前のアイコン 記事一覧へ
2023年1月18日
1分間で読了できます。

ワンタイムパスワードとは?発行方法やメリットも一緒に紹介

セキュリティを強化するために、ワンタイムパスワードを導入する企業が増えつつあります。 社内の情報や顧客の個人情報を守るためにも、ワンタイムパスワードを導入することは重要です。 そこで本記事では、ワンタイムパスワードの概要や、ユーザーへのパスワードの発行方法、メリット・デメリットなどを紹介します。 自社のシステムやアプリのセキュリティ強化や、信頼性を高めたいとお考えの方は、ぜひ最後までご覧ください。

CM.com Japan株式会社
CM.com Japan株式会社,
マーケティングチーム

ワンタイムパスワード(SMS認証)を導入するならCM.com

ワンタイムパスワードとは

ワンタイムパスワードとは、名前のとおり一度しか使えないパスワードのことで、各種サービスやシステムに用いられています。

ワンタイムパスワードを使用した直後と、有効期限以内に使用しなかった場合は無効になるため、第三者の不正利用やログインを阻止する方法として役立ちます。

有効期限は短くて30秒ほど、長くて数日間などシステムによりまちまちです。

具体的な活用方法としては、たとえばシステムに通常のIDとパスワードが入力されたら、ユーザーの端末にワンタイムパスワードを送ります。

ワンタイムパスワードはリアルタイムで本人のもとにしか送信されないため、ユーザーがログイン画面でワンタイムパスワードを入力したら本人であることを証明できるというわけです。



ワンタイムパスワードの仕組み

ワンタイムパスワードが生成される仕組みには、主に「チャレンジレスポンス認証方式」と「タイムスタンプ方式」の2種類があります。

チャレンジレスポンス認証方式とは、ユーザーと認証サーバーでデータを送り合うことで認証を行う仕組みのことです。

具体的には、下記の流れでパスワードの生成と認証を行います。

チャレンジレスポンス認証方式の流れ


  • ユーザーがアクセス要求を認証サーバーに送信する

  • 認証サーバーから「チャレンジ」とよばれるランダムな文字列が送られる

  • ユーザーは「チャレンジ」に対してあらかじめ設定された計算式で求めた「レスポンス」とよばれる結果を、認証サーバーへ送信する

  • 認証サーバーで計算したレスポンスと、ユーザーから送られてきたレスポンスを照合し、一致していれば認証する



もう一つのタイムスタンプ方式では、トークンとよばれる専用端末やスマートフォンのアプリなどを利用してワンタイムパスワードを生成し、認証を行います。具体的には、下記のような流れです。

タイムスタンプ方式の流れ


  • ユーザーが所有しているトークンやスマートフォンのアプリを使い、ワンタイムパスワードを生成する

  • 認証サーバーが時刻とパスワードを照合し、一致したら認証する



ワンタイムパスワードの発行方法

ここからは、ユーザーにワンタイムパスワードを発行する下記の4つの方法を紹介します。

ワンタイムパスワードを発行する4つの方法


  • トークンを配布する

  • スマートフォンのアプリをダウンロードしてもらう

  • 電話音声で通知する

  • メール・SMSで通知する


方法①トークンを配布する

ワンタイムパスワードを発行する1つ目の方法は、トークンとよばれる専用の端末をユーザーに配布することです。

トークンの種類にはさまざまなものがありますが、なかでも手のひらほどのサイズで、ワンタイムパスワードとして数字を表示するための小さな液晶がついているものが一般的です。

この方法では、ユーザーに端末を渡すだけで簡単にワンタイムパスワードを発行できますが、トークンの購入や管理にコストがかかってしまうというデメリットがあります。

また、ユーザーにとってはボタンを押すだけでワンタイムパスワードがわかるという利点がある一方、トークンを紛失してしまう恐れがあるというリスクもあります。

方法②スマートフォンアプリをダウンロードしてもらう

ワンタイムパスワードを生成できるアプリを、ユーザーにダウンロードしてもらうという方法もあります。

この方法では、スマートフォンがあればパスワードを発行できるため、トークンのように端末を購入する費用や、管理の手間がかかりません。

しかし、アプリの開発にかかる費用や、メンテナンスにかかるリソースなどを確保する必要があります。

アプリであればトークンのように紛失する危険性がなく、ユーザーにとって利便性に優れているため、トークンよりもアプリを推奨する企業が増えつつあります。

方法③電話音声で通知する

ワンタイムパスワードを発行する3つ目の方法は、電話音声を使用してユーザーに通知するといったものです。

あらかじめ登録されたユーザーの電話番号に対し電話を発信して、機械音声でワンタイムパスワードを通知します。

この方法の特徴は、電話番号さえわかればパスワードを発行できるという手軽さです。そのため、ユーザー側でトークンを保管したり、アプリをダウンロードしたりする手間が発生しません。

