おすすめワンタイムパスワードツール10選を比較!
ワンタイムパスワード(OTP)には多くの種類があり「どれを選べばいいか」迷いますよね。後から知ったサービスの方が適していることもよくあります。導入の失敗を避けるためにも、まずは各サービスの資料をBOXILでまとめて用意しましょう。
⇒ワンタイムパスワード(OTP)の資料をダウンロードする(無料)
目次を開く
ワンタイムパスワード(OTP)とは
企業やサービスのセキュリティ強化において、従来のパスワードだけでは不十分とされる場面が増えています。そこで注目されているのが、一定時間ごとに使い捨てのパスワードを発行する「ワンタイムパスワード(OTP)」という仕組みです。
ワンタイムパスワードが求められる背景
ワンタイムパスワードの導入が注目されている背景として、サイバー攻撃の巧妙化やリモートワークの普及により、従来のIDとパスワードだけで行う認証では十分なセキュリティを確保できなくなっていることが挙げられます。
より安全な認証方式としてワンタイムパスワードの導入が広がっています。
通常のパスワードとの違い
一般的なパスワード(静的パスワード)は、一度設定すれば何度も繰り返し利用できます。しかし、万が一流出した場合、第三者に何度でも悪用されるリスクがあります。
それに対して、ワンタイムパスワードは一定時間(通常30〜60秒)ごとに更新され、1回限りしか使えない使い捨てのパスワードです。
利用後は無効となるため、たとえ第三者に盗み見られても、再利用は不可能です。この特性により、不正アクセスのリスクを大幅に低減できます。
ワンタイムパスワードの主な種類
ワンタイムパスワードには主に次の2種類の提供形態があります。
- ソフトウェアトークン
- ハードウェアトークン
ソフトウェアトークン
スマートフォンやPCにインストールされた専用アプリ(例:Google Authenticator、IIJ SmartKeyなど)により、ワンタイムパスワードを生成・表示します。端末があればすぐに導入でき、利便性に優れています。
ハードウェアトークン
専用の小型デバイスを使ってワンタイムパスワードを生成する方式です。インターネット接続が不要で、特定の端末に依存しない点が特徴です。金融機関や高いセキュリティが求められる業務環境で導入されることが多いです。
ワンタイムパスワードの導入メリット
ワンタイムパスワードを導入することで次のようなメリットがあります。
- セキュリティ向上
- パスワード管理の手間軽減
- 認証の強化による信頼性向上
セキュリティ向上
ワンタイムパスワードは一度限りしか利用できない使い捨てのパスワードであるため、仮に通信経路や端末からパスワードが漏えいしても、第三者がそれを再利用してログインはできません。
また、一定時間ごとに自動で更新されるため、リプレイ攻撃(過去の認証情報を再利用する攻撃)にも有効です。静的パスワードと比較して格段にセキュリティが強化されることから、多くの企業や金融機関が導入しています。
パスワード管理の手間軽減
従来のパスワード運用では、定期的な変更や複雑な文字列の設定など、ユーザーにも管理者にも多くの負担がかかっていました。ワンタイムパスワードを導入することで、ユーザーが記憶する必要のあるパスワードは最小限に抑えられます。
さらに、アプリやデバイスを用いた自動生成によって入力ミスや使い回しといったリスクも軽減され、運用上の効率化が図れます。
認証の強化による信頼性向上
ワンタイムパスワードは、多要素認証(MFA)の一要素としても利用されることが多く、IDとパスワードに加えてワンタイムパスワードを要求することで、より強固な本人確認が可能になります。
このような堅牢な認証体制は、外部からの不正アクセスを防ぐだけでなく、社内外の関係者に対して「信頼できるシステム」であることを示す要素にもなります。
とくに顧客情報や機密データを扱う業務においては、企業の信用を守る観点からも重要な役割を果たします。
ワンタイムパスワードツールの選び方
ワンタイムパスワード製品やツールを導入する際は、単にセキュリティが高い製品を選べば良いというわけではありません。自社のシステムや運用体制に適しているかどうか、ユーザーにとって使いやすいかどうかといった観点からも慎重に検討する必要があります。
ワンタイムパスワード製品を選ぶうえでとくに注目すべき4つのポイントを紹介します。
受信方法から選ぶ
ワンタイムパスワードの受信方法には、次のような複数の方式があります。
| 受信方法 | 内容 |
|---|---|
| スマートフォンアプリ | 専用のアプリをインストールしてワンタイムパスワードを表示。コストがかからず、導入も比較的容易。 |
| SMS(ショートメッセージ) | 登録された電話番号宛にワンタイムパスワードを送信。ユーザー側の準備が不要で汎用性が高い。 |
