ワンタイムパスワードをご存知でしょうか？聞いたことはあるけれど使ったことはないという方もいらっしゃるでしょう。

今回はワンタイムパスワードに関する基礎知識やメリット・デメリットについてご紹介します。

ワンタイムパスワードに関する基礎知識

はじめにワンタイムパスワードに関する基礎知識を押さえておきましょう。

ワンタイムパスワードの仕組み

ワンタイムパスワードは簡単に言えばログイン時や特定の操作の際、その都度使い捨てのパスワードを任意の連絡先に送信して認証方法を増やすことでセキュリティ性を高める仕組みです。

ログインIDとパスワードを入力した時点でワンタイムパスワードが発行され、メールボックス等に届いた英数字などを元のフォームで入力して初めて、ログインや操作の継続が可能となるというのが一般的なイメージと言えるでしょう。

ワンタイムパスワードの種類

ワンタイムパスワードにはいくつかの種類が存在します。

・SMSを利用するタイプ
・メールアドレスを利用するタイプ
・認証アプリを利用するタイプ
・紙に印刷するタイプ
・スマートフォンなどの機能を利用するタイプ

上記はワンタイムパスワードの主な種類です。基本的にはメールアドレスやSMSへワンタイムパスワードを送信、またはアプリやスマートフォンに送信される形となります。

二段階認証とワンタイムパスワードは同じような種別と言えますが、一般的にはSMSやメールアドレスで認証するのがワンタイムパスワードと呼ばれています。

ワンタイムパスワードの目的や用途

ワンタイムパスワードの目的や用途は第三者による不正ログインを防ぐことです。IDとパスワードのみでログインできてしまうシステムやサービスの場合、機械的なサイバー攻撃によっていつかは突破されてしまいます。

ワンタイムパスワードを導入しているシステムやサービスを利用し、ワンタイムパスワードを利用する設定にしておくことで、利用者自身が第三者からの不正ログインへのセキュリティ対策を行うことができるということです。

ワンタイムパスワードのメリット

次にワンタイムパスワードのメリットをご紹介します。

ユーザーや利用者への負担をかけずにセキュリティ強化が可能

ワンタイムパスワードはユーザーや利用者が一手間増やすだけで、大幅な負担をかけずにセキュリティ強化が可能になります。メールアドレスやSMSに届いた英数字を元のフォームに入力するだけ、昨今ではSMSに届いた英数字をそのまま引用してくれる仕組みを備えているものもあります。

サービスを運営する側としてもユーザーがその都度パスワードを変更する必要がありませんし、一度システムに組み込んでしまえばセキュリティ性を高められるという点もメリットといえるでしょう。

ワンタイムパスワードだけが流出しても問題ない

ワンタイムパスワードはワンタイムパスワードだけが流出しても不正ログインの助長にはつながりません。なぜなら、ワンタイムパスワードは基本的にその都度英数字が変更される仕組みだからです。

また、ワンタイムパスワードが設定されているアカウントのIDとパスワードが流出したとしても、ワンタイムパスワードによってログインされることを防ぐだけでなく、不正ログインを検出したという通知を運営側と利用者側に送るような仕組みも効果的です。

運営側から利用者にIDやパスワードの変更を促すこともできますし、場合によっては送付先のメールアドレスを変更してもらうことでセキュリティ性を再構築できるのもメリットと言えます。

ワンタイムパスワードには利用期限がある

ワンタイムパスワードは任意で利用期限を設定することができます。例えば、5分、30分と設定されていれば総当たりでログインを試みるような仕組みではログインできませんし、時間が過ぎればそのパスワードが無効となります。

本来であればパスワード自体を定期的に変更すべきという考え方もありましたが、実質的には定期的な変更よりも強固なパスワードを設定する方が良いという考え方の流れも生まれています。もう一つのパスワードであるワンタイムパスワードが定期的に変更され、時限が来れば無効となる仕組みとの組み合わせによって、パスワードを定期的に変更することによるメリットと強固なパスワードを利用することのメリットの両方を実現できる点も、セキュリティ性を高めるためには有効であるということです。

