RSS

【PR】ERPシステムにおけるワンタイムパスワードについて BANGKOK TOKI SYSTEM CO., LTD.

2018年9月27日(木) 00時38分(タイ時間)
ERPシステムにおけるワンタイムパスワードについて ログオン画面の画像
ERPシステムにおけるワンタイムパスワードについて ログオン画面
ERPシステムにおけるワンタイムパスワードについて ワンタイムパスワードの画像
ERPシステムにおけるワンタイムパスワードについて ワンタイムパスワード
難波 孝次 氏 Managing Director BANGKOK TOKI SYSTEM CO., LTD.

 前回QRコードとAIの活用方法の中で、「セキュリティ強化にも利用できる」というお話をさせていただきましたが、それについてお客様から具体的にはどのようなものなのか? というご質問をいただきまして、そこで今回はこのシステムセキュリティについてのお話をさせていただけますでしょうか。

 通常ERPシステムのセキュリティと言いますと、システムを最初に起動させた際にログオンの画面が表示され、同画面からユーザーIDとパスワードを入力することによりシステムへのログオンがおこなわれまして、このユーザーIDに対して権限が与えられた業務のみがオープン出来るという形となっております。このため当然のことながらパスワードというものは非常に重要なものとなり、仮にAさんのユーザーIDとパスワードを使ってBさんがシステムにログオンしてしまいますと、通常であればBさんが入力することが出来ないデータをAさんに成りすまして入力することが出来てしまいます。

 このため、例えばインボイスを改ざんして承認までおこなってしまうことも出来る訳で、後でシステムのログを確認しても、システム側ではAさんが入力したものであるとみなされますことから、原因の追究が困難となってしまいます。

 このように社内であってもパスワードの漏洩というものはそれほど大きなリスクを含んでいるのですが、このタイ国ではローカルスタッフ同士で気軽にパスワード情報を交換してしまったりというお話はよく耳にいたします。そこでこのような問題の発生を防ぐ為にワンタイムパスワードというものがございまして、これは簡単に説明するとその呼称通り1回のみ使えるパスワードということになります。

 銀行の送金処理等で使用されている方法ですと、まず必要情報を入力すると同内容を元にして処理実行に必要なパスワードが携帯電話等の端末に送信されるという形が一般的で、これをERPシステムにておこなうとすると、ログオン画面でユーザーIDを入力すると、あらかじめ登録されたメールアドレスにワンタイムパスワードが送られ、ユーザーさんはそのパスワードを入力することによりシステムへのログオンがおこなわれるという形になりますでしょうか。この方法ですとログオンをおこなう時間(パスワードが発行されて一定時間を経過すると無効となる)とPC(最初にユーザーIDが入力された端末PCからでないと無効となる)のチェックがおこなえますので、仮にパスワードメールが他の人に見られても成りすましログオンをおこなうことは不可となります。

 ただこの方法にも一つ問題がございまして、それはERPシステムとなりますと、基本的に毎日使用されるものでありまして、それも1日の内に何度もログオンをおこなうケースもあるかと思います。その際に都度メールにて送付されたパスワードを入力する必要があり、しかも自分で記憶しているパスワードであればそれほど苦にもならないでしょうが、ワンタイムパスワードですとなんの脈絡もない英数字が大文字小文字を交えて並んでおりますことから、これを毎回メールとにらめっこしながら入力しないといけないという作業となってしまい、また入力ミスによる作業時間のロスも発生するでしょうし、この作業に対してユーザーさんからクレームが入ることは容易に想像出来ます。

 そこで、この問題を解決する手段として用いられるのが前回説明させていただいたQRコードでございます。具体的にはメールでワンタイムパスワードを送る代わりにQRコードを送り、ユーザーさんはパスワードを入力する代わりにQRコードをスキャンするだけでログオンがおこなえるというものでございます。この方法であれば仮に複雑で長大なパスワードが生成されても当然ながら入力ミスはございませんし、操作手順もシンプルなもので済みまして、またチェック機能として時間チェックと端末チェックもおこなえますので、前述の成りすましログオンも防止出来ます。

 このQRコードを用いたワンタイムパスワード方式において、唯一欠点があるとすれば全端末にバーコードリーダーを用意しないといけないことになりますでしょうか。特にタイ国ですと端末PCに接続するタイプのリーダーでも思ったより高価なものとなり、それを端末台数分用意するとなりますと、他に何か使用用途があるということであればそれほど問題にもならないかと思いますが、セキュリティ強化の為だけにということになりますと費用対効果の面で検討が必要になるかと思います。

 この為次善の策として、送られてくるメールの中身にQRコードではなくシステムのログオンアドレスを記載しておき、同アドレス内にワンタイムパスワードを組み込んでおけばユーザーさんはそのリンクアドレスをクリックするだけで、システムにログオンがおこなえるという仕組みが考えられます。この方法でも時間チェックと端末チェックはおこなえますので、操作性を損なわないまま、かつ機器調達等の追加費用も不要で、システムセキュリティの強化が図れるということで、現実面で考えますと今のところこの方法がベストではないでしょうか。

 弊社では上記のシステムセキュリティのみではなく、社内の業務管理システムに関するあらゆるご相談ご依頼に対応させていただいておりますので、現在システム導入をお考えになられている方、現行システムの改善をご検討されている方がいらっしゃいましたら、お気軽にご連絡をいただけますでしょうか。

BANGKOK TOKI SYSTEM CO., LTD.
住所:333 Lao Peng Nguan Tower 1, 17th Floor, Unit B1, SoiChaypuang, Viphavadi-Rangsit Road, Chomphol, Chatuchak, Bangkok 10900
電話:0-2618-8310-1 ファクス:0-2618-8312 Eメール:toki@ksc.th.com
ウェブサイト:www.tbosjpn.com/web_tbos/erp/skk/skk.htm
《newsclip》


新着PR情報