ワンタイムパスワードに関する基礎知識やメリット・デメリットについて

INDEX

    ワンタイムパスワードをご存知でしょうか?聞いたことはあるけれど使ったことはないという方もいらっしゃるでしょう。

    今回はワンタイムパスワードに関する基礎知識やメリット・デメリットについてご紹介します。


    ワンタイムパスワードに関する基礎知識

    はじめにワンタイムパスワードに関する基礎知識を押さえておきましょう。

    ワンタイムパスワードの仕組み

    ワンタイムパスワードは簡単に言えばログイン時や特定の操作の際、その都度使い捨てのパスワードを任意の連絡先に送信して認証方法を増やすことでセキュリティ性を高める仕組みです。

    ログインIDとパスワードを入力した時点でワンタイムパスワードが発行され、メールボックス等に届いた英数字などを元のフォームで入力して初めて、ログインや操作の継続が可能となるというのが一般的なイメージと言えるでしょう。

    ワンタイムパスワードの種類

    ワンタイムパスワードにはいくつかの種類が存在します。

    ・SMSを利用するタイプ
    ・メールアドレスを利用するタイプ
    ・認証アプリを利用するタイプ
    ・紙に印刷するタイプ
    ・スマートフォンなどの機能を利用するタイプ

    上記はワンタイムパスワードの主な種類です。基本的にはメールアドレスやSMSへワンタイムパスワードを送信、またはアプリやスマートフォンに送信される形となります。

    二段階認証とワンタイムパスワードは同じような種別と言えますが、一般的にはSMSやメールアドレスで認証するのがワンタイムパスワードと呼ばれています。

    ワンタイムパスワードの目的や用途

    ワンタイムパスワードの目的や用途は第三者による不正ログインを防ぐことです。IDとパスワードのみでログインできてしまうシステムやサービスの場合、機械的なサイバー攻撃によっていつかは突破されてしまいます。

    ワンタイムパスワードを導入しているシステムやサービスを利用し、ワンタイムパスワードを利用する設定にしておくことで、利用者自身が第三者からの不正ログインへのセキュリティ対策を行うことができるということです。

    ワンタイムパスワードのメリット

    次にワンタイムパスワードのメリットをご紹介します。

    ユーザーや利用者への負担をかけずにセキュリティ強化が可能

    ワンタイムパスワードはユーザーや利用者が一手間増やすだけで、大幅な負担をかけずにセキュリティ強化が可能になります。メールアドレスやSMSに届いた英数字を元のフォームに入力するだけ、昨今ではSMSに届いた英数字をそのまま引用してくれる仕組みを備えているものもあります。

    サービスを運営する側としてもユーザーがその都度パスワードを変更する必要がありませんし、一度システムに組み込んでしまえばセキュリティ性を高められるという点もメリットといえるでしょう。

    ワンタイムパスワードだけが流出しても問題ない

    ワンタイムパスワードはワンタイムパスワードだけが流出しても不正ログインの助長にはつながりません。なぜなら、ワンタイムパスワードは基本的にその都度英数字が変更される仕組みだからです。

    また、ワンタイムパスワードが設定されているアカウントのIDとパスワードが流出したとしても、ワンタイムパスワードによってログインされることを防ぐだけでなく、不正ログインを検出したという通知を運営側と利用者側に送るような仕組みも効果的です。

    運営側から利用者にIDやパスワードの変更を促すこともできますし、場合によっては送付先のメールアドレスを変更してもらうことでセキュリティ性を再構築できるのもメリットと言えます。

    ワンタイムパスワードには利用期限がある

    ワンタイムパスワードは任意で利用期限を設定することができます。例えば、5分、30分と設定されていれば総当たりでログインを試みるような仕組みではログインできませんし、時間が過ぎればそのパスワードが無効となります。

    本来であればパスワード自体を定期的に変更すべきという考え方もありましたが、実質的には定期的な変更よりも強固なパスワードを設定する方が良いという考え方の流れも生まれています。もう一つのパスワードであるワンタイムパスワードが定期的に変更され、時限が来れば無効となる仕組みとの組み合わせによって、パスワードを定期的に変更することによるメリットと強固なパスワードを利用することのメリットの両方を実現できる点も、セキュリティ性を高めるためには有効であるということです。

    ワンタイムパスワードを使用する上での注意点

    次にワンタイムパスワードを使用する上での注意点をご紹介します。

    フィッシングサイトを利用した回避方法が存在する

    ワンタイムパスワードには、これを悪用しようとする側から見ると、フィッシングサイトを利用した回避方法があります。自分自身でワンタイムパスワードをリアルタイムで教えてしまうと不正ログインされてしまうという脆弱性があるのです。

    ログインフォームに対する攻撃には強いけれど、ログイン情報を知られてしまえばすんなりとログインされてしまうということです。もちろんこれはワンタイムパスワードに限ったことではありません。このため、フィッシングサイトやフィッシング詐欺のようなサイバー攻撃に対するセキュリティ知識や対策についても理解しておく必要があります。

    関連記事:フィッシングサイトによる被害と対処法や予防策について

    ワンタイムパスワードの送付先を押さえられると弱い

    ワンタイムパスワードをメールアドレスに設定しており、そのメールアドレスへのログイン情報が押さえられてしまうと、やはり悪用され不正ログインされる可能性があります。例えば、ワンタイムパスワードを設定しているサービスとメールアドレスにログインするIDやパスワードが同じである場合など、メールアドレスの方にはワンタイムパスワードなしでログインできてしまえば、結果としてワンタイムパスワードが必要なサービスにもログインできてしまうということです。

    対策としては各種オンラインサービスのメールアドレスやIDなどをなるべくなら別のものにしておくこと、パスワードは普段から使い回しせず、組み合わせ次第で他のオンラインサービスにログインできてしまうようなパスワード管理をしないことが求められます。

    パソコンやスマートフォンの乗っ取りにも弱い

    ワンタイムパスワードには、これを見るためのパソコンやスマートフォンの乗っ取りにも弱いという側面があります。本人がワンタイムパスワードを確認している画面をインターネットを介して第三者も閲覧できてしまう状態であれば、やはり結果としてワンタイムパスワードのセキュリティ性が有効に活用できているとは言えません。

    必ずパソコンやスマートフォンは最新の状態にしておくこと、ウイルス対策やサイバー攻撃の対策を忘れないこと、そして何らかの被害を受けた時にすぐに検知できる仕組みを取り入れておくことが重要です。

    フィッシングサイトやフィッシング詐欺、メールアドレスへの直接のログイン、パソコンやスマートフォンの乗っ取りなど、ワンタイムパスワードでは防げない部分にも意識を向けておくべきであり、ワンタイムパスワードだから安心と油断しないことが大切です。

    情報資産の管理や不正ログイン、情報漏洩を防ぐには?

    ワンタイムパスワードのような仕組みを外部からの社内ネットワークや社内システムへのログイン時に用いたいとお考えであるなら、情報資産の管理や不正ログイン、情報漏洩などのリスクについてもお悩みなのではないでしょうか。

    当社の提供する情報資産管理ソフト「AssetView」であれば、外部から接続されるデバイスについても一元管理が可能となります。ワンタイムパスワードによるデバイスの登録も可能となっており、悪意のある第三者からの接続を防ぐことにもつながります。

    その他、情報資産の管理や不正ログイン、内部不正や情報漏洩などのセキュリティリスクへの対策も万全ですので、何らかの形でセキュリティを強化したい、IT資産、情報資産を守りたいとお考えであれば、ぜひともこの機会にご相談、お問い合わせください。


    まとめ:ワンタイムパスワードや二段階認証について押さえておこう

    今回はワンタイムパスワードに関する基礎知識やメリット、使用する際の注意点についてご紹介しました。

    実際問題としてIDとパスワードのみで外部からアクセスできる仕組みは、最終的にはサイバー攻撃により突破されてしまいます。企業や組織として何らかのオンラインサービスを展開しているのであれば、早い段階でワンタイムパスワードや二段階認証によるログインを導入すべきと言えます。

    また、昨今ではリモートワークやテレワーク、在宅ワークも珍しくなくなってきました。言い換えれば、外部から社内のシステムやネットワークにログインして業務や作業を行うケースが増える・必要になるということです。今すぐには無理であっても、ワンタイムパスワードや二段階認証のようにな仕組みを導入すれば、セキュリティリスクが大幅に軽減されることを忘れないようにしましょう。

    その上で、情報セキュリティの根本的な対策として、当社が提供するAssetViewのような情報資産管理ソフトを導入し、デバイス及びネットワーク、システムにおいても高いセキュリティを確保して情報資産を守るということを意識してみてください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • 【改訂】ISMS(ISO27001:2022)対策のポイント5選

      常時開催

      【改訂】ISMS(ISO27001:2022)
      対策のポイント5選

    • IT導入補助金2024の攻略法

      常時開催

      IT導入補助金2024の攻略法

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら