Microsoft Passport を使った本人確認の管理

[アーティクル]
04/01/2016

Windows 10 の PC とモバイルデバイスでは、Microsoft Passport により、パスワードが強固な 2 要素認証に置き換えられます。この認証は、デバイスと Windows Hello (生体認証) または PIN に関連付けられた新しい種類のユーザー資格情報で構成されます。

Passport は、パスワードに関する次の問題に対処しています。

パスワードは、思い出せない場合があります。また、ユーザーは、多くの場合、複数のサイトで同じパスワードを使っています。
サーバーの侵害により、対称ネットワーク資格情報が公開される場合があります。
パスワードは、リプレイ攻撃の対象となる可能性があります。
ユーザーは、フィッシング攻撃により、誤ってパスワードを公開する可能性があります。

Passport でユーザーは、次の認証を受けることができます。

Microsoft アカウント。
Active Directory アカウント。
Microsoft Azure Active Directory (AD) アカウント。
Fast ID Online (FIDO) v2.0 認証をサポートする ID プロバイダーサービスまたは証明書利用者サービス

Passport の登録時のユーザーの 2 段階の初期検証の後、Passport がユーザーのデバイスにセットアップされ、ユーザーは、ジェスチャ (Windows Hello または PIN) の設定を求められます。ユーザーは、自分の身元を確認するためのジェスチャを設定します。Windows は、Passport を使用してユーザーを認証し、保護されているリソースとサービスにアクセスできるようにします。

企業や教育機関の管理者として、組織に接続する Windows 10 ベースのデバイスでの Passport の使用を管理するポリシーを作成できます。

Microsoft Passport の利点

個人情報の盗難や大規模なハッキングは、大きなニュースとして頻繁に報道されています。自分のユーザー名とパスワードが公開されたという通知を受け取りたい人はいません。

デバイスの保護方法として PIN の方がパスワードよりも優れているとは思えないかもしれません。パスワードは共有シークレットです。デバイスで入力され、ネットワーク経由でサーバーに送信されます。傍受されたアカウント名とパスワードは、だれでも使用できます。サーバーに保存されるため、これらの資格情報は、サーバーの侵害により公開される可能性があります。

Windows 10 では、パスワードではなく、Passport を使います。Passport プロビジョニングプロセスにより、トラステッドプラットフォームモジュール (TPM) にバウンドされた (デバイスに TPM が搭載されている場合)、またはソフトウェア内に 2 つの暗号化キーが作成されます。これらのキーにアクセスし、署名を取得してユーザーが秘密キーを持っていることを検証することは、PIN または生体認証ジェスチャによってのみ有効になります。公開/秘密キーペアの公開の部分が ID プロバイダーに送信され、ユーザーアカウントに関連付けられるときに、Passport 登録時に発生する 2 段階検証により、ID プロバイダーとユーザーの間に信頼関係が作成されます。ユーザーがデバイスにジェスチャを入力すると、ID プロバイダーは、Passport キーとジェスチャの組み合わせから、これが検証された ID であることを認識し、リソースとサービスへのアクセスを Windows 10 に許可する認証トークンを提供します。さらに、登録プロセス中に、Passport キーが TPM に関連付けられていることを暗号で証明するための認証要求が、すべての ID プロバイダーに対して生成されます。登録時に、ID プロバイダーに認証要求が提示されない場合、ID プロバイダーは、Passport キーがソフトウェアで作成されたと想定する必要があります。

Microsoft Passport での認証の動作

ATM から現金を引き出すときに、入力した暗証番号 (PIN) をだれかが肩越しに見ているところを想像してください。PIN を知っているだけでは、アカウントにはアクセスできません。ATM カードがないためです。同様に、デバイスの PIN を知っているだけでは、攻撃者はアカウントにアクセスできません。なぜなら、PIN は、特定のデバイスに対してローカルであり、これで、他のデバイスから認証できるわけではないためです。

Passport は、ユーザーの身元とユーザーの資格情報の保護に役立ちます。パスワードを使用しないため、フィッシング攻撃やブルートフォース攻撃を回避できます。また、Passport 資格情報は非対称キーペアであり、TPM の分離環境内でこれらのキーを生成したときのリプレイ攻撃を防止できるため、サーバーの侵害も防止できます。

