お役立ち資料
Introduction
OTP(ワンタイムパスワード)とは、1回限りの使い捨てパスワードのことです。通常は、ログインIDとパスワードの認証などと組み合わせて使われます。OTPを導入することで、セキュリティレベルの向上が期待できます。しかし「具体的にどのような仕組みなのか知りたい」「導入は簡単なのか気になる」という方も多いでしょう。
この記事では、OTP(ワンタイムパスワード)の仕組みや種類、メリット、実際に活用されているシーンなどについてご説明します。
目次
OTP(ワンタイムパスワード )とは?
OPT(ワンタイムパスワード)とは、60秒間などの短い時間だけ有効で、一度しか使えない使い捨てのパスワードのことです。
ここでは、OTPとは具体的にどのようなものなのか、どのように使われるのかについてご説明します。
1回限りの使い捨てパスワード
OTPは1回限りの使い捨てパスワードで、通常はログインIDとパスワードの認証などと組み合わせて使われます。
OTPは、オンラインバンキングや、ネットショップのログイン認証などで使われる認証方式のひとつです。たとえば、ユーザーがログインなどをする際に、ログインIDとパスワードを入力した後、ワンタイムパスワードをショートメッセージなどで送ります。そして、ユーザーが送られてきたワンタイムパスワードを入力することで、ログインが成功します。
一般的なパスワード認証の危険性
一般的なパスワード認証しか使わない場合、不正アクセスなどの危険性が高いといわれています。複数のサービスで同じパスワードを使いまわす、推測可能な簡単なパスワードにするなどでパスワードが破られると、簡単に不正アクセスできてしまうからです。
パスワードを設定するサービスを複数使う場合、複数のパスワードを覚えられないため、パスワードをすべて同じものにすることもあるでしょう。たとえば、田中太郎さんが「tanaka_tr_0101」と名前と誕生日を組み合わせる、「password01」など簡単なパスワードにしているなどの場合もあります。
また推測されにくいパスワードを設定し、定期的にパスワードを変更していても、フリーWi-Fiなどを使うことで、パスワードが傍受されるリスクもあります。ECサイトや企業サイトがハッカーに攻撃されて、認証情報が流出するセキュリティインシデントが発生することも考えられるでしょう。
IDとパスワードの組による認証だけだと、IDとパスワードの組が流出すると、簡単に不正にログインされてしまうのです。そこで、ワンタイムパスワードによる認証を組み合わせればセキュリティレベルがあがり、不正アクセスのリスクをおさえられるでしょう。
OTP(ワンタイムパスワード)の種類
OTP認証を行う際には、1回限りのパスワードをその都度生成します。そして、生成の仕組みには、いくつかの種類があります。ここでは、OTP生成の仕組みの種類について見ていきましょう。
チャレンジ・レスポンス方式
サーバー側でランダムな値の「チャレンジコード」を毎回生成して発行します。ユーザー側は、あらかじめ伝えられている計算方法やアルゴリズムをもとに、ワンタイムパスワードを生成して入力します。
この方式の場合、ユーザー側にある程度のIT知識があるか、アルゴリズムに従ってワンタイムパスワードを生成するツールなどが必要です。
タイムスタンプ方式(時刻同期方式)
認証時の時刻から、ワンタイムパスワードを生成する方法です。ユーザー側にカード型のトークンやスマホアプリなどが用意されており、そこで生成されたワンタイムパスワードを入力して、サーバー側で認証します。
たとえば、60秒間有効なワンタイムパスワードの場合、12時1分に生成されたパスワードを12時2分になるまでに使えば、認証することが可能です。しかし、12時2分を超えると認証がNGになり、再度ワンタイムパスワードを入手しなければなりません。
カウンタ同期方式
ユーザーは、手元にあるトークンやスマホアプリなどでワンタイムパスワードを発行し、サーバー側で認証が行われます。
タイムスタンプ方式では、認証時の時刻からワンタイムパスワードを生成しますが、カウンタ同期方式では、パスワードの発行回数ごとに生成するという違いがあります。
メッセージ方式
サーバー側がランダムにパスワードを発行して、ユーザーに送る方式です。ユーザー側は、パスワードを受けとって入力し、サーバー側で認証が行われます。
OTP(ワンタイムパスワード)の受けとり方
