仮想スマート カードの理解と評価
Warning
Windows Hello for Businessおよび FIDO2 セキュリティ キーは、Windows 用の最新の 2 要素認証方法です。 仮想スマート カードを使用しているお客様は、Windows Hello for Businessまたは FIDO2 に移行することをお勧めします。 新しい Windows インストールの場合は、Windows Hello for Businessまたは FIDO2 セキュリティ キーをお勧めします。
この記事では、仮想スマート カード テクノロジと、それが認証設計にどのように適合するかを説明します。
仮想スマート カード テクノロジでは、トラステッド プラットフォーム モジュール (TPM) がインストールされているコンピューターに格納されている暗号化キーが使用されます。 仮想スマート カードは、2 要素認証を使用することで、従来のスマート カードと同等のセキュリティ上の利点を提供します。 また、このテクノロジはユーザーの利便性を高め、デプロイコストを削減します。 仮想スマート カードは、従来のスマート カードと同じ暗号化機能を提供する TPM デバイスを利用することで、スマート カードに必要な 3 つの重要なプロパティ (nonexportability、分離暗号化、ハンマリング防止) を実現します。
仮想スマート カードは、物理的なスマート カードと機能的に似ています。 これらは常に挿入されたスマート カードとして表示され、外部リソースへの認証、セキュリティで保護された暗号化によるデータの保護、信頼性の高い署名による整合性に使用できます。 TPM 対応ハードウェアをすぐに利用でき、既存の証明書登録方法を使用して仮想スマート カードを展開できるため、仮想スマート カードは、任意の規模の企業設定で他の強力な認証方法に代わるものになる可能性があります。
ここでは、以下のトピックについて説明します。
- 仮想スマート カードと物理スマート カードの比較: プロパティ、機能面、セキュリティ、コストを比較します。
- 認証設計オプション: パスワード、スマート カード、仮想スマート カードを使用して、organizationの認証目標を達成する方法について説明します。
仮想スマート カードと物理スマート カードの比較
仮想スマート カードは物理スマート カードと同様に機能しますが、スマート カード メディアではなくコンピューターの TPM を使用して秘密キーを保護するという点で異なります。
仮想スマート カードは、従来のスマート カードとしてアプリケーションに表示されます。 仮想スマート カードの秘密キーは、物理メモリの分離ではなく、TPM の暗号化機能によって保護されます。 すべての機密情報は TPM を使用して暗号化され、暗号化された形式でハード ドライブに格納されます。
すべての暗号化操作は、TPM のセキュリティで保護された分離された環境で行われ、暗号化されていない秘密キーはこの環境の外部では使用されません。 そのため、物理スマート カードと同様に、仮想スマート カードはホスト上のすべてのマルウェアからセキュリティで保護されたままになります。 さらに、何らかの方法でハード ドライブが侵害された場合、悪意のあるユーザーは、TPM を使用して安全に暗号化されているため、仮想スマート カードに格納されているキーにアクセスできなくなります。 また、BitLocker ドライブ暗号化によってキーを保護することもできます。
仮想スマート カードは、物理スマート カードの 3 つの重要なプロパティを維持します。
- エクスポート不可: 仮想スマート カード上のすべての個人情報はホスト コンピューター上の TPM を使用して暗号化されるため、異なる TPM を持つ別のコンピューターでは使用できません。 さらに、TPM は改ざんに対して耐性があり、報告できないように設計されているため、悪意のあるユーザーは同じ TPM をリバース エンジニアリングしたり、同じ TPM を別のコンピューターにインストールしたりすることはできません。 詳細については、「仮想スマート カードのセキュリティを評価する」を参照してください。
- 分離暗号化: TPM は、物理スマート カードによって提供される分離暗号化と同じプロパティを提供し、仮想スマート カードで使用されます。 暗号化されていない秘密キーのコピーは TPM 内でのみ読み込まれ、オペレーティング システムからアクセスできるメモリには読み込まれません。 これらの秘密キーを使用するすべての暗号化操作は、TPM 内で行われます
- ハンマリング防止: ユーザーが PIN を誤って入力した場合、仮想スマート カードは TPM のハンマリング防止ロジックを使用して応答します。これにより、カードをブロックするのではなく、一定期間の試行が拒否されます。 これはロックアウトとも呼ばれます。 詳細については、「仮想スマート カードのセキュリティを評価する」を参照してください。
次のサブセクションでは、仮想スマート カードと物理スマート カードの機能、セキュリティ、コストを比較します。
