広がるワンタイムパスワード（OTP）の利用！ 仕組みやメリット、利用方法を紹介

ワンタイムパスワード（OTP：One Time Password）は、金融機関で広く利用されています。例えば、ネットバンキングへのログイン時に入力する使い捨てのパスワードのことです。セキュリティ強度を上げるために使われる方法ですが、その仕組みはどのようなものでしょうか。

ここでは、ワンタイムパスワードの仕組みと、近年、ワンタイムパスワードによるセキュリティ強化が求められる理由について解説します。

ワンタイムパスワードの仕組み

ワンタイムパスワードは2段階認証や多要素認証等の2つ目の認証システムとしての利用が一般的です。また、ログインIDや自分で決めたパスワードとは異なります。一定期間ごとに発行されて、一度だけ利用できるランダムな数字のことです。

有効期間は30秒ほどと非常に短く、時間が過ぎると再利用できなくなり、新たなワンタイムパスワードの発行が必要となります。そのため、もし過去に発行した番号が第三者に漏れたとしても、その番号は既に再利用不可となっているため不正ログインやアカウントの乗っ取りを防ぐことができます。

ワンタイムパスワードが求められる理由

近年、インターネットやデジタル技術の普及により、データで情報を管理することが増えています。そしてその分、不正アクセスや情報漏洩による情報の悪用リスクも高まっています。このようなリスクを減らすためにも、セキュリティ強化が必要です。

通常のIDやパスワードだけのログイン方法では、その番号が第三者に漏れてしまえば誰でもアカウントにログインできてしまいます。また、パスワードを使いまわしていれば、複数アカウントに不正ログインされてしまう可能性もあります。このようなリスクを解消するためにもワンタイムパスワードが注目されています。

主に利用される場面

ワンタイムパスワードが主に利用されているのは金融機関です。多くはインターネットバンキングでの取引時に求められます。通常のパスワードが流出してしまっても、ワンタイムパスワードを導入していれば、不正出金等を防ぐことができるでしょう。

また、身に覚えのないワンタイムパスワードの通知を受け取ることにより、パスワードの流出を疑うことができ、変更等の対策を早急にとることができます。

そして近年、金融機関以外にもオンラインゲームやポータルサイトといったエンターテイメント分野、あるいは様々な認証が発生するビジネスアプリケーションでもワンタイムパスワードを導入する動きが見られるようです。

ワンタイムパスワードと一口にいっても、認証の仕組みは複数存在します。ここでは、主に利用されている「タイムスタンプ認証方式」と「チャレンジレスポンス認証方式」について解説します。

① チャレンジレスポンス認証方式

まず、ユーザー側から認証をリクエストします。その後サーバー側からデータ（チャレンジと呼ばれるランダムな数字）が送られてくるため、ユーザー側は指定された計算式により出した演算結果（レスポンス）を送り返します。

そして、サーバー側はユーザー側から届いたレスポンスとサーバー側が算出したパスワードが一致していれば承認するという仕組みです。
ユーザー側にも一定の知識が必要な認証方式となります。

② タイムスタンプ認証方式

金融機関等に一般ユーザーがログインする時に多く使われている認証方式です。トークンと呼ばれるワンタイムパスワードが表示される物理デバイスまたは、専用アプリを利用します。

トークンやアプリには一定時間で切り替わる番号が表示されています。表示されている番号を時間内に入力すると、サーバー側が情報を確認して表示と一致していれば承認するという仕組みです。

番号は一定時間で切り替わるため、番号流出による不正アクセスのリスクを防げる上に、ユーザー側は表示された番号を入力するだけのため、非常に使いやすい認証方式であると言えるでしょう。
Gluegent Gate では、タイムスタンプ認証方式を採用しています。

セキュリティ対策として重要な役割を果たすワンタイムパスワードですが、具体的にどのようなメリットがあるのでしょうか。ここでは3つのメリットについて紹介します。

① 不正ログイン対策になる

インターネット上でのやり取りや情報の管理が増え、複数のサイトでIDやパスワードを発行している人も多いかと思います。また、管理の簡易化を図るためにIDやパスワードを使いまわしている人もいるのではないでしょうか。

