Homeブログ【徹底比較】ハードウェアトークン vs スマホアプリ（ソフトウェアトークン）｜自社に最適なOTPはどっち？

【徹底比較】ハードウェアトークン vs スマホアプリ（ソフトウェアトークン）｜自社に最適なOTPはどっち？

企業のセキュリティ対策として、ID・パスワードに加えた「多要素認証（MFA）」の導入が当たり前となってきました。その代表的な手段が一定時間で使い切りとなる「ワンタイムパスワード（OTP）」です。

OTPの導入を進める際、多くの担当者が直面するのが「物理的なハードウェアトークンとスマホにインストールするアプリ（ソフトウェアトークン）、どちらを選ぶべきか？」という悩みです。

「セキュリティを考えればハードウェアだが、コストや配布の手間が…」「アプリは手軽だが社員のスマホを使わせることに抵抗が…」。それぞれに一長一短があり、自社に最適な方式を決めかねている方も多いのではないでしょうか。

本記事では、OTP導入のプロフェッショナルである飛天ジャパンが、ハードウェアトークンとソフトウェアトークンの違いを徹底比較。セキュリティ、コスト、運用負荷など、5つの視点からメリット・デメリットを解説します。これを読めば自社の環境や要件に最適なOTP方式を選ぶための判断基準が分かります。

基礎知識：ハードウェアトークンとソフトウェアトークンとは？

比較に入る前に、まずはそれぞれの基本的な仕組みをおさらいしておきましょう。

ハードウェアトークン（物理トークン）

キーホルダー型やカード型の専用デバイスです。本体のボタンを押すと液晶画面に6桁などのワンタイムパスワードが表示されます。

デバイス内部に時計やカウンター、秘密鍵が組み込まれており、サーバー側と同じルールでパスワードを生成します。ネットワークに接続する必要がなく、デバイス単体で完結するのが特徴です。

ソフトウェアトークン（スマホアプリ）

スマートフォンやタブレットに専用の認証アプリ（Google Authenticator, Microsoft Authenticator, 各ベンダー提供アプリなど）をインストールして利用する方式です。

アプリを開くと、画面上に一定時間（通常30秒や60秒）で更新されるワンタイムパスワードが表示されます。初期設定時にサーバーと秘密鍵を共有し、時刻同期（またはカウンター同期）によってパスワードを生成する仕組みが一般的です。

[引用]Google Play｜Microsoft Authenticator

【徹底比較】5つの視点で見るメリット・デメリット

それでは両者を具体的な5つの視点で比較してみましょう。まずは概要をまとめた比較表をご覧ください。

それぞれのポイントを詳しく見ていきましょう。

① セキュリティ強度：物理的に切り離された「ハードウェア」が有利

セキュリティの観点ではハードウェアトークンに軍配が上がります。

ハードウェアトークンは、PCやインターネットから物理的に完全に切り離された専用デバイスです。そのためPCがウイルスに感染しても、トークン自体が遠隔操作されたり、内部の秘密鍵を盗み出されたりするリスクが極めて低くなります。ただし物理的な「紛失・盗難」には注意が必要です。

ソフトウェアトークンは、スマートフォンという汎用的なデバイス上で動作します。スマホがマルウェアに感染したり、OSの脆弱性を突かれたりした場合、理論上は認証情報が盗まれるリスクがゼロではありません。スマホ自体の画面ロック設定を徹底するなど、デバイス自体のセキュリティ対策も重要になります。

② 導入・ランニングコスト：「アプリ」が圧倒的に有利

コスト面ではソフトウェアトークンが有利です。

ハードウェアトークンは、利用者の人数分だけ物理デバイスを購入する必要があるため、初期コストが高くなります。また数年（一般的に3〜5年）で内蔵電池が切れるため、定期的な買い替えコストも発生します。紛失時の再発行費用なども考慮が必要です。

ソフトウェアトークンの場合、アプリ自体は無料で提供されていることが多く、初期コストを大幅に抑えられます。かかる費用は主に認証サーバーのライセンス費用や保守費用となります。

③ 運用・管理の負荷（情シス視点）：「アプリ」が楽、「ハードウェア」はアナログ管理が発生

情報システム部門の運用負荷という点でもソフトウェアトークンの方が有利です。

ハードウェアトークンは「モノ」であるため、入社時の手渡しや郵送、在庫管理、紛失時の対応、退職時の回収といったアナログな管理工数が発生します。拠点が多い企業や従業員の入れ替わりが激しい企業では、この負担が無視できません。

ソフトウェアトークンは、ユーザー自身にアプリをインストールしてもらい、QRコードを読み取るなどの初期設定で使い始められます。物理的な配布・回収の手間がなく、紛失時も管理画面からリモートで無効化して新しいスマホで再登録してもらうだけなので、運用は非常にスムーズです。ただしBYOD（私物スマホの業務利用）に関するルール整備は必要になります。

④ ユーザーの利便性（従業員視点）：常に携帯する「スマホ」が便利

利用する従業員にとっての利便性はスマホアプリの方が高いと感じるケースが多いでしょう。

ハードウェアトークンは、認証のたびに専用デバイスを取り出す必要があり、「家に忘れた」「カバンを変えたら入っていなかった」といったうっかりミスが起こりえます。

ソフトウェアトークンは、肌身離さず持ち歩くスマートフォンで完結するため、「忘れる」リスクが低く、手軽に利用できます。ただしスマートフォンの機種変更をした際には、新しい端末でアプリの再設定作業が必要になる点は少し手間がかかります。

⑤ 利用できる環境（オフライン対応など）：スマホ制限エリアなら「ハードウェア」一択

どちらの方式も基本的には認証時にデバイスがインターネットに接続されている必要はなく、オフライン環境でもワンタイムパスワードを生成可能です。

しかし重要なのは「スマートフォンを持ち込める環境かどうか」です。工場、研究所、コールセンター、金融機関の特定エリアなど、セキュリティポリシーでスマートフォンの持ち込みや利用が禁止されている場所では、ソフトウェアトークンは使えません。こうした環境では、ハードウェアトークン一択となります。

自社はどっち？失敗しない選び方のフローチャート

両者の違いを踏まえ、自社にはどちらが適しているか、簡単なフローチャートで考えてみましょう。

【スタート】最も優先する条件は？

「とにかくコストを抑えたい」「運用管理の手間を最小限にしたい」

→ YES: 従業員全員が業務用スマホを持っている、または私物スマホ利用（BYOD）が可能ですか？
- → YES: 【ソフトウェアトークン（アプリ）がおすすめ】
- → NO: スマホを持たない社員のみハードウェアにする「ハイブリッド運用」も検討を。

「何よりもセキュリティ強度を最優先したい」「スマホ持ち込み禁止の場所で使う」
- → YES: 【ハードウェアトークンがおすすめ】

これらはあくまで基本的な考え方です。実際には「本社部門はアプリ、工場はハードウェア」といったように、部署や拠点ごとの特性に合わせて使い分ける「ハイブリッド運用」を採用する企業も増えています。

まとめ：確実なセキュリティを求めるなら、信頼できるハードウェアトークンを

ハードウェアトークンとソフトウェアトークン、どちらが絶対的に優れているということはありません。コストや手軽さを重視するならアプリが有力な選択肢ですが、「より高いセキュリティ強度を確保したい」「スマホが使えない環境がある」「スマホを持たない社員がいる」といったケースでは、物理的なハードウェアトークンが最も確実な選択肢となります。