おすすめのワンタイムパスワード7選|選ぶ際の比較ポイントも解説
Check!
- ワンタイムパスワードは、受信方法・認証方式・コストに注目して選ぶ
- 官公庁や金融機関、大手企業などでの導入実績があると、より信頼度が高いと判断できる
- 導入によりユーザーが戸惑うこともあるため、サポート体制を整えてておく
ワンタイムパスワードを導入すれば、不正アクセスを防止し、セキュリティを向上できます。ただし、サービスによって様々な種類があるため、自社に適したものを選ぶことが重要です。この記事では、おすすめのワンタイムパスワードや選ぶ際の比較ポイントを解説します。
目次
開く
閉じる
開く
閉じる
ワンタイムパスワードで不正アクセスを防止
ワンタイムパスワードとは、1回限り使用できる一時的なパスワードです。通常、オンラインサービスへのログインや金融取引など、セキュリティが特に重要な場面で使われます。
その都度新しいパスワードが生成され、使い捨ての形式で提供されるため、再利用ができません。そのため、仮に誰かがパスワードを盗んだとしても、既に使用済みのため悪用が困難になります。
ワンタイムパスワードのメリットは、不正アクセスのリスクを大幅に軽減できる点です。従来の固定パスワードに比べて安全性が高く、信頼性の高い保護手段です。本記事では、ワンタイムパスワードの選び方や注意点などを解説します。
ワンタイムパスワードとは?メリット・デメリットや使い方を解説
ワンタイムパスワードとは、一度きりしか使えないパスワードを発行する仕組みです。ネットバンキングをはじめ、SNSへのログインやリモートワークなどさまざまな場面で採用されています。本記事では、ワンタイムパスワードのメリット・デメリットや使い方を解説します。
ワンタイムパスワードは受信方法・認証方式・コストで選ぶ
ワンタイムパスワードを選ぶ際には、受信方法・認証方式・導入コストを確認することが重要です。また、サーバーの場所・導入実績・無料トライアルなど、比較すべきポイントもあります。次の章でそれぞれのポイントを詳しく解説します。
【重要なポイント3つ】
- パスワードの受信方法を確認
- 認証方式を確認
- 導入コストを確認
【その他の比較ポイント】
- サーバーの設置場所は国内か海外か
- 信頼できる導入実績があるか
- 無料トライアルがあるか
ワンタイムパスワードの選び方で重要な3つのポイント
ワンタイムパスワードは、自社のセキュリティニーズを軸に、予算とのバランスを考えて選ぶことが大切です。ここでは、ワンタイムパスワード選びに重要な3つのポイントを解説します。
\気になる項目をクリックで詳細へジャンプ/
ワンタイムパスワードの選び方で重要な3つのポイント
パスワードの受信方法を確認
ワンタイムパスワードには、いくつかの受信方法があり、セキュリティや利便性が異なるため、自社に適した種類を選ぶことが大切です。以下に、トークン・スマホアプリ・メールなどの受信方法について解説します。
トークン
トークンとは、ボタンを押すとその時点で有効なワンタイムパスワードが表示される物理的な小型デバイスです。パスワードは30〜60秒ほどの間隔で更新され、オフラインでも利用できるためインターネット環境に依存しません。
また、物理的な専用機器であるため、他人が同様のデバイスを持たない限り不正使用が困難な点もメリットです。ただし、トークンの電池が切れると利用できなくなる可能性があり、紛失や盗難にも注意しなければいけません。
トークンによるパスワードの受信は、セキュリティを重視する企業におすすめです。オンラインで不正アクセスされるリスクがないため、金融機関や大企業のシステム認証などで採用されています。
スマホアプリ
スマホアプリでは、アプリ内でパスワードを生成して利用します。スマホに専用アプリをインストールするだけですぐに利用でき、専用のデバイスを持ち歩く必要がありません。多くの場合、タイムベースのワンタイムパスワードを使用します。
インターネット環境があれば認証できる手軽さが魅力ですが、スマートフォンの紛失には気をつける必要があります。
手軽で低コストで利用できるため、コストを抑えたい中小企業や、一般従業員の利用がおすすめです。また、モビリティの高い受信方法であるため、外出や出張が多い場合にも推奨されます。
メール・SMS
メール・SMSでは、登録済みのメールアドレスや電話番号にワンタイムパスワードを送信します。特別なデバイスは不要で、インターネットやスマホを持っている人なら誰でも利用でき、導入が簡単である点が魅力です。
