国際標準規格OATHとOATHに準拠したOTPトークン

ホーム > ブログ > OATH規格の認証に最適なトークン

国際標準規格「OATH」に準拠したOTPトークンとは

OATH(Initiative for Open AuTHentication)とは、ベリサインなどのベンダーが中心となり、認証に関する標準規格を策定している国際的な団体です。OATHは、ワンタイムパスワードの仕様についても取り扱っており、OATH規格に準拠したトークンによるワンタイムパスワードは、オンラインバンキングやオンラインゲームなど幅広い用途でセキュリティ強化に役立っています。

ワンタイムパスワードで不正利用のリスクを大幅に低減

その時だけ有効な1回限りのパスワードを使って認証を行う仕組みのことをワンタイムパスワードと言います。使用するたびにパスワードが生成されるので、パスワードを不正に使用されるリスクを大幅に軽減できるメリットがあります。

利用者は、トークンなどの専用端末やスマートフォンなどで、毎回生成されるパスワークを確認します。トークンには、ボタンを押すたびに新しいパスワードが生成・表示されるか、または、決まった時間ごとに新しいパスワードが生成・表示されます。スマートフォンのアプリを使う場合は、ソフトウェア・トークンと言います。

ワンタイムパスワードは、サーバ側の認証システムが生成するパスワードと、クライアント側のトークンが生成するパスワードを共通の方法で生成し、両者のパスワードを常に一致させます。

OATHは相互運用性の高いオープンなアーキテクチャー

OATHは、標準技術を最大限活用して、相互運用性の高いオープンなアーキテクチャーを目指しています。OATHにより、コストを抑えながらリモートアクセスにも対応する認証ソリューションを実現します。

OATHは2005年、強固な認証基盤提供を目指して、一切ロイヤリティーのかからないオープンな仕様、デバイス技術の内装化、相互運用性といった要素を反映したReference Architecture 1.0をリリースし、OATH Reference Architecture 2.0へとバージョンアップしています。

その特徴は、トランザクションのリスクを評価し、ノーリスクの場合は通常レベルの認証を行い、リスクが高い場合はそれに応じた強固なレベルの認証を行うなど、リスクベースの認証が可能なことです。また、複数のWebサイトごとにトークンがあると、使い分けが大変になるため、1つのトークンで間に合うように共通化することも可能にしています。OATHのゴールは、ユビキタス時代をにらんで、いつ、どこででも簡単に利用できる強固で安全な認証の実現です。

多要素認証にも有効、クラウド活用のセキュリティ強化

デジタルトランスフォーメーション(DX)や働き方改革に伴い、ITを利活用したビジネスは急速に変化しており、クラウドサービスの有効活用が求められています。しかし、端末を使う従業員がパスワードを使いまわしたりすると、リスト攻撃によりハッキングされるリスクが高まります。

パスワード認証だけに頼ることへのリスクが高まる中で、認証の3つの要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証する「多要素認証」が推奨されています。トークンによるワンタイムパスワードをほかの認証と組み合わせて、セキュリティを強化する動きが進んでいます。

トークンによるワンタイムパスワードのメリットは、まず、高いセキュリティ性があげられます。その都度、異なるパスワードを生成するので、固定パスワードのように推測や盗難による不正使用ができません。トークンは、パソコンなどの端末に接続しないデバイスのためウィルスやマルウェアに感染するリスクもありません。

OATH規格に準拠しているものについては、同じOATH規格準拠サーバと容易に連携が行えるのが特徴です。多くの企業が採用しているMicrosoft Entra ID (旧称 Azure AD)認証に利用するケースが増えています。

ネットバンキングやオンラインゲームなどに活用広がる

OATH規格の認証に最適なトークンの活用法は、社会問題化しているインターネットバンキングでの預金の不正引き出しなどへの対策にも有効であり、多くの金融機関がIDとパスワードによる認証に複数の認証を組み合わせた二要素認証や多要素認証を導入しており、トークンを使ったワンタイムパスワードもその一つとして用いられています。

また、オンラインゲームでも、なりすましや不正アクセスの問題に直面しています。ワンタイムパスワードによる認証を利用すれば、不正アクセスによって、アバターや課金アイテムなどを不正に取得されることを防ぎます。

このほか、金融機関の自動預払機(ATM)の認証を強化するソリューションとしても活用されています。銀行ATMやコンビニのATMコーナーで利用者の暗証番号を盗み見され、現金が不正に引き出されるという事件の防止にも効果的です。

OATH規格のトークンは、ボタンを押すなどの簡単な操作で、その都度異なるパスワードが表示されるなど、操作がシンプルである上に持ち運びも便利です。比較的低価格でのシステム導入も可能なので、大企業だけではなく、中小企業の導入も増えています。


ワンタイムパスワード(OTP)トークン





関連記事

ChatGPTに多要素認証(MFA)を導入

多要素認証(MFA)にはクラウドで

Microsoft Office 365の多要素認証(MFA)について

Authenticatorアプリの代替機を使った多要素認証(MFA)

Salesforceの多要素認証(MFA)の設定方法

Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて

Amazon Web Services(AWS)MFAを必須化

コピープロテクトに最適なUSBドングル

PCI DSS v4.0への更新で重要性増す多要素認証(MFA)

Microsoft Entra ID – Azure ADから名称変更