機能
Microsoft によって設計された仮想スマート カード システムは、従来のスマート カードの機能を密接に模倣しています。 エンド ユーザーにとって最も顕著な違いは、仮想スマート カードは基本的に、コンピューターに常に挿入されるスマート カードであるということです。 他のコンピューターで使用するためにユーザーの仮想スマート カードをエクスポートする方法はありません。これにより、仮想スマート カードのセキュリティが強化されます。 ユーザーが複数のコンピューター上のネットワーク リソースにアクセスする必要がある場合は、そのユーザーに対して複数の仮想スマート カードを発行できます。 さらに、複数のユーザー間で共有されているコンピューターは、異なるユーザーに対して複数の仮想スマート カードをホストできます。
仮想スマート カードの基本的なユーザー エクスペリエンスは、パスワードを使用してネットワークにアクセスするのと同じくらい簡単です。 スマート カードは既定で読み込まれるので、アクセスを取得するには、カードに関連付けられている PIN を入力する必要があります。 ユーザーは、カードとリーダーを携帯したり、カードを使用するために物理的なアクションを実行したりする必要がなくなりました。
さらに、仮想スマート カードのハンマリング防止機能は物理スマート カードの機能と同様に安全ですが、仮想スマート カード ユーザーは管理者に連絡してカードのブロックを解除する必要はありません。 代わりに、PIN の入力を再試行する前に、(TPM の仕様に応じて) 一定の時間待ちます。 または、管理者はホスト コンピューター上の TPM に所有者認証データを提供することでロックアウトをリセットできます。
セキュリティ
物理スマート カードと仮想スマート カードは、同等のレベルのセキュリティを提供します。 どちらも、ネットワーク リソースを使用するための 2 要素認証を実装します。 ただし、物理的なセキュリティや攻撃の実用的性など、特定の側面が異なります。 コンパクトで持ち運びが可能な設計のため、従来のスマートカードは最も頻繁に目的のユーザーの近くに保管されます。 彼らは潜在的な敵対者による買収の機会がほとんどないので、カードとの相互作用の任意の並べ替えは、盗難のいくつかの様々なコミットすることなく困難です。
ただし、TPM 仮想スマート カードは、頻繁に無人のままになる可能性があるユーザーのコンピューター上に存在します。これにより、悪意のあるユーザーが TPM をハンマーする機会が得られます。 仮想スマート カードは、(物理的なスマート カードと同様に) ハンマーから完全に保護されていますが、このアクセシビリティにより、攻撃の物流が簡単になります。 さらに、TPM スマート カードのハンマリング防止動作は、ユーザーを完全にブロックするのではなく、PIN エラーが繰り返し発生した場合にのみ時間遅延が発生するという点で異なります。
ただし、これらのわずかなセキュリティの欠陥を軽減するために、仮想スマート カードによって提供されるいくつかの利点があります。 最も重要なのは、仮想スマート カードが失われる可能性がはるかに低い点です。 仮想スマート カードは、ユーザーが既に他の目的で所有しているコンピューターとデバイスに統合され、安全を保つためのインセンティブがあります。 仮想スマート カードをホストするコンピューターまたはデバイスが紛失または盗難された場合、ユーザーは物理スマート カードの損失よりも速くその損失に気付きます。 コンピューターまたはデバイスが紛失と識別されると、ユーザーはシステムの管理者に通知できます。このユーザーは、そのデバイス上の仮想スマート カードに関連付けられている証明書を取り消すことができます。 これにより、仮想スマート カードの PIN が侵害された場合、そのコンピューターまたはデバイスに対する将来の未承認アクセスが排除されます。
費用
企業が物理スマート カードを展開する場合は、すべての従業員にスマート カードとスマート カード リーダーを購入する必要があります。 比較的安価なオプションが見つかりますが、スマート カード セキュリティの 3 つの主要なプロパティ (特に、非可読性) を確保するオプションの方がコストがかかります。 従業員に TPM が組み込まれているコンピューターがある場合は、追加の材料コストなしで仮想スマート カードを展開できます。 これらのコンピューターとデバイスは、市場で比較的一般的です。
仮想スマート カードのメンテナンス コストは、通常の摩耗から簡単に紛失、盗難、または破損する物理的なスマート カードの場合よりも低くなります。 TPM 仮想スマート カードは、ホスト コンピューターまたはデバイスが紛失または破損した場合にのみ失われたり壊れたりします。ほとんどの場合、その頻度は大幅に低くなります。
比較の概要
| 物理スマート カード | TPM 仮想スマート カード |
|---|---|
| カードの組み込みの暗号化機能を使用して秘密キーを保護します。 | TPM の暗号化機能を使用して秘密キーを保護します。 |
