3つの観点から選ぶ!ワンタイムパスワード

この記事をtweetする このエントリーをはてなブックマークに追加

失敗できないアナタを応援します IT製品選び方ガイド

3つの観点から選ぶ!ワンタイムパスワード

2007/12/25


 パスワードを1回限りで使い捨て、不正利用を防ぐのがワンタイムパスワードだ。製品により方式が異なり、ユーザの使い勝手も運用管理の方法も違うワンタイムパスワード製品を、どのように企業システムに組み込んでいけばよいのか、その方法と製品選びのポイントを紹介しよう。記事後半では主なワンタイムパスワード製品をカタログ形式で紹介している。なお、ワンタイムパスワードの各方式の仕組みや特徴、ワンタイムパスワードの導入意義に関しては「IT製品解体新書」に詳しく記載しているので、是非ご参照いただきたい。

ワンタイムパスワード

※「ワンタイムパスワード/3つの観点から選ぶ!ワンタイムパスワード」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「ワンタイムパスワード/3つの観点から選ぶ!ワンタイムパスワード」の記事全文がお読みいただけます。

会員登録はこちら(無料)

ワンタイムパスワードの基礎解説へ
ワンタイムパスワードシェア情報へ


1

ワンタイムパスワード選択のポイント

1-1

導入コストと運用管理コストの考え方

■拡張性と冗長化がカギ!ワンタイムパスワードのネットワーク構成

 まず、ワンタイムパスワードがどのような機器で構成されるか、具体例を見てみよう。図1は時刻同期方式をとる場合の構成例、図2はマトリクス認証を行う場合の構成例だ。

図1 ワンタイムパスワードの構成例:時刻同期方式
図1 ワンタイムパスワードの構成例:時刻同期方式
資料提供:RSAセキュリティ

 RSAセキュリティの場合、「プライマリ」と「レプリカ」の1組のライセンス体系と、1レルムあたり「プライマリ」1台、「レプリカ」最大10台のライセンス体系があり、規模によって使い分けができる。レルムとは、認証サーバがもつデータベースやユーザ情報などを指し、拠点ごとに別々のレルムを構築して連携できるので、拡張性が高い。これらサーバ以外に、ユーザ個々にハードウェアトークンまたはソフトウェアトークンが必要となる。

図2 ワンタイムパスワードの構成例:マトリクス認証
図2 ワンタイムパスワードの構成例:マトリクス認証
資料提供:パスロジ

 基本的には図1と同様の構成をとるが、SSL-VPNなどのリモートアクセスでの認証、社内アプリケーションの認証(リバースプロキシとして動作)、Webアプリケーションでの認証がメインとなっている。ユーザ側にはブラウザがあればよいため、トークン配布などの手間はいらない。

 どちらの場合も、導入時に既存アプリケーションの認証部分の大きな改変をともなうことはなく、例えばシングルサインオン製品導入の場合のように、システム変更が大きな負担になることはない。
 ただし、拡張性のためにどのようなサーバ構成をとるのか、またライセンス体系がどうなっているのかは、どの製品を選ぶ場合でも必ず確認しておくべきだ。
 なお、認証部分がダウンすると業務に大きな支障が生じるため、サーバのクラスタリングや、負荷分散のための冗長化が容易にできるかどうかも同時にチェックしておきたい。

■サーバソフトウェア/アプライアンス、トークン…価格はどう見積もるか?

