ハードウェアトークン
ハードウェアトークン とは何ですか?
ハードウェアトークン暗号秘密情報を保管し認証処理を行う物理デバイス。MFA の所持要素として用いられる。
ハードウェアトークンは、本人確認に使う資格情報を生成または保管する耐タンパー性のある物理デバイスです。FIDO2 セキュリティキー(YubiKey、Titan Key、SoloKey)、OATH TOTP/HOTP トークン(RSA SecurID)、PIV/CAC スマートカード、IC 付き EMV カードなどが該当します。秘密鍵が端末外に出ず、デバイスは物理ユーザーに結びつき、最新の FIDO2 はオリジンに紐づくためフィッシングを無効化します。リスクには紛失・盗難、サプライチェーン汚染、設計不良によるサイドチャネル攻撃があり、ライフサイクル管理と失効プロセスが不可欠です。
● 例
- 01
全管理者に FIDO2 ハードウェアトークンを配布し、フィッシング耐性 MFA を実現する。
- 02
HSPD-12 と NIST 800-157 に従い、PIV スマートカードと PIN で連邦政府にログインする。
● よくある質問
ハードウェアトークン とは何ですか?
暗号秘密情報を保管し認証処理を行う物理デバイス。MFA の所持要素として用いられる。 サイバーセキュリティの 暗号 カテゴリに属します。
ハードウェアトークン とはどういう意味ですか?
暗号秘密情報を保管し認証処理を行う物理デバイス。MFA の所持要素として用いられる。
ハードウェアトークン はどのように機能しますか?
ハードウェアトークンは、本人確認に使う資格情報を生成または保管する耐タンパー性のある物理デバイスです。FIDO2 セキュリティキー(YubiKey、Titan Key、SoloKey)、OATH TOTP/HOTP トークン(RSA SecurID)、PIV/CAC スマートカード、IC 付き EMV カードなどが該当します。秘密鍵が端末外に出ず、デバイスは物理ユーザーに結びつき、最新の FIDO2 はオリジンに紐づくためフィッシングを無効化します。リスクには紛失・盗難、サプライチェーン汚染、設計不良によるサイドチャネル攻撃があり、ライフサイクル管理と失効プロセスが不可欠です。
ハードウェアトークン からどのように防御しますか?
ハードウェアトークン に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- cryptography№ 1260
YubiKey
Yubico 製のハードウェアセキュリティキー。FIDO2、WebAuthn、U2F、PIV スマートカード、OpenPGP、OTP をサポートし、フィッシング耐性のある認証を実現する。
- identity-access№ 414
FIDO2
FIDO アライアンスの開かれた認証規格で、WebAuthn(ブラウザ API)と CTAP(認証器プロトコル)を組み合わせ、フィッシング耐性のあるパスワードレスサインインを実現する。
- identity-access№ 708
多要素認証 (MFA)
アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。
- cryptography№ 1178
Trusted Platform Module(TPM)
TCG が標準化したセキュリティチップで、マザーボード実装またはファームウェアとして提供され、ハードウェアに根ざした鍵保管、リモート証明、計測起動を行う。
- cryptography№ 461
ハードウェアセキュリティモジュール(HSM)
耐タンパー性を備えたハードウェア装置で、暗号鍵を生成・保管・利用するが、生の鍵素材を OS に露出させない。
- identity-access№ 1185
U2F (Universal 2nd Factor)
FIDO アライアンスの開かれた認証規格で、USB、NFC、Bluetooth のセキュリティキーによってパスワードにハードウェア第二要素を追加する。
● 関連項目
- № 981セキュアブート(Secure Boot)