トークンとは
トークンとは、ワンタイムパスワードを生成するツールの総称です。ユーザーがオンラインで取引する際、本人認証として使用可能です。銀行やpayシステムなどキャッシュレス決済、証券取引、オンラインゲームのログイン時など、アカウントのセキュリティが重要視される場合に使用される傾向があります。
パスワードを生成するボタンを押すと、ワンタイムパスワードが発行される仕組みです。トークンの液晶画面にパスワードが表示されますが、一定時間が経過すると消えてしまいます。そして、新たなパスワードが生成されるため、利用するたびに異なる文字列が表示されます。
トークンの種類
ワンタイムパスワードを発行するトークンは、大きくわけて2種類あります。ここでは、トークンの種類について解説します。
ハードウェアトークン
ハードウェアトークンとは、カードやUSBなどワンタイムパスワードを生成できる専用機器のことです。ハードウェアトークンの代表的な種類は以下の3つです。
- ■キーホルダータイプ
- 持ち運びしやすいキーホルダータイプ。ボタン1つでワンタイムパスワードの発行や確認が可能です。
- ■カードタイプ
- 財布やカード入れなどで携帯できるカードタイプ。ボタンは1つのものとキーパッドタイプがあります。
- ■USBタイプ
- USBタイプのトークン。USBケーブルを接続すると認証できるタイプと、ワンタイムパスワード生成機能をもつタイプがあります。
トークン単体では、銀行のログインIDや支店番号はわかりません。しかし、専用機器の紛失や盗難の被害に遭うと、不正ログインされる可能性があるため注意が必要です。
ソフトウェアトークン
ソフトウェアトークンは専用機器が不要です。iOSやAndroidのアプリケーションとしてスマートフォンにインストールし、ワンタイムパスワードを生成します。スマートフォンがあれば、どこでもワンタイムパスワードを生成できます。また、パソコンのアプリケーションでも同様の利用が可能です。
ソフトウェアトークンを利用する場合は、スマートフォンやパソコンのセキュリティ対策が重要です。スマートフォンが乗っ取られると、第三者がワンタイムパスワードを生成して認証する危険性があります。
ワンタイムパスワードとは
ワンタイムパスワードとは、一定時間ごとに発行され一度だけ使用できるパスワードのことです。従来の固定パスワードは一度設定したものを継続的に使用するため、第三者に見られないように、注意する必要がありました。利用サービスの増加とともにパスワード管理の負担も大きくなり、覚えやすい簡易的なパスワードを使いまわしてしてしまうと推測されてしまうリスクもありました。
ワンタイムパスワードは本人認証の都度発行され、一度使用すると利用できません。覚える必要もなく、不正アクセスされないパスワードとして注目されています。また、固定パスワードが流出しても、ワンタイムパスワードが知られない限り、不正アクセスはされません。ワンタイムパスワードは、ユーザビリティとセキュリティを両立できる方法といえます。
以下の記事では、ハードウェアトークンやソフトウェアトークンに対応したワンタイムパスワード製品を紹介しています。ぜひご覧ください。
トークンでワンタイムパスワードを発行する仕組み
トークンでワンタイムパスワードを発行する方式は、大きくわけて2種類あります。ここでは、トークンでワンタイムパスワードを発行する仕組みを解説します。
タイムスタンプ方式
タイムスタンプ方式は、サーバとトークンの時刻の同期によって認証します。「ユーザーがどのトークンでいつ、どの数値を表示するか」という情報を、サーバとトークンの間で共有します。利用の流れは以下のとおりです。
- 1.ユーザーが使用したい時刻に有効なワンタイムパスワードを生成
- 2.ユーザーが認証デバイスにパスワードを入力する
- 3.認証サーバはパスワードと時刻を照合し有効であれば認証成立
タイムスタンプ方式では、サーバとトークンの時刻の同期は必須です。そのため、タイムスタンプ式や時刻同期方式と呼ばれています。
チャレンジ&レスポンス方式
認証サーバから送られてきた文字列(チャレンジ)に対し、適切な答え(レスポンス)を返すことで認証する方法です。利用の流れは以下のとおりです。
- 1.ユーザーが認証サーバにチャレンジを要求
- 2.認証サーバからチャレンジが送られてくる
- 3.あらかじめ決められたルールに従い、チャレンジから答え(レスポンス)を算出する
- 4.レスポンスを認証サーバに送信し、正解であれば認証成立
チャレンジ&レスポンス方式では、チャレンジとなる文字列が毎回変わり、あわせてレスポンスの文字列も変わるため、ワンタイムパスワードとして機能します。
トークンを利用したワンタイムパスワードのメリット
トークンで生成されたワンタイムパスワードには、管理面やセキュリティ面でメリットがあります。トークンを利用したワンタイムパスワードの代表的なメリットは、以下のとおりです。
