ハードウェアトークンの特徴や種類について解説

ネットバンキングのように強固なセキュリティが必要なWebサービスでは、IDとパスワードに加え、セキュリティトークンによるワンタイムパスワードなどを活用した二要素認証が導入されています。その中で、カード型やキーホルダー型など物理的なデバイスを用いるハードウェアトークンの特徴やメリット、注意点などについて解説します。

カード型、キーホルダー型など手の中に収まる便利さ

フィッシングサイトを使ってIDやパスワードなどの個人情報を入手し、ネットバンクの口座に不正アクセスされたり、キャッシュレスの支払い方法などを盗まれるなどの被害が相次いでいます。このように、お金にまつわるWebサービスのセキュリティはIDとパスワードだけでは十分ではなく、ワンタイムパスワードによる認証が取り入れられることが主流となっています。この認証を実現するために必要な技術が「セキュリティトークン」です。

セキュリティトークンには、大きく分けて、「ハードウェアトークン」と「ソフトウェアトークン」の2種類があります。ハードウェアトークンは物理的なデバイスを使ってワンタイムパスワードを発行し、デバイスはポケットサイズのものが一般的です。これに対しソフトウェアトークンは、スマートフォンなどで利用できるアプリケーションが主流です。特定のサービスを利用する際にアプリを起動し、紐付けられたアカウントに対して認証を行います。

ハードウェアトークンには、その目的や用途によってさまざまな種類があります。カード型は、キャッシュカードやクレジットカードのようなカードの形状をしています。クレジットカードなどと同じ形状の薄型なので、財布やカードケースに収納できる利便性が特徴です。またキーホルダー型も、手の中に収まり、小型で携帯しやすいのが特徴です。これらは、パソコンから独立して機能し、ボタンを押すと、液晶画面にワンタイムパスワードが表示される仕組みです。

一定周期、または、ログインごとの「使い捨てパスワード」

ハードウェアトークンとは、主に「ワンタイムパスワード」を生成する端末のことを指します。ワンタイムパスワードとは、言ってみれば一度だけ使うことができる「使い捨てのパスワード」です。そして、そのパスワードが生成されるタイミングは2種類です。

銀行のアプリやネットバンキングなどで使われることが多いのは、一定周期で変化する数値をワンタイムパスワードとして使うスタイルです。一定周期で変化する数値を切り取り、その数列を60秒以内などの一定時間内に、パスワードとして打ち込みます。カード型などを使っている場合は、ボタンを押すと、数字が液晶画面の小窓に表示されます。スマホやパソコンのアプリを使っている場合は、クリックすると画面が表示されます。タイムスタンプ方式などと呼ばれています。

もうひとつは、ログインする際にワンタイムパスワードを生成し認証を求めるスタイルです。認証サーバーから送られてくるデータをもとに、クライアントが持っているパスワードを組み合わせて演算し、ハッシュ値を認証サーバーに「レスポンス」として返すことにより認証を行う方法で、チャレンジレスポンス方式と呼ばれています。チャレンジとはサーバーが乱数から作り出したデータのことを指します。

低コストで導入可能、ユーザーも使い易く

アクセスなど悪意ある攻撃は年々多様化しており、より高い安全性が求められています。また、個人情報保護に関する法律の厳格化が国際的に進む中、デジタルサービスを提供する上でのセキュリティ対策は不可欠です。二要素認証には、指紋や静脈などの生体認証もありますが、導入のコストが高く、インターネット上のサービスの認証には不向きです。

これに対し、ワンタイムパスワードは比較的低コストでの導入が可能です。認証に必要なパスワードをトークンが自動生成してくれるため、ユーザーはパスワードを記憶する必要がなく、数字を打ち込むだけで認証が可能です。また、ワンタイムは盗み取られたとしても、一度しか使えないため、悪用されるリスクを低減することができます。

このように、トークンを使ったワンタイムパスワードは便利ですが、ハードウェアやスマートフォンを失くしてしまった場合は、悪用されるリスクがあります。多くの金融機関では、法人向けのネットバンキングなど高セキュリティが求められるサービス向けに、あらかじめ設定したパスワードを入力してから、ワンタイムパスワードを生成する「キーパッドタイプ」のハードウェアトークンを採用し、セキュリティを強化するケースもあります。

また最近では、Microsoft Entra ID (旧称 Azure AD)の認証にも利用されることが多くなってきました。

■ワンタイムパスワード（OTP）トークン