令和4年の警察庁・総務省・経済産業省の調査(※)によると、報告された不正アクセスによる被害は1,516件でした、前年度よりは半数近く減少したものの、令和元年・2年は約3,000件で推移しており、不正アクセスの脅威は今後も広まっていく可能性があります。
不正アクセスへのセキュリティ対策として注目されているのは「ワンタイムパスワード(OTP)」です。
当記事ではワンタイムパスワードの仕組みや種類、活用事例、メリット・デメリット、多要素認証や2段階認証などのセキュリティと組み合わせる必要性などを解説します。
(※ 出典:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(総務省)https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00128.html)
ワンタイムパスワード(OTP)とは、30秒や60秒といった短い間隔で生成される「一度しか使えない使い捨てのパスワード」のことです。ワンタイムパスワードが生成されて一定時間を過ぎた後は、その文字列は無効になります。
近年、ワンタイムパスワードは、さまざまなシステムやサービスのセキュリティ対策として普及しています。例えば大手金融機関や大手通信キャリア、クラウド系サービス、SNSなどです。以下では仕組みや種類をみていきましょう。
ワンタイムパスワードが生成される仕組みは、大きく分けて「チャレンジレスポンス認証方式」と「タイムスタンプ方式(時刻同期方式)」の2種類です。
チャレンジレスポンス認証方式とは、ユーザと認証サーバで特定のデータをやり取りして認証を行う仕組みです。以下の流れで、パスワードの生成・認証を実施します。
タイムスタンプ方式(時刻同期方式)とは、トークンと呼ばれる小型端末と時間を利用した認証を行う仕組みです。
以下の流れで、パスワードの生成・認証を行います。
ワンタイムパスワードの受け取り方には、「トークン」「スマホアプリ」「メール・SMS」「電話音声」の4種類が存在します。
受け取ったワンタイムパスワードは、特定のフォームへの入力や、その他指示された方法で認証します。以下ではそれぞれの概要をみていきましょう。
金融機関などから渡されるトークンを受け取り、トークンを使ってワンタイムパスワードを入手する方法です。トークンに付いているボタンを押してパスワードを生成し、表示されたパスワードで認証を行います。
もしトークンを紛失した場合は、第三者からの不正ログインに遭う危険性があります。また、トークンが故障するとサービスにログインができなくなるかもしれません。
トークンを紛失した場合は、トークンの所有元の機関へ直ちに連絡が必要です。トークンの無効化と、新しいトークンの再発行を依頼します。
スマホにワンタイムパスワードを生成するアプリをインストールし、アプリからパスワードを入手する方法です。アプリをインストールするだけなので、トークン方式のように別端末を持ち運ぶ必要がなく、紛失の危険性が少なくなります。
現在ではトークンよりも、スマホアプリによるワンタイムパスワードが推奨される傾向が見られます。
サービスなどに登録したメールアドレスや電話番号をもとに、ワンタイムパスワードが記載されたEメールやSMSを受け取る方法です。
スマホアプリより利便性が劣るものの、メールアドレスを持っていれば誰でも利用できるメリットがあります。
ただし、GmailやYahoo!などのフリーメールアドレスはセキュリティ面で問題があるため、プロパイダやキャリアのメールアドレスの利用をおすすめします。
あらかじめ登録した電話番号を使い、機械音声からワンタイムパスワードを聞き取って入手する方法です。
登録した電話番号宛てに届く通知に同意した後、電話がかかってきます。その後、電話番号の機械音声にてパスワードが伝えられます。
文字としてのデータが残らないため、番号が流出する危険がありません。ただし音声を確実に覚えておくには、メモ書きに残すなどの工夫が必要です。
ワンタイムパスワードを取り入れて、実際に運用している活用事例をまとめました。
インターネットバンキングや暗号資産(仮想通貨)、その他金融関係のサービスのセキュリティ対策として、ワンタイムパスワードの導入が一般的になってきました。これには、不正送金による被害拡大が背景として考えられます。
例えば、インターネット上での振込手続きや残高照会などを行う場合に、ID・パスワードの登録に加えて、ログイン時にワンタイムパスワードの認証を求めるサービスが増えています。
方法は独自アプリのインストールや専用トークンの配布、SMS配信など、金融機関によってさまざまです。詳細は利用する金融機関に問い合わせてみましょう。
自宅やその他社外でのリモートワーク(テレワーク)を行う際にも、ワンタイムパスワードが活用さるケースが増えています。外部から社内システムにアクセスする場合などです。
リモートワーク中は、端末のセキュリティ機能や従業員の意識が低下していることが多いです。そのため、サイバー攻撃によるセキュリティインシデントが発生しやすくなっています。
