これならわかるワンタイムパスワード認証...サイトの利用者id...

Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved.

これならわかる

ワンタイムパスワード認証

サービス事業本部

Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved.

背景

2

Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 3

モバイル、クラウドの企業利用は急速に伸びています

3

モバイルPC、スマートデバイス（タブレット、スマートフォン）といった機器の普及や、クラウドサービスの利用が一般的になり、企業における利用も進んでいます。

法人のスマートフォンとタブレット端末の導入率の比較平成23年通信利用動向調査

出典：法人のスマートフォンとタブレット端末の導入率の比較（矢野経済研究所）

出典：平成23年通信利用動向調査の結果（総務省）

クラウド

クラウドのパワーがあれば、

小型、高性能でない機器でも十分業務利用できる！！

1年で50%増加！！


リモートアクセス、BYODは特別なものではありません

4

社外からモバイルPC、スマートデバイスを使い、社内のIT資産にリモートアクセスすることも全企業の約7割が実施済み、または利用を検討中です。

さらに、利用機器として社有の機器ではなく、個人所有の機器を業務利用するBYOD（Bring Your Own Device）が約4割になります。

社外からのリモートアクセス利用状況（対象：820社）

出典：IDC Japan, March 2012

モバイルデバイス別 BYOD利用状況

出典： IDC Japan, 1/2013

約約約約4割割割割ががががBYOD

約約約約7割割割割がががが利用利用利用利用or 検討中検討中検討中検討中


リモートアクセスで使用される認証方式

5

正しい利用者のみが会社の情報資産にアクセスするには、利用者の認証は避けて通ることはできず、最も使われることが多い方式として多数の企業が固定パスワードのみを採用しているのが実情です。

リモートアクセスの認証方式


約7割が固定パスワード


固定パスワードは、これまでの利用実績や容易に利用できることから採用されることが多いです。

しかし、基本的に人の記憶に頼る方式であることから、安易なルール、辞書にあるような単語を使うといったことをすると、他者になりすましをされるリスクがあります。

＜＜＜＜事例事例事例事例1111＞＞＞＞某某某某ネットネットネットネット銀行銀行銀行銀行口座不正口座不正口座不正口座不正ログインログインログインログイン

8つの口座が推測されたパスワードから不正ログインされ、合計140万円が不正に引き出され、全額補填することとなった。

＜＜＜＜事例事例事例事例2222＞＞＞＞某某某某ポイントサイトポイントサイトポイントサイトポイントサイトなりすましなりすましなりすましなりすまし不正不正不正不正ログインログインログインログイン

サイトの利用者IDとパスワードを用いたなりすましにより、27件ポイントが不正に利用され、ポイントの補償を含めて個別に対応することになった。

固定パスワードのリスク

6

社内社内社内社内のののの重要重要重要重要ななななITITITIT資産資産資産資産であるであるであるである、、、、個人情報個人情報個人情報個人情報やややや機密情報機密情報機密情報機密情報

のののの漏漏漏漏えいえいえいえい事故事故事故事故につながりますにつながりますにつながりますにつながります。。。。

企業企業企業企業でのでのでのでのリモートアクセスリモートアクセスリモートアクセスリモートアクセス（（（（BYOD））））でなりすましをされるとでなりすましをされるとでなりすましをされるとでなりすましをされると・・・・・・・・・・・・


個人情報の漏えいによる被害の実情（被害額）

7

個人情報漏えいの件数は年々増加しており、1件当たりの損害賠償額も1/4が

100万円以上となっており、無視できない状況といえます。

2012年上半期個人情報漏えいインシデント概要データ【速報】 2012年上半期個人情報漏えいインシデントトップ10

漏えい人数とインシデント件数 1件当たりの想定損害賠償額

¼ののののケースケースケースケースがががが100万円万円万円万円以上以上以上以上！！！！！！！！

出典：NPO Japan Network SecurityAssociation (JNSA)