- パスワード管理の手間が省ける
- セキュリティ強度が高い
- 導入コストがかからない
パスワード管理の手間が省ける
トークンでワンタイムパスワードを生成すると、パスワード管理の手間が発生しません。ネットバンキングや多くのサイトでは、IDやパスワードによる個人認証を実施しています。利用しているサイトが多くなると管理するパスワードも増え、負担が大きくなるでしょう。また、多くの企業でクラウドサービスの利用が増えているため、従業員が複数のパスワードを使いわける場合もあります。
トークンで生成したワンタイムパスワードを使用すれば、複数のパスワードを記憶・管理する必要がありません。ワンタイムパスワードは、ユーザーの利便性を上げることが可能です。
セキュリティ強度が高い
ワンタイムパスワードは通常のパスワードとは異なり、一度限り使用ができるパスワードです。ワンタイムパスワードを盗み見されたとしても、パスワードを使い回すことはできません。
また、トークンで生成されたパスワードは、ランダムな数字列のため、推測は困難で、高いセキュリティを確保できます。特にハードウェアタイプのトークンはパソコンなどに接続しないため、ウイルスやマルウェアに感染するリスクが低いといえるでしょう。
導入コストがかからない
ワンタイムパスワードは、コストを抑えた導入が可能です。ワンタイムパスワードのシステムを提供しているベンダーには、導入コストの安さをセールスポイントにしている場合もあります。
なお、ハードウェアトークンは企業規模が大きくなるにつれ、従業員に支給する専用機器の数が増えるため、導入コストも高まるでしょう。一方、ソフトウェアトークンは専用機器の購入が不要なため、とくに導入コストを抑えられます。
ワンタイムパスワードを自社で開発するのは容易ではないため、導入の際はシステム導入がおすすめです。ワンタイムパスワード製品の最新ランキングや価格などを詳しく知りたい方は、以下のボタンより最新ランキングをご覧ください。
ワンタイムパスワードを使う注意点
トークンを利用したワンタイムパスワードの生成にはメリットが多くありますが、注意して使用する必要があります。ここでは、ワンタイムパスワードの抑えておきたい注意ポイントを紹介します。
スマホが紛失・盗難時のリスク
スマホアプリやメールを利用したソフトウェアトークンでは、スマホ紛失・盗難時にワンタイムパスワードが悪用されるおそれもあります。ハードウェアトークンを利用している場合も、専用デバイスを紛失すると、同様のリスクにさらされるでしょう。そのため、以下の対策をとりましょう。
- ■紛失時には速やかに利用を停止する
- ■スマホのロックは厳重にしておく
デバイスが手元にないことに気づいたら、ただちに利用停止の手続きをしましょう。また、スマホのロックは日ごろから厳重なものに設定し、セキュリティ強化が大切です。常に大切な情報を所持していると意識し、紛失や盗難の被害に遭わないように努めましょう。
ウイルス感染時のパスワード漏えい
本人認証を実施するパソコンやスマホがウイルスに感染している場合、ワンタイムパスワードが流出する可能性があります。代表的な被害として、中間者攻撃の一種であるMITB攻撃が考えられます。
MITB攻撃とは、ワンタイムパスワードを受信する端末を乗っ取り、メールやアプリの情報などを盗み見るサイバー攻撃です。過去にMITB攻撃により、ワンタイムパスワードを取得し、ネットバンキングから不正送金の被害が続出しました。トークンを利用する端末にセキュリティソフトをインストールするなど、不正アクセス防止の対策を実施しましょう。
[参考]仮想通貨におけるトークンについて
トークンは、ワンタイムパスワードを生成する認証デバイスとして利用する意味の他に、仮想通貨におけるトークンがあります。仮想通貨におけるトークンには、DeFi トークン・ガバナンストークン・非代替性トークン( NFT )・セキュリティトークンなどがあります。ワンタイムパスワードを生成するトークンと異なる意味をもち、混乱しやすいので区別して理解しましょう。
参考:トークンとは?暗号資産(仮想通貨)と同じもの?その特徴を紹介| DMMビットコイン
トークンによるワンタイムパスワードで安全性を向上
トークンで自動生成されるワンタイムパスワードは、一度限り使用できるパスワードです。そのため、パスワードが盗まれたとしても使い回せないため、高いセキュリティを確保できます。また、ワンタイムパスワードを利用すれば、パスワードを覚える必要がなく利便性の向上にも役立つでしょう。
トークンによるワンタイムパスワード生成を自社の事業・製品に導入したい場合には利用端末のセキュリティ対策が必須といえます。安全性やコストを考慮し、自社の業務にあうワンタイムパスワード製品を比較、導入を検討しましょう。ITトレンドでは比較のための資料請求が可能ですのでぜひ活用してみてください。