実際にリモートワーク中の従業員を狙ったサイバー攻撃については、政府や警視庁も警戒すべしと呼びかけています。
リモートワークを導入する企業はワンタイムパスワードに加えて、セキュリティ対策ソフトやVPNの導入・強化を検討しましょう。
(⇒ VPNの基礎知識|仕組み・専用線との違い・導入のメリット・デメリット)
金融業界やリモートワーク以外のケースでも、ワンタイムパスワードに関するさまざまな活用事例があります。例えば次の通りです。
今後も業界やサービスを問わず、ワンタイムパスワードは普及していくと予想されます。
ワンタイムパスワードのメリット・デメリットをそれぞれ解説します。
ワンタイムパスワードは毎回ランダムに生成されるうえに、時間が経過すると古い文字列は二度と使用できません。そのため、パスワードを第三者からの読み取られても、不正アクセスされる可能性を低減できます。セキュリティの向上につながるでしょう。
また、毎回文字列が変化するという特性上、従業員全員分のID・パスワードを管理する手間が省けます。中~大規模の企業で従業員が多い場合でも、管理負担を減らすことが可能です。
セキュリティ面の強化が見込めるワンタイムパスワード導入ではあるものの、不正アクセスを100%防ぐ力がないというデメリットが挙げられます。
ワンタイムパスワードの脆弱性の例は次の通りです。
上記のデメリットを防ぐには、ワンタイムパスワード以外のセキュリティ対策が必要です。
ワンタイムパスワードを利用したセキュリティ対策は、ワンタイムパスワードの脆弱性をカバーできるセキュリティを組み合わせるのがポイントです。
以下ではワンタイムパスワードと一緒に取り入れるべきセキュリティ機能をみていきましょう。
多要素認証とは、認証に関する3要素である知識要素(知識情報)・所有要素(所有情報)・生体要素(生体情報)のうち、異なる要素を2つ以上組み合わせて認証を行う方法です。
2つを組み合わせたものは、二要素認証と呼ぶこともあります。
それぞれの概要や具体例は次の通りです。
概要 | 具体例 | |
---|---|---|
知識要素 | ユーザしか知り得ない情報を入力させて認証する方法 | ・パスワード ・PINコード ・秘密の質問 |
所有要素 | 認証されるユーザのみが保有する物理的なモノを活用する方法 | ・携帯電話 ・トークン ・ICカード |
生体要素 | ユーザの生体情報を読み取って認証する方法 | ・顔 ・指紋 ・整脈 |
ワンタイムパスワードを取り入れる場合は、ワンタイムパスワード以外のログインパスワードを別途で設定したり、指紋認証を取り入れたりなどの別要素の認証を検討してみてください。
ちなみに、多要素認証や二要素認証と似たものに二段階認証があります。二段階認証とは、上記した3要素のうち2つを組み合わせることで、二段階のチェックを入れる認証方法です。
多様性要素などと異なり、同じ要素(知識要素が2つなど)を組み合わせても二段階認証になります。なお、異なる認証を組み合わせた多様性要素のほうが、セキュリティレベルが高い対策です。
ワンタイムパスワードを取り入れる場合は、ワンタイムパスワードや多様性要素の弱点である端末そのもののセキュリティ性能向上を行いましょう。
例えば、次の施策が考えられます。
例えば、弊社住友電工情報システムのIT資産管理システム「MCore」であれば、端末のハードウェア・ソフトウェア状態の管理や、端末操作ログのチェックなどが可能です。ワンタイムパスワードの弱点である、端末そのものへの攻撃に関するセキュリティ機能も向上させられます。
(⇒ PCの操作を監視して内部不正を防止する「PC操作ログ管理」)
ワンタイムパスワードは優れたセキュリティ対策の1つであり、さまざまな業界・サービスで取り入られています。ワンタイムパスワードをより効果的に活用するには、多要素認証・2段階認証の導入や、端末のセキュリティ向上なども組み合わせましょう。
弊社の「MCore」であれば、PC操作ログ監視による内部不正防止や、リモートワークで使用する端末の使用者・使用場所の把握によって、ワンタイムパスワードの脆弱性のカバーが可能です。また他にも、情報漏洩対策やその他のセキュリティ機能強化にも対応できます。
資料請求や体験セミナー・ウェビナーへの参加も可能ですので、ぜひ一度お問い合わせください。
【関連記事】
・IT資産管理入門「情報漏洩対策」
https://www.sei-info.co.jp/mcore/basics/security.html
・課題解決「強固なセキュリティ対策をしたい」
https://www.sei-info.co.jp/mcore/task/security/
・PCの操作を監視して内部不正を防止する「PC操作ログ管理」
https://www.sei-info.co.jp/mcore/function/log-management/pclog/
・課題解決「パソコンの使用者・使用場所や状態を正確に把握したい」
https://www.sei-info.co.jp/mcore/task/efficiency/management/