ホーム > mixiニュース > IT・インターネット > デジタル製品 > 2020年、Microsoftが目指すパスワードレスの旅

2020年、Microsoftが目指すパスワードレスの旅

0

2019年07月26日 12:13  ITmedia PC USER

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia PC USER

写真Microsoftが公開しているChromium Edgeの企業向け機能ロードマップ
Microsoftが公開しているChromium Edgeの企業向け機能ロードマップ

 7月1日にスタートしたセブンイレブンのモバイル決済サービス「7pay」にまつわる一連の騒動では、「ID」や「パスワード」管理の重要性を改めて世に問う結果になったと思う。もっとも、7payの他、同サービスを含むグループのショッピングサイト全体で共通利用される「7iD」には、同サイトのみで利用するIDとパスワードの組み合わせでも被害に遭った人がいるなど、パスワード強度以前の脆弱(ぜいじゃく)性が存在する可能性が高く、現在進行形でなお問題の洗い出しが行われている段階だ。



【その他の画像】



 オンライン上でどのデバイスからでも共通してアクセスできる「IDとパスワード」という仕組みはサービス利用の簡便性の反面、悪意ある第三者からのアクセスの窓口にもなり得る。ゆえに2段階認証のような仕組みで本人の確認要素を増やし、不正アクセスの可能性を減らす。



 とはいえ、2段階認証のような仕組みはサインインまでのユーザーの手間を増やし、利便性の低下にもつながる。そこで一度認証済みのデバイスからのアクセスについては2段階認証をスキップしたり、アクセス傾向から判断して疑わしい場合にのみ再度2段階認証を要求したりする仕組みが実装されることもある。



 MicrosoftアカウントやGoogleアカウント共通の機能だが、過去のアクセス履歴や同じアカウントを共有するデバイスの管理を行う仕組みも用意されており、ユーザー自身で不審な挙動がないかを自ら管理することも可能だ。



 このように、オンラインでのアカウント管理は実装側の細心の注意に加え、ユーザー自身のリテラシーが重要となる。こうした中で、Microsoftは2020年春にリリースが見込まれるWindows 10の大型アップデートに向け、新たな取り組みを始めようとしている。



●「20H1」では強制「パスワードレス」のサインインオプションが登場



 以前にレポートしたように、Microsoftでは現在Windows Insider Programに参加するFast Ringユーザーに対して「19H2」ではなく「20H1」ベースのWindows 10 Insider Previewを配信している。



 つまり、現在同プログラム参加者が利用している開発途上バージョンは全て2020年春にリリースされる大型アップデート(機能アップデート)に相当するものということになる。同社は2019年秋にリリースされる「19H2」について「セキュリティ対策を施したマイナーアップデート」と位置付けており、従来の大型アップデートのような機能追加や大幅なユーザーインターフェイス変更などは行われない。



 この「19H2」ベースのInsider PreviewはSlow Ringユーザーを対象に最新版が提供されており、現在の最新ビルドは7月17日(米国時間)に提供された「Build 18362.10006」となる。



 さて、今回の話題は「20H1」だ。本稿執筆時点でのInsider Previewの最新ビルドは、7月10日(米国時間)に配信が開始された「Build 18936」であり、同Blogポストでは「Go passwordless with Microsoft accounts on your device」と呼ばれる見出しで新機能の紹介が行われている。



 当該のWindows 10デバイス上でサインインに利用される全てのMicrosoftアカウントの“サインイン”方法を「パスワードレス」にするオプションが追加されており、これを有効にすると「Windows Hello」または「セキュリティキー(物理)」以外の手段でのサインインが不可能になる(この物理キーはFIDO2準拠のもの)。



 現状で、Windows 10ではこれらWindows Helloのサインイン方法に加え、「パスワード」でのサインインも許可している。Windows Helloはあくまでサインインを簡便化するための手法という位置付けだが、これを強制することでパスワード入力によるサインインを防止し、セキュリティを一段階高めることを狙いとする。



 現在、Windows Helloに属する認証手段としては「顔認証(Face)」と「指紋認証(Fingerprint)」の2つあるバイオメトリクス認証の他、ビジネス用途向けに「スマートカード」の仕組みが用意されている。



 これらに加え、「Windows Hello PIN」という「PIN認証」の仕組みがある。これは4桁以上の数字を使った認証で、一般に英数字や記号を組み合わせた複雑なパスワードよりも覚えやすく入力も簡易な手段といえる。だがPIN入力はパスワードよりも安全であり、Microsoftもこの方式を推奨している。



