ワンタイムパスワードとは
ワンタイムパスワードとは、一度きりの"使い捨てパスワード"のことです。一定時間を経過すると無効になるパスワードのため、不正アクセスされる可能性は低く、セキュリティを強化する仕組みとして広く利用されています。トークン(ワンタイムパスワードを生成する専用機器)やスマートフォンなどを使用して、認証が必要なときにパスワードを生成します。
ワンタイムパスワードについての詳細は、こちらの記事をご覧ください。
ワンタイムパスワードが必要とされる背景
ではなぜ、ワンタイムパスワードが普及し始めたのでしょうか。それは、後を絶たない情報セキュリティインシデントに対して、コンピュータウイルス対策や侵入検知以外にも、手もとのセキュリティを強化する必要性が指摘されているからです。
情報漏えいの多くは外部からの不正アクセスではなく、ネットワーク内部からの正規なアクセスから発生しています。これは、パスワードの使い回しなどを原因とする「正規のパスワードを利用した不正なアクセス」が発生していることを意味しています。
正規パスワードの不正利用を防ぐセキュリティ製品がワンタイムパスワードです。ワンタイムパスワードは利用するごとに新しいパスワードを発行するため、正規パスワードの流出という概念がありません。つまり、パスワードに使い捨て型のワンタイムパスワードを導入すると、パスワードの使い回しを防げます。その結果、たとえパスワードが盗まれたとしても、不正アクセスの防止が可能になるのです。
以下の記事では、ワンタイムパスワードのメリットについて詳しく解説しています。ワンタイムパスワードへの理解を深めたい方は参考にしてください。
ワンタイムパスワード製品の選び方
ここからは、ワンタイムパスワード製品の選び方を見ていきましょう。選ぶポイントは「受信方法」「認証方式」「費用」の3つです。
ワンタイムパスワードの受信方法で選ぶ
発行されたワンタイムパスワードの受信方法はいくつか種類があるため、自社に適したものを検討しなければなりません。パスワードをメールやSMS(ショートメッセージサービス)などで受信する方法もありますが、「専用トークン」と「スマートフォンアプリ」での受信方法が注目されています。
- ■専用トークン
- ワンタイムパスワードを生成する専用の電子機器を使用して、パスワードを受信する方法。インターネットバンキングで利用されることが多い。トークン機器を所有しているかどうかが本人認証のポイントとなるため、なりすましを防止するうえで有効。利用者にトークンを配布する必要があるため、ユーザー数が少ない企業に向いている。
- ■スマートフォンアプリ
- スマートフォン用のアプリでワンタイムパスワードを生成して、パスワードを受信する方法。専用トークンとほぼ同じ仕組みで、ワンタイムパスワードが生成される。専用トークンを配布する必要がないため、比較的簡単に導入可能。金融機関のほか、オンラインゲームやポータルサイトでも利用が広がりつつある。
トークンについてさらに詳しく知りたい方は、以下の記事も参考にしてください。
ワンタイムパスワードの認証方式で選ぶ
ワンタイムパスワードには、大きくわけて「タイムスタンプ(時刻同期)方式」と「チャレンジ・レスポンス方式」の2種類があります。自社に適した方式を選びましょう。
- ■タイムスタンプ(時刻同期)方式
- トークンを使用し、サーバと時間を同期させて認証を行う方式。サーバはあらかじめユーザーとトークンの情報を保持し、サーバとトークンが同じ時刻に認証を行う。設定された時間が経過すると、発行されたパスワードは無効になる。
- ■チャレンジ・レスポンス方式
- 認証サーバから送られてきた文字列(チャレンジ)をもとに、ユーザーが適切な文字列(レスポンス)を返す認証方式。メールやSMSで使われることが多い。パスワードは毎回変わるため、ワンタイムパスワードとして機能する。認証サーバとのやり取りを行うため、認証されるまでに時間がかかる。
ワンタイムパスワードの認証方式について、以下でも詳しく解説しています。
ワンタイムパスワードの費用で選ぶ
ワンタイムパスワードを導入するには、コストがかかります。受信方法によってコストは大きく異なるため、注意しましょう。
専用トークンを利用する場合は配布コストが発生するため、利用者が多いと初期費用も大きくなります。スマートフォンアプリやメール、SMSによる認証の場合は、通信環境を整備しなければなりません。個人のスマートフォンの利用を許可する、または専用端末を社員に配布する必要があります。