ワンタイムパスワードを使用する上での注意点

次にワンタイムパスワードを使用する上での注意点をご紹介します。

フィッシングサイトを利用した回避方法が存在する

ワンタイムパスワードには、これを悪用しようとする側から見ると、フィッシングサイトを利用した回避方法があります。自分自身でワンタイムパスワードをリアルタイムで教えてしまうと不正ログインされてしまうという脆弱性があるのです。

ログインフォームに対する攻撃には強いけれど、ログイン情報を知られてしまえばすんなりとログインされてしまうということです。もちろんこれはワンタイムパスワードに限ったことではありません。このため、フィッシングサイトやフィッシング詐欺のようなサイバー攻撃に対するセキュリティ知識や対策についても理解しておく必要があります。

ワンタイムパスワードの送付先を押さえられると弱い

ワンタイムパスワードをメールアドレスに設定しており、そのメールアドレスへのログイン情報が押さえられてしまうと、やはり悪用され不正ログインされる可能性があります。例えば、ワンタイムパスワードを設定しているサービスとメールアドレスにログインするIDやパスワードが同じである場合など、メールアドレスの方にはワンタイムパスワードなしでログインできてしまえば、結果としてワンタイムパスワードが必要なサービスにもログインできてしまうということです。

対策としては各種オンラインサービスのメールアドレスやIDなどをなるべくなら別のものにしておくこと、パスワードは普段から使い回しせず、組み合わせ次第で他のオンラインサービスにログインできてしまうようなパスワード管理をしないことが求められます。

パソコンやスマートフォンの乗っ取りにも弱い

ワンタイムパスワードには、これを見るためのパソコンやスマートフォンの乗っ取りにも弱いという側面があります。本人がワンタイムパスワードを確認している画面をインターネットを介して第三者も閲覧できてしまう状態であれば、やはり結果としてワンタイムパスワードのセキュリティ性が有効に活用できているとは言えません。

必ずパソコンやスマートフォンは最新の状態にしておくこと、ウイルス対策やサイバー攻撃の対策を忘れないこと、そして何らかの被害を受けた時にすぐに検知できる仕組みを取り入れておくことが重要です。

フィッシングサイトやフィッシング詐欺、メールアドレスへの直接のログイン、パソコンやスマートフォンの乗っ取りなど、ワンタイムパスワードでは防げない部分にも意識を向けておくべきであり、ワンタイムパスワードだから安心と油断しないことが大切です。

情報資産の管理や不正ログイン、情報漏洩を防ぐには？

当社の提供する情報資産管理ソフト「AssetView」であれば、外部から接続されるデバイスについても一元管理が可能となります。ワンタイムパスワードによるデバイスの登録も可能となっており、悪意のある第三者からの接続を防ぐことにもつながります。

その他、情報資産の管理や不正ログイン、内部不正や情報漏洩などのセキュリティリスクへの対策も万全ですので、何らかの形でセキュリティを強化したい、IT資産、情報資産を守りたいとお考えであれば、ぜひともこの機会にご相談、お問い合わせください。

まとめ：ワンタイムパスワードや二段階認証について押さえておこう

今回はワンタイムパスワードに関する基礎知識やメリット、使用する際の注意点についてご紹介しました。

実際問題としてIDとパスワードのみで外部からアクセスできる仕組みは、最終的にはサイバー攻撃により突破されてしまいます。企業や組織として何らかのオンラインサービスを展開しているのであれば、早い段階でワンタイムパスワードや二段階認証によるログインを導入すべきと言えます。

また、昨今ではリモートワークやテレワーク、在宅ワークも珍しくなくなってきました。言い換えれば、外部から社内のシステムやネットワークにログインして業務や作業を行うケースが増える・必要になるということです。今すぐには無理であっても、ワンタイムパスワードや二段階認証のようにな仕組みを導入すれば、セキュリティリスクが大幅に軽減されることを忘れないようにしましょう。

その上で、情報セキュリティの根本的な対策として、当社が提供するAssetViewのような情報資産管理ソフトを導入し、デバイス及びネットワーク、システムにおいても高いセキュリティを確保して情報資産を守るということを意識してみてください。