なぜ「Windows Hello」は“パスワード不要”でも信頼できるのか？：企業向けWindows Hello活用ガイド【後編】

パスワードに依存しない認証機能の一つにMicrosoftの「Windows Hello for Business」がある。その活用に当たって押さえておくべきデプロイモデルや信頼モデルの違いとは。

[Gary Olsen，TechTarget]

　企業の情報資産を守る上で、ユーザー認証は特に重要なセキュリティ対策の一つだ。従来はIDとパスワードの組み合わせによる認証が一般的だったが、パスワードの使い回しや漏えいがもたらすリスクが浮き彫りになっている。

　Microsoftの「Windows Hello for Business」は、生体情報やPIN（Personal Identification Number）などを用いて、パスワードに依存しない本人確認を実現する認証機能だ。組織がWindows Hello for Businessを活用するに当たり、利用可能なデプロイ（展開）モデルや、ユーザーをどのような仕組みで信頼するのかを押さえておこう。

Windows Helloがユーザーを信頼する仕組み

　Windows Hello for Businessをデプロイする前に、さまざまな要件を確認しておく必要がある。Windows Hello for Businessのデプロイ方法には、「クラウドのみのモデル」「オンプレミスモデル」「ハイブリッドモデル」の3種類がある。どのモデルを採用するかは、組織が認証基盤やID管理、デバイス管理にどのような方法を用いているかによって異なる。

• クラウドのみのモデル
  • Microsoft Entra IDとMicrosoft Intuneなど、クラウドベースのID管理とデバイス管理を前提とするモデル。新興企業やクラウドファーストを志向する組織に適している。
• オンプレミスモデル
  • オンプレミスのID・アクセス管理システム「Active Directory」（AD）を中心に、グループポリシーやシステム管理ツール「System Center Configuration Manager」（SCCM）などを用いて管理するモデル。既存環境にADがある組織向け。
• ハイブリッドモデル
  • オンプレミスのADとEntra IDを同期させ、両環境を連携させる構成。大企業が採用する傾向にある。既存のADを活用しながら、クラウドベースの認証機能を取り入れられるのが利点。

　デプロイモデルを選ぶに当たって考慮すべき点は次の通り。

クラウドのみのデプロイ

　クラウドのみのデプロイは、デバイスがMicrosoft Entra IDにのみ参加していて、オンプレミスのインフラは限定的または全く使用していない組織に適している。管理にはMicrosoft Intuneのようなクラウドベースのモバイルデバイス管理（MDM）ツールを使うのが一般的で、最も構成がシンプルな選択肢となる。

　このモデルで管理されるデバイスは、Microsoft Entra IDを通じて、OSやアプリケーションのサブスクリプションサービス「Microsoft 365」のようなクラウドリソースにアクセスする運用が基本だ。

オンプレミスモデル

　Microsoft Entra IDを使用しておらず、クラウドサービスの利用がない組織には、オンプレミスモデルが適している。デバイスは、オンプレミスのADにのみ参加する。デバイスはオンプレミスのアプリケーションを使用するのが一般的だ。

ハイブリッドモデル

　ハイブリッドモデルは、オンプレミスのADとMicrosoft Entra IDを併用している組織に適している。この構成では、デバイスはまずオンプレミスのADに参加した上で、Microsoft Entra IDと同期される。こうしたデバイスは、社内システムとクラウドサービスの両方にアクセスし、ユーザーはMicrosoft Entra IDに登録されたMicrosoft 365のようなクラウドサービスも利用できる。

併せて読みたいお薦め記事

連載：企業向けWindows Hello活用ガイド

• 前編：「Windows Hello」による“脱パスワード”はもう常識？　その認証機能とは

パスワードレス化の潮流

• パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ？
• Apple、Google、Microsoftが推すパスワードレス認証「FIDO2」とは？

Windows Hello for Businessの信頼モデル

　Windows Hello for Businessは、ADへの認証に「クラウドKerberos信頼」「キー信頼」「証明書信頼」という3種類の信頼モデル（そのユーザーが正当であると許可するための仕組み）を提供する。各モデルに応じて認証証明書を発行するかどうかが決まるが、Microsoftによると、いずれかの信頼モデルが他のモデルより安全というわけではない。それぞれの仕組みは次の通り。

クラウドKerberos信頼

　Windows Hello for Businessの信頼モデルの中で最もシンプルかつ高速な認証方式で、特にクラウド環境に最適化された構成だ。Microsoft Entra IDとオンプレミスのADがハイブリッド構成で連携していれば、オンプレミスのリソースへのアクセスにも対応可能。クラウドKerberos信頼を使うことで、公開鍵インフラ（PKI）や証明書の展開なしに、Windows Hello for Businessによる認証が可能になる。

　この仕組みを支えているのが、「Microsoft Entra Kerberos」というサービスだ。Microsoft Entra Kerberosは、クラウドに参加したデバイスが、オンプレミスのリソースにアクセスするためのKerberos認証を、Microsoft Entra IDが代替的に提供する仕組みだ。

キー信頼

　キー信頼は、証明書を使わず、鍵ベースの認証（公開鍵暗号）を採用する方式だ。このモデルでは、ユーザーが初回セットアップ時に生成する公開鍵がオンプレミスのADに保存され、ユーザーのサインイン時には、TPMに格納された秘密鍵での署名と、ADに保存された公開鍵の照合により認証が行われる。PKIや証明書展開が不要であるため、オンプレミスのADを利用しながらも、PKIの導入を避けたい組織にとって現実的な選択肢となる。

証明書信頼

　証明書信頼は、オンプレミスのADとPKIを使用した構成となる。このモデルでは、ユーザーのデバイスに対して、企業の認証局（CA：Certificate Authority）が証明書を発行し、その証明書を使ってユーザー認証をする。