ワンタイムパスワードのサポート情報

ワンタイムパスワードトークンのよくあるご質問

OTPトークン全般

Q. OTP（ワンタイムパスワード）トークンの特長は何ですか？

A.

弊社提供しているOTPトークンはOATH規格に準拠し、OATH規格準拠認証サーバーと簡単で連携することはできます。

また、『飛天ワンタイムパスワード認証システム』（略称FOAS）を利用すると、ウェブ認証の強化、社内システム認証など短期間かつ低コストで導入することは可能でございます。

Q. OTP（ワンタイムパスワード）トークンの種類、またはお勧め製品を教えてください。

A.

弊社にはイベントベースのOTPC100製品、及びタイムベースのOTPC200製品を提供しております。
両方ともOATHを準拠しております。

利便性及び実用性の面には、タイムベースのOTPC200製品をお勧めいたします。

Q. OTP（ワンタイムパスワード）トークンの電池寿命はどのぐらいですか？

A.

OTP（ワンタイムパスワード）トークンには標準のリチウム電池を搭載しています。
電池の寿命は利用頻度と関連します。
理論的には、一日10回利用する場合は3～5年間ご利用いただけます。

■OTP電池寿命について
OTP製品関して、工場に注文が入ると、先ずシリアル番号及びSeedコードを事前発行致します。この時点ではまだ電池は装着されません。
そして、いざ出荷の時点になってSeedコードをトークンに焼き込むことになりますが、その焼き込み工程の直前に初めてボタン電池がセットされます。
電池の寿命はSeedコード焼き込みの日（≒工場出荷日）を基準に、14,000回クリックとなります。
14000クリックの回数は一日10回で、平均利用回数と計算すると、3年～5年の寿命と判定されます。
3年×365日/年×10クリック/日=10950クリック
5年×365日/年×10クリック/日=18250クリック

■OTPトークンの保証期間について
通常OTPトークンハードウェアの保証期間は納品日より1年となります。
弊社には3年/5年の保証プランも提供することはできます。詳細に関してはお問合せください。

Q. OTP（ワンタイムパスワード）トークンの電池が切れたら、交換できますか？

A.

いいえ、OTPトークンは不正開封防止機能（タンパエビデント）を採用しております。
一旦ケースが開けられると、トークン内部が壊れて、利用できなくなりますので、電池寿命が切れた場合、新しくトークンを購入する必要がございます。

Q. OTPトークン及び標準リチウム電池は、PSE適合されているか？

A.

OTPトークン本体は100Vコンセントに接続して使用する電気製品ではないので、PSEの対象にはなりません。
また、OTPトークンに内蔵するリチウム電池に関しては、リチウム電池が内蔵された形での製品の場合は、PSEの対象外ということです。

Q. OTPC200は60秒毎に自動生成されますが、30秒ごとに自動生成するOTPトークンを提供できますか？

A.

はい、通常評価キットに含まれているOTPC200は60秒毎に自動生成されます。

弊社営業へ事前連絡頂ければ、30秒ごとに自動生成するOTPトークンも提供することはできます。

Q. OTPC200内部クロックは各国サーバーのシステム時差に影響がありますか？内部クロックのズレはどのように調整しますか？

A.

OTPC200トークン内部クロックは「UTC」と言う”協定世界時”を採用しております。各国の時差と関連しておりません。

OTPC200トークンが正常であれば、1年以内トークン内部クロックのズレル時間は3分間以下となります。
OTPC200を利用してOTPサーバーと認証する際、もしOTPC200内部クロックのズレル時間は2分間以内であれば、正常許可範囲内となり、正常に認証できます。
さらに、OTPC200内部のズレル時間は認証の度に自動的に認証サーバーのデータベースに記録され、次回データベースに記録された内容に更に2分間上下を計算しておきます。
エンドユーザーは年1回以上でOTPC200を利用して正しく認証するなら、OTPC200内部クロックのズレは特に影響がございません。
もしエンドユーザーは1年以上OTPトークンにで認証していない、またはハードウェアの問題により内部クロックのズレル時間は2分以上の場合、OTPトークンが認証サーバーと同期する必要があります。

同期処理に関して、各認証サーバーによって異なります。通常は、OTPトークンから2回連続で生成されたパスワードを同期画面に入力し、サーバー側の同期処理を行います。

Q. OTPC200を利用して認証できなくなりました。どの原因が考えられますか？

A.

下記事項を確認してください：

1、OTP認証サーバーのシステム時刻が正しいかどうかを確認してください。
OTPC200はタイムペース型OTPトークンですので、もしOTPサーバーのシステム時刻が標準時刻より10分以上ズレル場合、認証できなくなります。
OTPサーバーのシステム時刻を調査すると、正しく認証できます。

2、OTPC200を同期してから改善できるかどうかを確認してください。
OTPC200が長期利用していない場合、トークン内蔵のクロックがズレル可能性も考えられます。そうすると、トークンの同期処理が必要となります。
同期処理に関して、各認証サーバーによって異なります。通常は、OTPトークンから2回連続で生成されたパスワードを同期画面に入力し、サーバー側の同期処理を行います。

Q. ワンタイムパスワードトークンを他社の認証サーバには使用できますか？

A.

