生体認証を利用したログインセキュリティの対策を行うため、認証製品の導入を検討しているものの、Windows 10 以降搭載されている Windows Hello で良いのか、サードパーティの多要素認証製品が良いのか、など悩んだことはないでしょうか。今回は、Windows Hello と、サーバー管理をベースとするサードパーティ製 多要素認証基盤(例として当社の「多要素認証基盤 EVEMA」(以下、EVEMAと記述)を取り上げています)の違いを解説いたします。
生体認証とは
生体認証は、個人が持つ身体的特徴(指紋、静脈、顔、虹彩など)を使用して個人を確認・認証する技術で、スマートフォンやパソコンなど多くのデバイスで一般的に使われるようになりました。パスワードから生体による認証に置き換えることにより確実な本人確認が可能となり、なりすましによる情報漏えいなどセキュリティ対策が可能となっています。
Windows Helloとは
Windows Hello とは Microsoft が提供する Windows デバイスにサインインするための生体認証機能のひとつで、Windows 10 および Windows 11 を搭載したデバイスで使用できます。
生体認証を利用するのでパスワードを使わずに(端末個別設定のPINは利用しますが)、安全かつ迅速にデバイスにサインインが可能で、従来のパスワードに依存せず、より安全で直感的な方法でデバイスにアクセスできるようになります。
サインインオプションには次のような認証方法があります。
● 顔認証
デバイスに搭載された、または外付けの近赤外線 (IR) イメージング用に特別に構成されたカメラを利用して本人確認を行います
● 指紋認証
デバイスに搭載された、または外付けの指紋センサーを利用し本人確認を行います
● PINコード
パスワードとは異なる端末で設定された文字列を用いて本人確認を行います
● FIDO2 セキュリティ キー
USB などでデバイスに接続したセキュリティキーを利用して本人確認を行います
Windows Hello のメリット
Windows Hello には次のようなメリットがあります。
● 導入が容易
Windows 10 や Windows 11 搭載の端末に標準で搭載されているため、新たに認証サーバーの準備やソフトウェアのインストールなどを行う必要がありません。
● 費用が抑えられる
Windows 10 や Windows 11 に標準で組み込まれているセキュリティ機能の一部であり、ソフトウェアの使用に追加費用はかかりません。ただし、顔認証や指紋認証などの一部の機能を利用するためには対応するハードウェアが必要で、その購入や導入にコストが発生する場合があります。
● 認証速度が速い
デバイス内で認証情報を保持しているため、サーバーへ認証の問い合わせを行う必要がなく、認証スピードが速いです。
● アプリケーション認証
Windows Hello は FIDO2 規格に対応しているため、FIDO2 に対応するオンラインサービスへのサインインにも利用できます。
Windows Hello のデメリット
Windows Hello には次のようなデメリットがあります。
● 認証方法の変更が可能
生体認証によるサインインを設定していても、サインインオプションで PIN などのサインイン方法を選択すると、生体認証以外の方法でサインインが可能となってしまいます。また、何度も生体認証に失敗すると自動で PIN などのサインイン方法となってしまいます。
● デバイスのローカルに情報が保存される
デバイスのローカルに生体情報などが保存されるため、デバイスの変更が発生した場合、再度生体情報の登録などを行う必要があります。
● 共用端末での利用
デバイスのローカルに生体情報などが保存されるため、共通アカウントの認証が行えません。
● 仮想デスクトップ環境(以下、VDI と記述)上での生体情報の利用
VDI 上で生体情報の利用が制限されます。
サードパーティ製の多要素認証基盤とは
DDS が提供する多要素認証基盤として「EVEMA」があります。
EVEMA は、各種システムに対するパスワードでのユーザー認証を、生体(指紋、顔、静脈)、ICカード(FeliCa、MIFARE、マイナンバーカード)、ワンタイムパスワード、パスワードなどを用いた多要素認証方式に置き換え、確実な本人確認を行うことで、なりすましのリスクを低減します。
Windows へのサインイン認証、業務アプリケーション認証、VDI 上での認証など、様々な認証を統合し、ユーザーの利用環境にあわせて、安全で利用しやすい認証プラットフォームを提供しています。例えば、一般のユーザーへは「ICカード」と「パスワード」の認証、個人情報を取り扱うユーザーグループへは「ICカード」と「生体」の認証を設定するなど、柔軟な運用設計も可能です。
サードパーティ製の多要素認証基盤(EVEMA)のメリット
EVEMA には次のようなメリットがあります。
● 認証情報がサーバー管理となる
認証情報がサーバー管理となるため、端末を変更してもすぐに既に登録してある認証情報を利用した認証が可能です。また、管理画面に「Active Directory ユーザーとコンピューター」を利用するため、ユーザー、OU、端末ごとに柔軟な認証ポリシーの設定が可能です。
● 認証方法の制限
設定した認証要素しか表示されないため、パスワードの利用を制限することが可能です。
● アプリケーション認証
Windows サインイン認証だけでなく、サインイン後のアプリケーションに対しても代行入力によるシングルサインオン(認証継承によるシングルサインオン、都度認証の選択が可能)を設定することが可能です。
● 利用可能な認証要素が豊富
顔、指紋、ICカードはもちろん静脈認証、ワンタイムパスワードトークン、独自パスワードを認証に利用できます。
● 共用端末での利用
代理認証機能(認証を移譲する機能)を利用することにより、個人の生体情報を利用して共通アカウントとして認証することが可能です。
● VDI 上での生体情報の利用
VDI 上でも生体情報が利用可能です。
サードパーティ製の多要素認証基盤(EVEMA)のデメリット
EVEMA には次のようなデメリットがあります。
● サーバーの準備
EVEMA はサーバークライアント型の製品となっているため、EVEMA 用の認証サーバーを準備する必要があります。
● ソフトウェアのインストール
EVEMA の認証を利用するためには端末へ EVEMA クライアントソフトウェアのインストールを行う必要があります。
● 認証の遅延
EVEMA は認証を行う際にサーバーへ問い合わせを行うため、クライアント端末、EVEMA サーバー、通信環境によっては認証に遅延が生じる可能性があります。
まとめ
以上のように、Windows Hello と サードパーティ製の多要素認証基盤 はそれぞれにメリット・デメリットがあります。数台など小規模の対応であれば Windows Hello を検討、ある程度の台数をで実施する場合、また端末のリプレイスが発生する場合はサードパーティ製の多要素認証基盤を検討するなど、導入する環境に合った製品を選択いただければと思います。
参考にしたサイト:
Windows Hello の構成 – Microsoft サポート
パスワードをいまだに使い続けるのは「セキュリティ的にあり」か? – VAIO
※記載の製品名は、各社の商標または登録商標です。