コンタクトレンズとパスワードは鮮度が命──ワンタイムパスワード:クライアントセキュリティ大作戦(4/4 ページ)
ユーザーへの影響の大きさから、高いセキュリティが要求される銀行のインターネット取引。そのログイン方法にワンタイムパスワードを利用する銀行が登場している。その安全性について解説しよう。
もちろんOTPだけでは不十分
OTPを使うことにより、第三者がパスワードを盗み出して使用されるリスクを大幅に抑えることができ、管理者に不正アクセスへの対応を減らすことができる。また、トークンの紛失や盗難による無効化も認証サーバによって容易に行える。
しかし、OTPで防御できるのはパスワードの漏えいだけであり、伝送路の暗号化がなされていない状態では通信の内容は傍受されてしまう。また、なりすましサーバを使用し、認証データを真のサーバに受け渡すことでログインを通過することもできる(※5)。
さらに防御は容易になるものの、管理コストが増大するというのが欠点だ。
OTPはログインのパスワード漏えいに伴う偽ログインを止める手段にはなるが、万能ではない。Webサービスならば伝送路の暗号化とサーバのなりすましの防止にSSLを使うなど、複数のセキュリティ対策を組み合わせることが重要となる。
なお、OTPではないが、認証手段にICカードを文字通り鍵として使用する方法もある。たとえば、NTTコミュニケーションズのセーフティパスはICカードを使ったセキュアサービスで、電子マネーや電子チケット機能だけでなく複数のID/パスワードの管理も行える。
新銀行東京はキャッシュカードがすべてセーフティパスに対応しており、キャッシュカードを持っていなければオンラインバンキングが利用できない方式に切り替えることができる。
ICカードを使った認証は、対応するリーダー装置が必要というところがネックとなっており、出先で気軽に使えないが、従来ATMでのみ扱うカードをキーにするのは判りやすい。セーフティパスのリーダーは電子申請で使用する電子証明書のリーダーとしても使えるため、今後電子申請が普及すれば、これを使ったICカード方式の本人認証も進むものと考えられる。
OTPをはじめ、生体認証やICカード認証などパスワード漏えいに対して対策した認証が登場している。このなかでも、OTPは比較的低コストかつユーザーに対する負担が少ない方式だといえるだろう。
※5 偽サイトはユーザーにログイン情報を入力させ、正規のサーバに送信する。ここで認証に成功したらユーザーには「サイトが混雑しています」などといってサービスがサーバ側の問題で利用できないように見せかけ、その間に不正操作を行うという手口が考えられる。ただし、実際にはサイトを見張り、ユーザーがログインしたのを見計らって行動する必要があるので、コストのかかる手口である。
関連記事
- オフィスの「だめんず・わ〜か〜」を洗い出す
クライアントセキュリティを保つ上で重要なプロセスとして、「Windowsを常に最新の状態に保つ」ということが挙げられる。しかし、Windows Updateの実施をユーザー任せにしている企業も少なからず存在するようだ――。 - 「オレオレ証明書」にご用心? あなたのPCを守る認証システムを考える
インターネットはもはや生活に密着しているといっても過言ではなく、当然、名前やカード番号など、個人情報を入力する機会も多くなっている。そこで安全なデータのやりとりに欠かせない、各種認証システムを紹介する。 - USBメモリにはマルウェアが?――記録メディアに潜む脆弱性
莫大な投資をして堅牢なファイアウォールやマルウェア対策、IDS/IPSのシステムを導入したのに、内部ネットワークにマルウェアが蔓延。調べてみたら、クライアントからの侵入が原因だったということは、珍しい話ではない――。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.