Initiative for Open Authenticationとは？ わかりやすく解説

ウィキペディア

Initiative for Open Authentication

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2026/03/11 13:37 UTC 版)

「OAuth」とは異なります。

「OATH」はこの項目へ転送されています。その他の用法については「オース (曖昧さ回避)」をご覧ください。

英語版ウィクショナリーに関連辞書項目があります。

oath

Initiative for Open Authentication（イニシアチブ・フォー・オープン・オーセンティケーション、OATH）は、強固で相互運用可能な認証方式の普及を目的として、オープン標準を策定・推進する業界横断の団体である。OATHはベンダ中立的な立場から、ワンタイムパスワードや関連する鍵プロビジョニング技術の公開仕様を整備してきた^[1][2]。

OATHの成果として知られる仕様には、HOTP（HMAC-based One-Time Password）・TOTP（Time-Based One-Time Password）・OCRA（OATH Challenge-Response Algorithm）・PSKC（Portable Symmetric Key Container）・DSKPP（Dynamic Symmetric Key Provisioning Protocol）などがある。これらは多要素認証やトークン認証、対称鍵の配布・管理に関する相互運用性確保を目的としている^[3][4]。

概要

OATHは、強固な認証技術の採用を広げるために、オープンでロイヤリティフリーな仕様を公開し、異なるベンダや実装間の相互運用性を高めることを目標とする。公式サイトでは、ワンタイムパスワード関連仕様の公開、リファレンスアーキテクチャの整備、認証制度の運営、他団体との協力を主要活動として掲げている^[5]。

OATHはしばしばOAuthと混同されるが、両者は別物である。OATHは認証のためのオープン標準群を扱うのに対し、OAuthは主としてAPIや保護資源へのアクセス委任を扱う認可プロトコルである^[6]。

目的と活動

OATHの目的は、強固な認証を広く利用可能にし、特定ベンダに依存しない形で普及させることである。公式説明によれば、OATHは以下のような活動を行っている^[7]。

• ワンタイムパスワードおよび関連技術のオープンでロイヤリティフリーな仕様の公開
• 強固な認証およびパスワードレス認証のためのリファレンスアーキテクチャの提示
• 認証器と検証サーバの相互運用性を促進する認証制度の運営
• 他の標準化団体や業界団体との連携

現在のOATHサイトでは、HOTP Token Profile・TOTP Authenticator Profile・OCRA Transaction Signing Profileなどの相互運用プロファイルや認証制度も案内されている^[8]。

主な仕様

HOTP

RFC 4226は、HMACを用いたイベントベースのワンタイムパスワード方式であるHOTPを定義している。 RFC 4226の冒頭では、『この仕様がOATHメンバーによる共同作業であり、インターネット上で二要素認証の採用を容易にするため、自由に配布可能な共通アルゴリズムを目指した』と説明されている^[9]。

TOTP

RFC 6238は、HOTPを拡張した時間ベースのワンタイムパスワード方式であるTOTPを定義している。これは、イベントカウンタの代わりに時間値を移動因子として用いるものであり、現在では認証アプリを用いた二要素認証の代表的な方式として広く利用されている^[10]。

OCRA

RFC 6287は、OATHにより開発されたチャレンジレスポンス認証方式であるOCRAを定義している。 RFC 6287は、『OCRAがHOTPを基礎にしつつ、一方向認証・相互認証・電子署名用途に対応する』と説明している^[11]。

PSKCとDSKPP

RFC 6030のPSKCは、対称鍵を安全に移送・保管するためのコンテナ形式を定義する。 RFC 6063のDSKPPは、クライアント装置へ動的に対称鍵を供給するためのプロトコルである。いずれも、ワンタイムパスワードトークンや対称鍵ベース認証の実運用を支える周辺仕様として位置づけられる^[12][13]。

位置づけ

OATHは、特定ベンダ製品に依存しない認証仕様群を整備した点で、多要素認証の普及に大きな影響を与えた。特にHOTPとTOTPは、ハードウェアトークンやスマートフォン認証アプリを含む多くの実装で共通基盤として用いられている。OATHの現行サイトでも、これらの仕様が広く展開されている認証方式の基盤であることが強調されている^[14][15]。

近年のOATHは、古典的なOTP標準の維持にとどまらず、相互運用プロファイルや認証制度の提供を続けている。また、2025年にはPasswordless Allianceへの参加を公表しており、認証の相互運用性と普及促進に関する活動を継続している^[16][17]。

関連項目

• HOTP
• TOTP
• OCRA
• 多要素認証
• ワンタイムパスワード
• OAuth

脚注

1. ^ “About OATH – Initiative for Open Authentication”. OATH. 2026年3月7日閲覧。
2. ^ “OATH – Open Authentication”. OATH. 2026年3月7日閲覧。
3. ^ “Specifications & Technical Resources”. OATH. 2026年3月7日閲覧。
4. ^ M'Raihi, D.; Bellare, M.; Hoornaert, F.; Naccache, D.; Ranen, O. (December 2005). HOTP: An HMAC-Based One-Time Password Algorithm (英語). doi:10.17487/RFC4226. RFC 4226.
5. ^ “About OATH – Initiative for Open Authentication”. OATH. 2026年3月7日閲覧。
6. ^ “FAQ – OATH vs OAuth”. OATH. 2026年3月7日閲覧。
7. ^ “About OATH – Initiative for Open Authentication”. OATH. 2026年3月7日閲覧。
8. ^ “Profiles & Certification”. OATH. 2026年3月7日閲覧。
9. ^ M'Raihi, D.; Bellare, M.; Hoornaert, F.; Naccache, D.; Ranen, O. (December 2005). HOTP: An HMAC-Based One-Time Password Algorithm (英語). doi:10.17487/RFC4226. RFC 4226.
10. ^ M'Raihi, D.; Machani, S.; Pei, M.; Rydell, J. (May 2011). TOTP: Time-Based One-Time Password Algorithm (英語). doi:10.17487/RFC6238. RFC 6238.
11. ^ M'Raihi, D.; Machani, S.; Pei, M. (June 2011). OCRA: OATH Challenge-Response Algorithm (英語). doi:10.17487/RFC6287. RFC 6287.
12. ^ Hoyer, P.; Pei, M. (October 2010). Portable Symmetric Key Container (PSKC) (英語). doi:10.17487/RFC6030. RFC 6030.
13. ^ Doherty, W.; Belfer, K.; Machani, S.; Pei, M. (January 2011). Dynamic Symmetric Key Provisioning Protocol (DSKPP) (英語). doi:10.17487/RFC6063. RFC 6063.
14. ^ “OATH – Open Authentication”. OATH. 2026年3月7日閲覧。
15. ^ “Specifications & Technical Resources”. OATH. 2026年3月7日閲覧。
16. ^ “Profiles & Certification”. OATH. 2026年3月7日閲覧。
17. ^ “Passwordless Alliance welcomes OATH”. OATH (2025年6月11日). 2026年3月7日閲覧。

外部リンク

• OATH – Open Authentication
• Specifications & Technical Resources