。
Uni-ID MFAの特徴
- クラウド・オンプレミス環境の両方に対応
- 多様なパスワード受領方法を選択可能
- 金融機関での利用実績有
URL: https://www.nri-secure.co.jp/service/solution/uni-id_mfa
まとめ
本記事では、ワンタイムパスワード(OTP)の導入のメリット・デメリット、仕組み、発行方式について徹底解説しました。ワンタイムパスワード(OTP)の導入によりセキュリティが向上し、パスワード管理の負担が軽減されますが、一方でサイバー攻撃やフィッシングサイトで悪用されるリスクも存在します。また、パスワードの受け取り方や生成方式を検討することも重要です。自社にあった適切なセキュリティ対策と方式を選択し、最適なワンタイムパスワード(OTP)認証システムを構築しましょう。
関連記事:【2024年版】ID管理システム・IDaaS おすすめ8選を徹底比較!(シングルサインオン/SSO)
NotePM(ノートピーエム) は、Webで簡単にマニュアル作成できて、強力な検索機能でほしい情報をすぐに見つけられるサービスです。さまざまな業界業種に導入されている人気サービスで、大手IT製品レビューサイトでは、とくに『使いやすいさ・導入しやすさ』を高く評価されています。
NotePMの特徴
- マニュアル作成、バージョン管理、社外メンバー共有
- 強力な検索機能。PDFやExcelの中身も全文検索
- 社内FAQ・質問箱・社内ポータルとしても活用できる
- 銀行、大学も導入している高度なセキュリティ。安全に情報共有できる
URL: https://notepm.jp/