なお、製品数が多く決めかねている方は、人気製品ランキングを参考にするのもおすすめです。複数企業の製品を比較して、自社の体制や運用にあうワンタイムパスワード製品を見つけてください。
【比較表】おすすめのワンタイムパスワード製品
ここでは、おすすめのワンタイムパスワード製品について、機能やポイント、レビュー評価などを一覧にまとめて紹介します。製品ごとの特徴を見比べてみましょう。
| SeciossLink | Secioss Access Manager Enterprise(SAME) | |
| 全体評価点 |  ー |  ー |
| 提供形態 | クラウド/SaaS | オンプレミス |
| 従業員規模 | 全ての規模に対応 | 全ての規模に対応 |
| 3つのポイント |
|
|
| 機能 |
|
|
| お試し |
|
|
| 製品詳細ページへ | 製品詳細ページへ |
各製品の詳細を知りたい方は、下のボタンから一括で資料請求ができるので、ぜひ活用してください。
ワンタイムパスワードおすすめ製品を比較
ここからは、比較表で紹介したおすすめのワンタイムパスワード製品について詳しく見ていきましょう。製品を実際に利用しているユーザーの口コミも紹介しているので、ぜひ参考にしてください。
気になる製品は緑色の「+資料請求リストに追加」ボタンでカート追加をしておき、あとでまとめて資料請求が便利です。
| 製品名 | 全体満足度 | 使いやすさ | 価格 |
|---|---|---|---|
| SeciossLink | ー | ー | 月額150円~/ユーザー |
| Secioss Access Manager Enterprise(SAME) | ー | ー | 年額576,000円~/500ユーザー |
| PassLogic | 5.0(4件) | 4.0 | クラウド版月額480円~/ユーザー、パッケージ版年間ライセンス91,000円~/20ID~ |
※レビュー評価は2025年3月18日時点における実数を表示しています。"ー"表記はまだレビュー投稿がありません。
SeciossLink
- シングルサインオンであらゆるサービスに連携
- IDの一元管理で業務効率化
- FIDO認証や証明書認証などの多要素認証で認証を強化
株式会社セシオスが提供する「SeciossLink」は、クラウド型認証とID管理を一元化したSaaS型サービスです。ワンタイムパスワードやFIDO認証などを搭載し、それらを組み合わせた多要素認証が可能です。そのほか、シングルサインオンや統合ID管理、アクセス制御機能も利用できます。Active Directoryと連携すれば、各システムと情報の同期が容易になるでしょう。
| 参考価格 | 月額150円~/ユーザー ※SaaS型統合ID認証サービスSeciossLinkの場合 | 無料トライアル | 〇(1か月) |
| 対応機能 | 統合ID管理機能・アクセス制御・ワンタイムパスワード認証・FIDO認証・シングルサインオン | ||
Secioss Access Manager Enterprise(SAME)
- シングルサインオンであらゆるサービスに連携
- FIDO認証や証明書認証などの多要素認証で認証を強化
- 柔軟なルール設定が可能なアクセス制御機能を搭載
株式会社セシオスが提供する「Secioss Access Manager Enterprise(SAME)」は、ワンタイムパスワードに対応したシングルサインオン・アクセス管理ソフトウェアです。アプリまたはメールでワンタイムパスワードを受信でき、FIDO U2F認証や統合Windows認証などの認証方式にも対応しています。同社の統合ID管理ソフトウェア「Secioss Identity Manager」との組み合わせで、システム基盤の構築も可能です。
| 参考価格 | 年額576,000円~/500ユーザー※教育機関向けランセンス費用の場合 | 無料トライアル | ー |
| 対応機能 | ID/パスワード認証・ワンタイムパスワード認証・FIDO U2F認証・アカウントのロックアウト・シングルサインオン・アクセス制御・ログ検索・ソフトウェアトークン | ||
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
PassLogic
- 安全な認証環境を状況に合わせて構築
- 毎日のログイン作業を効率的に行う「シングルサインオン」