ただし、通話料金がかかるという点や、ユーザーにとっては音声を聞きながらパスワードを入力することが難しいというデメリットもあります。

方法④メール・SMSで通知する

最後に紹介するワンタイムパスワードを発行する方法は、メールやSMSでユーザーに通知するという方法です。

ユーザーのスマートフォンやフィーチャーフォンに標準搭載されているアプリを使って通知できるため、手軽に始められるという利点があります。

特にSMSは視認性が高く、携帯電話番号は基本的には一人に一つ利用されている点から本人確実性は高さがあります。


ワンタイムパスワードを導入する3つのメリット

ここからは、ワンタイムパスワードを導入する下記の3つのメリットを紹介します。

ワンタイムパスワードを導入する3つのメリット

  • ユーザーのパスワードが流出した際の被害を抑えられる

  • ユーザーの負担を最小限に抑えてセキュリティを強化できる

  • さまざまなサービスに導入できる



メリット①ユーザーのパスワードが流出した際の被害を抑えられる

1つ目のメリットは、たとえユーザーのパスワードが第三者に流出したとしても、被害を最小限に抑えることができるという点です。

なぜなら、ワンタイムパスワードはユーザー本人の端末に通知されるので、端末を持っていない第三者は最終的にログインすることができないためです。

ログインIDとパスワードが入力されたあとにワンタイムパスワードを通知すれば、第三者のログインを防ぐことができます。

また、ワンタイムパスワードが流出してしまった場合でも、一度使用するか、有効期限が過ぎれば無効になるため、第三者のログインを阻止できる可能性も高まります。

メリット②ユーザーの負担を最小限に抑えてセキュリティを強化できる

2つ目のメリットは、ユーザーに負担をかけずにセキュリティを強化できるという点です。

セキュリティ強化のためには定期的なパスワードの変更が推奨されますが、ユーザーにとっては負担が大きい作業です。

また、変更するたびに新しいパスワードを覚えなければならないため、ユーザーが覚えやすい単純なパスワードに再設定することで、かえってセキュリティが低下する恐れもあります。

そこで、ユーザーがログインするたびにワンタイムパスワードを発行することにより、ユーザーの手を煩わせることなく、簡単にセキュリティを強化できます。

また、ワンタイムパスワードは一度しか使えないため、ユーザーは毎回覚える必要がなく、手軽にログインすることが可能です。

メリット③様々なサービスに導入できる

ワンタイムパスワードはさまざまなサービスに利用できるという点もメリットの一つです。

たとえば、金融機関やSNS、Webメール、仮想通貨を扱うアプリなど多くのサービスで導入されています。

サービス内容に関わらず不正アクセスの防止やセキュリティを強化できるという点は、企業とユーザーの双方にとってメリットと言えるでしょう。

ワンタイムパスワードを導入するデメリット

続いて、ワンタイムパスワードを導入する下記の3つのデメリットを紹介します。

ワンタイムパスワードを導入する3つのデメリット


  • 端末を乗っ取られた場合は阻止できない

  • ユーザーの負担が増える

  • フィッシングサイトで悪用される可能性がある



デメリット①端末を乗っ取られた場合は阻止できない

1つ目のデメリットは、ユーザーの端末が盗まれた場合や、第三者に端末を乗っ取られた場合は、ログインを阻止することが難しいという点です。

なぜなら、ワンタイムパスワードはトークンやスマートフォンといった端末に送られるので、端末自体が盗まれた場合、ワンタイムパスワードが第三者に漏れてしまうためです。

また、スマートフォンやパソコンがユーザーの手元にあったとしても、ウイルスに感染するとワンタイムパスワードが書かれたメールやSMSのデータを盗まれる危険性もあります。

重要な情報にアクセスする際は、毎回パスワードの入力が必要となるように設定したり、パスワードを定期的に変更するようにユーザーへ通達したりして、対策を行いましょう。

デメリット②ユーザーの負担が増える

2つ目のメリットとして、ユーザーの負担が増えるという点も挙げられます。

先ほど、メリットの項目では「ユーザーに負担をかけずにセキュリティを強化できる」とお伝えしましたが、毎回ワンタイムパスワードを入力することを負担に感じるユーザーもいます。

