Windows Hello 生体認証の企業利用

Windows Hello は、認証を強化し、指紋照合や顔認識を使ったスプーフィングの可能性を防ぐために役立つ生体認証機能です。

初回リリース時の Windows 10 には Microsoft Passport と Windows Hello が含まれており、これらが連携して多要素認証を提供していました。 展開を簡略化してサポート性を向上するために、Microsoft ではこれらのテクノロジを Windows Hello という名前で 1 つのソリューションに統合しました。 これらのテクノロジを既に展開済みのお客様に対しては、機能の変更はありません。 Windows Hello ではポリシー、マニュアル、およびセマンティクスが簡略化されているため、Windows Hello をまだ評価していない場合も容易に展開できます。

お客様の従業員がこの新しいテクノロジを企業で使用したいと考えていますので、デバイスメーカーと積極的に取り組み、より自信を持ってWindows Hello生体認証をorganizationに導入できるよう、厳格な設計とパフォーマンスに関する推奨事項を作成してきました。

Windows Hello の動作のしくみ

Windows Helloを使用すると、従業員は指紋、顔認識、虹彩認識をデバイスのロック解除の代替方法として使用できます。 Windows Hello では、デバイスに固有の Microsoft Passport 認証情報にアクセスするときに、従業員が自分の一意の生体認証識別子を提示すると認証が行われます。

Windows Hello の認証システムは、従業員を認証して企業ネットワークへのアクセスを許可します。 認証はデバイス間でローミングせず、サーバーと共有されておらず、デバイスから簡単に抽出することはできません。 複数の従業員で 1 台のデバイスを共有する場合は、そのデバイス上で、それぞれの従業員が独自の生体認証データを使うことになります。

従業員に Windows Hello の使用を勧める理由

Windows Hello には、次のような多くの利点があります。

  • 認証情報の盗難に対する保護を強化できます。 攻撃者はデバイスと生体認証情報または PIN の両方を持っている必要があるため、従業員の知識がなくてもアクセスを取得することははるかに困難です。

  • 従業員は、常に使用される単純な認証方法 (PIN でバックアップ) を取得するため、失うものはありません。 パスワードを忘れる心配もなくなります。

  • Windows Helloのサポートはオペレーティング システムに組み込まれているため、調整されたロールアウトの一部として、または グループ ポリシー または Mobile デバイス管理 (MDM) 構成サービス プロバイダー (CSP) ポリシーを使用して個々の従業員またはグループに生体認証デバイスとポリシーを追加できます。
    使用可能なグループ ポリシーと MDM CSP について詳しくは、組織での Windows Hello for Business の実装 をご覧ください。

Windows Helloデータはどこに格納されますか?

Windows Hello をサポートするために使われる生体認証データは、ローカル デバイスにのみ保存されます。 ローミングは行われず、外部デバイスやサーバーに送信されることはありません。 このような分離は、潜在的な攻撃を防ぐために役立ちます。攻撃者が生体認証データを盗もうとしても、侵入先として狙いやすいデータの集約場所がないためです。 さらに、攻撃者が実際にデバイスから生体認証データを取得できたとしても、生体認証センサーで認識できる生の生体認証サンプルに変換することはできません。

デバイス上の各センサーには、テンプレート データが格納されている独自の生体認証データベース ファイルがあります。 各データベースには、システムに対して暗号化された一意のランダムに生成されたキーがあります。 センサーのテンプレート データは、CBC チェーン モードの AES を使用して、このデータベースごとのキーで暗号化されます。 ハッシュは SHA256 です。 一部の指紋センサーには、OS ではなく指紋センサー モジュールで照合を完了する機能があります。 これらのセンサーは、データベース ファイルではなく指紋モジュールに生体認証データを格納します。

Microsoft が規定する Windows Hello のデバイス要件

Microsoft は、次の要件に基づいて、各センサーとデバイスが高レベルのパフォーマンスと保護を確実に満たしていることを確認するために、デバイスの製造元と協力してきました。

  • 他人受入率 (FAR)。 生体認証識別ソリューションで、承認されていない他人が確認されてしまう状況を表します。 これは通常、指定された母集団のサイズに対して発生したインスタンスの数 (100,000 件中 1 件など) の比率として表されます。 また、発生の割合 (0.001% など) として表すこともできます。 この測定は、生体認証アルゴリズムのセキュリティに関して最も重要と考えられています。

  • 本人拒否率 (FRR)。 生体認証識別ソリューションで、承認されているユーザーを適切に確認できない状況を表します。 通常、割合で表され、本人受入率と本人拒否率の合計は 1 になります。 スプーフィング対策や生体検知機能がある場合とない場合があります。

指紋センサーの要件

指紋照合を使用できるようにするには、指紋センサーを搭載したデバイスとソフトウェアが必要です。 指紋センサー、または代替ログオン オプションとして従業員固有の指紋を使用するセンサーは、タッチ センサー (大きな領域または小さな領域) またはスワイプ センサーです。 各種類のセンサーには、製造元で実装する必要のある詳細な要件が独自に定められていますが、どのセンサーにも、スプーフィング対策の手段 (必須) を搭載する必要があります。

小型から大型のタッチ センサーの性能許容範囲

  • 他人受入率 (FAR): < 0.001 ~ 0.002%

  • 実際の有効な FRR (スプーフィング対策や生体検知機能がある場合): < 10%

スワイプ センサーの性能許容範囲

  • 他人受入率 (FAR): < 0.002%

  • 実際の有効な FRR (スプーフィング対策や生体検知機能がある場合): < 10%

顔認識センサー

顔認識に対応するには、特殊な赤外線 (IR) センサーを内蔵したデバイスとソフトウェアが必要です。 顔認識センサーは、IR光で見える特殊なカメラを使用し、従業員の顔の特徴をスキャンしながら、写真と生きている人の違いを伝えることができます。 これらのセンサーには、指紋センサーと同様に、スプーフィング対策の手段 (必須) とその設定方法 (オプション) を搭載する必要があります。

  • False Accept Rate (FAR): <0.001%

  • 本人拒否率 (FRR) (スプーフィング対策や生体検知機能がない場合): < 5%

  • 実際の有効な FRR (スプーフィング対策や生体検知機能がある場合): < 10%

Windows Hello顔認証では、登録または認証中のマスクの着用は現在サポートされていません。 同様のマスクを装着している他のユーザーがデバイスのロックを解除できる可能性があるため、登録するマスクを着用することはセキュリティ上の問題です。 製品グループはこの動作を認識しており、このトピックをさらに調査しています。 顔認証で登録またはロック解除するときにマスクを装着している場合は、マスクWindows Hello取り外してください。 作業環境でマスクを一時的に削除できない場合は、顔認証からの登録を解除し、PIN または指紋のみを使用することを検討してください。

虹彩認識センサーの要件

Iris 認証を使用するには、HoloLens 2 デバイスが必要です。 すべてのHoloLens 2エディションには、同じセンサーが装備されています。 Iris は他のWindows Hello テクノロジと同じように実装され、1/100K の生体認証セキュリティ FAR を実現します。