Microsoft Passport では、Windows 10 PC にサインインするときに Windows 10 Mobile デバイスをリモート資格情報として使用できるようにもなります。サインインプロセス中に、Windows 10 PC は、Bluetooth を使って接続し、ユーザーの Windows 10 モバイルデバイス上の Microsoft Passport にアクセスできます。ユーザーは自分の電話を携帯しているため、Microsoft Passport により、企業全体で 2 要素認証を他の方法よりも安価かつ簡単に実装できます。

注電話によるサインインは現在、一部の Technology Adoption Program (TAP) 加盟企業に限られています。

Microsoft Passport のしくみ: 重要なポイント

Passport 資格情報は、証明書または非対称キーペアに基づいています。Passport 資格情報は、デバイスにバインドされており、資格情報を使って取得されるトークンも、デバイスにバインドされています。
登録手順で、ID プロバイダー (Active Directory、Azure AD、Microsoft アカウントなど) がユーザーの身元を確認し、Microsoft Passport の公開キーをユーザーアカウントにマップします。
キーは、ハードウェア (エンタープライズ向け TPM 1.2 または 2.0、およびコンシューマー向け TPM 2.0) で、またはポリシーに基づいてソフトウェアで生成できます。
認証は、デバイスに関連付けられたキーまたは証明書と、ユーザーが知っているもの (PIN) またはユーザーを示すもの (Windows Hello) の組み合わせを使った 2 要素認証です。Passport ジェスチャはデバイス間ではローミングせず、サーバーとは共有されません。ローカルでデバイスに格納されます。
秘密キーがデバイスの外部に移動することはありません。登録プロセスの間、認証を行うサーバーは、ユーザーアカウントにマップされている公開キーを保持しています。
PIN エントリと Hello の両方によって Windows 10 がトリガーされ、ユーザーの身元を確認し、Passport キーまたは証明書で認証します。
個人 (Microsoft アカウント) および企業 (Active Directory または Azure AD) のアカウントは、別のコンテナーをキーに使用します。Microsoft 以外の ID プロバイダーは、Microsoft アカウントと同じコンテナーでユーザーのキーを生成できます。ただし、すべてのキーは、ユーザーのプライバシーを確保するために、ID プロバイダーのドメインで分離されます。
証明書は、Passport コンテナーに追加され、Passport ジェスチャで保護されます。
Windows の更新の動作: Windows Update が再起動を要求した後、前回の対話ユーザーが、ユーザーのジェスチャなしで自動的にサインオンし、セッションがロックされて、ユーザーのロック画面アプリが動作できるようになります。

キーベースの認証と証明書ベースの認証との比較

Passport は、キー (ハードウェアまたはソフトウェア) またはキーを含む証明書を、ハードウェアまたはソフトウェアで使って身元を確認できます。証明書を発行して管理する公開キー基盤 (PKI) を保有している企業は引き続き、Passport と組み合わせて PKI を使用できます。PKI を使用しない、または証明書の管理に関連する作業の軽減を望む企業は、Passport のキーベースの資格情報を利用できます。

TPM によって生成されるハードウェアベースのキーは、最高レベルの保証を提供します。TPM の製造時に、TPM には保証キー (EK) 証明書が常駐しています。この EK 証明書により、この TPM で生成されるその他のすべてのキーのルート信頼が作成されます。

EK 証明書を使用して、Microsoft 証明書機関によって発行される認証 ID キー (AIK) 証明書が生成されます。この AIK 証明書は、Passport キーが同じ TPM で生成されていることを ID プロバイダーに証明するための認証要求として使用できます。Microsoft 証明機関 (CA) は、デバイスごと、ユーザーごと、IDP ごとに AIK 証明書を生成し、ユーザーのプライバシーを確実に保護します。

Active Directory や Azure AD などの ID プロバイダーが Passport に証明書を登録すると、Windows 10 で、スマートカードと同じ一連のシナリオがサポートされます。資格情報の種類がキーである場合は、キーベースの信頼と操作のみがサポートされます。