使いまわしは非常に危険で、一つ流出してしまうと、複数のサイトへ不正ログインされてしまう可能性があります。しかし、このような場合でもパスワードとは別にワンタイムパスワードを導入していれば、不正ログインを防ぐことが可能です。

② パスワード管理の手間が減る

Webサービスを利用する上で、ほとんどのサイトでログインIDやパスワードの生成が必要となります。そのため、利用するサイトが増えるにつれて、生成するIDやパスワードも増えて管理が難しくなっていくことでしょう。

しかし、ワンタイムパスワードを導入していれば番号は一定時間で切り替わるため、記憶・記録しておく必要がなく、固定のパスワードを管理する手間が省けます。

③ 導入時の汎用性が高い

ワンタイムパスワードは金融機関で導入されていることからも、高いセキュリティ強度であることがわかります。それに加えて、様々なWebサービスでも導入され始めていることから、導入のしやすさもメリットとして挙げられます。

近年では、トークンと呼ばれる物理デバイスを利用した方法以外にも、メールやSMS、電話、専用アプリ等でも利用可能なため、ユーザー側も利用しやすく、汎用性が高いと言えるでしょう。

ワンタイムパスワードと言えば、トークンと呼ばれる端末を利用した方法が主流でしたが、現在は様々な方法で発行が可能となっています。ここでは4つの発行方法について紹介します。

① トークン：小型端末の利用

トークンと呼ばれる小型の専用端末を利用した方法です。トークンに表示される番号は一定時間で切り替わっていきます。所有者のみがワンタイムパスワードの番号を知ることができるため、非常にセキュリティ強度の高い方法です。

しかし、トークンを紛失してしまったり、盗難にあってしまったりした場合は、不正ログインが起こる恐れもあります。紛失してしまったらすぐに利用機関に連絡して、無効化と再発行の手続きを行いましょう。

② メールやSMS：登録端末に送信

普段使用しているメールアドレスやSMS宛に番号を送信する方法です。あらかじめ利用するWebサービスのサイトにアドレスや電話番号を登録する必要があります。スマートフォンを持っているほとんどの人が利用できるため、ユーザー側の利便性の高さが特徴です。

しかし、登録しているフリーメールのアドレスが第三者に流出してしまうと、誰でもメールフォルダにアクセスできてしまうため、内容を見られる可能性があります。そのため、なるべくプロバイダやキャリアメールのアドレスを利用すると良いでしょう。クラウドメールなど、デバイスに依存しないメールアドレスは、多要素認証に用いる際には知識情報と考えられます。キャリアメールアドレスの場合はスマートフォンなどの所有者であることを確認する所有情報と考えられます。

③ 電話：音声で受信

登録した電話番号への着信があり、自動音声によりパスワードを通知する方法です。登録した端末の電話番号のみが受信できるため、パスワードの流出リスクは非常に低いと言えるでしょう。

④ アプリ：専用アプリの利用

専用のアプリをインストールし、アプリ内に表示される番号を入力する方法です。こちらもトークンと同様に一定期間で番号が切り替わるため、番号の再利用が不可能となっています。

トークンの機能がそのままアプリに入っているようなイメージです。専用の端末を管理する必要がなくなるため、ユーザー側も手軽に利用できます。

まとめ

今回は、ワンタイムパスワードの仕組みや必要性、認証方式、メリット、利用方法について紹介しました。中でも、タイムスタンプ認証方式はセキュリティ強度が高い上に、ユーザー側も利用しやすいため、金融機関をはじめとしたさまざまなWebサービスで利用が広がっています。

ユーザー側の安全と企業側の信用を守るためにも、ワンタイムパスワードの導入を検討してみてはいかがでしょうか。Gluegent Gateでは、利用方法としてご紹介したうち、①の専用端末を使う場合を除く、メール送信や音声受信、専用アプリでのワンタイムパスワードの入力に対応しています。自社の環境にフィットした利用方法をぜひご検討ください。