本ページはアフィリエイト広告プログラムによる収益が発生しています。
ワンタイムパスワードとは、IDやアカウントの安全性を強化する仕組みです。現在、金融機関やオンラインエンタメサービスなどのさまざまな企業が次々に導入しています。本記事を読んでいるあなたも導入を検討しているのではないでしょうか。
本記事では、ワンタイムパスワードの選び方や導入事例、おすすめ製品について詳しく解説していくため、ぜひ最後までご覧ください。
ワンタイムパスワードとは?
ワンタイムパスワードとは、一時的にしか利用できないパスワードのことで、二段階認証の際に用いられます。パスワードは、数秒間ごとに発行でき、一度しか利用できません。パスワードの漏えいなどが発生した場合であっても、万が一のトラブルにつながらず、高い安全性を発揮します。
従来、ワンタイムパスワードの導入にはサーバー構築が必要でした。しかし、現在では、スマートフォンアプリを利用することでサーバー構築も不要になりました。以上のことから、ワンタイムパスワードは利用しやすくなり、オンラインゲームやインターネットショッピングなど幅広いシーンやジャンルで導入されています。
ワンタイムパスワードの選び方
ワンタイムパスワードの選び方は次のとおりです。
- 導入費用
- 運用費用
- パスワードの受信方式
- サービス認証方式
効果的にサービスを導入する上で、選び方は重要です。ここでは、上記の4つの選び方について詳しく解説します。
1.導入費用
必要となるサービスの導入費用がサービス内容に見合っているか検討しましょう。ワンタイムパスワードの導入費用は、システムや規模によって異なり、数百円から数万円と幅広く設定されています。
必要な機能と導入費用が見合っているかどうかを重点的にチェックすると、コストパフォーマンスの高いシステムを導入できるでしょう。なお、無料トライアルや資料請求を利用し、使用感などを確かめておくと、導入前後のイメージの相違が小さくなります。
無料トライアルや資料請求を利用し、導入費用がサービスの機能と見合っているか、十分に検討しましょう。
2.運用費用
運用するにあたり、必要となる運用費用が予算に見合っているか検討しましょう。クラウドベースのワンタイムパスワードの運用費用は、利用者の人数に合わせた従量課金型が多く、1ユーザー月額数百円から利用できます。
また、企業で導入されやすい多くのユーザーが利用できるワンタイムパスワードは、年額数十万円でサービスを提供しています。導入時同様、本格的に運用するにあたり、使用感の相違が起こらないよう無料トライアルや資料請求ができるシステムの場合は、積極的に利用すると良いでしょう。
3.パスワードの受信方式
パスワードが自社に合う受信方式で受信されるか確認しておきましょう。ワンタイムパスワードには、次の4種類の受信方式があります。
- トークンを使用
- スマートフォンを使用
- メールで受信
- 電話で受信
1.トークンを使用
トークンを使用する方式は、専用デバイスにより、パスワードを発行します。パスワードは、数秒で利用できなくなるため、発行後は迅速な認証が必要です。専用のデバイスには、カードやスティックなどさまざまな形状があり、デバイスを紛失するとパスワードを発行できなくなるため、紛失しにくいものを利用すると良いでしょう。
2.スマートフォンを使用
スマートフォンを使用する方式は、スマートフォンの専用アプリにより、パスワードを発行します。先程解説したトークンを使用する方式と同様に、数秒で利用できなくなります。専用デバイスではなくスマートフォンがあれば利用できるため、多くの方が利用できる方式です。
3.メールで受信
メールで受信する方式は、パソコンや携帯電話のメールにより、パスワードを受信します。事前に登録したメールアドレス宛にパスワードが送信されるため、専用デバイスの所持や専用アプリのダウンロードが不要で扱いやすい方式です。
4.電話で受信
電話で受信する方式は、事前に登録した電話番号宛に電話またはSMSでのメッセージにより、パスワードを受信します。電話の場合、音声によりパスワードを通知するため、聞き漏らさないよう気をつけましょう。
以上のことから、ワンタイムパスワードの受信方式には、トークンを用いた別端末が必要なケースと携帯電話やパソコンで完結するケースに分かれます。4種類の中から自社に合う受信方式を選びましょう。
4.サービス認証方式
「ワンタイムパスワードとは?」でも先程解説したようにワンタイムパスワードには、2種類のサービス認証方式があるため、確認しておきましょう。
- 時刻同期方式
- チャレンジ・レスポンス方式
時刻同期方式
時刻同期方式は、サーバーとユーザーが同じアルゴリズムにより生成されたパスワードを利用し、認証する方式です。利用されるパスワードは、現在の時間とユーザーの固有情報によって生成されるため、数秒間の有効期限を有し、強固なセキュリティ認証を可能にします。時刻同期方式による認証には、パスワードを生成するトークンが必要です。
チャレンジ・レスポンス方式
チャレンジ・レスポンス方式は、あらかじめ登録しておいたユーザーの固有情報とサーバーが発行するランダムなチャレンジコードと呼ばれる数値を利用し、認証する方式です。チャレンジコードは毎回異なるものが発行されるため、ワンタイムパスワードとして高いセキュリティを保証します。
ワンタイムパスワードの導入事例
現在、ワンタイムパスワードは、金融機関のアプリやオンラインゲームなどさまざまなシーンやジャンルで導入されています。ここでは、3つのシーンやジャンルの導入事例について詳しく解説します。
- 金融機関
- オンラインエンタメサービス
- 仮想通貨取引所
では、解説していきます。
金融機関
金融機関では、取引やオンライン決済サービスなどをする場合、簡単で高い安全性を維持するため、ワンタイムパスワードを導入しています。
パスワードの発行に、専用アプリやトークン、メールアドレスなどを利用しており、ワンタイムパスワードの導入により、パスワードが盗まれることによる不正利用などを防止し、安全なインターネットバンキングを実現しています。
オンラインエンタメサービス
ファイナルファンタジーシリーズやドラクエシリーズを開発しているスクウェア・エニックスや、VALORANTを開発しているRIOTGAMESなどオンラインエンタメサービスを提供する企業でもワンタイムパスワードは導入されています。
ワンタイムパスワードを導入する目的として、ユーザーのアカウントのセキュリティを高め、安全で快適なゲームプレイを提供することです。ワンタイムパスワードを利用した二段階認証により、アカウント盗難や不正アクセスを防止できます。
仮想通貨取引所
ビットコインで有名なビットフライヤーや、少額から始められるGMOコインなど、多くの仮想通貨取引所でセキュリティを高めるため、ワンタイムパスワードが導入されています。
仮想通貨取引所で導入されている背景には、ハッキング事件による数百億円の流出があります。このような事件が起こると多くのユーザーに損害を与えてしまうため、現在ではユーザーにGoogle AuthenticatorやAuthyなどのアプリによる、二段階認証を必須化して安全性を高めている取引所も少なくありません。
おすすめのワンタイムパスワード10選
おすすめのワンタイムパスワード製品を次の6つの評価項目で紹介します。
- 導入コスト
- 運用コスト
- お試し期間
- 認証方式
- 受信方式
- サポート体制
それでは紹介していきます。
Authway|株式会社アイピーキューブ
| 製品名 | Authway |
| 導入コスト | 要問い合わせ |
| 運用コスト | 要問い合わせ |
| お試し期間 | なし |
| 認証方式 | 時刻同期方式 |
| 受信方式 | トークン・スマートフォン・メール配信・Web配信 |
| サポート体制 | 要問い合わせ |
Authwayは、安全性の高い時刻同期方式による認証方式を採用しています。さまざまな受信方式の中から自社に合うものを選べることや、運用管理の負荷を軽減するセルフメンテナンス機能が好印象です。また、OSへのログインにも対応しているため、利用することで社内システムの安全性の強化も見込めます。
SafeNet Trusted Access|タレスDIS CPLジャパン株式会社
| 製品名 | SafeNet Trusted Access |
| 導入コスト | 要問い合わせ |
| 運用コスト | 要問い合わせ |
| お試し期間 | 30日間 |
| 認証方式 | 時刻同期方式 |
| 受信方式 | トークン・スマートフォン・SMS・メール配信 |
| サポート体制 | タレスのサポートサービス |
SafeNet Trusted Accessは、クラウドおよびWebシングルサインオンの利便性と安全性を組み合わせたクラウドベースの製品です。スマートシングルサインオンにより、高速かつ簡単なアクセスを可能にします。また、すべてのアクセスイベントに可視性を持たせることで、コンプライアンスを簡素化し、安全性を高めています。
xIdentify|株式会社アイピーキューブ
| 製品名 | xIdentify |
| 導入コスト | 要問い合わせ |
| 運用コスト | 要問い合わせ |
| お試し期間 | なし |
| 認証方式 | 時刻同期方式 |
| 受信方式 | スマートフォン・メール配信・Web配信 |
| サポート体制 | 要問い合わせ |
xIdentifyは、先ほど紹介したAuthwayのクラウド版の製品です。Authwayと同等の機能を搭載しており、クラウド型であることにより、申込みから利用開始まで短期間で導入できます。トークンレスでワンタイムパスワードを利用したい方におすすめの製品になっています。
ROBOT ID|ナレッジスイート株式会社
| 製品名 | ROBOT ID |
| 導入コスト | パブリッククラウド版:10,000円 プライベートクラウド版:要問い合わせ |
| 運用コスト | パブリッククラウド版:ユーザー数無制限月額1,000円/100MB プライベートクラウド版:ユーザー数無制限980,000円 |
| お試し期間 | なし |
| 認証方式 | 時刻同期方式 |
| 受信方式 | スマートフォン |
| サポート体制 | 要問い合わせ |
ROBOT IDは、多くのアカウントのIDやパスワードを一括管理できる総合管理アプリです。シンプルかつ強固な認証とシングルサインオン連携により、安全かつ迅速なログインが可能です。また、通常のIDやパスワードに加えGoogle Authenticatorなどのアプリを使用することで、二段階認証による安全なログインも可能になります。
