ワンタイムパスワードとリスクベース認証の利用シーン

通常の ID とパスワードでの個人認証に対して、さらに認証を強化する方法として、「ワンタイムパスワード(OTP)」と「リスクベース認証」という2つの認証方法があります。OTP は、ユーザーが持つ OTP 生成機(トークン)を使い、使い捨てパスワードをもう1つ加えてセキュリティを強化します。リスクベース認証は、ユーザーの行動をサーバが分析し、「普段とは異なる異常行動」を発見して追加の認証を行うというものです。

この2つの方法にはそれぞれ利点があり、適した利用シーンを考える必要があります。

OTP は、「パスワードそのものを強化する」という仕組みです。通常の ID/パスワードとともに、トークンが生成するランダムな数字を使うことで、よりパスワードが強化されます。ID/パスワードの情報が盗まれた場合、通常ですと悪用の危険がありますが、認証の際にユーザーが持つトークンが生成するパスワードがさらに必要になれば、盗まれたID/パスワードだけでは悪用されません。

つまり、OTP はアクセスしてきたユーザーが本当に正規のユーザーかどうかを確実に判断できる仕組みです。

たとえばネットバンキングのように、直接的にお金のやりとりが発生するサービスでは、確実な認証が必要となりますので、OTP を導入すると、ユーザー側もサービス提供者側もより安心できます。ただし、ユーザーにはトークンを管理して、ランダムな数字を入力しなければならないという手間が発生します。サービス提供者側にとっても、安全・確実にトークンをユーザーに配布しなければならないという課題があります。

それに対するリスクベース認証は、利用端末や利用時間、ネットワーク情報など、アクセスしてきた人物の情報を使ってユーザーを認証しますので、これまでと同様にID/パスワードを入力するだけで、ユーザー側の新たな手間がありません。

「いつも使う会社と自宅のパソコン」「海外からは利用しない」「平日昼間のみの利用」といったように、ユーザーの行動はたいていパターン化されますので、そこから外れた行動は異常行動と見なすことができます。また、「東京からアクセスした5分後に中国からアクセス」といった通常では不可能な行動も検知します。ちょうど、クレジットカードの不正利用を検知するのと同じような仕組みと考えれば分かりやすいでしょう。

このように、OTP とリスクベース認証にはそれぞれ得意とするシーンがあり、どちらか一方であらゆる場面をカバーできるというものではありません。

そのため、2つを併用するのがもっとも効果的な対策です。普段はリスクベース認証を行い、通常と違う行動があった場合は、OTP で追加認証を行う、といった具合です。追加認証を行うことでセキュリティが向上し、さらに誤検知の場合でも正規ユーザーのアクセスをブロックしないというメリットがあります。

また、たとえばネットバンキングでは全ユーザーにリスクベース認証を行い、高額預金者などへの追加サービスとして、より安全性を高める OTP を導入する、といった方法もあります。この場合はトークンを配布する手間が最小限に抑えられます。

とはいえ、最近は携帯電話のアプリや携帯サイトを使った OTP の仕組みも出てきています。携帯を使えば、トークンを配布する手間が最小限にすむので、利用しやすくなっています。

日本では、OTP とリスクベース認証を併用しているケースは少ないのが現状です。ただ、りそな銀行、埼玉りそな銀行、近畿大阪銀行のように、ベリサインの OTP である VIP オーセンティケーションとリスクベース認証である VIP オンライン詐欺検出サービスを併用している銀行も出てきており、今後さらに増えることが期待されます。

金銭を狙ったオンライン犯罪は増えています。従来の ID/パスワードだけでは強固なセキュリティは実現できません。ユーザー側も、セキュリティを重視した企業との取引を望んでいます。特に銀行、証券、カードといった金融機関は、強固な対策が急務となっていると言えるでしょう。

次回は、電子証明書に関してご紹介します。

（日本ベリサイン株式会社　プロダクトマーケティング本部 IAS マーケティング部マネージャー　岩尾健一）