| カードの分離された不揮発性メモリに秘密キーを格納します。つまり、秘密キーへのアクセスはカードからのみであり、オペレーティング システムへのアクセスは許可されません。 | 暗号化された秘密キーをハード ドライブに格納します。 暗号化により、これらのキーは、オペレーティング システムのアクセス可能なメモリではなく、TPM でのみ暗号化解除および使用できるようになります。 |
| オペレーティング システムへのアクセスから個人情報を分離することを含む、カード製造元を通じて、nonexportability を保証します。 | TPM の製造元を通じて、敵対者が TPM をレプリケートまたは削除できないことを含む、nonexportability を保証します。 |
| カードの組み込み機能内で暗号化操作を実行および分離します。 | ユーザーのコンピューターまたはデバイスの TPM で暗号化操作を実行して分離します。 |
| カードを通して反ハンマーを提供します。 PIN エントリの試行が失敗した後、管理アクションが実行されるまで、カードはそれ以上のアクセスをブロックします。 | TPM を介したハンマリング防止を提供します。 失敗した試行が連続すると、デバイスのロックアウト時間 (ユーザーが再試行するまでに待機する必要がある時間) が長くなります。 これは管理者がリセットできます。 |
| ユーザーがネットワーク リソースにアクセスするには、スマート カードとスマート カード リーダーを持ち歩く必要があります。 | ユーザーが TPM 対応のコンピューターまたはデバイスにアクセスし、他の機器なしでネットワークにアクセスできる可能性があります。 |
| 他のコンピューターに接続されているスマート カード リーダーにスマート カードを挿入することで、資格情報の移植性を有効にします。 | 特定のコンピューターまたはデバイスから資格情報をエクスポートできないようにします。 ただし、仮想スマート カードは、追加の証明書を使用して、複数のコンピューターまたはデバイスで同じユーザーに対して発行できます。 |
| 複数のユーザーが個人用スマート カードを挿入することで、同じコンピューターを介してネットワーク リソースにアクセスできるようにします。 | 複数のユーザーが、そのコンピューターまたはデバイス上の各ユーザーに仮想スマート カードを発行することで、同じコンピューターまたはデバイスを介してネットワーク リソースにアクセスできるようにします。 |
| ユーザーがカードを持ち運ぶ必要があるため、攻撃者がデバイスにアクセスしてハンマー攻撃を開始することがより困難になります。 | 仮想スマート カードをユーザーのコンピューターに格納します。これは無人のままになり、ハンマー試行のリスク期間が大きくなる可能性があります。 |
| 認証を目的として明示的に実行される一般的な単一目的のデバイスを提供します。 スマートなカードは、簡単に置き忘れたり、忘れたりすることができます。 | ユーザーの他の目的を持つデバイスに仮想スマート カードをインストールします。そのため、ユーザーはコンピューターまたはデバイスに対して責任を負うインセンティブが高くなります。 |
| サインインする必要がある場合にのみ、カードが失われたり盗まれたりしたことをユーザーに警告し、不足していることに気付きます。 | ユーザーが他の目的で必要とする可能性が高いデバイスに仮想スマート カードをインストールします。そのため、ユーザーはその損失にすばやく気付きます。 これにより、関連するリスク期間が減少します。 |
| 企業は、すべての従業員にスマート カードとスマート カード リーダーに投資する必要があります。 | すべての従業員が TPM 対応コンピューターを持っていることを企業に保証する必要があります。これは比較的一般的です。 |
| スマート カード削除ポリシーを使用して、スマート カードが削除されたときのシステムの動作に影響を与えます。 たとえば、ユーザーがカードを削除したときに、ユーザーのサインイン セッションがロックされているか終了されるかは、ポリシーによって決まります。 | TPM 仮想スマート カードは常に存在し、コンピューターから削除できないため、スマート カード削除ポリシーの必要性を排除します。 |
認証設計オプション
次のセクションでは、一般的に使用されるオプションと、組織が認証を検討できるそれぞれの長所と短所について説明します。
パスワード
パスワードは、ユーザーのアカウントの識別資格情報に関連付けられている文字のシークレット文字列です。 これにより、ユーザーの ID が確立されます。 パスワードは最も一般的に使用される認証形式ですが、最も弱い形式でもあります。 パスワードがユーザー認証の唯一の方法として使用されるシステムでは、パスワードを知っている個人のみが有効なユーザーと見なされます。
