【情シス基礎知識】今だからこそWindows Helloが生きる!?

Microsoftが積極的に推奨しているのが“脱パスワード”。そのうち、主要な施策が生体認証機能「Windows Hello」の開発です。
非法人向けの「Windows Hello」に対し、法人向けに機能強化したものが、かつては「Microsoft Passport for Work」という名称だった、「Windows Hello for Business」です。
本記事では、「Windows Hello for Business」の仕組みの解説に加え、今後企業における実業務にどのような影響を与えるのかを予測します。

Windows Helloとは?

2015年3月、米Microsoftが、Windows 10に生体認証機能「Windows Hello」を組み込むと発表。「Windows Hello」は、パスワードではなく指紋・顔・虹彩といった身体的特徴で本人確認を行うという機能です。

顔や虹彩、指紋などの生体情報はコピーすることが困難であることから、英数字の羅列であるパスワードよりセキュリティレベルが高まると期待されています。

「Windows Hello」の概要については、『使える! 情シス三段用語辞典124「Windows Hello」』をご覧いただくとして、本記事では、企業向けのサービス「Windows Hello for Business」について、仕組みや企業への影響を詳しく説明します。

 

Windows Hello for Businessの仕組み

「Windows Hello for Business」を利用するためには、まずIDプロバイダーである「Azure Active Directory」にデバイスを登録します。デバイスを登録すると、秘密鍵と公開鍵のキーペアが生成され、秘密鍵はデバイスに、公開鍵は「Azure Active Directory」に保存されます。

なお、外部に送信されるのは公開鍵のみで、秘密鍵はPC内のセキュリティチップ、「TPM(Trusted Platform Module)」内に安全に保管されます。

非法人向けの「Windows Hello」では、暗号化されているとはいえ、指紋・顔・虹彩データそのものをTPMに保存します。一方、「Windows Hello for Business」では、TPMに保存されるのは秘密鍵であり、指紋・顔・虹彩・PINデータは秘密鍵の取り出しにのみ利用されるため、IDプロバイダーに送信されることがありません。

 

Windows Hello for Businessはなぜセキュリティ強化に有効なのか

Microsoftが公開しているデータシート、「Microsoft Passwordless Authentication」によると、多要素認証を実現することで、99.9%もセキュリティ侵害が防げるとしています。

【出典:Microsoft】

「Windows Hello for Business」とは、パスワードレスを実現する仕組みであると同時に、二要素認証を実現する仕組みです。
ユーザーが、デバイスと指紋・顔・虹彩・PINデータの両方を持っていない限り、企業リソースにアクセスできません。
また、秘密鍵は、PC内のセキュリティチップ「TPM」に保存されており、「Windows Hello for Business」による認証はデバイスのみに依存します。そして、指紋・顔・虹彩・PINなどの認証情報はデバイスにすら保存されないため、ネットワークを通じて外部に流れることがないことはもちろん、デバイスが盗難にあったとしても不正ログインは阻止できます。

 

Windows Helloは企業をどう変える?大胆予想してみた

「Windows Hello for Business」が浸透した202×年。
従業員がオフィスに到着して最初に触れるのはキーボードではない。まずはカメラを見つめる。

顔認証で素早くWindowsにログイン。隣の席の同僚は指をリーダーの上に乗せ、指紋認証でログインしている。
一昔前は、肩越しにパスワード入力の様子を覗き見るショルダーハッキングに警戒し、カフェなどでの仕事は躊躇したものだが、パスワードを入力することすらない今は違う。

そもそもパスワードを使う機会すらなく、パスワード管理ツールを使っていた時代が懐かしい。

IT管理部門は、パスワードを忘れてしまった社員から依頼される、“パスワードリセット”という不毛な作業から開放されたと歓喜する・・。

「Windows Hello for Business」により、そんな光景が当たり前になる日も近そうです。
また、セキュリティの面だけではなく、業務効率化の観点でも「Windows Hello for Business」は企業に影響を与えるでしょう。

「Windows Hello for Business」と連携する「Azure Active Directory」の機能の一つに、シングルサインオン(SSO)があります。SSOによりWindowsだけではなく、次のアカウントを利用するサービスへのサインオンもサポートします。

  • Microsoftアカウント
  • Active Directoryアカウント
  • Microsoft Azure Active Directoryアカウント
  • Fast ID Online (FIDO) v2.0認証をサポートするIDプロバイダーサービスまたは証明書利用者サービス

よって、出社時に「Windows Hello for Business」でWindowsにログインしたら、その後は、退社時間まで、各種サービスにサインオンするために認証情報を入力する必要がない、ということが当たり前になっていくでしょう。

 

まとめ

トレンドマイクロの調査によれば、現在、Webサービスの利用者の85.7%が複数のWebサービスでパスワードを使いまわしていると回答しています。
使いまわしの理由については、大方の予想通り「異なるパスワードを設定すると忘れてしまう」が71.4%、「異なるパスワードを考えるのが面倒」が49.4%でした。

パスワードを使うことの安全性の問題以前に、数が増えすぎて管理し切れていないことからも、脱パスワードの流れは避けて通れないようです。今現在パスワードを利用している人も、一度「Windows Hello」を体感してみると良いかもしれません。

 

【執筆:編集Gp コンドウマリ】

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 「ゼロから学ぶ」ゼロトラストセキュリティ#07:実装編2「Palo alto Networks」

  2. 【情シス基礎知識】今だからこそWindows Helloが生きる!?

  3. いまさら聞けない【情シス知識】Chromebookは安全なのか?

  4. 「セキュリティの未来は雲の中に」SASEはDXの切り札か(後編)

  5. 松田軽太の「一人情シスのすゝめ」#17:嫌われる情シスと感謝される情シスの違いとは

  6. 「セキュリティの未来は雲の中に」SASEはDXの切り札か(前編)

  7. シリーズ『IDaaSの教科書』4)認証強化の種類とその仕組み

  8. テレワークとIT業務委託のセキュリティ実態調査-IPA

  9. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #2 どうやって守り、その手法は?

  10. ”ウィズコロナ”時代の情シス業務

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. 「Chromebookにはウィルス対策がいらない」そんな言葉を見聞きしたことはないでしょうか? 文…
  2. WordファイルやExcelファイルなどの編集が終わったら、パスワード付きでZIP圧縮。メールにZI…
  3. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  4. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
  5. WebサイトのURLには「http://」で始まるものと「https://」で始まるものの2種類があ…
ページ上部へ戻る