ただし、メールやSMSの内容がハッキングされるリスクや、中間者攻撃の危険があります。特に公共のWi-Fiを利用する場合など、セキュリティ対策が必要です。
簡易な認証が求められる場合や、ID発行・会員登録時の本人確認などに向いており、一般的なオンラインサービスやショッピングサイトでよく使われます。
電話
電話による受信方法では、登録された電話番号に音声でワンタイムパスワードを通知します。利用者が電話を取ると、自動音声でパスワードが伝えられます。
この方法では、音声を聞き取る手間が生じるもののメールやSMSと違って情報がデータ通信として残らないため、セキュリティ性を高めることができます。
おすすめの用途としては、高度なセキュリティが必要で、音声での認証が求められる場合に適しています。例えば、オンライン予約や本人確認を行いたい場面などが挙げられます。
認証方式を確認
ワンタイムパスワードの選定では、自社に適した認証方式を選ぶことが重要です。自社のセキュリティニーズ・利用者の利便性などを考慮しましょう。
ワンタイムパスワードには「タイムスタンプ方式(時刻同期方式)」と「チャレンジ・レスポンス方式」の2つの主要な認証方式があり、それぞれに特徴と用途が異なります。
タイムスタンプ方式(時刻同期方式)
タイムスタンプ方式は、認証時の時刻を基にワンタイムパスワードを生成します。トークンやスマートフォンアプリなどを使用し、一定時間ごとに新しいパスワードが生成されます。
この方式では、ユーザーが生成したパスワードと認証サーバが時刻に基づいて生成したパスワードを照合して認証が行われます。
インターネット接続が不要で、あらかじめ設定された時間に基づくため操作がシンプルで、利用者が多い場合でもスムーズに運用できるメリットがあります。
ただし、サーバーとクライアント(トークンやアプリ)の時間が正確に同期している必要があります。時間のズレが発生すると、認証エラーが生じる可能性があります。
チャレンジ・レスポンス方式
チャレンジ・レスポンス方式では、ユーザーが認証をリクエストすると、サーバー側から「チャレンジ」と呼ばれるランダムな文字列が送られます。
ユーザーはそのチャレンジに対して、トークンやアプリを用いてレスポンス(回答)を生成し、サーバーに送信します。サーバーはそのレスポンスを照合して認証を行います。
この方式ではパスワード自体が通信上に流れないため、パスワードの盗聴リスクが低くなります。また、チャレンジが毎回異なるため、高度なセキュリティを確保できます。
ただし、タイムスタンプ方式に比べて設定や手順が複雑になることがあり、特に初めて導入する企業にはハードルが高い場合があります。
導入コストを確認
ワンタイムパスワードは、受信方法によって初期費用や運用コストが異なるため、自社のニーズや予算に応じた選択が必要です。
例えば、トークンでは専用のハードウェアトークンを購入するため、利用者が多いとそれだけトークンの数が必要となり、初期コストが大きくなります。しかし、トークン自体はインターネット接続を必要としないため、維持コストは比較的低くなる傾向にあります。
スマホアプリやメールでは専用機器は不要であり、初期費用を低く抑えられます。運用コストも月額の通信費用程度で済む場合が多いですが、大量のSMS送信ではランニングコストが増加しやすくなります。
電話の場合は、電話システムの設定が必要になる場合は初期コストがかかります。また、通話ごとに費用が発生し、国際電話の場合はさらに運用コストがかさみます。
これらの費用について見積もりを比較し、自社の予算とセキュリティニーズのバランスを踏まえて適切な方法を選ぶことが重要です。
ワンタイムパスワードのその他の比較ポイント
さまざまなシステムの中から自社にとって費用対効果の大きいものを選ぶためには、各製品の比較が欠かせません。ここでは、ワンタイムパスワードのその他の比較ポイントを解説します。
\気になる項目をクリックで詳細へジャンプ/
ワンタイムパスワードのその他の比較ポイント
サーバーの設置場所は国内か海外か
ワンタイムパスワードを選ぶ際には、サーバーの設置場所が国内か海外かを確認することが重要です。サーバーが海外に設置されている場合、いくつかのリスクに注意しなければいけません。
例えば、法的側面では海外の場合、国によって日本とは異なるデータ保護法や規制があり、予期しない法的な義務が生じるリスクに留意しましょう。個人情報の取り扱いが日本よりも厳格に制限される国も存在し、その法律を知らずに違反した場合は罰則が科されます。
