「Windows OS」は、個人利用だけでなく、業務用端末やサーバーでも広く利用されています。Windows OSの起動時には、「ユーザー選択とパスワードなどの入力」による認証が必要です。最近では「Windows OSの認証強化」に注目が集まっており、特にテレワークなどによってオフィス外で使用する情報端末や、個人情報や機密情報を扱う情報端末に対して、Windows OSの認証をより強化したいという需要が増えています。
Windows OSの認証強化には、「PassLogic」の「デバイスレス・ワンタイムパスワード」が効果的です。
この記事では、情報端末の紛失や盗難による情報漏えいや、一般的なパスワード認証の脆弱性について紹介し、それらのリスクへの対策としてデバイスレス・ワンタイムパスワードの有効性について説明します。
従業員による過失や故意による情報漏えいに対策を
アフターコロナに移行するにあたり、テレワークとオフィスを併用し、作業効率の向上や自身の環境によって「好きな時間と場所を自由に選択する」ワークスタイル「ハイブリッドワーク」が定着しつつあります。そのため、自宅やコワーキングスペース、オフィスで使用するために、情報端末を持ち歩く機会が増えた結果、それらの盗難や紛失を原因とした情報漏えいのリスクが高まっています。
一方で、オフィスに設置された情報端末においても、重要な情報を扱う場合には、昨今のセキュリティリスクの増大にともない、より高度な認証が求められています。
セキュリティリスクから重要な情報を守るために、情報端末のセキュリティ強化を徹底する必要があります。業務に使用するWindows OSの認証が、パスワードに頼った認証方法では情報漏えい対策は十分とは言えません。情報端末のセキュリティ強化には、パスワード以外の高度な認証方式を採用することが効果的です。
従業員による紛失・盗難がセキュリティインシデント1位
一般財団法人日本情報経済社会推進協会(JIPDEC)によると、2023年1月に実施した過去1年間のセキュリティインシデントに関する調査では、「従業員によるデータ、情報機器(PC、タブレット、スマホ、USBメモリなどの記録媒体)の紛失・盗難」が34.1%で1位でした。
自宅やオフィスなど複数の拠点で業務にあたるために、情報機器を持ち歩く機会が増えています。そのような企業のセキュリティ対策として、従業員による情報機器の紛失・盗難への対策は必須です。
データ出典:一般財団法人日本情報経済社会推進協会 JIPDEC IT-Report 2023 Spring
内部不正による情報漏えいに注目
独立行政法人情報処理推進機構(IPA)が公表する「情報セキュリティ10大脅威」では、「内部不正による情報漏えい」による脅威が2021年は6位、2022年は5位、2023年は4位となっており、年々注目度が増していることが分かります。また、同じくIPAから公表された「組織における内部不正防止ガイドライン」の第5版では、コロナ禍を契機としたテレワークなどの広がりに伴う内部不正やリスク低減などについて改訂が行われています。テレワークを併用する「ハイブリッドワーク」が普及するこれからの働き方の中では、内部不正に関しての対策が必須となってくることでしょう。
内部不正対策において、最初に取り組むべき対策は認証強化です。組織にとって重要な情報は誰でも閲覧やコピーができる状況ではなく、アクセス権限を分けて適切に認証を強化しましょう。重要な情報へアクセスする情報端末に対するWindows OSの認証強化は有効です。
Windows OS認証の強化方法
ここではWindows OSの認証におけるセキュリティ強化について考えてみましょう。
まずは、パスワードの強化です。パスワードの文字数を長くすることや、複雑にするなど「パスワードの運用にルールを設ける」ことが考えられます。しかし、パスワード運用ルールに則ってセキュリティを高めた結果、長く複雑なパスワードをいくつも覚えきれず、「パスワードの使いまわし」をしてしまう恐れがあります。パスワードの使いまわし禁止を周知徹底するのは大前提です。しかし、システム管理者が、ユーザーのパスワード使いまわしなどの運用状況を管理することは困難です。
パスワードによる運用に課題がある以上、より高度な認証方法を導入することを検討しましょう。
ICカードによる認証とその問題点
より高度な認証方法の一つに、認証情報を埋め込んだICカードを使用した認証強化方法があります。ICカードを所持しているかどうかで本人であることを確認する認証方法(所有物認証)です。パスワードの入力にかかる手間を省略できるメリットがある一方で、ICカードや必要に応じて読み取り用の機器を用意する必要があります。調達にかかるコストや、それらを携行する手間が管理者やユーザーの負担になります。機器を携行するため紛失・盗難の危険性が高く、盗難されれば不正利用を招く可能性があります。
「Windows Hello」「Windows Hello for Business」とその問題点
Windows OSではWindows 10以降「Windows Hello」もしくは「Windows Hello for Business」が備わっています。これらは生体認証やPINによって、Windows OSサインインの認証を強化する機能であり、さらに「統合Windows認証」を利用すると、Windows OSサインインの認証のみで、その先のクラウドサービスやアプリケーションへ自動でサインインすることができます。
ただし、利用の条件としては、Windows OSがWindows 10以上であり、生体認証を利用するには対応した機器を揃える必要があります。
