ハードウェアトークンとは？ AWSやAzure ADなどの多要素認証で利用が増えているハードウェアトークンについて解説

ハードウェアトークンとは

まず認証トークンとはどういったものなのか。またハードウェアトークンとソフトウェアトークンの違いについても解説します。

そもそも認証トークンとは何か

アクセス制御のために使用されるデジタルトークンです。一般的に、ユーザーがアプリケーションやサービスにアクセスする際に、ユーザー名とパスワードを入力することで認証が行われます。このプロセスにより、アプリケーションやサービスは、ユーザーが正当なユーザーであることを確認できます。ただし、ユーザー名とパスワードの入力はセキュリティ上の問題があります。例えば、パスワードを推測されたり、不正に入手されたりする可能性があります。そのため、認証トークンは、より安全な認証方法として使用されています。

認証トークンは、ユーザー名とパスワードの代わりに生成されます。アプリケーションやサービスは、認証トークンを送信することで、ユーザーが正当なユーザーであることを確認できます。認証トークンは一定期間有効で、期限が切れたら再び生成する必要があります。

セキュリティレベル向上のために導入される多要素認証

さまざまなクラウドサービスや、インターネットバンキングなどの金融機関が提供するサービスを利用する際には、本人確認のための認証手続きが欠かせません。近年では、セキュリティレベルを向上させるために多要素認証を導入することが一般的となっています。

多要素認証では、知識情報、所持情報、生体情報の3つの要素のうち、2つ以上の情報をもとに認証を行います。ハードウェアトークンによる認証は、ハードウェアトークンと呼ばれる認証デバイスを所持することで可能となる所持情報に基づく認証になります。たとえば、知識情報としてIDとパスワードを入力し、ハードウェアトークンを用いてワンタイムパスワードを入力することで、知識情報と所持情報の2要素認証が成立します。多要素認証については別記事にて詳しく解説しています。

ハードウェアトークンとソフトウェアトークンとの違い

ワンタイムパスワードを発行する仕組みとして代表的なトークンには、スマートフォンなどにアプリケーションとしてインストールするソフトウェアトークンと、専用の物理デバイスによってワンタイムパスワードを発行するハードウェアトークンがあります。

ハードウェアトークンは、認証用のワンタイムパスワードの発行にハードウェア（物理デバイス）を利用します。そのため、該当するデバイスをユーザーに配布する必要があります。逆に、必要な設定を施した専用デバイスを配布することで、利用者は設定なしですぐに利用可能です。

これに対してソフトウェアトークンは、利用者自身がもつスマートフォンや携帯電話などのデバイスに専用のアプリケーションをインストールして、自身で設定する必要があります。このため、対象となる利用者が全員、スマートフォンや携帯電話を所持していることが前提となります。

多要素認証（MFA）を利用すべき背景

近年、多要素認証が重視されるようになった背景には、クラウドサービスの普及と、それに伴うサイバー攻撃による情報漏えいなどのセキュリティインシデントの増加があります。

サイバー攻撃は頻度が高まっているだけでなく、より巧妙になってきています。このような環境では、一般的なパスワード認証だけではサイバーセキュリティを向上させるのに十分な安全性を確保できなくなっています。そこで、パスワードの弱点を補い、不正アクセスを防ぐことでセキュリティを向上させるのが多要素認証になります。

また、特定の国や業界では、サイバーセキュリティを向上させるために、多要素認証をルールとして採用し始めています。例えば米国では、バイデン大統領が2021年のサイバーセキュリティに関する大統領令を発表し、政府システムに多要素認証を採用するよう求めています。今後もこうした動きが加速する可能性があります。

金融機関や建設業界、データセンターなどで利用

ハードウェアトークンは、さまざまな認証方法の中で最も安全な認証方法の1つとされています。そのため、高度なセキュリティが求められる場面でハードウェアトークンが利用されることが多く、金銭のやり取りが発生する金融機関では、ほぼデフォルトでハードウェアトークンを使った多要素認証が利用されています。

また、建設業界などでは、現場作業員や協力会社など対象者全員がスマートフォンを持っているとは限らないため、ハードウェアトークンを対象者全員に配布し、統一的な認証を可能にしているケースもあります。

他にも、データセンター内で業務を行う必要がある場合など、セキュリティ上の理由からスマートフォンを持ち込めないケースも多く、そのような場合にはハードウェアトークンが使われることが多いです。

Azure ADやAWSでも採用

最近の傾向として、クラウド基盤上の多要素認証の方式としてハードウェアトークンが利用されるケースが増えています。Azure ADやAWSでは、ハードウェアトークンを用いた形で、ユーザーに対して多要素認証をさせるという設定項目があります。特にAWSの場合には、グローバルでTHALES（タレス）社とAmazon（アマゾン）社がアライアンスを組んでいるため、AWSでのハードウェアトークンを使った多要素認証には、THALES（タレス）社のハードウェアトークンが利用されています。※1

