Gluegent Gate

OTP(ワンタイムパスワード)とは?仕組みや4つの発行方法をご紹介。

最終更新日:
  • 認証

インターネット上でのコミュニケーションが増える昨今、個人情報のやり取りや管理もインターネットを介して行われることが増えてきました。そのような流れの中で問題となるのが、不正ログインや乗っ取りによる情報漏洩です。このような事態を防ぐためにもセキュリティ強化の必要性が高まっています。

セキュリティ強化対策の一つとして、ワンタイムパスワードの導入が推奨されています。
本記事では、ワンタイムパスワードの仕組みや必要性、認証方式、メリット、利用方法について紹介します。

OTP(ワンタイムパスワード)とは?仕組みや4つの発行方法をご紹介。
 目次

そもそもワンタイムパスワードとは?

ワンタイムパスワード(OTP:One Time Password)は、金融機関で広く利用されています。例えば、ネットバンキングへのログイン時に入力する使い捨てのパスワードのことです。セキュリティ強度を上げるために使われる方法ですが、その仕組みはどのようなものでしょうか。

ここでは、ワンタイムパスワードの仕組みと、近年、ワンタイムパスワードによるセキュリティ強化が求められる理由について解説します。

ワンタイムパスワードの仕組み

ワンタイムパスワードは2段階認証や多要素認証等の2つ目の認証システムとしての利用が一般的です。また、ログインIDや自分で決めたパスワードとは異なります。一定期間ごとに発行されて、一度だけ利用できるランダムな数字のことです。

有効期間は30秒ほどと非常に短く、時間が過ぎると再利用できなくなり、新たなワンタイムパスワードの発行が必要となります。そのため、もし過去に発行した番号が第三者に漏れたとしても、その番号は既に再利用不可となっているため不正ログインやアカウントの乗っ取りを防ぐことができます。

ワンタイムパスワードが求められる理由

近年、インターネットやデジタル技術の普及により、データで情報を管理することが増えています。そしてその分、不正アクセスや情報漏洩による情報の悪用リスクも高まっています。このようなリスクを減らすためにも、セキュリティ強化が必要です。

通常のIDやパスワードだけのログイン方法では、その番号が第三者に漏れてしまえば誰でもアカウントにログインできてしまいます。また、パスワードを使いまわしていれば、複数アカウントに不正ログインされてしまう可能性もあります。このようなリスクを解消するためにもワンタイムパスワードが注目されています。

主に利用される場面

ワンタイムパスワードが主に利用されているのは金融機関です。身に覚えのないワンタイムパスワードの通知を受け取ることにより、パスワードの流出を疑うことができ、変更等の対策を早急にとることができます。

そして近年、金融機関以外にもオンラインゲームやポータルサイトといったエンターテイメント分野、あるいは様々な認証が発生するビジネスアプリケーションでもワンタイムパスワードを導入する動きが見られるようです。

ワンタイムパスワードで利用される2種類の認証方式

ワンタイムパスワードと一口にいっても、認証の仕組みは複数存在します。ここでは、主に利用されている「タイムスタンプ認証方式」と「チャレンジレスポンス認証方式」について解説します。

① チャレンジレスポンス認証方式

まず、ユーザー側から認証をリクエストします。その後サーバー側からデータ(チャレンジと呼ばれるランダムな数字)が送られてくるため、ユーザー側は指定された計算式により出した演算結果(レスポンス)を送り返します。


そして、サーバー側はユーザー側から届いたレスポンスとサーバー側が算出したパスワードが一致していれば承認するという仕組みです。
ユーザー側にも一定の知識が必要な認証方式となります。

② タイムスタンプ認証方式

金融機関等に一般ユーザーがログインする時に多く使われている認証方式です。トークンと呼ばれるワンタイムパスワードが表示される物理デバイスまたは、専用アプリを利用します。

トークンやアプリには一定時間で切り替わる番号が表示されています。表示されている番号を時間内に入力すると、サーバー側が情報を確認して表示と一致していれば承認するという仕組みです。

番号は一定時間で切り替わるため、番号流出による不正アクセスのリスクを防げるうえに、ユーザー側は表示された番号を入力するだけのため、非常に使いやすい認証方式であると言えるでしょう。
Gluegent Gate では、タイムスタンプ認証方式を採用しています。