また、「Windows Hello」や「Windows Hello for Business」でサインインできるアカウントには制限があり、「Windows Hello」ではローカルアカウントやMicrosoftアカウントへ、「Windows Hello for Business」ではMicrosoftアカウント、Active Directoryアカウントへのサインインが可能です。社内でアカウントの種類が混在している状況や、企業で導入している情報端末、システム、アプリケーションの状況によって導入の可否が決まる場合もあります。
ワンタイムパスワードによる認証強化
「Windows Hello」や「Windows Hello for Business」が利用できない場合にWindows OSに導入できる認証方式として「ワンタイムパスワード」があります。ワンタイムパスワードとは、一定時間ごとに発行され、文字通り一度きりしか使えないパスワードです。
ワンタイムパスワードには以下の種類があります。
1: ハードウェアトークン
ワンタイムパスワードを生成する専用の機器(ハードウェア)のことです。カードタイプやキーホルダータイプなどがあり、機器の液晶画面にワンタイムパスワードを表示します。表示されるワンタイムパスワードは30~60秒程度で定期的に再生成されます。
トークン(デバイス)を所持していることで認証するため所有物認証に該当します。
2: ソフトウェアトークン
ワンタイムパスワードを表示するためのソフトウェアタイプのトークンです。スマートフォンに専用アプリをインストールし、アプリ上にワンタイムパスワードを表示します。ハードウェアトークンと同様に30~60秒程度で定期的にワンタイムパスワードが再生成されます。
トークン(デバイス)を所持していることで認証するため所有物認証に該当します。
3: デバイスレス・ワンタイムパスワード
ランダムな文字列(乱数表)から、固有の知識(パターン)を用いてワンタイムパスワードを判読する知識認証です。乱数表の表示(チャレンジ)に対して、パターンで判読し入力を返す(レスポンス)、「チャレンジレスポンス認証方式」を用いています。
ハードウェアトークンやスマートフォンなどの機器を使用しないため、デバイスレス・ワンタイムパスワードといいます。
その他、SMSや音声通話で受信したワンタイムパスワードを入力する方法もあります。
これらのワンタイムパスワードは、固定のパスワードを使用しないため、パスワードの使いまわしを気にする必要はありません。
デバイスレス・ワンタイムパスワードの3つのメリット
デバイスレス・ワンタイムパスワードはハードウェアトークンやソフトウェアトークン(スマートフォン)などのデバイスを必要としません。
ワンタイムパスワード用のデバイスや指紋認証リーダー、顔認証用のカメラなどを社員に貸与する必要がないため、管理者の手間やユーザーの持ち運びや取り出しといった手間の削減と、機器の調達にかかるコスト削減できます。
そのため、デバイスレス・ワンタイムパスワードを導入することで、非常に強固な認証と同時に、利便性の向上とコスト削減という3つの大きなメリットが期待できます。
Windows OSの認証強化方法の比較
Windows OSの認証強化には、「ICカードやハードウェアトークン・ソフトウェアトークンを使用した認証」や「Windows Hello・Windows Hello for Business」のほかに、「デバイスレス・ワンタイムパスワード」による認証強化方法などがあります。これらの認証強化方法のメリットデメリットをまとめました。
Windows OSの認証強化 メリット・デメリット比較表
| メリット | デメリット | |
|---|---|---|
| ICカード、ハードウェアトークン、ソフトウェアトークン (所有物認証) | 所有物を盗取しない限り認証が破れないため、強固な認証が可能。 | 所有物認証用の機器(ICカードや読み取り機、トークンなど)を購入する必要があり、コストがかかる。 所有物認証用の機器を携行する必要があり、ユーザーに負担がかかる。 所有物認証用の機器が盗難にあった場合、容易に認証が破られる。 |
| Windows Hello Windows Hello for Business (生体認証) | (現時点では)生体固有の複雑な特徴の偽造は難しいため、強固な認証が可能。 入力の手間が少なく、ユーザーへの負荷が軽減できる。 | 生体認証機能を備えた端末、もしくは追加の機器を揃える必要がある。 サーバーやアプリケーションの環境によっては導入できない場合がある。 利便性を確保するため、認証の精度が100%ではない。 怪我や加齢などにより認証ができない場合がある。 |
| デバイスレス・ ワンタイムパスワード (知識認証) | ワンタイムパスワードにより強固な認証が可能。 デバイスレスのため機器を持ち運ぶ必要がなく、ユーザーへの負荷が軽減できる。 デバイスレスのため低コスト。 | パターン認証の操作方法についてのレクチャーが必要な場合がある。 |
| ICカード、ハードウェアトークン、ソフトウェアトークン (所有物認証) | Windows Hello Windows Hello for Business (生体認証) | デバイスレス・ ワンタイムパスワード (知識認証) | |
|---|---|---|---|
| メリット | 所有物を盗取しない限り認証が破れないため、強固な認証が可能。 | (現時点では)生体固有の複雑な特徴の偽造は難しいため、強固な認証が可能。 入力の手間が少なく、ユーザーへの負荷が軽減できる。 | ワンタイムパスワードにより強固な認証が可能。 デバイスレスのため機器を持ち運ぶ必要がなく、ユーザーへの負荷が軽減できる。 デバイスレスのため低コスト。 |
