クラウド型ワンタイムパスワード製品を比較!
まずは、クラウド型ワンタイムパスワード製品を見ていきましょう。
SeciossLink の比較ポイント
- アカウント情報の一元管理、自動連携が可能!
- 覚えるのは1つの「ID/Pass」だけ!
- 多要素認証、アクセス制御でセキュリティを強化!
ワンタイムパスワードやFIDO認証などを搭載し、それらを組み合わせて多要素認証が可能になります。そのほか、シングルサインオンや統合ID管理、アクセス制御機能を搭載し、Active Directory連携によって各システムの情報の同期も容易です。
二要素認証に対応し、TOTP対応アプリでQRコードを読み取ればワンタイムパスワードを簡単に利用できます。さらに、インターネット標準規格である「FIDO2」にも対応しているので、パスワードが不要になり、利便性が高まります。
SafeNet Trusted Access の比較ポイント
- サーバー構築不要!初期費用不要!
- ワンタイムパスワードの運用管理コストを削減したい企業
- 自社及びクラウドの認証一元化を行いたい企業
OTP・PKI認証をクラウドで提供しているサービスです。ソフトウェアトークンやハードウェアトークンの費用が月額料金の中に含まれているため、比較的ローコストで導入できます。
ワンタイムパスワード認証のほか、プッシュ通知、SMS、QRコード、FIDOなど多様な認証方式に対応しています。OATH規格に準拠したトークンを低価格で提供しており、小ロットでの導入も可能です。
xIdentify の比較ポイント
- スマートデバイスを利用した二経路認証をサポート
- 各種ワンタイムパスワードの利用も可能
- お客様専用環境だから安心
ワンタイムパスワード認証や二経路認証に対応した認証サービスです。OATH互換トークン、ソフトウェアトークンはもちろん、トークンレスでもワンタイムパスワード認証ができます。
オンプレミス・パッケージ型ワンタイムパスワード製品を比較!
ここからはオンプレミス・パッケージ型のワンタイムパスワード製品を紹介します。
AuthWay の比較ポイント
- インターネット経由での不正アクセス防止に取り組みたい企業
- 内部からの情報漏洩対策に最適
- クラウドサービス利用時の認証強化も万全
ソフトウェアトークンやOATH互換トークンなどに対応し、トークンレスOTP機能を使えばメールでワンタイムパスワードを受け取れます。二経路認証や二段階認証も可能で、セキュリティを強化できます。
Secioss Access Manager Enterprise
Secioss Access Manager Enterprise の比較ポイント
- ワンタイムパスワード認証はアプリ・メール通知方式に対応!
- 「ID/PASS」だけでなく、多様な認証方式の連携・利用が可能!
- 認証方式の複数組み合わせ、順序の指定が可能!
ワンタイムパスワードに対応したシングルサインオンソフトウェアです。アプリまたはメールでワンタイムパスワードを受信できます。FIDO U2F認証やな統合Windows認証ど、ほかの認証方式にも対応可能です。
Secioss Identity Manager Enterprise
Secioss Identity Manager Enterprise の比較ポイント
- さまざまなソフトウェアに対応
- ユーザのパスワードポリシーも管理可能
- ワンタイムパスワード以外の認証方式と組み合わせも可能
Office365、Salesforceなどに対応したID統合管理ソフトウェアです。ワンタイムパスワードはメールやアプリで通知され、ID・パスワード認証などと組み合わせて二段階認証・二要素認証ができます。
OATH規格に準拠したワンタイムパスワードトークンを提供しています。OATH規格準拠サーバと連携がしやすく、本体のデザインカスタマイズや小ロットでの導入にも対応しています。
ワンタイムパスワード製品の選び方
ここからは、ワンタイムパスワード製品の選び方を見ていきましょう。
ワンタイムパスワードの受信方法で選ぶ
発行されたワンタイムパスワードの受信方法はいくつか種類があるため、自社に合ったものを検討しなければなりません。
発行されたパスワードをメールやSMSなどで受信することが一般的でしたが、「専用トークン」と「スマホアプリ」での受信が注目されています。
- 専用トークン
