2005年4月から施行される個人情報保護法など、セキュリティシステムに対する認識が高まる中、ワンタイムパスワードの動きが再び活発になってきた。特にリモートアクセスに使うSSL-VPN装置とワンタイムパスワードのシステムをセットで提案するケースが増えている。
情報漏洩を防ぐセキュリティ対策の一環として、ワンタイムパスワードが再び注目を集めている。国内市場で先行するRSAセキュリティ(東京都千代田区)の「SecureID」やセキュア コンピューティング ジャパン(東京都港区)の「Safe Word」、エヌ・シー・エル・コミュニケーション(東京都中央区)の「ActivCard」などに続き、2003年からはシー・エス・イー(東京都渋谷区)やファルコンシステムコンサルティング(東京都千代田区)なども次々と参入している。
ワンタイムパスワードとは文字通り「1回しか使わないパスワード」のこと。ネットワークに接続してユーザー認証するときのパスワードを1回しか発行しないことで、なりすましなどの防止につなげる。利用者は電卓のような小型機器を携帯し、液晶画面に毎回表示されるパスワードを入力して認証する。一般に使われる固定パスワードで認証するより、安全性が高まる。国内では約10年前から利用が始まり、モバイルによるリモートアクセス、特にインターネットの普及に伴い市場も伸びた。それが最近は、2005年4月から施行される個人情報保護法でセキュリティ対策への認識が高まり、再び活発になった。
最も多い販売方法は、リモートアクセスに使うSSL-VPN(セキュア・ソケット・レイヤーによる仮想私設網)装置とセットで提案するケースだ。SSL-VPNを使えば、端末側は特別なソフトや設定が不要になる。ブラウザーだけで手軽にリモートアクセスできるため、急成長している。そこでユーザー認証の手段として、ワンタイムパスワードも合わせて販売するわけだ。ただし国内市場はRSAセキュリティのSecureIDが圧倒的にシェアが大きい。そこで競合メーカーは、様々な工夫を図って差異化しようとしている。
新しい認証方式を開発
最も大きな差異化は、新しい認証方式の開発だ。SecureIDはパスワードを記憶する必要はないが、小型機器を携帯するために不便さを感じる利用者もいる。そこでシー・エス・イーとファルコンシステムコンサルティングは、小型機器が不要の新しい認証方式をそれぞれ自社開発して実用化した。
シー・エス・イーの「SECURE MATRIX」は、利用者がブラウザー画面に表示される数字列の模様だけを記憶して、ユーザー認証に使う方式だ。数字列が8桁以上になるように、「画面の一番左側のL字型」「真ん中部分のM字型」「左右両端のそれぞれ一列ずつ」など数字列の模様だけをあらかじめ登録しておく。
利用者はアクセスすると画面の数字列を見ながら、登録した模様に従って数字を「68022953」などと入力する。表示される数字列は毎回変わるので、数字列の模様を記憶した利用者しか分からない。携帯電話にも対応できる。「小型機器を持ち歩かずに済み、利用者の負担が減る。出張先で小型機器が壊れた場合などを想定して導入するユーザー企業も多い」(高野透プロダクツ販売部長)。