はい、ベリサイン社やDS3社の認証サーバなどOATH規格を準拠する認証サーバーであれば、ご使用することができます。

Q. オンラインゲームで使用できますか？

A.

オンラインゲームで使用するには、オンラインゲーム会社又は認証サービス提供会社が指定する専用トークンが必要です。
現在、弊社製品を利用している専用トークンには、以下のものがあります。

– VIPトークン
– ブルースキー（BRUCE KEY）

使用可能なオンラインゲーム、認証時の問題等は各トークンのパッケージに記載されている問合せ先にご連絡ください。

OTPトークンのMicrosoft Entra ID (旧称 Azure AD)多要素認証利用

Q. Microsoft Entra ID (旧称 Azure AD)連携でOTPトークンを利用したいのですが、どうすれば良いですか？

A.

下記URLの手順を参考にしてください。
https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/concept-authentication-oath-tokens#oath-hardware-tokens-preview

主に下記3ステップです。
【Step1】
以下内容のcsvファイルを作成
upn,serial number,secret key,time interval,manufacturer,model
《Azureログインアカウント》,《OTPトークンID(13桁)》,《BASE32エンコードしたseedkey》,《時間間隔（秒）》,Feitian,《OTPトークンの製造モデル》

※注意点
①csvファイルに「upn,serial number…」のヘッダーが必要です。

②各項目の設定内容：
［upn］：Azureログインアカウント
［serial number］：OTPトークンのID（シリアル番号）

［secret key］：OTPトークンのBase32のシークレットキー
通常評価キットや出荷する際に、Base16シートコードを提供します。
Azureのcsvを作成する際に、Base16のシードコード（40桁）をBASE32エンコード（32桁）してから設定してください。

Base16形式は「A-F（6文字）と0-9（10文字）」の16文字で構成されます。
Base32形式は「A-Z (26文字)と2-7 (6文字)、 = 」の 33文字で構成されます。

［timeinterval］：OTPの時間間隔（秒）（60/30）
評価用OTPトークンが60秒間隔ですので「60」を記入してください。
もし30秒間隔のOTPを利用する場合は「30」を記入してください。

［manufacturer］：製造元（Feitian）
［model］：製品モデル（例：OTP c200）

例：
OTP　C200（60秒）のOTPトークンを利用する場合は、CSVファイルは以下の内容になります。
upn,serial number,secret key,time interval,manufacturer,model
test@ftsafe.com,1234567890123,CYZY7DO7XJAMISOL62RBGD6MFWCQJEM6,60,Feitian,OTP c200

【Step2】
Microsoft Entra ID (旧称 Azure AD)にCSVファイルをアップロードして、アクティブにします。

【Step3】
[Azure Active Directory]⇒［ユーザー］⇒［Multi-Factor Authentication（多要素認証）］を「有効にする」。

Q. Microsoft Entra ID (旧称 Azure AD)にCSVファイルをアップロードするとエラーが発生しました。

A.

CSVファイルの内容を確認してください。

upn,serial number,secret key,time interval,manufacturer,model
《Azureログインアカウント》,《OTPトークンID(13桁)》,《BASE32エンコードしたseedkey》,《時間間隔（秒）》,Feitian,《OTPトークンの製造モデル》

※「upn,serial number…」のようなヘッダー行も記入必要です。

Q. Microsoft Entra ID (旧称 Azure AD)にCSVファイルをアップロードしましたが、OTPトークンをアクティベートするとエラーとなります。

A.

「secret key」がBase32エンコードではない可能性が高いと思われます。

通常評価キットや製品を出荷する際には、Base16シートコードを提供します。
AzureのCSVファイルを作成する際に、Base16のシードコードを「16進数文字列」としてBASE32にエンコードしてから設定してください。

Base16とBASE32の判別方法：
Base16形式は「A-F (6文字)と0-9（10文字）」の16文字で構成されます。
Base32形式は「A-Z (26文字)と2-7 (6文字)、 = 」の 33文字で構成されます。

例1：
Base16形式シートコード：6CDF0E484E7ACE12FD10B3F25B390991402022CF
Base32形式に変換すると：NTPQ4SCOPLHBF7IQWPZFWOIJSFACAIWP

例2：
Base16形式シートコード：16338F8DDFBA40C449CBF6A2130FCC2D8504919E
Base32形式に変換すると：CYZY7DO7XJAMISOL62RBGD6MFWCQJEM6

飛天OTP認証システム（FOAS）

Q. 飛天社ワンタイムパスワード認証システム（FOAS）はどの機能がありますか？

A.

飛天ワンタイムパスワード認証システム（FOAS）を利用することによって、下記機能を実現できます：

① ApacheやIISウェブサーバーサイトの認証強化。

② Windows、Linux/Solarisのセキュアログオン。　
　【Windows】
　　・ローカルPCのWindowsログオン
　　・ドメインのログオン
　　・リモートディスクトップログオン
　
　【Linux、Solaris上のPAM認証保護】
　　・システムのログオン
　　・リモートログオン

③ OWA（Outlook Web Access）2003/2007の認証強化。


各機能のインストールパッケージをインストール及び設定するだけで、簡単でご利用可能になります。
また、各機能を実現するAPIも提供しております。お客様のニーズと合わせて開発や機能実現など柔軟で利用できます。

Q. 飛天認証システムはどのように構築しますか？

A.

飛天OTP認証システム（FOAS）を構築するため、下記内容をインストール＆設定する必要がございます：
①OTP認証サーバー
②OTP専用データベース
③OTP管理センター（ウェブ管理画面）
④OTPエージェント（各機能によって、OTPエージェントがそれぞれ異なります）

弊社には構築手順書を提供致します、内容を参照して簡単で構築ことはできます。

※OTP認証サーバーはRadiusサーバーとして利用可能です。もしCitrixAccessGatewayなどRadius認証機能付きのサーバーを利用すると、上記④OTPエージェントをインストール不要で、①～③を構築し、CitrixAccessGatewayにRadius認証を設定頂ければ、ご利用可能です。

Q. 社内LANの環境下でFOASを構築することはできますか？

A.

はい、できます。インターネットを使用しなくても、社内LAN環境で社内のセキュリティを向上させることが可能です。

Q. OTP（ワンタイムパスワード）でウェブサイトを保護したいのですが、どうすれば良いでしょうか？

A.

OTP（ワンタイムパスワード）製品の開発キットには認証サーバー、認証サーバーマネジャー、及び様々の認証エージェントを提供しております。それをインストールして簡単な設定をすれば、ウェブサイトの保護が実現できます。
また、認証エージェントを利用して、既存のウェブサイトと簡単に連携する事もできます。

Q. WebサーバにOTP認証エージェントをインストールしたくない場合は、認証を実現可能でしょうか？

A.

はい、通常WebサーバーにOTP認証エージェントをインストール必要がございます。
もしOTP認証エージェントをインストールしたくない場合、飛天OTP認証システム（FOAS）にOTP認証エージェントのAPIを提供しております。
該当APIを利用すると、OTP認証サーバーと通信し、認証することは実現できます。

もしOTP認証エージェントのAPIを組み込みすることも困難の場合、OTP認証サーバーはRADIUSプロトコルを利用しますので、Webサーバー側にRADIUSクライアント機能が実現できれば、OTPサーバーとの通信及び認証することができます。

Q. OTP（ワンタイムパスワード）製品のセキュアログオン機能はオンラインで運用していますか？インターネット接続できない環境で利用できますか？

A.

OTP（ワンタイムパスワード）製品のセキュアログオン機能はオンラインで運用されます。また、その機能ではオフライン認証モードも提供しております。例えば、外出先でのインターネットを接続できない環境で、オフライン認証のご利用ができます。

オフライン認証に利用可能のOTPトークンについて、OTPC100（イベントベース型）のみ利用できます。OTPC200はタイムベース型ですので、ご利用できません。 

Q. 複数WEBサーバを使用しても、OTP認証サーバは1台で問題ないですか？

A.

はい、複数Webサーバーに利用する場合、各WebサーバーにOTP認証エージェントをインストールする必要があります。
なお、1台OTPサーバーは複数エージェントまたは複数種類のエージェントを対応できます。

Q. 1台のOTPサーバでどれくらいの同時接続までのパフォーマンスをだせますか？

A.

目安ですが１台OTPサーバーは平均として1秒3000回のリクエストに応答できます。
※弊社のテストデータです。
※実際構築環境によります。

Q. OTPトークンで認証できずにログインできない場合は？

A.

ご使用されているWebサイトあるいは御社のサーバ管理者にお問い合わせください。

Q. OTP（ワンタイムパスワード）トークンを紛失したら、どうすれば良いでしょうか？

A.

OTP（ワンタイムパスワード）トークンを紛失したら、すぐ管理者に連絡する必要があります。
管理者はOTP管理センターに該当OTPトークンを”紛失”のように設定し、一時的に利用不可に設定できます。
仮に第三者に拾得されても不正に利用されることはありません。

また、エンドユーザーの使用を支障しないように、管理者はOTP管理センターよりリカバリーパスワードを発行できます。
発行されたリカバリーパスワードの有効期間はOTPトークンのパスワード有効期間と同じです。例えば60秒毎に変更するOTPトークンの場合、リカバリーパスワードの有効期間は60秒になります。現時点ではリカバリーパスワードの有効期間を指定することはできませんが、今後一つ機能として追加することはできます。 

紛失されたOTPトークンが見つかりましたら、管理者に連絡し、管理者はOTP管理センターに該当OTPトークンの“紛失”を解除することも可能です。 

Q. 飛天のOTP認証サーバーは他社のOATH準拠デバイスと併用できますか？

A.

はい、弊社のOTP認証サーバーはOATH規格を準拠しております、他社のOATH準拠デバイスを導入することも可能です。

具体的な導入方法に関しては、現在OTPウェブ管理センターには他社のOATH製品のSeedコードの導入機能が未だ提供していないので、他社製品のSeedコードを弊社技術本部へ送付してから、飛天OTP認証用トークンファイルを生成し、OTP管理センターより導入することは可能でございます。