FIPS 140-3 Level 3認定・エンタープライズ向けFIDO2セキュリティキー
Swissbit iShield Key 2
「多要素認証を導入しているのに、フィッシング被害が止まらない」「USBキーを配布したが、紛失リスクと管理コストが増えただけだ」——セキュリティ担当者のこうした悩みは、認証基盤の根本的な設計問題から生じています。
SMS/アプリOTPはリアルタイム型フィッシングに無力であり、ソフトウェアベースのパスキーは端末紛失時の失効管理が煩雑です。政府機関・金融機関が求める水準は、ハードウェアに根ざしたフィッシング耐性認証と、既存インフラへのシームレスな統合の両立です。
Swissbit iShield Key 2は、ドイツ・ベルリンの自社工場で製造され、スマートチップがFIPS 140-3 Level 3認定を取得。FIDO2/WebAuthn・PIVスマートカード・HOTPを1本に統合した、エンタープライズ要件を完全に満たすハードウェアセキュリティキーです。このページでは、技術仕様から導入運用、競合比較まで、購買判断に必要なすべての情報を網羅します。
デモ機のご提供は、こちらからご相談ください👇
なぜ「ハードウェアキー」でも不十分なのか:課題の本質
SMS・アプリOTPが抱える構造的限界
現在広く普及しているSMS認証やAuthenticatorアプリは、リアルタイムフィッシング攻撃(AiTM: Adversary-in-the-Middle)に対して本質的に脆弱です。攻撃者は正規ログインページを偽装し、ユーザーが入力したOTPをリアルタイムで中継することで、MFAを突破します。2023年のMicrosoft報告では、AiTM型攻撃が前年比146%増加しており、「MFAを導入しているから安全」という認識は危険な誤解です。
ソフトウェアパスキーが抱える管理上の盲点
プラットフォームに依存するソフトウェアパスキー(端末内蔵型)は、デバイス紛失・故障・交換時に認証情報が失われるリスクがあります。企業環境では「端末=認証器」の管理が、MDMと認証基盤の複数システムをまたぐ運用負荷を生みます。
ハードウェアキーでも「規格の選択」が明暗を分ける
FIDO2対応と謳うキーであっても、FIPS 140-3 Level 3未達の製品は米国連邦政府機関(EO 14028/OMB M-22-09)や金融規制(DORA、PCI DSS)の調達要件を満たしません。また、PIVスマートカード非対応の製品は、物理入退室管理や既存PKI基盤との統合ができず、別途カードリーダーシステムとの二重管理が発生します。
Swissbit iShield Key 2が選ばれる3つの決定的理由
課題1:FIPS 140-3 Level 3認定で、最高水準の規制要件に対応
iShield Key 2のスマートチップはFIPS 140-3 Level 3認定を取得しています。Level 3は物理的な改ざんへの「検知・無効化」機能(タンパーレスポンス)を要求する最高水準の認定であり、米国連邦政府機関の調達要件(EO 14028、OMB M-22-09)を直接満たします。
この認定により、以下のコンプライアンス要件への対応が可能です。
- 米国: NIST SP 800-63B AAL3、EO 14028
- 欧州: NIS2指令、DORA(デジタル運用耐障害性法)
- 金融: PCI DSS v4.0
導入後の体験:コンプライアンス監査において「認証器のFIPS認定証明書番号」を提示するだけで、暗号モジュールの安全性要件をクリアできます。監査対応工数を大幅に削減した実績が、連邦政府機関・金融機関での採用を後押ししています。
課題2:1本で4つのプロトコルを統合し、インフラの複雑性を排除
| プロトコル | 用途 | iShield Key 2 |
|---|---|---|
| FIDO2 / CTAP2.1 | パスワードレス認証・2FA | ✅ |
| FIDO U2F (CTAP1) | レガシー2FA | ✅ |
| PIV スマートカード | PKI・物理入退室・証明書認証 | ✅(OpenSC対応) |
| HOTP | イベントベースOTP | ✅ |
| MIFARE DESFire EV3 | 物理アクセス管理(NFC) | ✅ |
YubiKeyなど競合製品がFIDO2を中心とした設計である一方、iShield Key 2はPIV(スマートカード)とMIFARE DESFire EV3(NFC物理アクセス)を同一デバイスに統合しています。論理認証と物理入退室管理を1つのキーで完結できるため、社員証・ICカード・認証キーの3種類を持ち歩く煩雑さを解消します。
導入後の体験:オフィスの入退室ゲートにかざし、そのままPCのUSBポートに挿してMicrosoft Entra IDにサインイン。1本のキーで物理・論理の両セキュリティを完結させることで、紛失リスクの分散管理から解放されます。
課題3:ドイツ製造+セキュアサプライチェーンで、サードパーティリスクをゼロに