被害に合わないためのIPAからの注意喚起

8

（a）パスワードを強化する

� 英字（大文字、小文字）・数字・記号など使用できる文字種全てを組み合わせる

� 8文字以上にする

� 辞書に載っているような単語や名前（人名、地名）を避ける

（b）パスワードを適切に保管する

� パスワードをメモする時は、IDと別々にする

� 定期的に棚卸しをする

（c）パスワードを適切に利用する

� ネットカフェなど、不特定多数が利用するパソコンでは、IDやパスワードを入力しない

�ワンタイムパスワードなどのサービス（二

要素認証、二段階認証等）を利用する出典：独⽴⾏政法⼈情報処理推進機構技術本部セキュリティセンター(IPA/ISEC) 第11-21-220号「コンピュータウイルス・不正アクセスの届出状況[2011年5⽉分]について」

パスワード運用の強化

追加の仕組みで対応


実際に対応すると・・・

9

� 追加の仕組み（システム）で対応

認証要素を追加（多要素認証）することで、なりすますには固定パスワード以外の要素についても対応しなければならず、より困難になります。パスワードを管理（覚える）するた

めのユーザの負荷が高くなり、利用者全員が適切に対応できない恐れもあります。

利用者全員が同じレベルのセキュリティを確保できます。

� パスワード運用の強化

パスワードを強化し、そのパスワードを適切に保管、利用することにより、なりすましされにくくはなります。


多要素認証、ワンタイムパスワード


多要素認証の種類と特徴

11

ソリューションソリューションソリューションソリューション導入導入導入導入コストコストコストコスト

サポートサポートサポートサポートコストコストコストコスト

ユーザユーザユーザユーザのののの利便性利便性利便性利便性

なりすましなりすましなりすましなりすまし対策強度対策強度対策強度対策強度デメリットデメリットデメリットデメリット

ワンタイムパスワード × ○ ○ ◎ コストが割高

マトリクス認証 △ ○ ○ ○ 非標準の方式

生体認証 × ○ ◎ ○ 対応率の問題

PKI（電子証明書） △ △ ○ ◎ 運用が煩雑


多要素認証の要素となりうる各ソリューションには以下があり、それぞれ特徴があります。

参考：認証強化ソリューションとしてのワンタイムパスワード（HP）


ワンタイムパスワード（OTP）とは

12

•OTPトークンと呼ばれる一定期間有効なパスワードを、デバイスやシステムが自動生成し、ユーザが認証画面に入力することで、OTPトークンを「持っている事」の確認を行う（所有物認証）

