2020年、Microsoftが目指すパスワードレスの旅：鈴木淳也の「Windowsフロントライン」（1/2 ページ）

[鈴木淳也（Junya Suzuki），ITmedia]

　7月1日にスタートしたセブンイレブンのモバイル決済サービス「7pay」にまつわる一連の騒動では、「ID」や「パスワード」管理の重要性を改めて世に問う結果になったと思う。もっとも、7payの他、同サービスを含むグループのショッピングサイト全体で共通利用される「7iD」には、同サイトのみで利用するIDとパスワードの組み合わせでも被害に遭った人がいるなど、パスワード強度以前の脆弱（ぜいじゃく）性が存在する可能性が高く、現在進行形でなお問題の洗い出しが行われている段階だ。

　オンライン上でどのデバイスからでも共通してアクセスできる「IDとパスワード」という仕組みはサービス利用の簡便性の反面、悪意ある第三者からのアクセスの窓口にもなり得る。ゆえに2段階認証のような仕組みで本人の確認要素を増やし、不正アクセスの可能性を減らす。

　とはいえ、2段階認証のような仕組みはサインインまでのユーザーの手間を増やし、利便性の低下にもつながる。そこで一度認証済みのデバイスからのアクセスについては2段階認証をスキップしたり、アクセス傾向から判断して疑わしい場合にのみ再度2段階認証を要求したりする仕組みが実装されることもある。

　MicrosoftアカウントやGoogleアカウント共通の機能だが、過去のアクセス履歴や同じアカウントを共有するデバイスの管理を行う仕組みも用意されており、ユーザー自身で不審な挙動がないかを自ら管理することも可能だ。

　このように、オンラインでのアカウント管理は実装側の細心の注意に加え、ユーザー自身のリテラシーが重要となる。こうした中で、Microsoftは2020年春にリリースが見込まれるWindows 10の大型アップデートに向け、新たな取り組みを始めようとしている。

「20H1」では強制「パスワードレス」のサインインオプションが登場

　以前にレポートしたように、Microsoftでは現在Windows Insider Programに参加するFast Ringユーザーに対して「19H2」ではなく「20H1」ベースのWindows 10 Insider Previewを配信している。

　つまり、現在同プログラム参加者が利用している開発途上バージョンは全て2020年春にリリースされる大型アップデート（機能アップデート）に相当するものということになる。同社は2019年秋にリリースされる「19H2」について「セキュリティ対策を施したマイナーアップデート」と位置付けており、従来の大型アップデートのような機能追加や大幅なユーザーインターフェイス変更などは行われない。

　この「19H2」ベースのInsider PreviewはSlow Ringユーザーを対象に最新版が提供されており、現在の最新ビルドは7月17日（米国時間）に提供された「Build 18362.10006」となる。

　さて、今回の話題は「20H1」だ。本稿執筆時点でのInsider Previewの最新ビルドは、7月10日（米国時間）に配信が開始された「Build 18936」であり、同Blogポストでは「Go passwordless with Microsoft accounts on your device」と呼ばれる見出しで新機能の紹介が行われている。

　当該のWindows 10デバイス上でサインインに利用される全てのMicrosoftアカウントの“サインイン”方法を「パスワードレス」にするオプションが追加されており、これを有効にすると「Windows Hello」または「セキュリティキー（物理）」以外の手段でのサインインが不可能になる（この物理キーはFIDO2準拠のもの）。

　現状で、Windows 10ではこれらWindows Helloのサインイン方法に加え、「パスワード」でのサインインも許可している。Windows Helloはあくまでサインインを簡便化するための手法という位置付けだが、これを強制することでパスワード入力によるサインインを防止し、セキュリティを一段階高めることを狙いとする。

2020年春にリリースが見込まれるWindows 10の次期大型アップデートでは、“パスワードなし”によるサインインのオプションが選択可能に

　現在、Windows Helloに属する認証手段としては「顔認証（Face）」と「指紋認証（Fingerprint）」の2つあるバイオメトリクス認証の他、ビジネス用途向けに「スマートカード」の仕組みが用意されている。

　これらに加え、「Windows Hello PIN」という「PIN認証」の仕組みがある。これは4桁以上の数字を使った認証で、一般に英数字や記号を組み合わせた複雑なパスワードよりも覚えやすく入力も簡易な手段といえる。だがPIN入力はパスワードよりも安全であり、Microsoftもこの方式を推奨している。

　「なぜ？」と思うかもしれない。理由は簡単で、冒頭の説明にもあるようにパスワードはオンラインで使い回される認証手段なのに対し、PIN番号は当該のデバイスでのサインインのみに利用される認証手段であり、基本的には外部に共有されない。同じPINを複数デバイスで使い回した場合は別として、パスワードを知っているだけではMicrosoftアカウントにサインインできない。悪意ある第三者の視点に立てば、これを突破するには「ID」と「パスワード」に加え、さらに「PIN」も把握していなければ当該デバイスでのアクセスは行えないからだ。

　もう1つ、現行バージョンである「May 2019 Update（バージョン1903）」では、電話番号によるサインインにも対応している。Microsoftアカウント新規作成において、従来のメールアドレスに加え、現在では「電話番号」を指定することができる。ここで指定したメールアドレスに認証用コードが送信され、それを入力することでMicrosoftアカウントを有効化できるが、電話番号を指定した場合には当該の電話番号に対してSMSで認証用コードが送信されてくる。

　つまり、アカウント変更の挙動などを電話番号を通じて追跡できるわけで、これが一種の物理的なセキュリティキーとして機能する。電話紛失のリスクはあるものの、アカウント管理の新たな方法として検討するのもいいだろう。なお電話番号をサインイン手段として選択した場合、強制的に“パスワードレス”でのサインインとなる。いずれにせよ、Microsoftとしては「少なくともPIN、できればWindows Helloのバイオメトリクス認証」を推していきたいのだろう。