セキュリティ キーまたは Windows Hello を使用したパスワード不要の安全な Microsoft アカウントへのサインイン
編集注記 2018/11/26:
パスワードレス サインインの提供時期に関する情報を追加しました。
こんにちは。
本日は画期的な最新情報をお届けします。このたび、標準規格に準拠した FIDO2 対応デバイスを使用して、ユーザー名とパスワードの入力なしで Microsoft アカウントに安全にサインインできるようになりました。FIDO2 では、標準規格のデバイスを活用してオンライン サービスに対する認証を、モバイルとデスクトップのどちらの環境でも簡単に行うことができます。これは、米国では既に提供が開始されており、今後数週間をかけて世界各国で提供される予定です。
使いやすさとセキュリティを兼ね備え、幅広い業界に対応するこのサインインのしくみは、家庭でもモダン ワークプレイスでも革新的な存在になるでしょう。毎月 8 億人を超えるユーザーが、仕事や趣味のために、Microsoft アカウントを使用して、あらゆる場所から Outlook、Office、OneDrive、Bing、Skype、Xbox Live にアクセスし、何かを作成したり、つながったり、共有したりしています。そうしたユーザーの皆様に、このシンプルなユーザー エクスペリエンスと格段に強化されたセキュリティのメリットを大いに活用していただけるようになります。
本日より、FIDO2 対応デバイスまたは Windows Hello を使用して、Microsoft Edge ブラウザーから Microsoft アカウントにサインインできます。
次のビデオで、このしくみを簡単に紹介しています。
Microsoft は、パスワード不要のサインインを目指しており、ユーザーがデータやアカウントを脅威から保護できるよう支援しています。Fast Identity Online (FIDO) アライアンスと World Wide Web コンソーシアム (W3C) にも参加しており、他のメンバーと共に次世代の認証方式のオープン標準を策定しています。Microsoft は、Fortune 500 企業の中では初めて、WebAuthn と FIDO2 仕様によるパスワード不要の認証をサポートすることになりました。また Microsoft Edge は、他のどの主要ブラウザーよりも幅広い認証方式をサポートしております。
認証のしくみや使用方法については、以下で詳しくご説明していきます。
使用を開始する
FIDO2 セキュリティ キーを使用して Microsoft アカウントにサインインする手順は次のとおりです。
- Windows 10 October 2018 Update に更新済みであることを確認します。
- Microsoft Edge で Microsoft アカウント ページに移動し、通常どおりサインインします。
- [セキュリティ]、[その他のセキュリティ オプション] の順に選択し、[Windows Hello とセキュリティ キー] で、表示された手順に従ってセキュリティ キーを設定します(セキュリティ キーは、Yubico や Feitian Technologies など、FIDO2 標準をサポートする Microsoft パートナーから購入できます*)。
- 次回サインイン時に、[その他のオプション]、[セキュリティ キーを使用する] の順にクリックするか、ユーザー名を入力するかを選択できます。前者を選択すると、セキュリティ キーを使用してサインインするよう指示されます。
ちなみに、Windows Hello を使用して Microsoft アカウントにサインインする方法は以下のとおりです。
- Windows 10 October 2018 Update に更新済みであることを確認します。
- Windows Hello をセットアップします (未設定の場合)。Windows Hello がセットアップ済みの場合は次に進みます。
- 次回 Microsoft Edge でサインインするときに、[その他のオプション]、[Windows Hello またはセキュリティ キーの使用] の順にクリックするか、ユーザー名を入力するかを選択できます。前者を選択すると、Windows Hello またはセキュリティ キーを使用してサインインするよう指示されます。
詳細については、設定方法に関する詳しいヘルプ記事をご覧ください。
* FIDO2 仕様で省略可と規定されている機能のうちいくつかは、Microsoft のセキュリティに必須です。キーが機能するには、これらの機能が実装されている必要があります。詳細については、Microsoft 対応セキュリティ キーに関するドキュメントをご覧ください。
しくみ
内部的には、WebAuthn と FIDO2 CTAP2 の仕様をサービス内部に実装することによってこのサインイン方法を実現しています。
パスワードとは異なり、FIDO2 は公開/秘密キー暗号化を使用してユーザー資格情報を保護します。ユーザーが FIDO2 の資格情報を作成して登録すると、デバイス (PC または FIDO2 デバイス) が秘密キーと公開キーをデバイス上に生成します。秘密キーはデバイス上に安全に保管されており、使用するにはローカル ジェスチャ (生体認証や PIN など) を使用してロックを解除する必要があります。生体認証や PIN の情報がデバイスの外に流出することは決してありません。秘密キーが保管されると同時に、公開キーはクラウドの Microsoft アカウント システムに送信され、ユーザー アカウントと共に登録されます。
後でユーザーがサインインするときに、Microsoft アカウント システムから PC または FIDO2 デバイスに nonce (その場限りの値) が送信されます。PC またはデバイスは秘密キーを使用してこの nonce に署名します。署名された nonce とメタデータが Microsoft アカウント システムに返送され、公開キーを使用して検証されます。WebAuthn と FIDO2 の仕様では、署名済みのメタデータは、ユーザーの存在を証明する情報を含み、ローカルのジェスチャによる認証が正しいことを証明します。このため、Windows Hello や FIDO2 デバイスでの認証は「フィッシング不可能」であり、マルウェアによって簡単に盗み出すことはできません。
では、このしくみが Windows Hello や FIDO2 デバイスでどのように実現されているのでしょうか? ユーザーの Windows 10 デバイスの能力に応じて、ハードウェア トラステッド プラットフォーム モジュール (TPM) と呼ばれる安全な領域が組み込まれるか、ソフトウェア TPM を使用することになります。TPM に秘密キーが格納されており、これを取り出すにはユーザーの顔、指紋、または PIN が必要です。同様に、FIDO2 デバイス (たとえばセキュリティ キー) は小型の外部デバイスで、その内部に安全な領域が組み込まれています。ここに秘密キーが格納され、取り出すには生体認証または PIN が必要です。どちらの方法も、2 要素認証をワン ステップで実現するものであり、サインインするには登録済みのデバイスと生体認証または PIN の両方を必要とします。
実装に関する技術的な詳細については、Microsoft の ID 認証の標準に関するブログ記事をご覧ください。
今後について
Microsoft は、パスワードの使用を減らして将来的になくしていくための取り組みを進めています。現在は、ブラウザーとセキュリティ キーを使用する同じサインイン方法を、Azure Active Directory に登録された職場または学校用のアカウントについても利用できるようにするための作業を行っています。大企業のお客様向けに、この機能のプレビューを年明け早々に開始する予定です。これで、従業員が各自のアカウントのセキュリティ キーを自分でセットアップして Windows 10 やクラウドにサインインできるようになります。
今後 WebAuthn と FIDO2 の標準規格をサポートするブラウザーやプラットフォームが増えれば、Microsoft Edge と Windows で実現したこのパスワードレスのエクスペリエンスを、あらゆるところに応用できるようになります。
年明けの詳細発表までもうしばらくお待ちください。
お読みいただき、ありがとうございました。
Alex Simons (@Twitter: @Alex_A_Simons)
プログラム マネジメント担当 CVP
Microsoft アイデンティティ部門