 導入の際には、サーバライセンスやアプライアンス台数の必要数を割り出す必要がある。リモートアクセス用途だけに使うのか、Webアプリケーションや社内アプリケーションにも利用するのかにより構成が変わるので、SIerやベンダと相談しながら適切に設計を行う必要がある。
 またトークンを使う場合には、どれだけの数を用意するかを決めなければならない。ソフトウェアトークンの場合はある程度柔軟に運用できるが、ハードウェアトークンの場合、ユーザが紛失した時には代替品をすぐに渡す必要がある。そのためには「予備のトークン」を用意しておくべきだ。その割合は実際の利用数のおよそ3〜5%程度を見積もるケースが多いという。
 ハードウェアトークン方式が一番初期投資が大きく、ソフトウェアトークンは比較的小さくて済む。どちらの場合も有効期限が2〜5年の間で決まっており、やがては更改の時期を迎え、追加費用がかかることになる。マトリクス認証はトークンレス方式なので、その面では費用がかからない。
 そうはいっても、ワンタイムパスワードの方式を選ぶ決め手が初期投資コストというケースはあまり多くない。比較的初期投資が少ない方式の製品が、少なくとも現時点までは市場で優位に立っていないのだ。むしろ、以下で触れる運用管理の工数や、使用目的による向き/不向きが大きな要素となっていると思われる。

■登録作業のしやすさが運用コストに跳ね返る!

 ワンタイムパスワードを導入する際には、少なくとも操作法についてユーザの十分な理解が必要であり、初期の教育コストはどの方式でも必ずかかる。その後の運用上で起きるトークンの紛失や、PINコード忘れ、マトリクス認証のパターン忘れ、非常時のアクセス拒否など、さまざまなトラブルに即時に対応するには、トークンの予備を確保しておくなどのほか、運用管理ツールの操作性も大事な要素になるだろう。もちろん、導入時の登録作業などでも、負荷が低いほうが望ましいのは言うまでもない。
 各社の運用管理ツールは、徐々にブラウザベースで操作できるタイプにシフトしてきている。扱いやすい操作性と、自社に必要な機能があるかどうかはチェックしておくとよい。また、導入時の登録作業やトークンの使用停止、追加などの操作に関しては実機デモで確認するなどして、業務負荷を事前に検討しておくことも必要だろう。

図3-1 運用管理ツールの画面例1
図3-1 運用管理ツールの画面例1
ユーザの新規登録画面。氏名、メールアドレスなどを記入し、作成ボタンを押すだけで登録できる。
資料提供:パスロジ

+拡大

図3-2 運用管理ツールの画面例2
図3-2 運用管理ツールの画面例2
認証の全体設定画面。パスワードの長さなどが設定できる。
資料提供:パスロジ

+拡大


…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

ワンタイムパスワード/3つの観点から選ぶ!ワンタイムパスワード」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ワンタイムパスワード」関連情報をランダムに表示しています。

ワンタイムパスワード」関連の製品

フルディスク暗号化ソリューション:SecureDoc 【ウィンマジック・ジャパン】 安心・安全・快適認証ソリューション「YubiOn」 【ソフト技研】 法人向けオンラインストレージ DirectCloud-BOX 【ダイレクトクラウド】
暗号化 ワンタイムパスワード オンラインストレージ/ファイルストレージ
OSやシステムファイルを含むハードディスク全体を暗号化。暗号化後のパフォーマンスに優れ、認証ツール(トークン)にも対応するなど、ニーズに合わせた柔軟な運用が可能。 Windowsのログオンや、WEBサービスの認証にYubiKeyによるワンタイムパスワードを導入して、よりセキュアな環境を実現。 社内外でファイルを効率よく安全に共有・管理できる「ユーザ数無制限」の法人向けオンラインストレージ。「セキュリティ」と「利便性」の両立を追求し生産性の向上を実現。

ワンタイムパスワード」関連の特集


今回は、表層的な利便性改善をはるかに超えるSSOの導入価値と、その仕組みを基礎からガッツリご紹介しま…



無線LANは普及したが、セキュリティ対策はどうだろうか?多くの企業で時代遅れな“常識”を信じていない…



PHS定額化や高速通信を実現する第三世代携帯電話の普及にあわせ、企業で利用が進むモバイルアクセスサー…


「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

ワンタイムパスワード/ 3つの観点から選ぶ!ワンタイムパスワード」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ワンタイムパスワード/ 3つの観点から選ぶ!ワンタイムパスワード」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30002347


IT・IT製品TOP > エンドポイントセキュリティ > ワンタイムパスワード > ワンタイムパスワードのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