ワンタイムパスワード導入のメリット

セキュリティ対策として重要な役割を果たすワンタイムパスワードですが、具体的にどのようなメリットがあるのでしょうか。ここでは3つのメリットについて紹介します。

① 不正ログイン対策になる

インターネット上でのやり取りや情報の管理が増え、複数のサイトでIDやパスワードを発行している人も多いかと思います。また、管理の簡易化を図るためにIDやパスワードを使いまわしている人もいるのではないでしょうか。

使いまわしは非常に危険で、一つ流出してしまうと、複数のサイトへ不正ログインされてしまう可能性があります。しかし、このような場合でもパスワードとは別にワンタイムパスワードを導入していれば、不正ログインを防ぐことが可能です。

② パスワード管理の手間が減る

Webサービスを利用する上で、ほとんどのサイトでログインIDやパスワードの生成が必要となります。そのため、利用するサイトが増えるにつれて、生成するIDやパスワードも増えて管理が難しくなっていくことでしょう。

しかし、ワンタイムパスワードを導入していれば番号は一定時間で切り替わるため、記憶・記録しておく必要がなく、固定のパスワードを管理する手間が省けます。

③ 導入時の汎用性が高い

ワンタイムパスワードは金融機関で導入されていることからも、高いセキュリティ強度であることがわかります。それに加えて、導入のしやすさもメリットとして挙げられます。

近年では、トークンと呼ばれる物理デバイスを利用した方法以外にも、メールやSMS、電話、専用アプリ等でも利用可能なため、ユーザー側も利用しやすく、汎用性が高いと言えるでしょう。

ワンタイムパスワードの利用方法

従来は、トークンと呼ばれる端末でワンタイムパスワードを生成する方法が主流でしたが、現在は様々な方法での発行が可能となっています。ここでは4つの発行方法について紹介します。

① トークン:小型端末の利用

トークンと呼ばれる小型の専用端末を利用した方法です。トークンに表示される番号は一定時間で切り替わっていきます。所有者のみがワンタイムパスワードの番号を知ることができるため、非常にセキュリティ強度の高い方法です。

しかし、トークンを紛失してしまったり、盗難にあってしまったりした場合は、不正ログインが起こる恐れもあります。紛失してしまったらすぐに利用機関に連絡して、無効化と再発行の手続きを行いましょう。

② メールやSMS:登録端末に送信

普段使用しているメールアドレスやSMS宛に番号を送信する方法です。あらかじめ利用するWebサービスのサイトにアドレスや電話番号を登録する必要があります。スマートフォンを持っているほとんどの人が利用できるため、ユーザー側の利便性の高さが特徴です。

しかし、登録しているメールアドレスの情報が第三者に流出してしまうと、メールフォルダから内容を見られる可能性がありるので注意が必要です。

③ 電話:音声で受信

登録した電話番号への着信があり、自動音声によりパスワードを通知する方法です。登録した端末の電話番号のみが受信できるため、パスワードの流出リスクは非常に低いと言えるでしょう。

④ アプリ:専用アプリの利用

専用のアプリをインストールし、アプリ内に表示される番号を入力する方法です。こちらもトークンと同様に一定期間で番号が切り替わるため、番号の再利用が不可能となっています。

トークンの機能がそのままアプリに入っているようなイメージです。専用の端末を管理する必要がなくなるため、ユーザー側も手軽に利用できます。

まとめ

今回は、ワンタイムパスワードについて紹介しました。ユーザー側の安全と企業側の信用を守るためにも、ワンタイムパスワードの導入を検討してみてはいかがでしょうか。

Gluegent Gateでは、利用方法としてご紹介したうち、①の専用端末を使う場合を除く、メール送信や音声受信、専用アプリでのワンタイムパスワードの入力に対応しています。自社の環境にフィットした利用方法をぜひご検討ください。

ぜひお気軽にご相談ください

IDaaS「Gluegent Gate」はシングルサインオンによるユーザーの利便性・セキュリティ向上に加え、
ゼロトラストの構成要素に欠かせない統合的なID管理を実現します。

\詳しいPDF資料はこちら/

資料ダウンロードはこちら

\お見積りや導入のご相談はこちら/

お問い合わせはこちら