Windows 10時代の新認証 「Windows Hello/Microsoft Passport」と「FIDO」を理解する:パスワードは時代遅れです(1/5 ページ)
企業の情シス担当者へWindows 10への刷新を勧めたいポイントの1つが、セキュリティを高める「新たな認証機能」だ。Windows 10の新認証機能Windows HelloとMicrosoft Passport、そして「FIDO」って何? を解説する。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Microsoftの最新OS「Windows 10」が、個人向けに2015年7月29日から、企業向けのボリュームライセンス提供が8月1日から開始される。Windows 10に関してはすでに多くの情報が出回っており、注目している人は多いかもしれない。
本稿では中でも企業、業務で使うWindows 10を理解するうえで重要となる最新セキュリティ機能「Windows Hello」「Microsoft Passport」、そしてこれらと密接な関係にある「FIDO」の概要を説明していく。
Windows 10では「パスワード管理」がもう時代遅れになる?
今日、コンピュータやその上で提供されるさまざまなWebサービスを日々利用する私たちにとって「ID+パスワード」というのはとても身近な存在だ。Windows 8/8.1以降はPCを利用するのに「Microsoftアカウント」への「サインイン」動作が必須になったし、FacebookやTwitterといったSNS、Googleの各種サービス利用も「ID+パスワード」を用いている。
一方で、どこからでも遠隔でサインインが可能なWebサービスは悪意のある第三者による攻撃対象となりやすい。特に「ID+パスワード」という組み合わせはセキュリティ上の観点で“もろい”と言われることが多い。理由はいくつかあるが、まず「ID」はメールアドレスなど比較的多くが知り得る情報が使われることが多いこと、「パスワード」はよほど複雑な文字列でない限り、「辞書攻撃(ブルートフォースとも呼ばれる)」のような力業でのトライ&エラーによる総当たり攻撃で解明されてしまう危険性がある。複雑で覚えにくいパスワードを嫌い、ごく単純な文字列や数字の並びでパスワードを設定する人もいる。
パスワード管理ソリューションを提供する米SplashDataが2015年1月に発表した2014年版「最悪なパスワードランキング」を見ると、上位には「123456」「password」「qwerty」といった、すでにパスワードとして機能しない文字列の数々が並んでいる。
このほか、ID+パスワードによる認証管理はいくつかの問題が存在する。前述した複雑なパスワード管理を嫌い、複数のサービスで「同じものを使い回す」というケースだ。この場合、ある1つのサービスでID+パスワードの組み合わせが漏れると、それと関連して芋づる式に他のサービスへのハッキングを許してしまうことになる。自身ではきちんとIDとパスワードを管理しているつもりでも、当該のWebサービスを提供する側のサーバにハッキング攻撃があり、これが第三者の手へと漏れてしまう危険もゼロではない。「ID+パスワード」という仕組みは一般的で比較的簡易である一方、これに依存しているインターネット社会のアキレス腱ともいえる存在となりつつある。
根本にあるのは「パスワードは、もう時代遅れ」という発想
パスワードを複雑にするとセキュリティ的には強固になる。しかし、覚えにくく管理が煩雑になる。なにより、複雑なパスワードは入力が面倒で、使いづらい。最近は筆者も含め、仕事以外の作業はスマートフォンやタブレットで済ますという人も多いと思うが、キーボードがないため大文字/小文字を含めた複雑な長文入力はうっとうしい。実際、Androidデバイスでは画面に表示された点を順番になぞって本体ロックを解除する「パターンロック」方式が採用されているし、iOSでは4桁数字の「PINコード」解除方式が一般的だ。最新のデバイスでは「Touch ID」などの指紋認証センサーが搭載されていたり、あらかじめ登録した「腕時計(スマートウオッチ)」など特定のデバイスが近くに存在するときだけロック解除動作が必要なくなる仕組みが用意されたりと、スマートデバイスの世界では、いろいろ便利で興味深いものが増えている。
PCの世界においても同様だ。Windows 10では「Windows Hello」と「Microsoft Passport」という新しい認証機能が標準でサポートされる。
Windows Helloは、いわゆる「バイオメトリクス(生体)認証」だ。「指紋認証(Fingerprint)」「顔認証(Face)」「虹彩認証(Iris)」の3種類に対応する。パスワード管理ソリューションのMicrosoft Passportは、従来のID+パスワードの枠を超えて、より強固な公開鍵暗号(PKI)の仕組みをユーザー認証に持ち込む。Microsoft Passportでのユーザー認証にWindows Helloのバイオメトリクス認証を用いることも可能だが、4桁数字の「PINコード」だけでもユーザー認証が行える。
さて、「4桁程度のPINコードでは、多少複雑なパスワードよりセキュリティ的に弱いのでは?」と疑問に思う人もいるだろう。
2つの技術の根本にあるのは「パスワードはもう時代遅れ」という発想だ。「パスワードより利便性を高めつつ、安全性を確保する」ことが狙いとなる。では、この2つはどのように安全性を確保しているのだろう。順を追って解説しよう。
関連記事
Microsoft、Windows 10最新プレビュー向け自動更新ブロックツールを提供
「Windows 10」ではWindows Updateが自動のみ(延期は可能)になるが、MicrosoftはInsider Preview向けに、問題のある更新ファイルの自動インストールをブロックするツールを公開した。
公開迫るWindows 10、アップグレード開始後どうなる?
「Insider Program」によるWindows 10のビルドの更新が立て続けに行われ、7月29日のアップグレードのリリースに向けた準備が本格化している。アップグレード開始後の様子を占ってみたい。
Windows 10、企業のアップグレードはどうなる?
多くのユーザーが待ち望んでいるWindows 10のアップグレード提供が7月29日から始まる。しかし、企業ユーザーにとっては少し状況が異なるようだ。
Windows 10のエディションにみるデバイス事情
ついにWindows 10のエディションも発表され、夏のリリースに向けて着々と準備が進んでいる。今回はWindows 10の各エディションと今後のコンピューティング環境を紐解いてみたい。
Copyright © ITmedia, Inc. All Rights Reserved.
人気記事ランキング
- 7-Zipに深刻な脆弱性 悪用でWindowsのセキュリティ機能「MoTW」を回避可能
- 「DNSよく分からん勢」に送る サブドメイン乗っ取り事案から考えるASMの本質
- 7-Zipの深刻な脆弱性 悪用手順を明らかにしたPoCが公開
- 「なぜあの事件は起きた?」 半田病院へのサイバー攻撃を認知バイアス観点で読み解く
- 北朝鮮IT労働者が日本企業に潜入している 特に注意すべき業界は?
- 「Vim」が愛され続ける理由と、サンプルで学ぶ使い方
- M365やTeamsを使ったランサムウェア攻撃に注意 最新手法を解説
- 日立製作所が説く「AIエージェント活用の目的」とは? AI事業のキーパーソンに聞く
- ニトリはAIでコンタクトセンターをどう変えたいのか 同社の顧客満足アップ戦略とは
- ランサムウェアで「評判ガタ落ち」 Hiscoxが指摘する被害企業の悲しい実態
ITmediaはアイティメディア株式会社の登録商標です。