- トークンや専用の認証デバイスが不要
パスロジ株式会社が提供する「PassLogic」は、マトリクス表を用いたワンタイムパスワード方式の認証システムです。トークン不要のブラウザ認証のため、場所を選ばず利用できるのがポイントでしょう。万が一パスワードを忘れてしまっても、パスワードの自動発行機能によって新たなパスワードをメールで通知してくれます。
| 参考価格 | クラウド版月額480円~/ユーザー、パッケージ版年間ライセンス91,000円~/20ID~ | 無料トライアル | 〇(30日間) |
| 対応機能 | マトリクス認証・トークンレス・シングルサインオン・ワンタイムパスワード認証・ソフトウェアトークン・ハードウェアトークン | ||
PassLogicを利用したユーザーの口コミ
認証方式は非常に優秀なのですが、各システムに対し組み込み作業を行う必要があり、自分たちでやろうとすると高度なITスキルが要求されます。この辺が容易に行えるようになれば更に良くなると感じでいます。
続きを読む
製品情報を手軽にまとめて比較したい方には、一括資料請求(無料)がおすすめです。価格や機能、特徴を一覧で比べられる比較表の作成や、利用ユーザーの口コミも確認できるのでぜひ活用ください。
ワンタイムパスワードの注意点
セキュリティを強固にするワンタイムパスワードですが、導入したからといって、確実に安全を確保できるわけではありません。どのような点に注意すべきか確認しましょう。
ユーザーが手間を感じサービスから離れる可能性がある
ワンタイムパスワードは安全性を高められますが、ユーザー側に手間が生じるデメリットもあります。慣れてしまえば簡単なワンタイムパスワードも、初めて触れる方にはハードルが高いでしょう。
ユーザーが使い勝手の悪さを感じれば、サービス離れが起きてしまうかもしれません。製品によっては無料トライアルを提供しているものもあるので、ユーザー視点に立った使用感の確認をおすすめします。
またワンタイムパスワードを導入する際は、社員への事前告知や導入後の問い合わせ対応といった環境整備が求められます。ユーザーへの導入メリットの説明が重要なポイントになるでしょう。
端末を紛失するとパスワードが漏れてしまう
受信するスマートフォンやトークンなどの端末を紛失すると、パスワードが漏れる可能性があります。スマートフォンでパスワードを受信する場合は、端末自体にパスワードをかけるとよいでしょう。
また、スマートフォンの通信が盗聴されてパスワードが漏れる恐れもあります。安全な認証のためには、端末のセキュリティ対策が不可欠です。
端末がウイルスに感染していると効果が薄い
最も大きな影響を受けるのが、認証に利用する端末がウイルスに感染しているケースです。ワンタイムパスワードの効果は非常に低くなり、パスワード以外の情報も漏れかねません。
実際に起こったウイルスによる被害として、ネットバンキングの作業を不正操作され、見た目には問題がないのに裏で大きな被害に遭っていたケースがあります。このような被害には、「トランザクション署名」という認証方法を活用すると有効です。
トランザクション署名とは、ネットバンキングの処理内容を暗号化したデジタル署名です。送金などの処理情報が改ざんされたとしても、サーバ側で確認できます。
なお、ワンタイムパスワードの導入効果を最大化するためには、導入後の各種環境設定も重要な要素です。以下の記事では、導入後に取り組むべき4つのステップを紹介しているので、ぜひ一読ください。
ワンタイムパスワードを導入して認証の安全性を高めよう
サービスにログインする際の安全性を高める方法として、ワンタイムパスワードは有効です。ワンタイムパスワードにはさまざまな認証方法があるため、自社の用途や費用バランスを考慮して、適切なセキュリティ対策を行ってください。
最近では、初期コストを抑えて導入できるクラウド型のワンタイムパスワード製品が多数登場しています。ただし同じクラウド製品でも、コストや機能、セキュリティ性や操作性は異なるため、まずは資料請求などを活用して、詳しい製品情報を把握することがおすすめです。自社に適したワンタイムパスワード製品を導入し、認証の安全性を高めましょう。
認証方式としてパターン認証が取り上げられがちですが、同時に証明書を使った端末認証も行う事で簡単に二要素認証を取り入れる事ができます。 また、パスワードを忘れたなどの問い合わせが減っているので、非常に有用なツールであると感じています。
続きを読む