『Everidays』にワンタイムパスコード認証追加、ファイル送信の安全性強化へ

株式会社yettは、法人向けクラウドストレージ『Everidays』において、ファイル送信時の新たな認証方式として「ワンタイムパスコード認証」を追加しました。これにより、情報漏洩リスクを低減し、より強固なセキュリティ環境を提供します。

ファイル送信の認証に新方式

見出し

従来、『Everidays』のファイル送信機能では、ダウンロードリンクとパスワードをそれぞれ別のメールで受信者に通知する方式を採用していました。これにより、PPAP方式で課題となる運用負担を軽減しつつ、パスワードによる認証層を設けていました。

しかし、同社は利用企業からの意見やセキュリティ動向を踏まえ、以下の課題を認識していました。

パスワード通知メールの傍受リスク：ダウンロードリンクとパスワード通知が同一経路で送信されるため、メール環境が侵害された場合に両方が同時に漏洩するリスクがありました。
パスワードの固定性：一度発行されたパスワードが変更されないため、情報流出時のリスクが懸念されていました。

これらの課題に対応するため、より強固なセキュリティを実現する新認証方式の導入に至ったとしています。

新たに追加された「ワンタイムパスコード認証」は、ファイルダウンロード時に、その場限りで有効なコードを受信者のメールアドレスへ自動送付する方式です。従来のパスワード認証方式に代わる選択肢として、ファイル送信時に利用者が認証方式を選択できるとしています。

認証フローは以下の通りです。

この新方式には、主に三つのメリットがあります。

リンク流出による不正アクセスを防止
万が一、ダウンロードURLが第三者に流出した場合でも、受信者のメールボックスにアクセスできなければパスコードを取得できません。ダウンロードの都度パスコードが発行されるため、URL単独での情報流出リスクを防ぐことが可能となります。
パスワード通知メールが不要
従来方式で自動送信されていたパスワード通知メールが不要となります。受信者はダウンロード画面で直接パスコードの発行を受けるため、メール受信箱にパスワードが残り続けるリスクも解消されます。
「一度限り」の認証による高い安全性
固定パスワードとは異なり、ワンタイムパスコードは都度発行され、一度限りの利用を前提としています。これにより、パスワードの使い回しや再利用によるリスクを抑え、より安全なファイル共有を実現するといいます。

同社によると、従来のパスワード認証方式も引き続き利用可能で、ファイル送信時に利用シーンに応じて使い分けができるとしています。ワンタイムパスコードには有効期限があり、期限を過ぎた場合は再発行が必要となります。また、この新機能はEveridaysの標準機能として、追加料金なしで利用できるとしています。