 「なぜ?」と思うかもしれない。理由は簡単で、冒頭の説明にもあるようにパスワードはオンラインで使い回される認証手段なのに対し、PIN番号は当該のデバイスでのサインインのみに利用される認証手段であり、基本的には外部に共有されない。同じPINを複数デバイスで使い回した場合は別として、パスワードを知っているだけではMicrosoftアカウントにサインインできない。悪意ある第三者の視点に立てば、これを突破するには「ID」と「パスワード」に加え、さらに「PIN」も把握していなければ当該デバイスでのアクセスは行えないからだ。



 もう1つ、現行バージョンである「May 2019 Update(バージョン1903)」では、電話番号によるサインインにも対応している。Microsoftアカウント新規作成において、従来のメールアドレスに加え、現在では「電話番号」を指定することができる。ここで指定したメールアドレスに認証用コードが送信され、それを入力することでMicrosoftアカウントを有効化できるが、電話番号を指定した場合には当該の電話番号に対してSMSで認証用コードが送信されてくる。



 つまり、アカウント変更の挙動などを電話番号を通じて追跡できるわけで、これが一種の物理的なセキュリティキーとして機能する。電話紛失のリスクはあるものの、アカウント管理の新たな方法として検討するのもいいだろう。なお電話番号をサインイン手段として選択した場合、強制的に“パスワードレス”でのサインインとなる。いずれにせよ、Microsoftとしては「少なくともPIN、できればWindows Helloのバイオメトリクス認証」を推していきたいのだろう。



●「19H2」ではさらにCortanaのポジションが後退の可能性



 「19H2」の話題に触れたついでに、少しだけ小さな同アップデートでの大きな変化を紹介する。現行の「May 2019 Update(1903)」では、音声アシスタントのCortanaとWindows 10の検索システムが分離されており、さらに「Cortana」がβ版として独立したアプリとしてMicrosoft Storeで提供されていることは、以前のレポートにもある通りだ。



 Cortanaの未来予測はいくつか浮かんでくるが、2019年秋に提供が見込まれる「19H2」ではさらに話が進み、「Cortanaの代わりにAlexaのようなサードパーティの音声アシスタントをロック画面から呼び出す」ことも可能になるという。



 本件を報じているのはThe Vergeのトム・ウォーレン氏で、Microsoftでは「19H2」の世代でWindows 10におけるサードパーティー製音声アシスタントの動作要件を緩和し、例えばPCがロック状態にあっても「Alexa」のコマンドワードでWindows 10内の“Alexa”が呼び出せるようになるという。2019年初頭には「Alexa対応PC」が複数発表されて話題になったが、これを専用ハードウェアの機構なしでも通常のPC上で動作させる仕組みだと予想される。ある意味で柔軟性を向上させる仕組みなので、Microsoftの正式アナウンスに期待したいところだ。



●Chromium Edgeその後



 Microsoftでは同時期に米ネバダ州ラスベガスで開催されている「Inspire 2019」カンファレンスに合わせ、次期主力ブラウザとなる、いわゆる「Chromium Edge」の最新アップデートを公開している。



 Chromium Edgeは2019年3月から既に「Dev」と「Canary」の2つのチャネルを通じてベータテストが行われているが、これらは主に開発者や一部のプロフェッショナルユーザーを対象としたものだ。企業導入など主にエンタープライズユーザーを対象とした「Beta」の提供はまだ行われていない状態であり、どちらかといえば提供が遅れている傾向といえる。



 一方で、Inspireでは主に企業向けを対象としたChromium Edgeの新機能が紹介されており、Betaチャネルの提供を含む本格展開に向けた準備が着々と進みつつある印象を受ける。



 Windows 7や8.1など旧バージョンOS向けのChromium Edgeの提供は、6月時点で既に開始されているが、オフラインインストールへの対応やAzure AD経由によるブラウザ閲覧やシングルサインオン(SSO)のサポートなど、比較的展開しやすい仕組みを備えつつある。



 グループポリシー対応やApplication Guard、PDFサポートもその一環で、企業ネットワークでの運用テストが行いやすくなった。極め付きはIE Modeのサポートで、主に企業内で動作する“古い”コンテンツへのアクセスをChromium Edge上で可能にする。このIE Modeはかなり本格的で、最終的なゴールは「ActiveX」と「ドキュメントモード」をも含む100%のIE11互換だという。



 本当に実現した場合は「モダンブラウザへの移行がかえって進まなくなるのでは?」という余計な心配も抱くが、気になる機能であることは間違いない。今回のアップデート情報については公式Blogにまとめられているが、Edge Insiderのサイトと合わせ、引き続きチェックしてみてほしい。


    あなたにおすすめ

    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定