•パスワードの再利用が不可能なため、盗聴等のセキュリティの脅威に対しても非常に強い

80327359803273598032735980327359

07145633071456330714563307145633

45212660452126604521266045212660

盗聴盗聴盗聴盗聴

認証認証認証認証

サーバサーバサーバサーバ側側側側

80327359803273598032735980327359

07145633071456330714563307145633

45212660452126604521266045212660

80327359

8032735980327359

80327359

時間の経過に伴いデバイス等に表示されるパスワードが変化


ワンタイムパスワードには、ワンタイムパスワードの表示方式により、さらに以下の種類があります。

ワンタイムパスワードの種類

13

トークントークントークントークン有無有無有無有無表示方式表示方式表示方式表示方式概要概要概要概要

トークンありハードウェアトークン専用のカードやUSBキーといったハードウェア上に表示

ソフトウェアトークン PC、スマートデバイスに導入した専用ソフトウェア上に表示

トークンなし Mail ワンタイムパスワードを利用者のMailアドレスに送信し、PC、スマートデバイスのメーラーやWebブラウザにて確認


方式ごとの特徴は以下になり、必ずしも全てが先に記述した内容と同じではありません。






マトリクス認証 △ ○ ○ ○ 非標準方式



ワンタイムパスワードの方式ごとの特徴

14

ワンタイムパスワードワンタイムパスワードワンタイムパスワードワンタイムパスワードソリューションソリューションソリューションソリューション

導入導入導入導入コストコストコストコスト




ハードウェアトークン × △ △ ◎ コストが割高

ソフトウェアトークン ○ ○ ○ ◎ 専用ソフトウェアの導入が必要

Mail ○ ○ ◎ △ WebMailは、なりすましの危険あり










ワンタイムパスワードの方式ごとの特徴（導入コスト）

15









ハードウェアトークンは、専用ハードのコストが必要なため「×」ですが、以外ではそこまでのコストにはなりません。










ワンタイムパスワードの方式ごとの特徴（サポートコスト）

16









ハードウェアトークンは、専用ハードの管理コストが発生するため、「○」とまでは言い難いです。










ワンタイムパスワードの方式ごとの特徴（ユーザの利便性）

17









＜＜ハードウェアトークン＞専用の機器を持ち歩くため、利便性は高くないです。

＜ソフトウェアトークン＞普段持ち歩くPC、スマートデバイス、携帯電話が使えるが、専用ソフトウェアを使う必要があります。

＜Mail＞普段持ち歩くPC、スマートデバイス、携帯電話が使え、メーラー、ブラウザも普段使用しているものが使えます。（専用ソフトウェアが不要）










ワンタイムパスワードの方式ごとの特徴（なりすまし対策強度）

18









ワンタイムパスワードをWebMailに送信する方式のものは、悪意のある者がWebMailにログインすることでワンタイムパスワードが漏えいしてしまう可能性があり、注意が必要なため「◎」とまでは言い難いです。


おまけ：やってみよう、自分に適した認証強化ソリューション簡易判定フロー

19

なりすましに対し、非常に高いセキィリティ対策をしたい。

認証（サービス利用）する機器まで限定する。

PKI

（電子証明書）

生体認証マトリクス認証

PC、スマートデバイス、携帯電話を持ち歩く。

ワンタイムパスワード

どのどのどのどの方式方式方式方式がががが良良良良いかいかいかいか

さらにさらにさらにさらに判定判定判定判定

ハードウェアトークン

PC、スマートデバイス、携帯電話にソフトウェアトークンを導入できる。

ソフトウェアトークン

Mail

凡例

Yes

No

生体情報で認証（生体情報を管理）することに抵抗がある。

スタート


まとめ

20

� リモートアクセスにおける認証強化は急務です！

利用するデバイス、サービスのみ世間の変化に追随するだけでなく、それらを活用するためのセキュリティについても考慮しないと、情報漏えいといった事態に陥ります。

既にそのような状況であれば、早急なご対応をお勧めします。

� ワンタイムパスワードのメリット

以下により認証強化には、ワンタイムパスワードがさらに有力な候補となります。

ソフトウェアトークン、Mailの方式とすることで・・・

� 導入コストを抑える

� サポートコストを抑える

� ユーザの利便性が高くなる

また、なりすまし対策強度を落とさないため、WebMailにワンタイムパスワードを送信する方式は注意が必要です。


＜法人のスマートフォンとタブレット端末の導入率の比較：矢野経済研究所＞

http://news.mynavi.jp/news/2013/10/04/045/

＜平成23年通信利用動向調査：総務省＞

http://www.soumu.go.jp/menu_news/s-news/01tsushin02_02000040.html

＜社外からのリモートアクセス利用状況、リモートアクセスの認証方式：IDC Japan＞http://www.idc.com/research/viewtoc.jsp?containerId=J12200151

＜モバイルデバイス別 BYOD利用状況：IDC Japan＞http://www.idcjapan.co.jp/Press/Current/20130117Apr.html

＜ 2012年上半期個人情報漏えいインシデント概要データ【速報】等：JNSA＞

http://www.jnsa.org/result/incident/2012.html

＜認証強化ソリューションとしてのワンタイムパスワード：HP＞

http://h50146.www5.hp.com/products/software/security/icewall/otp/

＜コンピュータウイルス・不正アクセスの届出状況[2011年5月分]について：IPA＞

http://www.ipa.go.jp/security/txt/2011/06outline.html

出典、参考

21

これならわかる ワンタイムパスワード認証...サイトの利用者id...

Documents

これならわかるワンタイムパスワード認証...サイトの利用者id...