キヤノンMJ/サイバーセキュリティ情報局

パスワードレスのログインを実現する「Windows Hello」についてあらためて解説

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「Windows Helloとは?安全にノートパソコンを使うための4つのポイント」を再編集したものです。

 ノートパソコンのログイン時には通常、IDやパスワードの入力が必要だ。しかし、パスワードの管理には煩雑さが伴う。Windows Helloは、こうしたパスワード管理の手間から私たちを解放してくれる仕組みとして注目されている。この記事ではWindows Helloの概要や機能、またノートパソコンを安全に使うためのポイントについて解説する。

Windows Helloとは?

 Windows Helloとは、Windowsへログインする際に顔認証や指紋認証といった生体認証機能を提供する機能だ。Windows 10のパソコンに標準搭載されており、Windows Hello対応のウェブカメラや指紋リーダーなどを使うことで利用が可能だ。リモートワークの広がりとともに高まるセキュリティ強化のニーズを受け、近年発売されるノートパソコンには、こうした機器があらかじめ組み込まれ、Windows Helloがそのまま利用できるモデルが増えている。

なぜWindows Helloが開発されたのか

 そもそもなぜ、Windows Helloは誕生したのか。マイクロソフト社がWindows Helloを開発したのは、「パスワードレス」を実現するためだ。同社は2017年にパスワードレスを実現するための4段階のアプローチを発表している。その第一段階となるのが、Windows Helloをはじめとする、IDやパスワードの代替手段の開発と実装である。

 また2020年に国内ポータルサイト大手のヤフー株式会社が実施した調査によると、インターネットサービスなどで最も利用する認証手段は「パスワード」で75.8%だった。そして、「パスワードを使い回している」という回答も60%を超えていた。

 パスワードの堅牢性を高めるには、複雑なものに設定する必要がある。しかしながら、複雑なパスワードを設定して管理することはユーザーの利便性を阻害する要因となる。結果的に、パスワードの使い回しなどが常態化し、ユーザーや企業はセキュリティリスクを抱え続けることになる。生体認証でログインが可能なWindows Helloは、それらのリスクを解消する手段のひとつとして期待されているのだ。

Windows Helloの機能

 Windows Helloの機能は、生体認証とPIN認証の2つに分類することができる。

1) 生体認証

 Windows Helloでは、ノートパソコンにログインする際、パスワードの代わりに「顔認証」と「指紋認証」のいずれかを用いる。

 生体認証の性能を測る要件として、他人を誤認する「他人受入率(FAR)」と、本人を間違う「本人拒否率(FRR)」が挙げられる。Windows Helloにおける指紋認証の要件は、FARが0.002%以下、FRRが10%以下。顔認証の要件はFARが0.001%以下、FRRが5%以下または10%以下となっている。

 生体認証の精度は高いものの、完全とは言えず、認証時の環境や機器の状態によっては認証がスムーズにいかない場合もある。例えば、マスクをしている場合やノートパソコンの搭載カメラが指紋で汚れている場合などに、本人として認証されないといったことも起こり得る。

顔認証や指紋認証などの生体認証を利用して安全性を高めよう
https://eset-info.canon-its.jp/malware_info/special/detail/200421.html

2) PIN認証

 Windows Helloは生体認証に加えて、PINによる認証を設定することが可能だ。上述のとおり、生体認証は完璧ではない。さまざまな要因で、生体認証がうまくいかなかった際の代替手段として、PINが用意されている。

 PINはパスワードと混同されがちだが、厳密にはパスワードとは異なる認証方法だ。一番の特徴は「端末と紐づいている」ということだろう。そのため、仮にPINの情報が外部に漏えいしたとしても、端末が盗まれない限りノートパソコンのロックは解除されない。マイクロソフト社は、端末と紐づいていることを根拠に、PINはパスワードよりも安全であるとしている。

Windows Helloを使うメリット

 Windows Helloを利用する具体的なメリットとして、以下の3つが挙げられるだろう。

1) 複雑なパスワードを管理する必要がない

 Windows Helloを活用することで、ユーザーは複雑なパスワードの管理から解放される。顔認証、または指紋認証を用いることで、パスワード入力なしでWindowsにログインすることができる。また、パスワードを定期的に変更したり、家族や親戚、あるいは犬の誕生日など、その組み合わせに悩んだりする必要もなくなるだろう。

2) パスワードの漏えいリスクを低減できる

 パスワードを使わないことで、認証情報の漏えいリスクを低減することができる。基本的に、生体認証などの認証情報は、端末に暗号化された状態で保存される。インターネット上のサーバーなどに認証情報が保存されないため、不正アクセスなどによる漏えいリスクも低い。ただし、ノートパソコンの場合、盗難されてしまえばPINが解析されてしまうリスクが生じるため注意が必要だ。

3) 企業で利用する際、セキュリティポリシーを適用できる

 Windows HelloにはWindows Hello for Businessという仕組みが用意されている。Active Directoryと連携することで、生体認証の利用の有効化/無効化やPINの要件など、細部にわたるセキュリティポリシーを一括で組織内の端末に適用できる。ノートパソコンの場合、個人の管理レベルに依存しがちだが、一括適用できることで、よりガバナンスを効かせることが可能だ。