iShield Key 2はドイツ・ベルリンのSwissbit自社工場で製造されます。ハードウェアセキュリティキーにとって、製造工程の透明性はゼロトラスト設計の根幹です。
- 自社工場製造:外部サプライヤーへの製造委託がなく、サプライチェーン攻撃のリスクを排除
- FIPS 140-3 L3の改ざん検知機能:物理的な解析・改ざん試行に対し、内部の秘密鍵を自動消去
- RSAパートナーシップ:RSA ID Plusとの統合により、エンタープライズ規模での集中管理・プロビジョニングが可能
導入後の体験:「デバイスがどこで、誰によって製造されたか」を調達部門・セキュリティ審査委員会に証明できます。グローバルサプライチェーンリスクを懸念するCISO・調達責任者の承認プロセスを加速します。
対応サービス・プラットフォーム一覧
FIDO2/WebAuthn準拠のサービスであれば原則として対応可能です。以下は主要な動作実績確認済みサービスです。
| カテゴリ | 対応サービス |
|---|---|
| ID管理(IdP) | Microsoft Entra ID(旧Azure AD)、Okta、RSA ID Plus |
| クラウドサービス | Google Workspace、Amazon Web Services(AWS)、Salesforce |
| 物理アクセス管理 | MIFARE DESFire EV3対応リーダー全般 |
| PKI / 証明書認証 | OpenSC対応システム(PIV経由) |
| レガシーシステム | FIDO U2F(CTAP1)対応サービス全般 |
詳細スペック比較表
iShield Key 2 技術仕様
| 項目 | 仕様 |
|---|---|
| 認証規格 | FIDO2 / CTAP2.1、WebAuthn、FIDO U2F(CTAP1)、HOTP、PIV(OpenSC対応) |
| NFC規格 | MIFARE DESFire EV3 |
| 接続端子 | USB-A / USB-C(バリエーションあり) |
| インジケーター | マルチカラーLED |
| サイズ | 51.5mm × 18.5mm × 6mm |
| 重量 | 6g |
| 動作温度 | -25°C 〜 +70°C |
| 製造国 | ドイツ・ベルリン(自社工場) |
| 暗号モジュール認定 | FIPS 140-3 Level 3 |
| FIDO認定 | FIDO2 Level 1 |
| 規制対応 | EO 14028、OMB M-22-09、NIST 2.0、NIS2、DORA、PCI DSS |
競合製品との比較
| 比較項目 | Swissbit iShield Key 2 | YubiKey 5シリーズ | Google Titan Security Key |
|---|---|---|---|
| FIPS 140-3 Level 3 | ✅ | ✅(一部モデルのみ) | ❌ |
| FIDO2 / CTAP2.1 | ✅ | ✅ | ✅ |
| PIV スマートカード | ✅ | ✅(5シリーズ) | ❌ |
| HOTP | ✅ | ✅(5シリーズ) | ❌ |
| MIFARE DESFire EV3 | ✅ | ❌ | ❌ |
| RSA ID Plus統合 | ✅(公式パートナー) | 限定的 | ❌ |
| 製造透明性 | 自社工場(ドイツ) | 自社設計(製造委託) | 製造委託 |
| NIS2 / DORA対応 | ✅ | 要確認 | ❌ |
| 対象ユーザー | エンタープライズ・規制業種 | 幅広い用途 | 個人・SMB中心 |
注記:YubiKey 5 FIPSシリーズはFIPS 140-2 Level 2認定。FIPS 140-3 Level 3を要件とする政府・金融調達においては、iShield Key 2が優位です。最新情報は各社公式ページをご確認ください。
注: FIPS 140-2認定モデル(YubiKey 5 FIPS Series)は政府・金融機関向けに別ラインアップとして提供されています。調達要件に応じて選定してください。
導入シナリオ別:こんな組織に最適
シナリオA:金融機関・保険・決済サービス
DORA・PCI DSS v4.0への対応が求められる組織。ハードウェア認証器の義務化が進む中、FIPS認定済みデバイスの導入は規制対応と内部統制の両面で有効です。
シナリオB:物理セキュリティと論理セキュリティを統合したい製造業・研究機関
工場や研究所の入退室管理(MIFARE DESFire EV3)とPCログイン(FIDO2/PIV)を1枚のカード・1本のキーで統合したい組織。デバイス種別の削減によりIT資産管理コストを低減します。
シナリオC:ゼロトラスト移行を推進するエンタープライズIT部門
Microsoft Entra IDやOktaを基盤とし、パスワードレス認証への完全移行を推進する組織。RSA ID Plusとの統合により、集中管理・プロビジョニング・失効管理をエンタープライズスケールで実現します。
FAQ
よくあるご質問
既存のActive Directory / Microsoft Entra ID環境にそのまま導入できますか?
