クラウド型ワンタイムパスワード製品比較４選！選び方・注意点も解説

おすすめクラウド型ワンタイムパスワード（2月21日時点）

トラスト・ログイン

GMOグローバルサイン株式会社

• check認証局ならではの安全性対策でパスワードを保護
• checkアカウント数、SaaS登録数無制限なのに無料で使用可能
• check分かりやすく、直感的に利用が出来るユーザインターフェース

トラスト・ログインの詳細はこちら

AuthWay

株式会社アイピーキューブ

• checkインターネット経由での不正アクセス防止に取り組みたい企業
• check内部からの情報漏洩対策に最適
• checkクラウドサービス利用時の認証強化も万全

AuthWayの詳細はこちら

SafeNet Authentication Service

ジェムアルト株式会社/日本セーフネット株式会社

• checkサーバー構築不要！初期費用不要！
• checkワンタイムパスワードの運用管理コストを削減したい企業
• check自社及びクラウドの認証一元化を行いたい企業

SafeNet Authentication Serviceの詳細はこちら

xIdentify

株式会社アイピーキューブ

• checkスマートデバイスを利用した二経路認証をサポート
• check各種ワンタイムパスワードの利用も可能
• checkお客様専用環境だから安心

xIdentifyの詳細はこちら

ワンタイムパスワード製品の選び方

ここからは、ワンタイムパスワード製品の選び方を見ていきましょう。

ワンタイムパスワードの受信方法で選ぶ

発行されたワンタイムパスワードの受信方法にはいくつか種類があるため、自社に合ったものを検討しなければなりません。

発行されたパスワードをメールやSMSなどで受信することが一般的でしたが、「専用トークン」と「スマホアプリ」での受信が注目されています。

専用トークン

ワンタイムパスワードを生成する専用の電子機器を使ってパスワードを受信する方法です。

ネットバンキングなどで送金処理を使用とする際にワンタイムパスワードが求めらます。トークンに表示されたワンタイムパスワードを入力すると処理が完了する仕組みです。

利用者にトークンを配布する必要があるため、ユーザー数が少ない企業に向いています。

• ■ログインする毎に新しいパスワードを生成
• ■パスワードを覚えておく必要がない
• ■一時的なパスワードで他人に知られても問題ない

スマホアプリ

スマホ用のアプリでワンタイムパスワードを生成してパスワードを受信する方法です。

ネットバンキングでPCで送金処理をするとワンタイムパスワードが求められます。そこでネットバンクが提供しているアプリでワンタイムパスワードを発行し認証すると処理が完了する仕組みです。

操作負担は少ないですがアプリ開発には費用がかかるため、ユーザー数が多い企業に向いています。

• ■トークンとほぼ同じ仕組みでパスワードを生成する
• ■トークンを用意する必要がないため配布コストがかからない
• ■スマートフォンの電池が切れると認証できない

ワンタイムパスワードの認証方式で選ぶ

ワンタイムパスワードには大きく分けて「時刻同期方式」「チャレンジ・レスポンス方式」の２種類の方法があります。

時刻同期方式

トークンを使って行われる方式で、時間を同期させることで認証を行います。

• ■サーバはあらかじめユーザーとトークンの情報を保持
• ■サーバとトークンが同じ時刻に認証を行う・設定された時間が経過すると発行されたパスワードは無効になる

チャレンジ・レスポンス方式

ユーザーがアクセス要求を行うと、認証サーバがランダムな文字列を生成して通知する方法です。ユーザーは文字列を計算してパスワードを作り、認証サーバに送信します。

• ■メールやSMSで使われることが多い方法
• ■パスワードは毎回変わるためワンタイムパスワードとして機能する
• ■認証サーバとのやり取りを行うため認証まで時間がかかる

ワンタイムパスワードの費用で選ぶ

ワンタイムパスワードを導入するためにはコストがかかります。そのコストはワンタイムパスワードの受信方法よって大きく異なるため注意しましょう。

トークンを使う場合は配布コストが発生するため利用者が多いと初期費用も大きくなります。アプリで認証行う場合は開発コストが膨大にかかるでしょう。

メールやSMSによる認証の場合は通信環境を整備しなければなりません。そのため、個人のスマートフォンの利用を許可するか、専用の端末を社員に配布する必要があります。

ワンタイムパスワードの注意点

ワンタイムパスワードを使えば確実に安全を確保できるわけではありません。どのような注意点があるか見ていきましょう。

ユーザーが手間を感じサービスから離れる可能性がある

ワンタイムパスワードは安全性を高められますが、ユーザー側に手間が生じるデメリットがあります。慣れてしまえば簡単なワンタイムパスワードも、初めて触れる方にはハードルが高いでしょう。

ユーザーが使い勝手の悪さを感じれば、サービス離れが起きてしまうかもしれません。これからワンタイムパスワードを導入する際は、事前告知や問い合わせ対応の環境整備が求められます。特にユーザー側のメリットを説明することが重要なポイントになるでしょう。

端末を紛失するとパスワードが漏れてしまう

受信するスマホやトークンなどの端末を紛失してしまうと、パスワードが漏れる可能性があります。特にスマホでパスワードを受信する場合は、端末自体にパスワードをかけると良いでしょう。

他にもスマホの通信が盗聴されることによってパスワードが漏れる恐れもあります。安全な認証のためには端末のセキュリティ対策も必要です。

端末がウイルスに感染していると効果が薄い

最も大きな影響となるのが、認証に使う端末がウイルスに感染しているときです。この場合は、ワンタイムパスワードの効果は非常に低くなり、パスワード以外の情報も漏れてしまいかねません。

実際に起きたウイルスによる被害には、ネットバンキングの作業を不正操作され、見た目は普通でも裏で大きな被害に遭っているケースもあります。このような被害には「トランザクション署名」という認証方法を使うと有効です。

トランザクション署名とは、ネットバンキングの処理内容を暗号化したデジタル署名のことです。この方法を使えば、送金などの処理情報が改ざんされたとしても、サーバ側で確認できます。

最適なワンタイムパスワード製品を導入しましょう

クラウド型のワンタイムパスワードを利用すれば導入コストを抑えて導入できます。

サービスにログインする際の安全性を高める方法ですが、ワンタイムパスワードを導入すれば確実な認証ができるわけではありません。認証方法や費用のバランスを見てセキュリティ対策を行えるように選びます。

自社に最適なワンタイムパスワード製品を導入し、認証の安全性を高めましょう。