※1　AWSで利用するためのTHALES社のハードウェアトークンは、Amazonで購入する必要があります。

ハードウェアトークンのメリット

ハードウェアトークンのメリットとしては、次のようなものが挙げられます。

１．ネットワークに接続していなくてもOK

ハードウェアトークンは、機器自体に時計機能を持ち、機器に付随するIDと時刻情報に基づいて、要求された時刻（特定のタイムゾーン）のみ有効なワンタイムパスワードを生成します。このワンタイムパスワードを発行するアルゴリズムは認証サーバ側にも用意されており、ハードウェアトークンが生成したワンタイムパスワードと認証サーバが生成したワンタイムパスワードを比較することで認証を行います。このため、ハードウェアトークン自体をネットワークに接続する必要がなく、環境に影響されずにワンタイムパスワードを発行できるというメリットがあります。

２．物理デバイスなのでサイバー攻撃に強い

ネットワークに接続されないというメリットと関連しますが、ハードウェアトークン自体がネットワーク機器ではないため、サイバー攻撃を受けにくいというメリットがあります。

３．ユーザーが使いやすい（管理者はトークンを設定・配布するだけ）

ハードウェアトークンは、利用者側での設定や手続きが不要です。管理者がハードウェアトークンの設定を行う必要はありますが、設定後に配布されたハードウェアトークンをそのまま利用できるため、利用者の利便性が向上するというメリットがあります。

４．金融機関や官公庁のセキュリティ基準への対応

ハードウェアトークンは、日本の金融機関や官公庁が推奨する認証方式です。より高度なセキュリティが求められる金融機関・官公庁のセキュリティ基準に適合した信頼性の高い認証方式といえます。

ハードウェアトークンの利用ならTHALES（タレス）社のIDaaSソリューション

丸紅情報システムズでは、THALES（タレス）社のIDaaSソリューション「SafeNet Trusted Access（以下、STA）」を提供しています。

世界60か国以上で事業展開しているTHALES（タレス）社は情報漏洩インシデントを起こしたことが皆無という非常に高い安全性・信頼性を誇っています。

そのTHALES社製のIDaaSソリューションであるSTAは、多種多様な認証方法に対応でき、効率的に多要素認証を実現できます。もちろん、ハードウェアトークンにも対応しており、またIDaaSとしては唯一、マトリックス認証を実装しています。またSSO（シングルサインオン）やユーザー管理、アクセス管理に柔軟に対応できるという優れた機能性を備えており、そしてSLAは99.99%を保証しています。

実はこんなところでも採用されているTHALES（タレス）社のハードウェアトークン

THALES（タレス）社製のハードウェアトークンやSTAは、日本でも多くの企業で導入されています。

ある建設会社では、約1000ユーザーにハードウェアトークンを導入しました。建設現場でさまざまなクラウドサービスを利用する際、THALES（タレス）社製のハードウェアトークンとSTAを導入して活用しています。建設現場では、当該の建設会社の社員だけでなく、関連する設備会社や施工会社など、さまざまな関係会社から人員が集まっています。そのため、スマートフォンを常時所持していない企業もあり、スマートフォンに依存したソフトウェアトークンなどの認証方式を利用することができないという問題がありました。そこで、同社ではハードウェアトークンによる認証を採用し、全社員にハードウェアトークンを配布することで、現場でも問題なく安全にクラウドサービスを利用できるようになりました。

また、ある保険会社では、約500人のユーザーにTHALES（タレス）製のハードウェアトークンを導入しました。保険会社では、保険契約の設計で顧客の健康情報を扱うため、クラウドを利用する際には強固な認証方式が欠かせません。そのため、複数の多要素認証方式から選べる場合は、よりセキュリティレベルの高いハードウェアトークンが採用されることが多く、当該の保険会社でも、まさに最適な認証方法だとして導入が決定しました。

また、業種・業界を問わず、昨今はAzure ADやAWSなどのクラウド基盤を利用する企業が増えており、それに比例する形でハードウェアトークンを採用する企業が増加の傾向にあります。

メーカーだからハードウェアトークンとIDaaSの親和性が抜群

THALES（タレス）社では、物理デバイスとしてのハードウェアトークンも製造しているため、IDaaSソリューションであるSTAとの親和性も高く、高い利便性を実現しています。（他サービスではハードウェアトークンを利用したい場合、別途調達を行う必要がある場合が多いです。）

もちろん、STAを使わずにハードウェアトークンだけを調達することも可能です。

ハードウェアトークンと他の認証方法を組み合わせることが可能

THALES（タレス）社のSTAを導入すれば、ハードウェアトークンだけでなく、マトリックス認証など多様な認証方式が利用可能です。そのため、企業の環境やセキュリティポリシーを考慮し、最適な認証方式を組み合わせて多要素認証を実現することが可能です。

ハードウェアトークンだけを活用したいという場合も、IDaaSソリューションと併せてハードウェアトークンを活用したいという場合も、まずは丸紅情報システムズにお問い合わせください。