ワンタイムパスワード（わんたいむぱすわーど）：テクノロジとトレンドを理解するための 今回のキーワード（4/4 ページ）

高いログインセキュリティが要求されており、不正アクセスが発生するとユーザーに大きな金銭的損害が発生するものとして銀行のインターネット取引（オンラインバンキング）が挙げられる。今年になって２つの銀行がセキュリティトークンを利用したワンタイムパスワードの利用を発表し、不正アクセス対策を行っている。これは毎回入力するパスワードが変わるものだが、今回はこのOTP、特にトークンを利用したタイプのものについて解説しよう。

[小林哲雄，ITmedia]

OTPはパスワード漏えい対策。セキュリティ対策は組み合わせよう

　OTPを使うことにより、第三者がパスワードを盗み出して使用されるリスクを大幅に抑えることができ、管理者に不正アクセスへの対応を減らすことができる。また、トークンの紛失や盗難による無効化も認証サーバによって容易に行える。

　しかし、OTPで防御できるのはパスワードの漏えいだけであり、伝送路の暗号化がなされていない状態では通信の内容は傍受されてしまう。また、なりすましサーバを使用し、認証データを真のサーバに受け渡すことでログインを通過することもできる。

　さらに防御は容易になるものの、管理コストが増大するというのが欠点だ。

　OTPはログインのパスワード漏えいに伴う偽ログインを止める手段にはなるが、万能ではない。Webサービスならば伝送路の暗号化とサーバのなりすましの防止にSSLを使うなど、複数のセキュリティ対策を組み合わせることが重要となる。

　なお、OTPではないが、認証手段にICカードを文字通り鍵として使用する方法もある。たとえば、NTTコミュニケーションズのセーフティパスはICカードを使ったセキュアサービスで、電子マネーや電子チケット機能だけでなく複数のID／パスワードの管理も行える。

　新銀行東京はキャッシュカードがすべてセーフティパスに対応しており、キャッシュカードを持っていなければオンラインバンキングが利用できない方式に切り替えることができる。

　ICカードを使った認証は、対応するリーダー装置が必要というところがネックとなっており、出先で気軽に使えないが、従来ATMでのみ扱うカードをキーにするのは判りやすい。セーフティパスのリーダーは電子申請で使用する電子証明書のリーダーとしても使えるため、今後電子申請が普及すれば、これを使ったICカード方式の本人認証も進むものと考えられる。

　OTPをはじめ、生体認証やICカード認証などパスワード漏えいに対して対策した認証が登場している。このなかでも、OTPは比較的低コストかつユーザーに対する負担が少ない方式だといえるだろう。

このコンテンツはサーバセレクト2006年6月号に掲載されたものを再編集したものです。