セキュリティトークンが破られた事実はないのですよね?
だったらセキュリティートークンだけで十分なのでは?

それと先に言っておきますが「破られてから対応したのでは遅い」
これは通常、対策が甘いときに用いられる言葉です。
トークンと言う一般的に見て十分すぎる対策が講じられている現状では普通言いません。