ワンタイムパスワードを生成する専用の電子機器を使ってパスワードを受信する方法です。専用トークンを用いた認証方法は、インターネットバンキングなどで多く利用されています。トークン機器を所有しているかどうかが本人認証のポイントとなるため、なりすましを防止するうえで有効です。利用者にトークンを配布する必要があるため、ユーザー数が少ない企業に向いています。
- スマホアプリ
スマホ用のアプリでワンタイムパスワードを生成してパスワードを受信する方法です。専用トークンとほぼ同じ仕組みでワンタイムパスワードが生成されます。専用トークンを配布する必要がないので、比較的導入が簡単です。金融機関のほか、オンラインゲームやポータルサイトでも利用が広がりつつあります。
ワンタイムパスワードの認証方式で選ぶ
ワンタイムパスワードには大きく分けて「時刻同期(タイムスタンプ)方式」「チャレンジ・レスポンス方式」の2種類の方法があります。
- 時刻同期(タイムスタンプ)方式
トークンを使って行われる方式で、時間を同期させることで認証を行います。
- ■サーバはあらかじめユーザーとトークンの情報を保持
- ■サーバとトークンが同じ時刻に認証を行う
- ■設定された時間が経過すると発行されたパスワードは無効になる
チャレンジ・レスポンス方式
認証サーバから送られてきた文字列(チャレンジ)をもとに、ユーザーが適切な文字列(レスポンス)を返すことで認証する方式です。レスポンスが正解であれば認証が成立します。
- ■メールやSMSで使われることが多い方法
- ■パスワードは毎回変わるためワンタイムパスワードとして機能する
- ■認証サーバとのやり取りを行うため認証まで時間がかかる
ワンタイムパスワードの費用で選ぶ
ワンタイムパスワードを導入するためにはコストがかかります。そのコストはワンタイムパスワードの受信方法よって大きく異なるため注意しましょう。
トークンを使う場合は配布コストが発生するため、利用者が多いと初期費用も大きくなります。また、メールやSMSによる認証の場合は通信環境を整備しなければなりません。個人のスマートフォンの利用を許可するか、専用の端末を社員に配布する必要があります。
ワンタイムパスワードの注意点
ワンタイムパスワードを使えば確実に安全を確保できるわけではありません。どのような注意点があるか見ていきましょう。
ユーザーが手間を感じサービスから離れる可能性がある
ワンタイムパスワードは安全性を高められますが、ユーザー側に手間が生じるデメリットがあります。慣れてしまえば簡単なワンタイムパスワードも、初めて触れる方にはハードルが高いでしょう。
ユーザーが使い勝手の悪さを感じれば、サービス離れが起きてしまうかもしれません。これからワンタイムパスワードを導入する際は、事前告知や問い合わせ対応の環境整備が求められます。特にユーザー側のメリットを説明することが重要なポイントになるでしょう。
端末を紛失するとパスワードが漏れてしまう
受信するスマホやトークンなどの端末を紛失してしまうと、パスワードが漏れる可能性があります。特にスマホでパスワードを受信する場合は、端末自体にパスワードをかけると良いでしょう。
ほかにもスマホの通信が盗聴されることによってパスワードが漏れる恐れもあります。安全な認証のためには端末のセキュリティ対策も必要です。
端末がウイルスに感染していると効果が薄い
最も大きな影響となるのが、認証に使う端末がウイルスに感染しているときです。この場合は、ワンタイムパスワードの効果は非常に低くなり、パスワード以外の情報も漏れてしまいかねません。
実際に起きたウイルスによる被害には、ネットバンキングの作業を不正操作され、見た目は普通でも裏で大きな被害に遭っているケースもあります。このような被害には「トランザクション署名」という認証方法を使うと有効です。
トランザクション署名とは、ネットバンキングの処理内容を暗号化したデジタル署名のことです。この方法を使えば、送金などの処理情報が改ざんされたとしても、サーバ側で確認できます。
最適なワンタイムパスワード製品を導入しましょう
ワンタイムパスワードは、サービスにログインする際の安全性を高める方法の1つですが、確実な認証ができるわけではありません。認証方法や費用のバランスを見て、適切なセキュリティ対策を行ってください。
最近では、クラウド型ワンタイムパスワード製品が主流となっていて、初期コストを抑えて導入できます。自社に最適なワンタイムパスワード製品を導入し、認証の安全性を高めましょう。