常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。

一段目　ITの知識がある人向けの説明
二段目　ITが苦手な経営者に理解してもらえる説明
三段目　小学生にもわかる説明

取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?

 

一段目 ITの知識がある人向け「Windows Hello」の意味

2015年3月、米Microsoftが、Windows 10に生体認証機能「Windows Hello」を組み込むと発表。
そうなんです、「Windows Hello」とは、パスワードではなく指紋・顔・虹彩といった身体的特徴で本人確認を行うという機能です。もちろん、生体認証の機能自体は以前からありましたが、OS標準搭載ということに意味があります。

今回は「Windows Hello」の仕組みやメリット・デメリットを紹介すると共になぜパスワードによる認証以外の方法が加わったのかも解説いたします。

Windows Helloとは

Windows 10で[ 設定 ] ＞ [ アカウント ] ＞[ サインイン オプション ] と進んでいくと、PCへのサインイン方法の選択ができます。選択肢は次の6つです。

• Windows Hello顔認証
• Windows Hello指紋認証
• Windows Hello暗証番号（PIN）
• セキュリティキー
• パスワード
• ピクチャ パスワード

選択肢のうち上から３つまでに「Windows Hello」とあります。

先にも述べましたが、「Windows Hello」は、顔・虹彩・指紋・PINで、デバイスやアプリにサインインできるという機能です。「Windows Hello」の生体認証機能を利用するためには、Windows Hello互換のカメラまたは赤外線（IR）センサーが必要になります。

一方、「Windows Hello」においてセキュリティの観点から注目したいのは、パスワードによるサインインとの認証情報の持ち方の違いです。

次の、「Windows Hello」のしくみでさらに説明しましょう。

Windows Helloのしくみ

「Windows Hello」を使わない通常のログインの場合、IDとパスワードの組み合わせだけで本人確認をしますが、PCの処理能力が向上した現在、（IDを入手しているならば）ログインパスワード程度であれば簡単に解析されるものと思っておくことが重要です。

企業等ではAzure AD＋Intuneを用いることでデバイス認証も含めて行うことが可能ですが、ログインパスワードだけで管理されている事実は変わりません。
しかしながら、顔や虹彩、指紋、静脈などの生体情報はコピーすることが困難であることから、英数字の羅列であるパスワードよりもセキュリティレベルとしては高くなり、且つ、パスワードを忘れるということがなくなります。なぜなら、”自分自身が鍵”なのですから。

「Windows Hello」では、顔認証カメラ・虹彩センサー・指紋リーダーから取得したデータは、暗号化された後、耐タンパー性の高いモジュール内に保存されます。このため、認証情報が外部に流れていくことがありません。
Windows Helloの使用状況に関するデータは、不正利用の検出・防止やWindows Helloの機能改善のためにMicrosoftに送信されますが、匿名化した上で送信されるので本人を特定することはできません。

Windows Helloのメリット・デメリット

これまでのお話で既にご理解いただけたと思いますが、「Windows Hello」の最大のメリットは、サインインにパスワードを使用せずに済むことです。生体認証という“唯一の鍵“を利用しているため、パスワード漏えいとなりすましログインのリスクを回避できます。
情シス目線からすれば、「パスワードを忘れてしまった」という問い合わせが来ることは間違いなく減るでしょう。（その分、導入してしばらくは「ログインできない」という問い合わせに対応する必要はありますが、これは時間が解決してくれると思います。）

また、「Windows Hello」によるサインインは、PCへのログインだけではなく、Boxなどの互換性のあるアプリであればSSOとして機能します。アプリでのパスワード入力操作を省けると共に、情報漏洩リスクを削減することにもつながります。

しかしながら、当然ではありますが「Windows Hello」を使って生体認証することにはデメリットもあります。
例えば、指紋を登録した指を怪我してしまったり、カメラやリーダーなどのハードウェアが故障してしまったときは、認証できなくなってしまうのです。
このようなときのためにPIN入力でも認証できるように、必ずPINも登録しておく必要があります。
もしくは、エマージェンシー用にSMS認証で、パスワードリセットできるような方法を構築しておくと、更に情シスの手を省くことが可能になります。

 

二段目　ITが苦手な経営者向け

とある食品メーカーでの昼下がり。社長と情シス課長の波浪さんは、大学の先輩・後輩の間柄。昼休みに社長が波浪さんのところにやってきました。

社長：波浪さん、自分のパソコンの設定画面をいじっていたら、「Windows Hello」というのが出てきたんだけど、何に”ハロー：こんにちは”なんだろう。
波浪さん：ははははは！本当に面白いネーミングですよね。
「Windows Hello」は、Windowsへのサインインの仕組みで、パスワードではなく指紋・顔・虹彩といった身体的特徴で本人確認を行うという機能です。だから、「Windowsにハロー」ですかね。ｗｗｗ
社長：これからはパスワードがなくなっていくんだな。でも、「Windows Hello暗証番号（PIN）」というのがあるけど、PINもパスワードみたいなものではないの？
波浪さん：「Windows Hello」では、指紋・顔・虹彩・PIN共に、情報を暗号化してPC内に保存しておくのがセキュリティ上のポイントです。PINは暗号化された上で社長のPCのみに保存されます。
社長：「Windows Hello」を使ってWindowsにサインインするということは、僕のPC内だけで、僕が僕であることの確認が完結するということなんだな。
波浪さん：そのとおりです。だから、パスワードよりもセキュリティレベルが高いと言えるのです。

 

三段目　小学生向け

6年3組のA君は、大切な物を入れた宝箱を持っています。しかしながら、宝箱を開けるには、合言葉を言わなくてはいけないので、中身が見られる心配はありません。
ところが、うっかり合言葉を書いた紙を教室に落としてしまったA君。
それを拾ったB君はしたり顔。自分がA訓の宝箱を開けたことが分からないように、遠くから合言葉を叫んで、宝箱を開けました。
B君の声で突然開いた宝箱に、6年3組の皆もびっくりして覗き込みます。
あ～、A君の宝箱の中身が知られてしまいました…。
（特定者音声認識ならこのようなことにはならなかったのですが、そこはご愛敬でしょうか。ｗ）

この出来事を境に更にA君が考えだしたのが、合言葉の代わりにA君の指紋を使うという方法です。
A君の指紋の情報は宝箱の中にのみ保存されています。万が一、A君と全く同じ指紋を持った人が出てきても、本人が宝箱まで行かないと開けることができません。
こうして、A君は宝箱を守ることにしました。

Windowsというパソコンの世界でも、同じ問題が起きています。
パスワードという合言葉では、本人以外に知られてしまうことが増えてしまったため、パスワード以外に、指紋や顔という本人しか持っていない身体の特徴を利用して、本人であるということを確認する方法ができるようになりました。これまでもこの方法は考えられていましたが、OSというパソコンを動かすソフトウェアが対応し、標準として使えるようになったことが大きな違いなのです。

そして、本人であることを確認するための情報は、本人のパソコンの中だけに保存されるため、仮に本人と同じ指紋の人がこの世の中のどこかにいたとしても、本人のパソコンがなければ無意味なのです。

Windows OSに搭載された、この安全な本人確認の仕組みを「Windows Hello（ウィンドウズ ハロー）」と言います。

 

さて、皆様のご理解は深まったでしょうか？

 

【執筆：編集Gp　コンドウマリ】