OTPを運用する際には、ワンタイムパスワードの生成の仕方だけでなく、ユーザー側がどのようにしてパスワードを受けとるかも重要です。ここでは、ユーザー側がワンタイムパスワードを受けとる方法について、ご説明します。
トークン
トークンと呼ばれるワンタイムパスワードを生成するツールを、あらかじめユーザー側に渡しておく方法です。カード型のトークンなどがあり、ボタンを押すたびに、ワンタイムパスワードが一定時間表示される仕組みのものが多いです。オンラインバンキングなどで利用されることが多く、トークンで発行されたワンタイムパスワードを使って、ログインや入金などを行います。
カード型トークンなどの物理的なデバイスを使用する場合、トークンをいつも手元に置いておく必要があり、紛失や破損のリスクがあるため注意が必要です。また、電池が切れて、使えなくなることもあります。
スマートフォンアプリ
スマートフォンアプリに、専用のワンタイムパスワード発行アプリをインストールし、ユーザーがその都度パスワードをアプリから入手する方法です。上記でご説明したトークンのように、個別にもち運ぶ必要がありません。アプリをインストールするだけで、手軽にワンタイムパスワードを利用することが可能です。また、スマホアプリだけではなく、ブラウザ上でワンタイムパスワードを生成する方法もあります。
最近は、上記でご説明した物理的なデバイスを使うトークン方式ではなく、スマホアプリを使うケースが増えてきています。
Eメール・SMS
EメールやSMSなどで、認証時にワンタイムパスワードが送られてくる方式です。あらかじめ、メールアドレスや電話番号などを登録しておく必要があります。
メールやショートメッセージが届くまでにやや時間がかかることもあり、利便性の面ではスマートフォンアプリの方が優れています。
機械音声による電話
認証時に、あらかじめ登録しておいた電話番号から電話をかけることで認証が行われる、または、ワンタイムパスワードが音声で伝えられる方法もあります。音声でワンタイムパスワードが伝えられる場合は、忘れないようにメモするなど工夫が必要です。
スマホをもっていない人、メールやSMSを使っていない人向けの方法です。
OTP(ワンタイムパスワード)を導入するメリット
OTPを導入すると、セキュリティレベルがあがる、比較的導入しやすいなどのメリットがあります。ここでは、これらのメリットについて詳しくご説明します。
セキュリティレベルが向上する
IDとパスワードの組によるログイン認証などに、ワンタイムパスワードによる認証を追加することで、セキュリティレベルの向上が期待できます。
ワンタイムパスワードは、その都度生成される1回限りの使い捨てパスワードなので、時間をかけてパスワードを類推することがむずかしいです。そのため、ツールでパスワードを総当たりする、使われやすい簡単なパスワードを試すなど、パスワードアタック攻撃に強いといえるでしょう。
また、ワンタイムパスワードを伝える方法が、スマホアプリや物理的なトークン、メールやSMSなど、本人にだけに伝わるように工夫されています。そのため、パスワードが外部に漏れにくいというメリットもあります。ただし、スマホ自体にパスをかけておらず盗み見られる、フリーWi-Fiを使うことでパスワードを傍受されるなどのリスクもあるので、注意が必要です。
導入がしやすい
すでに使われているスマホやメール、SMS、電話などを活用するため、ユーザー側もシステムの運営側としても導入しやすい仕組みです。
ただし、物理的なカード型トークンなどを利用する場合、システム運営者はトークンの購入、配布、管理などを行う必要があります。ユーザー側も、トークンを保管、管理しなければならないため、スマホやメールなどを使うより導入のしやすさは劣ります。
OTP(ワンタイムパスワード)が活用されるシーン
OTPは、さまざまなシーンで活用されています。ここでは、具体的にどのように使われているかをご説明します。
オンラインバンキング・ネットショップ
インターネットで、銀行口座の残高照会などができるオンラインバンキングや、買い物ができるネットショップでよく使われています。これらのサービスで不正ログインが起こると、勝手にお金が振り込まれたり、高額な買い物が行われたりするなど、ユーザーに大きな損害が発生します。
そのため、通常のID・パスワードによるログイン認証などだけでなく、OTPによる認証を追加することで、セキュリティレベルをあげることが可能です。オンラインバンキングやネットショップへのログイン時以外に、決済時にもう一度OTPによる認証を挟むこともあります。
Webメール