| ハードウェアトークン | 専用の小型デバイスでワンタイムパスワードを生成。ネットワークに依存しないため、高セキュリティな環境に適している。 |
自社の従業員のITリテラシーや利用環境、管理体制に応じて最適な方法を選択しましょう。
認証方式から選ぶ
ワンタイムパスワードは、どのような認証フローに組み込むかによって役割が変わります。
| 認証方式 | 内容 |
|---|---|
| ワンタイム認証 | ID・パスワードの代わりにワンタイムパスワードのみで認証する。 |
| 二要素認証(2FA) | ID・パスワードに加え、ワンタイムパスワードを組み合わせることで認証強度を高める。 |
| 多要素認証(MFA) | 2FAに加え、生体認証やICカードなど、さらに別の要素を組み合わせた高いセキュリティを保つ。 |
企業の求めるセキュリティレベルに応じて、どの方式を採用するか検討しましょう。
導入・運用コスト
ワンタイムパスワード製品の導入には、初期費用やライセンス料、ハードウェア購入費用などが発生する場合があります。また、利用者数や用途によっては月額課金制の製品もあります。
| 種類 | コスト内容 |
|---|---|
| アプリ型 | 無料または低コストで利用可能 |
| SMS型 | 送信ごとに通信料が発生することが多い |
| ハードウェア型 | デバイスの購入と管理コストがかかる |
コストだけでなく、セキュリティ強度や運用負荷とのバランスを踏まえた検討が必要です。
導入のしやすさ・ユーザーの使いやすさ
どれほど高機能な認証方式でも、現場で使われなければ意味がありません。利用者がストレスなく扱える操作性や、システムへの組み込みのしやすさも重要な要素です。
- ユーザー登録の手間が少ない
- ログインフローが直感的である
- サポート体制やマニュアルが充実している
ITリテラシーにばらつきのある組織でもスムーズに導入できる製品を選ぶことで、社内のセキュリティ意識も自然と高まります。
おすすめワンタイムパスワードツール10選
ボクシルおすすめのワンタイムパスワードツールを紹介します。各サービスのセキュリティや認証方法について解説しているので、比較する際の参考にしてください。
ワンタイムパスワードの認証方法や仕組みについて知りたい方は次の記事をご覧ください。
GMOトラスト・ログイン - GMOグローバルサイン株式会社
- インストールや社内システムへの変更不要
- GMOグローバルサインでセキュリティも安全
- 基本料金0円、有料オプションでより利便性を強化
GMOトラスト・ログインは、GMOグローバルサインが運営する基本料金0円から始められるクラウド型のID管理(IDaaS)サービスです。セキュリティや利便性を強化したい場合には、有料オプションで機能をアップできます。
さらにサーバーの用意やインストール・社内システムの変更不要で運用できます。SSL認証局として20年以上運営した実績や、SOC2の取得からみても安心して利用できるサービスだといえるでしょう。
AccessMatrix USO - 株式会社ハイ・アベイラビリティ・システムズ
- さまざまなアプリケーションのSSOに対応
- 既存アプリに影響なく導入可能
- Active Directoryを介した多彩な認証方式
AccessMatrix USOは、デスクトップアプリを含む、多くの種類のアプリケーションに対応した代行入力型SSO(シングルサインオン)ツールです。デスクトップ型やWeb型、クライアントサーバー型、Java型といったあらゆる種類のアプリケーションに対応しています。
また、コーディングや既存アプリに手を加えることは一切不要で、既存環境を変えずに短期間で導入可能です。さらに、Active DirectoryとIC認証や指紋認証、ハードウェアトークンなどを組み合わせることで、ログインをより強固かつスムーズなものにできます。
Keeperパスワードマネージャー - Keeper Security APAC株式会社
- パスワードと二要素認証コードを一元管理
- ゼロ知識にもとづく高度な機密保護をサポート
- 役割に応じた厳格なアクセス制御
Keeperパスワードマネージャーは、一般的なパスワード管理機能に加え、各アカウントの二要素認証コードも作成保存し、一元管理できる多機能な認証情報管理ソリューションです。
管理者は、役職や役割に応じたアクセス権限を設定し、組織全体のセキュリティポリシーを強制的に適用できます。また、保存されたパスワードがダークウェブに漏えいしていないかを継続的に監視できるため、セキュリティリスクの早期発見にも役立ちます。APIキーといったシステム間の認証情報も管理可能です。
ROBOT ID - ブルーテック株式会社
- IDとパスワードを一括管理
