ブログ記事

OTPアプリを賢く活用!セキュリティ・認証機能を強化

2018/04/18

利用が広がるOTP

近年、決済・フィンテック領域のサービスや本人認証の実行シーンなどを中心に、OTP(One-Time Password・ワンタイムパスワード)の導入が進んできています。OTPとはいかなるものでなぜ必要なのか、ニーズに応じて誕生してきたツールとしてのOTPアプリとともに、解説しましょう。

OTPとは、特定のコンピュータリソースに対するアクセス時に、1回限定で発行される使い捨てパスワードのことをいいます。OTPアプリはこの使い捨てパスワードを自動生成し、生成したパスワードとユーザーIDや別のパスワードなど異なる認証方法と組み合わせることで多要素認証を実現、従来よりもセキュアな本人認証を実現します。

従来の一般的な固定パスワードの場合、アプリごとに推測されにくい文字列からなる複雑なパスワードを考えて設定し、サービスを利用するたびに入力しなければなりません。他人のなりすましや攻撃による侵入、情報の盗聴・漏洩を防ぐには、固定パスワードの脆弱性をできる限り低減するべく、パスワードの使い回しや記録を行わないといった基本はもちろん、ユーザー自身による高度な管理が必要です。

しかしサービスやネットワーク、アプリが多様化し、シームレスに利用することが当たり前となった今日にあって、こうしたユーザーにおけるパスワードの管理負荷は増大する一方である上、実在する銀行や大手通信事業者などを装った偽メールを送信し、パスワード変更を促して、攻撃者が作成した任意のページで正しいパスワードを入力させて盗み取るといった悪質なケースの発生も広がっています。

こうした攻撃による被害の防止とユーザーの負荷軽減、利便性向上といった観点から、固定パスワードがもつ限界を踏まえた新たな対策法として、OTPが注目されているのです。

OTPアプリが提供するテクノロジーの仕組み

OTP関連のソリューションでは、専用USBなどのハードウエアトークンや専用ソフトによるソフトウエアトークンを用い、ランダムな数字列を自動で作成、使い捨てのパスワードとして、通常の固定パスワードやユーザーIDなどとともに、認証利用する仕組みを提供しています。トークンを用いず、電子メール上で確認するといった方式でワンタイムパスワードを用いるケースもあります。

ワンタイムパスワードとして生成されるものはその都度更新され、再利用ができないようになっていますから、万が一片方のログイン用固定パスワードやユーザーIDが漏洩しても、他人がログインすることができません。

OTPアプリならば、そのアプリをインストールしたデバイスをユーザー本人が手元で管理している限り、不正ログインを防止できるでしょう。

多くの従業員におけるパスワード管理を担当する企業の情報システム担当者は、人事異動に伴うパスワードの変更やアクセス権限の変更・管理、セキュリティ強度を高次に維持するためのサポート、導入する新規システム向けのパスワード発行など、今日のIT化が進んだビジネス環境にあって、膨大な認証管理の負荷を抱えることとなっていますが、OTPアプリを活用すれば、安全性の高い多要素認証環境をすぐに実現でき、手間を大幅に削減することができると考えられます。

社内VPNや複数のクラウドサービスを利用する際の安全な接続を、個々の従業員が複数のパスワードを管理する煩雑さをカットし、シームレスに使いこなせる利便性を維持しながら実現させることも可能です。

App StoreやGoogle Playでは、iOS向け/Android向けのさまざまなOTPアプリが提供されています。現在のシステム環境を鑑みながら、アクティブディレクトリやクラウドサービス、各種ネットワーク機器などとの充実した連携がサポートされているOTPアプリを厳選しましょう。採用アプリを決定し、自社で支給するスマートフォン端末などにソフトウエアトークンとしてアプリをインストールすれば、すぐに導入できます。

活用方法と注意点

ほとんどのOTPアプリは、直感的な操作で利用できるシンプルなUIを採用しており、ワンタッチで認証へと進めるスタイルが多く、ITの知識があまりないスタッフでも無理なく利用を開始できると考えられます。

導入における注意点としては、やはりセキュリティに関わるものであり、重要なシステムへの窓口を一括するところとなりますので、実績と信頼性の高いベンダーを選ぶことをおすすめします。

仕組みとしてワンタイムパスワードの生成アルゴリズムが最大の核となりますから、このアルゴリズムに関する過去の漏洩事故やそれが疑われる重大なセキュリティインシデントの有無は、導入前にしっかり確認しておきましょう。更新頻度・有効時間もアプリによって差があります。より安全に、確実に活用できるものを選定してください。

アプリデータの窃取・複製を防止する仕組み、端末の機種変更などデバイス移行時の対応、第三者による不正操作の防止対策などがどのようになっているかもチェックしたいポイントです。

先述のように、連携対応するシステムやサービスが豊富で、自社に合っているか確認するとともに、それら複数のシステムについて利用の一元管理が行えるタイプもありますから、その点で選ぶのもよいですね。オフィス環境で活用することを考えると、そうしたアプリがより高い利便性を発揮すると見込まれます。

いかがでしたか。巧妙化するサイバー攻撃への対策として、また本人認証・ログイン操作の負荷軽減による利便性向上策として、OTPアプリは有用なツールとなります。導入コストも低く、現場に合わせて採り入れやすいものでもありますから、ぜひ活用を検討してみてください。

(画像は写真素材 足成より)

最新記事

カテゴリ

アーカイブ

%d人のブロガーが「いいね」をつけました。