はい。Microsoft Entra IDはFIDO2セキュリティキーによるパスワードレスサインインを標準サポートしており、iShield Key 2はそのまま利用可能です。既存のHybrid Azure AD Join環境にも対応し、追加のエージェントや特殊なドライバは不要です。PIV証明書認証を利用する場合は、Entra IDの証明書ベース認証(CBA)設定が必要です。
キーを紛失した場合、どのようにアカウントを回復しますか?
ベストプラクティスは「1ユーザーにつき2本以上のキーを登録する」運用です。Microsoft Entra ID、Okta、Google Workspaceなど主要なIdPは複数の認証器登録をサポートしており、メインキー紛失時もバックアップキーでサインイン可能です。RSA ID Plus統合環境では、管理者による集中的な失効・再プロビジョニングも可能です。紛失した旧キーは管理コンソールから即座に無効化してください。
FIPS 140-3 Level 3とLevel 2の違いは何ですか?なぜLevel 3が重要ですか?
FIPS 140-3のLevel 2は物理的な改ざん「証跡」(封印シールなど)を要求しますが、Level 3はさらに高度な改ざん「検知・応答」機能を要求します。具体的には、物理的な解析・開封が試みられた際に、内部に保存された暗号鍵を自動的に消去(タンパーレスポンス)する機能が必須です。米国政府機関の調達(EO 14028/OMB M-22-09)やDORAなど欧州金融規制では、Level 3相当の物理的保護を実質的に要求するケースが増加しています。
PIVスマートカード機能は既存のPKI基盤と統合できますか?
はい。iShield Key 2のPIV機能はOpenSCに対応しており、既存のPKIインフラ(証明書発行局、CRL/OCSP)とそのまま統合可能です。Windows Smart Card LogonやmacOS Smart Card認証にも対応します。既存のスマートカードからの移行においても、同等の証明書をキーにプロビジョニングすることで業務継続が可能です。
大規模展開(数百〜数千ユーザー)の場合、管理ツールはありますか?
RSA ID Plusとの公式パートナーシップにより、エンタープライズ規模でのプロビジョニング・ポリシー管理・失効管理が可能です。Microsoft Entra ID、Okta等のIdP管理コンソールからも個別の登録・失効操作が行えます。大規模展開に関しては、ボリューム割引および導入支援についてご相談ください。
Androidスマートフォンとはどのように連携しますか?
USB-C接続またはNFC(モバイルFIDO2対応アプリ)を通じて、Android端末でのFIDO2認証に利用できます。Google ChromeブラウザはUSB接続のFIDO2キーをAndroidでサポートしており、パスワードレス認証またはセカンドファクターとして機能します。iOS(iPhone)はNFC接続のFIDO2キーをSafari経由でサポートしています。
ハードウェアキーが物理的に壊れた場合はどうなりますか?
キー自体は-25°C〜+70°Cの動作温度範囲と高い耐久性を持つスイス品質設計ですが、物理的な破損の可能性はゼロではありません。Q2と同様に、複数キーの事前登録が最善の対策です。iShield Key 2内部には秘密鍵が保存されていますが、FIDO2の設計上、クローンを作成することはできません。破損時は管理コンソールから旧キーを失効させ、バックアップキーで運用を継続してください。
まとめ:iShield Key 2が「エンタープライズの標準」である理由
フィッシング耐性認証の実現にあたり、製品に求められる要件は複数あります。
- 規制準拠:FIPS 140-3 Level 3の認定取得
- プロトコル統合:FIDO2・PIV・HOTP・MIFARE DESFire EV3の1デバイス統合
- 製造透明性:自社工場によるセキュアサプライチェーン
- 運用統合:RSA ID Plusおよび主要IdPとのエンタープライズ連携
Swissbit iShield Key 2はこれらすべてを満たす、現時点でほぼ唯一の選択肢です。パスワードレス認証への移行を検討している組織、規制対応に迫られているセキュリティ担当者、ゼロトラスト基盤を構築するIT責任者に、強くお勧めします。