- 柔軟性のあるアクセス権限管理とセキュリティ
- CSVファイルでデータをエクスポート・インポート可能
ROBOT IDは、WebサービスやアプリのIDとパスワードをひとつに統合し管理できるSSO(シングルサインオン)システムです。
業務に関連するパスワードは、1社員につき平均7~8個といわれていますが、ROBOT IDの利用でたったひとつのID・パスワードに集約し、多数のソフトウェアに高度なセキュリティ環境下でログインできます。
社員ごとに利用可能なソフトウェアのアクセス権限を設定でき、パスワードの文字数などのセキュリティレベルも自在に変更が可能。CSVファイルで社員データやID・パスワードなどの大量の情報を簡単にエクスポート・インポートできます。
KDDI Message Cast - Supership株式会社(共同運営:KDDI株式会社)
- 初期費用や月額固定費が無料、配信量に応じた料金プラン
- 660文字まで長文配信に対応
- 携帯電話番号の他人判定を行える誤配信防止機能
KDDI Message Castは、SMSやRCSの配信に対応したメッセージ配信サービスです。ワンタイムパスワードのほか、最大660文字までの長いメッセージも送れるため、細かな説明や連絡が必要な場面にも対応できます。
配信用のリストに対して配信前に誤配信を防ぐ判定機能があり、安心して利用できる点が特徴です。配信量に応じ単価が下がる料金体系で、届かない配信に関しては請求対象外なのもポイントです。
eToken PASS
- スケーラブルな認証基盤を構築
- 時間ベースとイベントベースの認証
- 専用デバイスにてトークンを発行
eToken PASSは、ワンタイムパスワード認証を提供するコンパクトかつポータブルなハードウェアトークンです。専用のデバイスを用いてトークンを発行するため、スマートフォンを所有していなくても利用できるシステムです。
AuthWay
- LDAP認証とRADIUS認証を使用可
- リモートログインとOSログイン両対応
- スマートデバイスによる二要素認証
AuthWay(オースウェイ)は、ハードウェア・ソフトウェア両方のトークンを発行できる、多要素認証システムです。多要素認証を行う際、システムがLDAP認証かRADIUS認証に対応していれば、エージェントプログラムは不要です。ソフトウェアトークンにトークン情報を発行する方法は、メールやQRコードが利用できます。
xIdentify
- 時刻同期方式ワンタイムパスワード生成
- パターン認証・指紋認証対応
- クラウド型またはソフトウェア型
xIdentify(クロスアイデンティファイ)は、多要素認証システム「AuthWay」を利用した電子認証サービスです。スマートデバイスやワンタイムパスワードを利用した多要素認証が可能。マイナンバー管理機器のセキュリティ対策や、既存システムに組み込んで安全性を高めるなど、応用範囲は広いです。
FOAS
- 専用ハードウェアトークンでワンタイムパスワード生成
- Microsoft Entra ID(旧:Azure Active Directory)認証にも利用可能
- 認証エージェントと認証サーバーのAPI提供
FOAS(飛天ワンタイムパスワード認証システム)は、ハードウェアトークンのワンタイムパスワードによる、高セキュリティの認証システムです。リモートアクセスの認証セキュリティ強化、Windowsログオンの認証強化を実現できます。
大企業の場合は複数サーバーでログイン処理を分割し、処理系のボトルネックを回避。API経由で、Active Directoryと認証サーバーを連携可能です。
YubiKey
- USB、NFCで2要素認証を利用
- 小型サイズの「nano」もある
- 公開鍵方式の暗号を手入力なしで生成
YubiKeyは、ワンタイムパスワードを発行する、電源ケーブル不要のハードウェアトークンです。USB-A、USB-C、NFC、Apple Lightningに対応しており、ハードウェアトークンにあるボタンを押すだけで、パスワードを生成・入力します。
GoogleやSalesforceなどの多要素認証に対応し、キーボードデバイスとして認識されるため、Linux含むマルチプラットフォームで使用できます。耐衝撃および防水性に優れています。
ワンタイムパスワードサービスでセキュリティ向上を
ワンタイムパスワードサービスは認証方法によって使い方が異なります。自社のサービスに合った認証方法を選び、パスワード漏えいによる情報の流出を防ぎましょう。
また、そもそもワンタイムパスワードとは?という方やワンタイムパスワードを利用するメリットについて詳しく知りたい方は、こちらに記事も参考にしてみてください。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