また、通信遅延やパフォーマンスの問題も発生するかもしれません。海外のサーバーを利用する場合、物理的な距離がデータ伝送に影響を与え、データの送受信が遅れるケースがあります。
国によってはセキュリティ対策の基準が異なり、情報漏洩やサイバー攻撃のリスクが高まる可能性にも注意しましょう。海外サーバーのワンタイムパスワードでは、これらのリスクを考慮し、データ保護や運用の安定性を確保する上では国内サーバーが推奨されます。
信頼できる導入実績があるか
ワンタイムパスワードは、導入実績が多いに越したことはありませんが、数だけではなくその内容も大切です。特に官公庁や金融機関での導入実績があるサービスなら、セキュリティの信頼性が高いと考えられます。
官公庁や金融機関は取り扱う情報の機密性が高く、セキュリティ要件も厳格です。多額の資産や個人情報を扱うため、不正アクセスが発生した場合のリスクが大きく、厳しい基準を満たすセキュリティ対策を必要とします。
こうした機関で導入されているワンタイムパスワードは、厳しい審査をクリアしており、そのセキュリティ対策の信頼性が証明されています。
無料トライアルがあるか
ワンタイムパスワードの導入には、初期費用や運用費用がかかります。そのため、自社のニーズに合った製品かどうかを確かめるために、無料トライアルを利用することがおすすめです。
ワンタイムパスワードのコストとして、トークンタイプのハードウェア購入費用を始め、スマホアプリやSMSでは通信料・ライセンス料が発生します。これらは、導入後に自社のニーズとのミスマッチに気づいた場合、大きな損失になる可能性があります。
無料トライアルは、ユーザーインターフェースの使いやすさや認証プロセスのスムーズさを体験でき、導入後のギャップを減らせます。また、製品が自社の既存システムとどれほどスムーズに統合できるかを確認するチャンスにもなります。
そのため、さまざまなワンタイムパスワードを比較する際は、無料トライアルのあるものを試すことが導入後の失敗リスクを減らすことに繋がります。
おすすめのワンタイムパスワード7選
GMOグローバルサイン株式会社
GMOトラスト・ログイン
GOOD
ここがおすすめ!
- 3種類のシングルサインオンや無料で使えるプランの提供
- アプリ数やアカウント数は無制限かつ、多数の国産アプリと連携
- 国内のデータセンターでセキュリティや緊急対応も安心
MORE
ここが少し気になる…
- プロプランは30名から利用でき、無料プランの連携利用は有償オプション
株式会社ハイ・アベイラビリティ・システムズ
AccessMatrix USO
GOOD
ここがおすすめ!
- AccessMatrixサーバ上で一括管理するため、一元的なアクセス制御を実現
- Webアプリケーションだけでなく、多数のアプリにも対応
- 「オフラインモード」を搭載しており、ネットワーク障害の場合でも使用可能
MORE
ここが少し気になる…
- 料金については問い合わせで確認
ブルーテック株式会社
ROBOT ID
GOOD
ここがおすすめ!
- 事前の設定はQRコードを読み取りだけで簡単に利用できる
- TOTP準拠の多彩なアプリを使って安全なログインを実現
- 「FIDO2」対応で、2要素認証だけでなく生体認証でもログインが可能
MORE
ここが少し気になる…
- アカウントの管理やその他のログイン機能も搭載し、ワンタイムパスワード特化型ではない
株式会社アイピーキューブ
AuthWay
GOOD
ここがおすすめ!
- 二要素認証・二経路認証・二段階認証に対応した強固な認証基盤を低コストで構築できる
- トークンレスOTP機能により、メール配信やWeb配信でワンタイムパスワードを受け取れる
- お使いのシステムがLDAPまたはRADIUSに対応していれば、エージェントレスで多要素認証を実現
MORE
ここが少し気になる…
- 初年度より保守契約が必要
株式会社アイピーキューブ
xIdentify
GOOD
ここがおすすめ!
- 多要素認証製品「AuthWay」とSSO製品「CloudLink」を利用
- お客様専用環境のサービス提供で、パフォーマンス劣化やデータ混在を防止
- 「トークンレスOTP」「OATH」にも対応し、より便利で強力な認証を実現
MORE
ここが少し気になる…
- 料金については問い合わせで確認
GOOD
ここがおすすめ!
