ワンタイムパスワード (OTP) 対応シングルサインオン製品比較
クラウドの膨大なリソースを利用しているのは、私たち一般人や企業だけでなく、実はハッカーも同様です。これまで行えなかったような尋常でない数の攻撃を、クラウドのパワーを利用して行えるようになりました。
こうした攻撃から、個人情報、預金などの金融資産、研究情報などの機密を守るために導入が進んでいるのがワンタイムパスワード、通称 OTP (One-time Password) です。
なぜOTPの導入が進んでいるのか
では、2010年代後半になって、なぜOTPに注目が集まっているのでしょうか。
まず、OTPの技術自体は決して新しいものではありません。日本ではじめに大規模にOTPを導入したのは銀行です。オンラインバンキングが始まった2000年代前半から導入が進みました。
この時代に利用されていたOTPのほとんどは物理的なドングルを利用したものでした。オンラインバンキングの利用時、または振り込みなどの送金処理を行う際に、パスワードに加えて、ドングルに表示されている数字6桁 (ドングルにより入力桁数は異なる) を入力するというものです。ドングルに表示される数字は、数十秒おきに自動更新されるため、不正アクセスや不正送金を防ぐことができました。
しかし、ドングル型の製品にはデメリットもありました。パソコンを家から持ち出して外でネットに接続したときや、スマートフォンからオンラインバンキングにアクセスする際に、ドングルがないとオンラインバンキングの処理が行えないためです。
また、クラウドのパワーを利用したハッキングや不正アクセスの試みが増加しているため、ドングルのような専用物理デバイスに頼らないOTPが必要とされるようになりました。そして、スマートフォンの普及によりこれが可能となりました。例えば、Google AuthenticatorやMicrosoft Authenticatorなど、スマホアプリから提供されるOTPや、電話やSMSでなどで通知されるOTPなどです。これにより、専用のドングルを持ち運ぶ必要性が低減しました。
OTP対応シングルサインオン3製品を比較
では、日本国内で利用できるOTP対応のシングルサインオン3つを比較してみたいと思います。まず、機能面を比較すると下図の結果となります。製品の優れている点を赤色に、劣っている点をグレーで表示しました。
[2018年6月時点]
この比較結果について、1つずつ見ていきましょう。
開発企業名
OneloginとOktaは、どちらも米国カリフォルニア州に本社がある企業となります。Oneloginの会社設立は2009年、Oktaの設立も同じく2009年となります。
これに対し、トラスト・ログインの開発元であるGMOグローバルサインは2003年に設立した企業で、その源流は1996年にベルギーで設立されたGlobalSignとなります。
日本法人
トラスト・ログインの開発元であるGMOグローバルサインは、日本企業であるため東京・渋谷に会社が置かれています。
また、Oneloginは日本法人が設置されており、日本語のホームページも情報量が少ないながらも提供されています。一方、Oktaは日本法人がなく、ホームページも英語とフランス語しか提供されていません。
上場
会社が上場しているから信頼できる、というわけではありませんが、上場の有無は、ある程度の信用力を示す指標となります。
Oktaは米国NASDAQに上場しており、GMOグローバルサインは直接の親会社であるGMOクラウドが東証一部に上場しています。GMOクラウドの親会社であるGMOインターネットも同じく東証一部にしています。
Oneloginは、2019年4月現在、上場は行っておりません。
OTP機能
Onelogin、Okta、トラスト・ログインの全てがOTPに対応しています。
なお、OTP機能を利用する場合、どのようなプランに加入し、毎月の費用がどの程度になるかについては、次の項目でお伝えします。
日本語対応
OneloginとOktaは、米国で開発されているため英語版がベースとなっています。どちらも、一般ユーザーが利用する画面は日本語されていますが、管理者画面は英語のままで日本語化されていません。また、Oneloginは日本語画面を利用する場合は、加入するプランに制約があります(後で説明)。
トラスト・ログインは、日本企業が日本で開発を行っているため、一般ユーザーが利用する画面ならびに管理者画面のいずれも日本語対応されています。
日本語ドキュメント・技術資料
自社独自のアプリをどのようにシングルサインオンさせるかについて知りたい時や、認証に問題が発生した時など、メーカーや販売店のサポートに連絡する前に、まず自分でドキュメントを確認して問題解決に当たりたい、そう考える情報システム担当者は多いかと思います。
残念ながらOktaは、日本語ホームページが存在せず、日本語のドキュメントも一切提供されていないため、何かあるたびに英語のドキュメントに当たる必要があります。
次にOneloginは、日本語ホームページはありますが、技術資料の多くが日本語化されていないため、英語で資料に当たるか、販売店にコンタクトするしかありません。