パスワード認証は、ユーザーに大きな責任を負います。 パスワードは、簡単に推測できないように十分に複雑である必要がありますが、物理的な場所に格納されず、メモリにコミットするのに十分な単純なパスワードである必要があります。 このバランスが正常に達成された場合でも、悪意のあるユーザーがユーザーのパスワードを取得してそのユーザーの ID を偽装できるさまざまな攻撃 (ブルート フォース攻撃、盗聴、ソーシャル エンジニアリング戦術など) が存在します。 多くの場合、ユーザーはパスワードが侵害されていることに気付かないため、有効なパスワードが取得された場合、悪意のあるユーザーがシステムへのアクセスを簡単に維持できます。
ワンタイム パスワード
ワンタイム パスワード (OTP) は従来のパスワードに似ていますが、ユーザーの認証に 1 回だけ使用できるという点でより安全です。 各新しいパスワードを決定する方法は、実装によって異なります。 新しい各パスワードを安全にデプロイすると仮定すると、OTP には、認証の従来のパスワード モデルよりもいくつかの利点があります。 最も重要なのは、特定の OTP トークンがユーザーとシステム間の転送でインターセプトされた場合、インターセプターは将来のトランザクションに使用できないことです。 同様に、悪意のあるユーザーが有効なユーザーの OTP を取得した場合、インターセプターはシステムへのアクセスを制限します (セッションは 1 つだけ)。
スマート カード
スマート カードは物理認証デバイスであり、スマート カードへのアクセスを提供する PIN を把握するだけでなく、ユーザーが実際にスマート カード デバイスを使用してシステムにアクセスすることを要求することで、パスワードの概念を改善します。 スマート カードには、セキュリティを維持するのに役立つ次の 3 つの重要なプロパティがあります。
- エクスポート不可: ユーザーの秘密キーなど、カードに格納されている情報を 1 つのデバイスから抽出して別のメディアで使用することはできません
- 分離暗号化: カードに関連する暗号化操作 (セキュリティで保護された暗号化やデータの暗号化解除など) は、カード上の暗号化プロセッサで発生するため、ホスト コンピューター上の悪意のあるソフトウェアはトランザクションを監視できません
- ハンマリング防止: ブルート フォース攻撃によってカードへのアクセスを防ぐために、一連の失敗した PIN エントリ試行の連続した回数によって、管理アクションが実行されるまでカードがブロックされます
スマート カードは、悪意のあるユーザーがシステムへのアクセスを取得して維持することがはるかに困難であるため、パスワードに対するセキュリティを大幅に強化します。 最も重要なのは、スマート カード システムへのアクセスには、ユーザーが有効なカードを持ち、そのカードへのアクセスを提供する PIN を認識している必要があることです。 盗人がカードと PIN を取得するのは困難です。
カードのコピーが 1 つだけ存在するため、カードの特異な性質によって追加のセキュリティが実現されます。サインイン資格情報を使用できるのは 1 人の個人のみであり、カードが紛失または盗難にあった場合、ユーザーはすぐに気付きます。 これにより、パスワードを単独で使用する場合と比較して、資格情報の盗難のリスク期間が大幅に削減されます。
追加のセキュリティには、追加の材料とサポート コストが付属しています。 従来のスマート カードは購入にコストがかかり (カードとカードリーダーを従業員に提供する必要があります)、ユーザーが誤って紛失したりする可能性があります。
仮想スマート カード
仮想スマート カードは、従来のスマート カードの機能をエミュレートします。 仮想スマート カードは、追加のハードウェアを購入する代わりに、ユーザーが既に所有しているテクノロジを利用し、常にハードウェアを使用する可能性が高くなります。 理論的には、スマート カードの 3 つの主要なプロパティ (nonexportability、分離された暗号化、ハンマリング防止) を提供できるデバイスは、仮想スマート カードとして試運転できます。 仮想スマート カード プラットフォームは、ほとんどの最新のデバイス上にあるトラステッド プラットフォーム モジュール (TPM) チップの使用に限定されます。
TPM を利用する仮想スマート カードは、従来のスマート カードの 3 つのメインセキュリティ原則 (nonexportability、分離暗号化、ハンマリング防止) を提供します。 仮想スマート カードは実装コストが低く、ユーザーにとってより便利です。 多くの企業コンピューターには TPM が既に組み込まれているため、新しいハードウェアの購入に関連するコストは発生しません。 ユーザーがコンピューターまたはデバイスを所有することはスマート カードの所有と同等であり、ユーザーの ID は、それ以上の資格情報を管理することなく、他のコンピューターまたはデバイスから想定することはできません。 したがって、2 要素認証は、ユーザーが仮想スマート カードでセットアップされ、仮想スマート カードを使用する PIN を認識しているコンピューターを持っている必要があるためです。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示