ログイン認証のセキュリティを強化するためのシステムとして、ワンタイムパスワードが再注目されています。これまでのID/パスワードの認証方法と違い、ワンタイムパスワードは1回だけの使い捨てパスワードを利用した認証システムで、セキュリティレベルが飛躍的に向上するメリットがあります。
認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証する「多要素認証」を組み合わせることで、より安全性を高めることも可能です。
そしてワンタイムパスワードの最大のメリットは、パスワードを管理する必要がないことです。これまでのID/パスワードに頼ったログインでは、セキュリティを強化するために定期的にパスワードの変更が求められ、ユーザーにとってはストレスになります。パスワードの管理が大きな負担となるのを避けるため、覚えやすいパスワードにしてしまい、セキュリティが低下してしまう恐れもあります。また、覚えにくいパスワードにすることで、忘れてしまいログインができなくなってしまうリスクもあります。
一方、ワンタイムパスワードを採用することにより、1回限りの使い捨てパスワードが自動的に生成されるので、パスワードを覚える必要も、変更する必要も、管理する必要もなくなります。また、万が一パスワードが流出した際も危険を最小限にすることができます。ワンタイムパスワードの流出が発生した場合も、そのパスワードは一度しか使用できないため、不正アクセスに利用されるリスクはほとんどありません。
また、ワンタイムパスワードをメールやSMSで通知するケースでは、ユーザーとオンラインサービスとの通信に忍び込み、情報を盗み取る手口もあります。ネットワークを通じた攻撃手法の1つで、パソコンやスマートフォンにマルウェアを潜伏させて通信を監視し、また、通信内容を改竄します。具体的には、ユーザーがワンタイムパスワードなどを入力してオンラインサービスにログインしたことを検知し、振込先や金額などの情報を不正に書き換え、第三者が指定する口座に振り込ませます。
このように、ワンタイムパスワードの弱点を突いた不正アクセスに対するセキュリティ対策としては、使い切りのパスワードを電子的に生成して液晶画面に表示する「ワンタイムパスワード(OTP)トークン」の活用が効果的です。そしてワンタイムパスワードのトークンの他に、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証する「多要素認証」を組み合わせることにより、セキュリティはさらに強固になります。
OATHとは、ベリサインなどのベンダーが中心となり、認証に関する標準規格を策定している国際的な団体です。OATHは、ワンタイムパスワードの仕様についても取り扱っており、OATH規格に準拠したトークンによるワンタイムパスワードは、オンラインバンキングやオンラインゲームなど幅広い用途でセキュリティ強化に役立っています。
例えば、クラウドサービスの認証基盤「Microsoft Entra ID (旧称 Azure AD)」は、「Microsoft 365」をはじめ、さまざまなクラウドサービスの認証基盤としても利用されるケースが増えています。Microsoft 365、Azure portalのほか、多くのSaaS アプリケーションなど、外部リソースへのアクセスとサインインを支援しています。
企業のIT管理者はMicrosoft Entra ID (旧称 Azure AD)を使用して、ビジネス要件に基づいて自社のアプリやアプリリソースへのアクセスを制御することも可能です。重要な組織リソースへのアクセスについては、多要素認証を必須として設定することもでき、セキュリティの強化に効果的です。
■ワンタイムパスワード(OTP)トークン
認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証する「多要素認証」を組み合わせることで、より安全性を高めることも可能です。
ユーザーが簡単に使えるワンタイムパスワードによる認証強化
ワンタイムパスワードのメリットの一つは、ユーザーに違和感を与えることなくセキュリティレベルが飛躍的に向上することです。ログイン・プロセスを複雑にすると、ユーザーが手間をとられてしまい、業務等に悪影響が出てしまう可能性があります。これに対しワンタイムパスワードを利用する場合には、ログインをするために面倒な作業は必要ありません。そしてワンタイムパスワードの最大のメリットは、パスワードを管理する必要がないことです。これまでのID/パスワードに頼ったログインでは、セキュリティを強化するために定期的にパスワードの変更が求められ、ユーザーにとってはストレスになります。パスワードの管理が大きな負担となるのを避けるため、覚えやすいパスワードにしてしまい、セキュリティが低下してしまう恐れもあります。また、覚えにくいパスワードにすることで、忘れてしまいログインができなくなってしまうリスクもあります。
一方、ワンタイムパスワードを採用することにより、1回限りの使い捨てパスワードが自動的に生成されるので、パスワードを覚える必要も、変更する必要も、管理する必要もなくなります。また、万が一パスワードが流出した際も危険を最小限にすることができます。ワンタイムパスワードの流出が発生した場合も、そのパスワードは一度しか使用できないため、不正アクセスに利用されるリスクはほとんどありません。
ワンタイムパスワードを狙った新たな攻撃の手口も
ワンタイムパスワードが普及するに従い、その弱点を狙った不正アクセスの手口も登場しています。例えば、ネットバンキングなど本物のサイトに酷似したフィッシングサイトで、うっかり騙されたユーザーが認証情報を入力し、セキュリティを突破されるケースもあります。偽メールなどを使ってフィッシングサイトに誘導し、IDとパスワードを入手した後にワンタイムパスワードを入力させる手口です。また、ワンタイムパスワードをメールやSMSで通知するケースでは、ユーザーとオンラインサービスとの通信に忍び込み、情報を盗み取る手口もあります。ネットワークを通じた攻撃手法の1つで、パソコンやスマートフォンにマルウェアを潜伏させて通信を監視し、また、通信内容を改竄します。具体的には、ユーザーがワンタイムパスワードなどを入力してオンラインサービスにログインしたことを検知し、振込先や金額などの情報を不正に書き換え、第三者が指定する口座に振り込ませます。
このように、ワンタイムパスワードの弱点を突いた不正アクセスに対するセキュリティ対策としては、使い切りのパスワードを電子的に生成して液晶画面に表示する「ワンタイムパスワード(OTP)トークン」の活用が効果的です。そしてワンタイムパスワードのトークンの他に、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証する「多要素認証」を組み合わせることにより、セキュリティはさらに強固になります。
クラウドサービスの認証基盤「Microsoft Entra ID (旧称 Azure AD)」の多要素認証を活用
最近は、クラウドサービスを活用する企業が増えていて、クラウドサービスの認証基盤に多要素認証を活用する方法が主流になっています。OATH(Initiative for Open AuTHentication)規格に準拠したトークンを使えば、ワンタイムパスワードを含む多要素認証の採用によりセキュリティを強化することも可能です。OATHとは、ベリサインなどのベンダーが中心となり、認証に関する標準規格を策定している国際的な団体です。OATHは、ワンタイムパスワードの仕様についても取り扱っており、OATH規格に準拠したトークンによるワンタイムパスワードは、オンラインバンキングやオンラインゲームなど幅広い用途でセキュリティ強化に役立っています。
例えば、クラウドサービスの認証基盤「Microsoft Entra ID (旧称 Azure AD)」は、「Microsoft 365」をはじめ、さまざまなクラウドサービスの認証基盤としても利用されるケースが増えています。Microsoft 365、Azure portalのほか、多くのSaaS アプリケーションなど、外部リソースへのアクセスとサインインを支援しています。
企業のIT管理者はMicrosoft Entra ID (旧称 Azure AD)を使用して、ビジネス要件に基づいて自社のアプリやアプリリソースへのアクセスを制御することも可能です。重要な組織リソースへのアクセスについては、多要素認証を必須として設定することもでき、セキュリティの強化に効果的です。
関連記事
●Microsoft Office 365の多要素認証(MFA)について
●Authenticatorアプリの代替機を使った多要素認証(MFA)
●Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて