Microsoftが積極的に推奨しているのが“脱パスワード”。そのうち、主要な施策が生体認証機能「Windows Hello」の開発です。
非法人向けの「Windows Hello」に対し、法人向けに機能強化したものが、かつては「Microsoft Passport for Work」という名称だった、「Windows Hello for Business」です。
本記事では、「Windows Hello for Business」の仕組みの解説に加え、今後企業における実業務にどのような影響を与えるのかを予測します。

Windows Helloとは？

2015年3月、米Microsoftが、Windows 10に生体認証機能「Windows Hello」を組み込むと発表。「Windows Hello」は、パスワードではなく指紋・顔・虹彩といった身体的特徴で本人確認を行うという機能です。

顔や虹彩、指紋などの生体情報はコピーすることが困難であることから、英数字の羅列であるパスワードよりセキュリティレベルが高まると期待されています。

「Windows Hello」の概要については、『使える! 情シス三段用語辞典124「Windows Hello」』をご覧いただくとして、本記事では、企業向けのサービス「Windows Hello for Business」について、仕組みや企業への影響を詳しく説明します。

 

Windows Hello for Businessの仕組み

「Windows Hello for Business」を利用するためには、まずIDプロバイダーである「Azure Active Directory」にデバイスを登録します。デバイスを登録すると、秘密鍵と公開鍵のキーペアが生成され、秘密鍵はデバイスに、公開鍵は「Azure Active Directory」に保存されます。

なお、外部に送信されるのは公開鍵のみで、秘密鍵はPC内のセキュリティチップ、「TPM（Trusted Platform Module）」内に安全に保管されます。

非法人向けの「Windows Hello」では、暗号化されているとはいえ、指紋・顔・虹彩データそのものをTPMに保存します。一方、「Windows Hello for Business」では、TPMに保存されるのは秘密鍵であり、指紋・顔・虹彩・PINデータは秘密鍵の取り出しにのみ利用されるため、IDプロバイダーに送信されることがありません。

 

Windows Hello for Businessはなぜセキュリティ強化に有効なのか

Microsoftが公開しているデータシート、「Microsoft Passwordless Authentication」によると、多要素認証を実現することで、99.9％もセキュリティ侵害が防げるとしています。

【出典：Microsoft】

「Windows Hello for Business」とは、パスワードレスを実現する仕組みであると同時に、二要素認証を実現する仕組みです。
ユーザーが、デバイスと指紋・顔・虹彩・PINデータの両方を持っていない限り、企業リソースにアクセスできません。
また、秘密鍵は、PC内のセキュリティチップ「TPM」に保存されており、「Windows Hello for Business」による認証はデバイスのみに依存します。そして、指紋・顔・虹彩・PINなどの認証情報はデバイスにすら保存されないため、ネットワークを通じて外部に流れることがないことはもちろん、デバイスが盗難にあったとしても不正ログインは阻止できます。

 

Windows Helloは企業をどう変える？大胆予想してみた

「Windows Hello for Business」が浸透した202×年。
従業員がオフィスに到着して最初に触れるのはキーボードではない。まずはカメラを見つめる。

顔認証で素早くWindowsにログイン。隣の席の同僚は指をリーダーの上に乗せ、指紋認証でログインしている。
一昔前は、肩越しにパスワード入力の様子を覗き見るショルダーハッキングに警戒し、カフェなどでの仕事は躊躇したものだが、パスワードを入力することすらない今は違う。

そもそもパスワードを使う機会すらなく、パスワード管理ツールを使っていた時代が懐かしい。

IT管理部門は、パスワードを忘れてしまった社員から依頼される、“パスワードリセット”という不毛な作業から開放されたと歓喜する・・。

「Windows Hello for Business」により、そんな光景が当たり前になる日も近そうです。
また、セキュリティの面だけではなく、業務効率化の観点でも「Windows Hello for Business」は企業に影響を与えるでしょう。

「Windows Hello for Business」と連携する「Azure Active Directory」の機能の一つに、シングルサインオン（SSO）があります。SSOによりWindowsだけではなく、次のアカウントを利用するサービスへのサインオンもサポートします。

• Microsoftアカウント
• Active Directoryアカウント
• Microsoft Azure Active Directoryアカウント
• Fast ID Online (FIDO) v2.0認証をサポートするIDプロバイダーサービスまたは証明書利用者サービス

よって、出社時に「Windows Hello for Business」でWindowsにログインしたら、その後は、退社時間まで、各種サービスにサインオンするために認証情報を入力する必要がない、ということが当たり前になっていくでしょう。

 

まとめ

トレンドマイクロの調査によれば、現在、Webサービスの利用者の85.7％が複数のWebサービスでパスワードを使いまわしていると回答しています。
使いまわしの理由については、大方の予想通り「異なるパスワードを設定すると忘れてしまう」が71.4%、「異なるパスワードを考えるのが面倒」が49.4%でした。

パスワードを使うことの安全性の問題以前に、数が増えすぎて管理し切れていないことからも、脱パスワードの流れは避けて通れないようです。今現在パスワードを利用している人も、一度「Windows Hello」を体感してみると良いかもしれません。

■IT資産を簡単に一元管理でき、資産管理の効率化を実現できます。

【執筆：編集Gp　コンドウマリ】