GmailやYahoo!メールなどのWebメールアカウントにログインする際、OTPによる認証が活用されています。Webメールアカウントには、メールアドレスや相手とやりとりした情報などが保管されており、不正アクセスによる重要情報流出のリスクがあります。そのようなリスクを防ぐために、通常のログイン認証にプラスして、OTPによる認証を行うことが多いです。
社内システム
社内システムにログインする際に、ID・パスワードが漏洩したり、外部に意図的に漏らしたりすることで、社内の重要な情報が流出するリスクもあります。そこで、OTPによる認証を併用すれば、万が一ID・パスワード情報が漏れても、不正アクセスされるリスクを下げられるでしょう。
クラウドサービス
クラウドサービスのアプリやデータサーバーなどでも、認証レベルをあげるために、OTPを活用しているケースもあります。クラウド上で個人情報や機密情報などを保管することもあるため、ログイン時やファイル共有時などにワンタイムパスワードを発行して、セキュリティレベルを高めます。
SNS
SNSのアカウントにログインする際に、OTP認証を行うケースがあります。SNSでは、不正ログインによるなりすましや乗っとりが起こることも多く、認証レベルをあげるためにOTP認証が採用されています。
VPN
VPN(仮想プライベートネットワーク)にも、OTP認証が活用されています。リモートワークの普及が進むなか、従業員が社内ネットワークに安全にアクセスするため、VPNが使われることが増えました。しかし、VPN利用時のログイン認証が破られると、社内の顧客情報や機密情報などが漏洩するかもしれません。そこで、VPNのセキュリティレベルをあげるために、OTP認証も活用するケースが増えています。
OTP(ワンタイムパスワード)は、ほかのセキュリティ対策との併用が必須!
OTPを単独で利用するのではなく、ID・パスワードによる認証や生体認証などと併用する、多要素認証やセキュリティソフトなどの導入も必要です。
ID・パスワードなどによる認証と、OTPを組み合わせた二段階認証にすることで、セキュリティレベルが向上します。また、セキュリティソフトなどの対策も行うことで、マルウェア感染などを防ぐ効果もあります。
このように、複数のセキュリティ対策を行うことで、セキュリティレベルを高めていくことが重要です。
関連サービスについて
まとめ
この記事では、OTP(ワンタイムパスワード)の仕組みや種類、メリット、実際に活用されているシーンなどについてご説明しました。従来のID・パスワードによる認証などと、OTPによる認証を併用することで、セキュリティレベルを向上させることが可能です。
SHIFTでは、OTPの導入も含めた、セキュリティソリューション導入支援を行っています。お客様の社内システムや、ネットワーク環境などにあったセキュリティソリューションをご提案いたします。OTPの導入などについてお悩みの場合は、お気軽にご相談ください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
CVSSとは?最新CVSS v4.0の評価基準、スコアの計算方法について解説
2024.04.26
詳しく見る
-
- セキュリティ
XDRとは?EDR・NDRとの違いや機能、導入メリットについて解説
2024.04.24
詳しく見る
-
- セキュリティ
FIDO認証とは?パスワード不要の仕組みや安全性、メリット・デメリットを解説
2024.04.23
詳しく見る
-
- セキュリティ
脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方など
2024.04.26
詳しく見る
-
- セキュリティ
PCI DSSとは?認証取得のメリットや目的、最新v4.0での要件について解説
2024.04.18
詳しく見る
-
- セキュリティ
IDaaSとは?機能や導入するメリット・デメリット、比較ポイントを解説
2024.04.16
詳しく見る
-
- セキュリティ
CASBとは?SWGとの違いや機能、導入するメリット・注意点を解説
2024.04.09
詳しく見る
-
- セキュリティ
SBOMとは?仕組みや導入するメリット、ツールの選び方について解説
2024.04.09
詳しく見る
-
- セキュリティ
ゼロデイ攻撃とは?名前の由来やその脅威、企業がとるべき対策について解説
2024.03.26
詳しく見る
-
- セキュリティ
暗号化とは?仕組みやアルゴリズムの種類、メリット・デメリットを解説
2024.03.25
詳しく見る
