ディジタル署名機能を組み込んだICカードの利用が広がっている。パスワード認証だけの場合、パスワードが漏えいすれば、例えばインターネット上のシステムの場合に世界中のどこからでも不正利用できてしまう。しかし、ICカードなどの認証デバイスを利用した認証の場合、ICカードを持っていないと認証できない。セキュリティの強度は大幅に上がる。

 さらに、会社の社員証と兼用するなどして存在価値を高めれば、ICカードの貸し借りが減り、人的なセキュリティリスクをさらに防ぎやすくなる。
 また、PIN(Personal Identification Number)入力を求めて二要素認証をすることで、ICカードが盗まれてもPINが分からなければ不正アクセスされることはない。

 一般的なPINの運用に関しては、H18SV午後Ⅰ問3に事例が掲載されているので紹介する。

 ICカードには、新規発行時に初期PINが設定され、従業員にはICカード受領後に初期PINを変更することを義務付けた。
(中略)
 従業員がPINを入力し、連続して5回照合に失敗すると、そのICカードを使用不可能な状態(以下、ロック状態という)とする。従業員がPINを忘れてしまった場合や、ロック状態となった場合は、人事総務部が管理者としてICカードを回収し、ロックを解除した後、再度PINを設定して、従業員に返却する。
(H18SV午後Ⅰ問3より抜粋)

ICカードの欠点は、ICカード読み取り装置が必要であり、初期コストがかかることである。

■補足:ICカード(USBトークン)のPIN
・証明書を利用する際に、PINコードを入力しないと利用できない。
・最初に管理者からeTokenをもらったときに、初期パスワード(PIN)が設定されているので、自分しかしらないパスワードに変更する。
・ 忘れてしまった場合は、管理者しか復旧できない。
・ PINコードや証明書には有効期限を設けておくべきであろう。
・PINロック:一定回数以上パスワード入力に失敗すると、ロックされる。※ロックを設定しないことも可能。管理者のみロック解除ができる。
・USBトークンを初期化することは可能。ただし、その場合、内容は全て削除される。