YubiKey|株式会社ソフト技研
| 製品名 | YubiKey |
| 導入コスト | 45ドル~ |
| 運用コスト | なし |
| お試し期間 | なし |
| 認証方式 | スマートフォンに挿すだけ |
| 受信方式 | トークン |
| サポート体制 | 要問い合わせ |
YubiKeyは、USBメモリのような形をしたセキュリティキーをスマートフォンに挿すだけで、二段階認証や他要素認証などが可能です。セキュリティキーには、アカウントの乗っ取りを阻止する機能やID管理やアクセス管理プラットフォームを統合する機能が搭載されています。また、WindowsやMacへのログインなど数百のサービスに対応しています。
PassLogic|パスロジ株式会社
| 製品名 | PassLogic |
| 導入コスト | PassLogicクラウド版:なし PassLogicパッケージ版:初年度のみ177,600円~ |
| 運用コスト | PassLogicクラウド版:1ユーザー月額480円 PassLogicパッケージ版:年間保守サポート35,520円~ |
| お試し期間 | あり |
| 認証方式 | マトリクス認証 |
| 受信方式 | トークン・スマートフォン |
| サポート体制 | あり |
PassLogicは、マトリクス表を利用したマトリクス認証を採用しています。マトリクス認証により、トークン不要で二段階認証が可能です。また、パソコン内の情報資産にワンタイムパスワードを設定し、安全性を高める機能も搭載しています。
Secioss Access Manager Enterprise|株式会社セシオス
| 製品名 | Secioss Access Manager Enterprise |
| 導入コスト | 要問い合わせ |
| 運用コスト | 要問い合わせ |
| お試し期間 | なし |
| 認証方式 | 時刻同期方式 |
| 受信方式 | トークン・スマートフォン・メール通知 |
| サポート体制 | 要問い合わせ |
Secioss Access Manager Enterpriseは、シングルサインオン機能がある製品で、G Suite、Office 365、Salesforce、cybozu.comなどに対応しています。時刻同期方式を採用しており、さまざまな方式でワンタイムパスワードを受信できます。アカウントの安全性を高めるロックアウトなどの機能も標準搭載されています。
SeciossLink|株式会社セシオス
| 製品名 | SeciossLink |
| 導入コスト | 要問い合わせ |
| 運用コスト | 要問い合わせ |
| お試し期間 | なし |
| 認証方式 | 時刻同期方式 |
| 受信方式 | スマートフォン・メール通知 |
| サポート体制 | 要問い合わせ |
SeciossLinkは、シングルサインオンと統合ID管理を一つにしたSaaS型製品です。GoogleAppsやMicrosoft365などのクラウドサービスをはじめ、プライベートクラウドや社内システムと連携できます。専用のWebインターフェースからシングルサインオンの設定が行えるため、システムを管理しやすくなります。
らく認|飛天ジャパン株式会社
| 製品名 | らく認 |
| 導入コスト | 121,000円 |
| 運用コスト | 年額料金2,970円/アカウント |
| お試し期間 | あり |
| 認証方式 | 時刻同期方式 |
| 受信方式 | スマートフォン・SMS・QRコード |
| サポート体制 | あり |
らく認は、国内サーバーを利用しているクラウド型の製品です。VPNやWi-FiなどさまざまなWebシステムに簡単に導入できます。また、国際基準のOATH規格やFIDOに準拠した認証方式を採用しているため、安心して利用できます。
ワンタイムパスワード導入に関するよくある質問
最後に、ワンタイムパスワード導入に関するよくある質問について詳しく解説します。
Q.ワンタイムパスワードがわからない場合どうすれば良いですか?
チャレンジレスポンス方式を中心にSMSやメール、生体認証の再確認しましょう。また、着信拒否や迷惑メールへの設定により、ワンタイムパスワードが受信できない場合もあるため、着信拒否の解除や迷惑メールを確認してください。
Q.スマートフォンを機種変更する場合はどうすれば良いですか?
機種変更する前に利用しているスマートフォンのトークンの失効手続きをしてください。その後、機種変更が完了したら再度トークンを取得します。
Q.ワンタイムパスワードには有効期限はありますか?
あります。有効期限が切れた場合には再発行が必要です。
Q.導入にはサーバー構築が必要ですか?
スマートフォンアプリを利用する場合、サーバー構築は不要です。
ワンタイムパスワード導入の際は事前確認を入念に!
本記事では、ワンタイムパスワードの選び方や導入事例、おすすめの製品について詳しく解説しました。
ワンタイムパスワードを導入することで、現在のセキュリティを大幅に強化できます。また導入前に、費用やサポート体制、認証方式などを確認することが効果的な運用にはとても重要です。
自社サービスの利用者属性に合わせて最適なサービスを選び、ぜひ、安全かつ快適な環境を整えてください。