同じパスワードを入力するほうが楽だと思うユーザーにとっては、不便な機能だと見なされてしまう可能性が高いでしょう。

デメリット③フィッシングサイトで悪用される可能性がある

ユーザーがフィッシングサイトに誘導されてしまう危険性があるという点も、デメリットの一つです。

本物のサイトに酷似したフィッシングサイトで、ログインIDとパスワード、ワンタイムパスワードを求められると、ユーザーは安心して情報を入力してしまう可能性があります。

そのため、正しいログインURLをユーザーへ周知しておくことが大切です。

関連リンク

SMSによるワンタイムパスワードの活用事例

ここからは、近年導入が進んでいるSMSでのワンタイムパスワードについてお話しします。

SMSでのワンタイムパスワードの送信をSMS認証と言います。SMS認証は導入コストや開発工数が他のワンタイムパスワードの発行方法に比べ、低く、手軽に実施できる施策としておすすめです。

実際にワンタイムパスワードを活用している業界を紹介します。

金融機関

メガバンクをはじめとした多くの金融機関が、セキュリティ対策としてワンタイムパスワードを導入しています。

たとえば、インターネットバンキングで振込手続きや重要な取引を行う際にワンタイムパスワードを発行することで、第三者の不正使用を防ぐといった活用方法があります。

ワンタイムパスワードの発行方法は、トークンやスマートフォンのアプリ、SMSなど金融機関によりさまざまです。

ワンタイムパスワードを導入している金融機関の例は、下記のとおりです。

ワンタイムパスワードを導入している金融機関

  • 三井住友銀行

  • みずほ銀行

  • 三菱UFJ銀行

  • 各地方銀行

  • Pay Pay銀行など



教育機関

教育機関においても、第三者の不正ログインによる学生の個人情報の流出が多発していることを機に、ワンタイムパスワードの導入が始まりました。

たとえば、大学内の情報システムや各種Webサービスを利用する際に、学生と教職員にワンタイムパスワードを発行することで、セキュリティの強化に役立てられています。

ワンタイムパスワードの発行方法として、主にスマートフォンのアプリやメールなどが利用されています。

ワンタイムパスワードを導入している教育機関

  • 京都大学

  • 近畿大学

  • 神戸学院大学

  • 立教大学など


リモートワーク

コロナ禍を機に増えたリモートワークでも、ワンタイムパスワードは活用されています。

リモートワーク中は通信環境のセキュリティ対策が社内に比べて弱い傾向があることから、サイバー攻撃の被害を受ける可能性が高まります。

そのため、社外から社内の情報システムにアクセスする際に、ワンタイムパスワードを導入する企業が増えているのです。

ワンタイムパスワードを活用してユーザーの安全性と企業の信頼性を高めよう

いかがでしたでしょうか?

ワンタイムパスワードは、セキュリティ強化を目的にさまざまな企業で導入が進められています。

ユーザーに負担をかけることなく、簡単にセキュリティを強化したいとお考えの企業様は、ワンタイムパスワードの導入を検討してみてはいかがでしょうか?

CM.comでは、お客様のアプリやシステムのセキュリティ強化のために、ユーザーの携帯番号宛てにワンタイムパスワードを自動送信できるSMS認証APIサービスをご提案しております。

ぜひお気軽にご相談ください。

この記事を共有する
CM.com Japan株式会社
CM.com Japan株式会社,
マーケティングチーム

CM.comは企業向けにSMS送信サービス、SMS配信・認証API、+メッセージ(RCS)、WhatsApp Business、メール配信システムなどを提供しているグローバルカンパニーです。当社プラットフォームを利用することで顧客セグメント、ターゲティング、LP・フォーム制作、配信分析などマーケティングやDXに求められることを実現できます。

最新記事

SMS Customer Service
Dec 03, 2024 • SMS

インサイドセールス、営業に役立つ!購買意欲の高い顧客と適切なタイミングで連絡を取る方法

近年、顧客が電話にも出ない、メールも見られないケースが多く、営業手段に頭を悩ませている企業が多いのではないでしょうか。同時にIT化が進み、ITを使ってできることが増えてきています。このブログではCM.comが提供するITの仕組みを使ったツールで購買意欲の高い顧客と最適なタイミングで連絡を取る方法をご紹介します。

hero-17-sms-customer-service-templates-to-use-today
Oct 01, 2024 • セキュリティ

SMS認証とは?メリットデメリットとSMS認証サービスの選定ポイントを紹介

近年、SMS認証は、さまざまなWebサービスやモバイルアプリを使用する際の本人確認の手段として活用されています。 携帯電話番号宛にSMSで送信される認証コード(確認コード)は、本人確認を目的とした二段階認証の一つです。 企業がSMS認証を導入する場合、APIでシステム連携する必要があります。 本記事では、SMS認証の解説と、メリットデメリット、SMS配信事業者の選定ポイントをご紹介します。