| デメリット | 所有物認証用の機器(ICカードや読み取り機、トークンなど)を購入する必要があり、コストがかかる。 所有物認証用の機器を携行する必要があり、ユーザーに負担がかかる。 所有物認証用の機器が盗難にあった場合、容易に認証が破られる。 | 生体認証機能を備えた端末、もしくは追加の機器を揃える必要がある。 サーバーやアプリケーションの環境によっては導入できない場合がある。 利便性を確保するため、認証の精度が100%ではない。 怪我や加齢などにより認証ができない場合がある。 | パターン認証の操作方法についてのレクチャーが必要な場合がある。 |
PassLogicのデバイスレス・ワンタイムパスワード
PassLogicの認証方式は、「パターン」によるセキュリティの高い知識認証を利用します。認証画面に乱数表が表示され、事前に決めておいたパターンに沿って読み取ることで「デバイスレス・ワンタイムパスワード
」として利用できます。複数のパスワードを覚えたり、管理したりする必要がないため、使いまわしの心配もありません。
「PassLogic for Windows Desktop」でWindows OS認証強化
PassLogicのデバイスレス・ワンタイムパスワードをWindows OSの認証に適用することができます。この機能を「PassLogic for Windows Desktop」といいます。
PassLogicのデバイスレス・ワンタイムパスワードを使って、業務システムの最初の入口であるWindows OSの認証を強化しましょう。
リモートデスクトップのセキュリティ強化にも有効
「PassLogic for Windows Desktop」をWindowsのリモートデスクトップ機能「RDP」に適用することも可能です。
オフィスのWindows OSにPassLogic for Windows Desktopを導入しておけば、そのWindows OSにRDP接続する際のセキュリティをワンタイムパスワードで強固にすることができます。
PassLogicでさまざまな業務システムの認証強化
PassLogicは、VPN接続や仮想デスクトップ(VDI)、クラウドストレージやMicrosoft 365などのクラウドサービス(SaaS)、さらにオンプレミスの社内システムなど、さまざまな業務システムと連携するために、汎用的な連携方式(プロトコル)に適合しています。環境に合わせたシステムの認証強化を実現します。
ハードウェアトークン・ソフトウェアトークンにも対応
すでにお使いのハードウェアトークン(※)を引き続き使用する必要がある場合でも、PassLogicはそれらのトークンの管理を引継ぎ、一元管理を実現します。
また、PassLogicはソフトウェアトークンとなるモバイルアプリを無償提供しており、スマートフォンを使用する必要がある場合にも対応しています。
企業全体で1つの認証方式に固執する必要はありません。従業員ごとにデバイスレス・ワンタイムパスワード、ハードウェアトークン、ソフトウェアトークンなどの異なる認証方式を設定することができます。
ハードウェアトークン・ソフトウェアトークンについてはこちらをご確認ください。
※国際標準規格「OATH」準拠
SSOで安全に業務効率を向上させる「シームレスサインオン」機能
業務を開始する際に、端末のWindows OSにサインインし、その後、使用する各システムに対して個別にIDやパスワードを入力する認証作業を何度も繰り返していませんか?
一度の認証作業で複数の業務システムに一括ログインする仕組みをシングルサインオン(SSO)と呼びます。シングルサインオンは、入力やID・パスワード管理の手間にかかるユーザーの負担軽減のみならず、システム管理者のサポート対応にかかる負担も軽減できます。
PassLogicの「PassLogic for Windows Desktop」を使用すれば、Windows OSへのサインイン後、連携した業務システムにもシングルサインオンが可能な「シームレスサインオン」機能が利用できます。
業務の入口であるWindows OSへの認証を「ワンタイムパスワード」による強固な認証で守り、Windows OSへのサインイン後には複数の業務システムに一括でログインすることができるため、個々の業務システムに対して繰り返し認証手続きを行うよりも、はるかに安全で便利な環境を実現できます。
Windows OSサインイン後に、そのまま業務システムにログインする様子を動画でご覧ください。
PassLogicならWindowsから業務システムまでワンストップで認証強化
強固で便利な認証プラットフォーム「PassLogic」
トークンやモバイルアプリなどのデバイスを必要とせず、強固なワンタイムパスワードによる認証を実現する「デバイスレス・ワンタイムパスワード」はPassLogic独自の技術です。「PassLogic for Windows Desktop」を使用することで、デバイスレス・ワンタイムパスワードの強固なセキュリティと利便性、コストパフォーマンスの高い認証をWindows OSのサインインはもちろんのこと、業務で使用するシステムやアプリケーションに適用することができます。
Windows OSから業務システムへシームレスにサインインすることで、業務開始後に繰り返す認証作業を省略し、業務効率を向上させる効果も期待できます。
PassLogicとPassLogic for Windows Desktopで、セキュアな認証と便利なシングルサインオンをぜひお試しください。
