セキュリティ キーまたは Windows Hello を使用したパスワード不要の安全な Microsoft アカウントへのサインイン
※本ブログは、米国時間 11/20 に公開された”Secure password-less sign-in for your Microsoft account using a security key or Windows Hello” の抄訳です。
本日は画期的な最新情報をお届けします。このたび、標準規格をベースとした FIDO2 互換デバイスを使用して、ユーザー名とパスワードの入力なしで Microsoft アカウントに安全にサインインできるようになりました。FIDO2 では、標準規格のデバイスを活用してモバイル、デスクトップ環境を問わず容易にオンライン サービス認証を行うことができます。
使いやすさとセキュリティを備え、幅広い業界に対応するこのサインインのしくみは、家庭やモダン ワークプレースにおいて革新的な存在となるでしょう。毎月 8 億人を超えるユーザーが Microsoft アカウントを使用して、あらゆる場所から Outlook、Office、OneDrive、Bing、Skype、Xbox Live にアクセスし、仕事や趣味で何かを作成したり、つながったり、共有したりしています。そうしたユーザーの皆様に、このシンプルなユーザー エクスペリエンスと各段に強化されたセキュリティのメリットを大いに活用していただけるようになります。
本日より、FIDO2 対応デバイスまたは Windows Hello を使用して、Microsoft Edge ブラウザーから Microsoft アカウントにサインインすることができます。
次のビデオはこのしくみを簡単に紹介しています。
マイクロソフトは、パスワード不要のサインインを目指しており、ユーザーがデータやアカウントを脅威から保護できるよう支援しています。FIDO アライアンスと World Wide Web コンソーシアム (W3C) にも参加しており、他のメンバーと共に次世代の認証方式のオープン スタンダードを開発しています。今回マイクロソフトは、Fortune 500 で WebAuthn と FIDO2 (英語) 仕様によるパスワード不要の認証をサポートした最初の企業となりました。また Microsoft Edge は、他のどの主要ブラウザーよりも幅広い認証方式をサポートするブラウザーとなりました。
利用方法や認証のしくみについては、以下で詳しくご説明します。
利用を開始するには
FIDO2 セキュリティ キーを使用して Microsoft アカウントにサインインする手順は次のとおりです。
- Windows 10 October 2018 Update をお使いでない場合は、必ず更新しておいてください。
- Microsoft Edge で Microsoft アカウント ページにアクセスし、通常どおりサインインします。
- [セキュリティ] > [その他のセキュリティ オプション] の順に進み、[Windows Hello and security keys (Windows Hello とセキュリティ キー)] セクションで説明に従ってセキュリティ キー (英語) を設定します(セキュリティ キーは、Yubico (英語) や Feitian Technologies (英語) など、FIDO2 標準をサポートするマイクロソフト パートナーから購入できます*)。
- 次回サインイン時に、[その他のオプション] > [セキュリティ キーを使用する] の順にクリックするか、ユーザー名を入力するかを選択できます。前者を選択すると、セキュリティ キーを使用してサインインするよう指示されます。
ちなみに、Windows Hello を使用して Microsoft アカウントにサインインする方法は以下のとおりです。
- Windows 10 October 2018 Update に更新されていることを確認します。
- Windows Hello のセットアップを行います。Windows Hello がセットアップ済みの場合は次へ進みます。
- 次回 Microsoft Edge でサインインするときに、[その他のオプション] > [Windows Hello またはセキュリティ キーを使用する] の順にクリックするか、ユーザー名を入力するかを選択できます。前者を選択すると、Windows Hello またはセキュリティ キーを使用してサインインするよう指示されます。
詳細は、利用方法の詳しいヘルプ記事をご覧ください。
* マイクロソフトのセキュリティに必須の FIDO2 仕様のオプション機能が実装されたキーのみが動作します。詳細は、マイクロソフト対応セキュリティ キーに関するドキュメントをご覧ください。
しくみ
マイクロソフトは、WebAuthn と FIDO2 CTAP2 (英語) の仕様をサービス内部に実装し、このサインイン方法を実現させました。
FIDO2 はパスワードとは違い、公開/秘密キー暗号化を使用してユーザー資格情報を保護します。FIDO2 の認証情報を作成して登録すると、デバイス (PC または FIDO2 対応デバイス) は秘密キーと公開キーを生成します。秘密キーはデバイス上に安全に保持され、生体認証や PIN などのローカルの操作 (ジェスチャ) でロック解除を行うことで初めて使用することができます。生体認証や PIN の情報がデバイスの外に流出することは決してありません。秘密キーが保持されると同時に、公開キーはクラウドの Microsoft アカウント システムに送信され、ユーザー アカウントと共に登録されます。
その後サインイン時に、Microsoft アカウント システムは PC または FIDO2 デバイスに Nonce (その場限りの値) を送信します。PC またはデバイスは秘密キーを使用して Nonce に署名します。署名された Nonce とメタデータが Microsoft アカウント システムに返送され、そこで公開キーを使用して検証されます。WebAuthn と FIDO2 の仕様では、署名済みのメタデータは、ユーザーの存在を証明する情報を含み、ローカルのジェスチャによる認証が正しいことを証明します。このため、Windows Hello や FIDO2 デバイスでの認証はフィッシング不可能であり、マルウェアによって簡単に盗み出すことはできません。
では、このしくみが Windows Hello や FIDO2 デバイスでどのように実現されているのでしょうか。Windows 10 デバイスでは、ハードウェア トラステッド プラットフォーム モジュール (TPM) またはソフトウェア TPM と呼ばれる、組み込みの安全な領域が使用されます。TPM は秘密キーを保持し、ロックを解除するには顔、指紋、PIN での認証が必要になります。セキュリティ キーなどの FIDO2 デバイスは、組み込みの安全な領域を備えた小型の外部デバイスで、同様に秘密キーを保持し、生体認証や PIN でロックを解除します。どちらも、2 要素認証をワン ステップで提供し、登録済みのデバイスと、生体認証または PIN をセットで使用して初めて正常なサインインが可能になります。
実装についての技術詳細は、マイクロソフトの ID 認証のスタンダードに関するブログ記事 (英語) をご一読ください。
今後について
マイクロソフトは、パスワードの使用を減らして将来的になくしていくための取り組みを進めています。今後もさまざまな情報をお届けしてまいります。現在は、仕事や学校用の Azure Active Directory アカウントに、ブラウザーでのセキュリティ キーによるサインイン エクスペリエンスを構築しています。企業のお客様向けに、年明け早々にこの機能のプレビューを提供する予定です。これにより、従業員が各自のアカウントにセキュリティ キーをセットアップして、Windows 10 やクラウド サービスにサインインできるようになります。
今後 WebAuthn と FIDO2 の標準規格をサポートするブラウザーやプラットフォームが増えれば、Microsoft Edge と Windows で実現したこのパスワード不要のエクスペリエンスを、あらゆるところに応用できるようになります。
年明けの詳細発表までもうしばらくお待ちください。
マイクロソフト ID 部門
プログラム マネジメント CVP
Alex Simons (@Twitter: @Alex_A_Simons)