blogimage-sign-verzekeraar
Jul 22, 2024 • SMS

SMSをメールアドレスで送れる?メールソフトから送信できるサービスのメリットと利用方法を紹介

SMSをメールアドレス形式で送れたら簡単なのに。メアドが間違っていたときにショートメールを送りたい。 そんなときにGoogleのGmail、WindowsのOutlook、Thunderbird、YahooメールなどからSMSを送ることができたら企業では便利ですよね。 今回はふだん利用している差出人メールアドレスからSMSを送信できる法人向けのサービス、MailSMSを使用したSMSの送り方を紹介します。 このサービスはCM.comでアカウントを開設し、メールアドレスを登録するだけで、誰でも簡単にメール形式でSMSを送信できるのでぜひお試しください。

drive more automotive sales
Jun 09, 2024 • SMS

SMSで写真や画像は送れない?携帯電話番号宛のメッセージで画像を送信する方法と法人利用で画像を活用するメリットを解説

SMSで写真や画像を送ることはできるのか?送信できない場合に送る方法は別にないのかと、探している方は多いのではないでしょうか。今回はSMSから写真や画像が送れない?と困った時にSMS類似のサービスやSMSに添付して送信方法、また法人でSMSに画像を送付するメリットを紹介します。

RCS vs. SMS Messaging
Mar 27, 2024 • SMS

GmailからSMSを送信したら超簡単だった【事例付き】

GmailからSMSを送れないかな。到達率・開封率が高いショートメールを自社でも使ってみたいと思っても、実際のところ、「ツールの使い方を新たにキャッチアップするのがちょっと面倒」「他にもCRMツールを色々使っているし、これ以上ID/パスワードを社内で浸透させるのも地味に大変...」と二の足を踏んでいる方も多いのではないでしょうか。 本記事ではMailSMSを利用し、GmailからSMSを送信する方法を紹介します。

acquisition-chatbots
Mar 27, 2024 • SMS

SMSをURL付きで送信するには?事例やデメリット、SMS送信事業者の選び方

「SMSをURL付きで送信するメリット・デメリットが知りたい!」 「企業がSMSをURL付きで送信する目的は?」 このようなことが気になっているビジネスマンの方もいらっしゃるのではないでしょうか。 SMS(ショートメールサービス)は、新たな商品やサービスを紹介したり、販売促進を行ったりする際に活用が可能です。 非常にシンプルなUIで短文をメインに据えたメッセージを送信でき、顧客データを管理しながら、絞り込んだターゲットに対して訴求を行えます。 本記事では、そんなSMSをURL付きで送信するメリットやデメリットなどを解説します。 ぜひ最後までご覧ください。

sms-marketing benefit
Mar 15, 2024 • SMS

SMSを中国に送信するための方法と注意点を紹介

企業が中国にSMS送信するためには、中国へSMS送信ができるSMS送信事業者のサポートを得ながら適切な手続きを踏まなければなりません。CM.comは中国支店を有し、大手企業の配信実績もあることから、中国へSMSを届けることができます。これまでの経験をもとに、この記事では企業が中国の携帯電話端末にSMSを送信する方法を紹介します。

automatizacion-comercio-electronico
Feb 07, 2024 • SMS

セールスフォースのメール配信機能からSMSを送信する方法

セールスフォース(Salesforce)で管理している顧客データをもとにSMS(ショートメッセージ/ショートメール)を配信できたら便利ですよね。 しかし、セールスフォースのプラットフォームからSMSを配信するにはAPI連携かappexchangeの利用で開発の手間がかかります。 CM.comのメール配信機能からSMSを送信できるMail SMSを利用することで、特段な開発を必要とせずにメールと同じ手順でSMSが送信できます。 今回は、セールスフォースを活用してSMSを簡単に送る方法をご紹介します。

msc blog klantloyaliteit
Feb 05, 2024 • Eメール

メールとSMS配信はどちらが効果的?到達・開封・クリック率の違いなどを紹介

最近SMSのビジネス利用が注目され、導入検討する企業が増えてきています。 しかし、すでにメール配信という安価で便利なツールがあるのに、なぜ今更SMS配信なのか…という声もあります。 ここでは、SMS配信とメール配信の違いを含め、開封率、到達率などを紹介します。

Is this region a better fit for you?
Go
close icon