- 二要素認証による強固なセキュリティを容易に導入できる
- 簡単にスピーディーに導入可能で、シンプルに運用できる
- 企業独自のカスタマイズが可能で、連携にも柔軟に対応
MORE
ここが少し気になる…
- 料金については問い合わせで確認が必要
株式会社ソフト技研
YubiKey
GOOD
ここがおすすめ!
- ハードウェアトークンのボタンを押すだけでパスワードを自動生成できる多要素認証デバイス
- 米国の国防総省認定の基準をクリアした強固なセキュリティを実現
- 専用ソフトウェアやドライバは不要で、全てのOS・ブラウザで使える
MORE
ここが少し気になる…
- iPad3以降に開発されたiPadでは適切に機能しない
ワンタイムパスワード導入時の注意点
ワンタイムパスワードはユーザーにとって、安全で使いやすいことが大切であり、そのためにはいくつかのポイントに気をつけなければいけません。ここでは、ワンタイムパスワード導入時の注意点を解説します。
\気になる項目をクリックで詳細へジャンプ/
ワンタイムパスワード導入時の注意点
ユーザーが使いやすいかを確認する
セキュリティを高めるためにワンタイムパスワードを導入すると、ユーザーにとってはログイン時に追加の手順を踏む必要が生じ、煩わしさを感じる可能性があります。そのため、導入の際には、ユーザー体験が悪化しないかを慎重に確認することが必要です。
例えば、スマホアプリを使った方法は手軽ですが、アプリのダウンロードが必要になり、SMSやメールの場合は通信環境に依存します。トークンは高いセキュリティを提供しますが、持ち運びが煩わしいと感じる人もいるかもしれません。
ユーザーが使いにくいと感じると、セキュリティが高まったとしてもサービスそのものの利用をやめてしまうケースが考えられます。
そのため、事前にユーザー視点からの操作性を確認することが大切です。無料トライアルを提供しているサービスを試すことで、ユーザーの立場で使用感を把握しやすくなります。
ユーザーをサポートできるようにしておく
ワンタイムパスワードを新たに導入すると、ユーザーが使い方やトラブルに関して不明点を抱えることにより、問い合わせが増える可能性があります。
ワンタイムパスワードでよくある問い合わせとして、スマホアプリの設定方法・トークンの使い方・紛失や故障時の対応などが挙げられます。ログイン時のパスワード入力がうまくできない場合や、タイムアウトしてしまう場合なども考えられます。
導入に際して、このような問い合わせに対して迅速かつ的確に対応できるように、サポート体制を準備しておくことが必要です。
具体的には、FAQの作成・カスタマーサポート担当者の教育などが考えられます。さらに、トラブルシューティングガイド・動画チュートリアルなどのように、ユーザーが自力で問題を解決できる環境を整えることも有効です。
端末のセキュリティも重要
ワンタイムパスワードでは端末自体のセキュリティも重要であり、リスクを抱えているとシステム全体のセキュリティ効果が十分に発揮されなくなります。
例えば、スマホやトークンの紛失は、それらに保存される認証情報が第三者に渡るリスクに繋がります。紛失の際には、速やかにサービス提供者に報告し、アカウントを停止するように求める対応が必要です。他には、端末ロックや遠隔操作で削除する方法も有効です。
また、端末がウイルス感染するリスクも考慮しましょう。ウイルス感染により、認証情報が盗まれる可能性があります。このリスクの対応策には、セキュリティアプリのインストールや、メール記載の不審なURLはクリックしないことが挙げられます。
さらに、OSやアプリのアップデートも定期的に行いましょう。これらはセキュリティの脆弱性を修正するためのものであり、最新の状態に保つことでウイルス感染のリスクを低減できます。
まとめ
ワンタイムパスワードは、1回限り有効な一時的なパスワードで、セキュリティを強化するために利用されます。固定パスワードと違い、毎回新しいパスワードが生成されるため、パスワードが仮に盗まれても再利用できず、悪用を防ぎやすいのが特徴です。
導入に際しては、自社のニーズに合った受信方法や認証方式を選ぶことがポイントです。各受信方法には異なるメリットがあり、セキュリティレベルや導入コストも多岐にわたります。認証方式も運用する環境に応じた選定が求められます。
ワンタイムパスワードの導入により、高い安全性を持ちながら、選び方次第でコストを抑え、ユーザーの利便性を保つことが可能です。本記事を参考に、セキュリティリスクを軽減し、信頼性の高いオンライン環境の提供を目指しましょう。