ノートパソコンを安全に使うためのその他のセキュリティオプション

 Windows Hello以外にも、Windows 10にはさまざまなセキュリティ機能がある。「スタート」メニューから「Windows セキュリティ」で確認できる、これらのセキュリティオプションを有効活用することで、より安全にノートパソコンを使用できる。

1) ウイルスと脅威の防止

 Windows 10にはMicrosoft Defender(旧Windows Defender)と呼ばれるセキュリティ機能が標準搭載されており、リアルタイムに端末の状況を監視し、マルウェアなどの攻撃を検知・保護してくれる。

2) ファイアウォールとネットワーク保護

 Microsoft Defenderに含まれているファイアウォールの機能を有効化しておくことで、端末への不正な通信を遮断できる。通信の状況に応じて、ファイアウォールの有効/無効などの細かな設定も可能だ。

3) アプリとブラウザーの制御

 Windows 10にはMicrosoft Defender SmartScreenと呼ばれる、アプリとウェブブラウザーを監視する機能が搭載されている。この機能により、フィッシング詐欺やマルウェア感染の可能性があるウェブサイトへのアクセスを未然に防ぐことができる。また、OSに統合されているため、アプリの悪意ある行動を制御することも可能とされる。ただし、対応するウェブブラウザーはMicrosoft Edgeに限定されるため、注意が必要だ。

4) デバイス セキュリティ

 デバイス セキュリティとは、ハードウェアに組み込まれたセキュリティの仕組みのことである。「コア分離」の機能を有効化することで、コンピューターの処理をOSとデバイスから分離。マルウェアをはじめとする攻撃からOSのコア部分を保護する。また、「セキュリティ プロセッサ」ではTPM(Trusted Platform Module)を用いた強度な暗号化が可能だ。TPMはセキュリティ処理などを司っており、「セキュリティチップ」とも呼ばれる。Windows Helloの認証情報もこのTPM上に保存されている。

ストレージを暗号化する「BitLocker」とは?利用する上での注意点はあるのか?
https://eset-info.canon-its.jp/malware_info/special/detail/201224.html

5) デバイスのパフォーマンスと正常性

 端末の状態をレポーティングしてくれる「デバイスのパフォーマンスと正常性」は、メモリーやバッテリーなどの異常を知らせてくれる機能だ。

6) ファミリーのオプション

 ファミリーのオプションは、ノートパソコンなどを家族で共有して利用する際に端末を管理するためのオプションだ。子どものウェブサイト閲覧やアプリ利用を監視、あるいは制限することができる。

ノートパソコンをより安全かつ快適に使うために

 これまで述べてきたとおり、Windowsのノートパソコンにはさまざまなセキュリティ機能が搭載されている。しかしながら、何事にも「絶対」はない。より安全にノートパソコンを利用するために、以下の4つの点に気をつけるようにしたい。

1) 適切なOSのアップデート

 WaaS(Windows as a Service)という概念を持つOSのWindowsは、マイクロソフト社から適宜バージョンアップが提供される。セキュリティパッチはもちろんのこと、新機能の追加なども含まれる。脆弱性を塞ぐためにも、OSを最新版にアップデートしておくことは、セキュリティ対策の基本だ。また、アップデートを行なうことで、最新のセキュリティ機能を利用することも可能となる。

 今後はどうなる?理解しておきたいWindows 10のアップデート
https://eset-info.canon-its.jp/malware_info/special/detail/201224.html

2) 標準のセキュリティ機能を有効化

 Windows 10にはWindows Helloだけでなく、さまざまなセキュリティ機能が搭載されている。ウイルスを検知してくれたり、不正なウェブページなどへのアクセスをブロックしてくれたりする機能だ。これらの標準搭載されている機能について把握し、極力有効にして活用するようにしたい。

Windows のヘルプとラーニング

3) 端末の紛失・盗難対策

 端末が盗難されてしまうと、いかに強固なWindows HelloであってもPINを特定されるリスクがある。カフェなどで机にパソコンを置いたまま、席を外したりしないといった基本的な盗難対策は講じるべきだ。なお、会社のパソコンを紛失、あるいは盗難された場合は、直ちに会社に報告して適切な対応を取るようにしてほしい。

4) セキュリティソフトの導入

 先述のとおり、Windows 10にはMicrosoft Defender(旧Windows Defender)が標準搭載されている。必要十分な機能はあるが、市販のセキュリティソフトは、専用のソフトウェアとして複数のセキュリティ機能やサポートが充実しているものが多く提供されている。

 例えば、ESETインターネット セキュリティでは、ネットバンキングやECサイトを安全に利用するための機能をはじめ、フィッシングサイトのブロック機能など、パソコンやスマホを安全に利用する機能が備わっている。また、パソコンに詳しくないユーザーに向けた、サポートが充実しているプランも用意されているのもメリットだ。安心、安全にパソコンを利用するためにも、セキュリティソフトの導入を検討してみてほしい。