最後にトラスト・ログインは、日本企業が日本語で開発を行っているため、全てのドキュメントを日本語で公開しています。情報システム担当者が英語に堪能でない場合でも、トラスト・ログインであれば安心です。
日本語サポート
問題があった際に、日本語でサポートを受けられること、それもできるだけ詳しい人にすぐ問合せできることは、トラブル解決の重要な要素です。
Oktaは、日本法人が設立されていないので、まずは日本の販売店からサポートを受けます。そして、ここで解決しない場合は米国本社に問い合せることになります。
Oneloginは、日本の販売店からサポートを受けますが、問題解決しなかった場合はOnelogin日本法人、それでも問題解決しない場合はOnelogin米国本社へとエスカレーションされます。
本社エスカレーションされる際に留意しておきたいのは、時差です。東京 (UTC +9時間) と、OneloginならびOktaの本社がある米国カリフォルニア州 ([標準時] UTC -8、[夏時間] UTC -7) とでは、16時間または17時間の時差があります。例えば、日本から正午に問い合わせた場合、カリフォルニア時間は午後7時または8時であり、サポートは終了しています。よって、対応は翌日となり、10時間以上待つ必要があります。
トラスト・ログインは、東京・渋谷にあるGMOグローバルサインがサポートを提供しているため、日本時間の正午に問い合わせた場合は、その日にサポート対応を受けることができます。
データ保管場所
クラウドなので、どこにデータが保管されているか、どこにデータセンターがあるかを意識することは少ないですが、「どこにデータがあるか」により、「どの国の法律が適用されるか」が異なってきます。
例としてアメリカでは、「米国愛国者法 (USA Patriot Act)」の適用を受けると、捜査機関は裁判所の関与なしでデータの提出を求めることが可能です。これ自体には問題はありませんが、他のユーザーが操作を受けることで、利用しているサービスの稼働に影響が出る可能性もあります。
またEUでは、EUデータ保護指令 (Data Protection Directive)が施行されており、こちらも同じデータセンターを利用している会社が操作を受けた場合に、サービスに影響が出る可能性があります。
ちなみに、OneloginとOktaは日本国内にデータセンターはありません。両社ともに、米国とEUの両方にデータセンターがあると公表しています。このため、米国やEUの法律が適用されるリスクがあることを理解しておく必要があります。
トラスト・ログインは、日本国内のデータセンターを利用しているため、海外の法律が適用されるリスクはありません。日本の国内法のみが適用されます。
OTPを利用するための費用は?
さて、ここまで機能についてご紹介してきましたが、機能と同じくらい重要なコストについて見ていきたいと思います。
まず、Oneloginですが、1ユーザーあたりの月額費用が4ドルのEnterpriseプランを利用すると、OTPが利用可能となります。なお、このEnterpriseプランでは、合わせて日本語UIが提供されています (2ドル以下のプランでは日本語UIが提供されていません)。なお、ユーザー数10以上での契約が必要ですので、ご注意ください。
Oktaは、1ユーザーあたり月額費用2ドルのSingle Sign-Onプランを利用すると、OTPが利用可能となります(日本語UIも提供されています)。
注意が必要なのは、Oktaはユーザー数制限がない代わりに、1契約あたり年間1500ドル以上の支払いが必要ということです。これは、ユーザー追加でも、付属するオプション利用でも構いませんが、年間支払額を1500ドルに到達しなければならないというものです。この制限のため、従業員数が少ない企業ではOktaを選択肢とすることは難しいでしょう。
最後にトラスト・ログインですが、基本機能は全て無料で提供されていますが、追加料金100円 (2018年4月現在) でOTPを利用可能です。ユーザー数制限、金額制限もないため、非常に少額からスタートでき、かつ他サービスと比べて最も安価となっています。
OTPを必要な時に必要だけ安価に導入できるトラスト・ログイン
冒頭の機能比較表、ならび価格比較表でお伝えした通り、機能とコスト、日本語利用、日本語サポートなど、ほぼすべての面において、OneloginやOktaよりトラスト・ログインが勝っていることが明らかになったかと思います。さらにもう一点、トラスト・ログインのメリットがあります。
トラスト・ログインは「基本機能は全て無料」で提供されているサービスです。そして、OTPが必要な人にだけOTPオプションを付けるという運用が可能です。つまり、従業員が1,000人いても、OTPが必要な人は300人しかいない場合は、「300人分だけのオプションを購入」すればよいのです。
OneloginもOktaも、有料での利用を前提としているため全ての従業員を有料プランに加入させる必要があります。単純なコスト比較だけでなく、「必要なときに必要なだけ」導入できるという点も考慮材料となります。
ぜひ、トラスト・ログインならびにオプション機能のOTPをご評価ください。