Windows Hello の強化されたサインイン セキュリティ

Windows Hello を使用すると、ユーザーは生体認証または PIN を使用して、パスワードなしで認証を行うことができます。 生体認証は、顔認識または指紋を使用して個人の身元を証明できる、安全で便利な方法です。 拡張サインイン セキュリティでは、仮想化ベースのセキュリティ (VBS) やトラステッド プラットフォーム モジュール 2.0 などの特殊なハードウェアおよびソフトウェア コンポーネントを利用して、ユーザーの認証データを分離して保護し、データの通信に使用されるチャネルをセキュリティで保護することで、生体認証データに対するセキュリティ レベルが強化されます。

拡張サインイン セキュリティによる生体認証データの保護方法

Face

拡張サインイン セキュリティが有効になっている場合、face アルゴリズムは、Windows の残りの部分から分離するために VBS を使用して保護されます。 ハイパーバイザーは、メモリ領域を指定および保護するために使用されます。これにより、VBS で実行されているプロセスのみがアクセスできるようになります。 ハイパーバイザーを使用すると、顔カメラは、これらのメモリ領域に書き込むことができ、カメラから顔照合アルゴリズムに顔データを配信するための分離された経路を提供します。

顔テンプレートは、保護された face アルゴリズムによって VBS で生成されます。 使用されていない場合、顔テンプレート データは、生成されたキーを使用して暗号化され、VBS のみにアクセスでき、ディスクに格納されます。

Fingerprint

拡張サインイン セキュリティは、センサー機能が一致する指紋センサーでのみサポートされています。 この種類のセンサーには、ハードウェアを使用して指紋照合とテンプレート記憶域を分離するために使用できるマイクロプロセッサとメモリが含まれています。

拡張サインイン セキュリティをサポートするセンサーには、製造中に証明書が埋め込まれています。 この証明書は、VBS で実行されている Windows 生体認証コンポーネントによって検証され、センサーとのセキュリティで保護されたセッションを確立するために使用されます。 センサーおよび Windows 生体認証コンポーネントは、このセッションを使用して登録操作を伝達し、結果を安全に照合します。

資格情報の操作

VBS で実行されている Windows 生体認証コンポーネントは、ブート時に TMP によって VBS と共有される情報を使用して、TMP へのセキュリティで保護されたチャネルを確立します。 照合操作が成功した場合、VBS の生体認証コンポーネントはこのチャネルを使用して、id プロバイダー、アプリケーション、およびサービスでユーザーを認証するための Windows Hello キーの使用を承認します。

拡張サインイン セキュリティの操作方法

この有効化は、システムに事前にインストールされている専用ハードウェア、ドライバー、およびファームウェアに依存します。 デバイスの製造元は、工場でデバイスを構成するときに、デバイスの拡張サインイン セキュリティを有効にすることを選択できます。

システムの互換性

互換性のあるハードウェアおよびソフトウェア コンポーネントは、拡張サインイン セキュリティを有効にするために必要です。

• 工場出荷時に Windows 10 の 2020 年 10 月の更新プログラムが構成されたデバイス
• Device Guard の有効化と トラステッド プラットフォーム モジュール 2.0 を含む、仮想化ベースのセキュリティ (VBS) の要件を満たす
• 拡張サインイン セキュリティをサポートする生体認証センサー ハードウェア
• 拡張サインイン セキュリティと互換性のある生体認証センサー ドライバー
• 含まれている生体認証ハードウェアのデバイス製造元によって適切に構成された セキュアデバイス (SDEV) ACPI テーブル を使用したデバイス ファームウェア

生体認証センサーの互換性

顔の生体認証センサー

拡張サインイン セキュリティでは、限られた数のチップ セットで一部の IR カメラのみがサポートされます。 サポートされているカメラは、ファームウェアの拡張サインイン セキュリティをサポートしている必要があります。 Windows 受信トレイ UVC カメラ ドライバーを使用する必要があります。 カメラ モジュールが拡張サインイン セキュリティに対応しているかどうかを確認するには、まずデバイス マネージャーにアクセスし、[ユニバーサル シリアル バス コントローラー] セクションを展開します。 名前に eXtensible ホスト コントローラーが含まれているデバイスを右クリックし、[プロパティ] オプションを選択して、デバイスのプロパティを表示します。 ホスト コントローラーのエントリが複数ある場合は、すべてのプロパティ セクションを確認します。 ドライバーの [詳細] タブに移動し、[プロパティ] ドロップダウン メニューから [機能] を選択します。 デバイスの 1 つに “CM_DEVCAP_SECUREDEVICE” 機能があることが示されます。

次に、デバイス マネージャーの [カメラ] セクションに移動して、PC カメラのプロパティ セクションを確認します。 PC カメラのエントリが複数ある場合は、すべてのプロパティ セクションを確認します。 ドライバーの [詳細] タブに移動し、[プロパティ] ドロップダウン メニューから [機能] を選択します。 PC カメラデ バイスの 1 つに “CM_DEVCAP_SECUREDEVICE” 機能が必要です。

指紋生体認証センサー

拡張サインイン セキュリティ対応の指紋センサーが、チップで一致している必要があります。 センサーは、製造中にデバイスに書き込まれた Microsoft 発行の証明書を持っている必要があります。 デバイス ドライバーとファームウェアは、拡張サインイン セキュリティ機能をサポートしている必要があります。 指紋モジュールが拡張サインイン セキュリティに対応しているかどうかを確認するには、まず開いている [デバイスマネージャー] に移動し、[生体認証デバイス] セクションを展開します。 指紋センサーのエントリがあるはずです。 指紋リーダーのエントリを右クリックし、[プロパティ]、[詳細] の順に選択します。 [プロパティ] オプションで、[デバイス インスタンス パス] を選択します。

regedit.exe を開き、HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations に移動します。ここで、DeviceInstancePath は、デバイス マネージャーに表示されているパスです。 [構成] を選択します。 “SecureFingerprint” という名前のレジストリ キーが表示され、データ値が 1 になっている必要があります。 存在しない場合、デバイスはセキュリティで保護されていません。

構成には、“0” のラベルと “1” のラベルが付けられた 2 つのフォルダーが含まれている必要もあります。 フォルダーが 2 つではなく 1 つしかない場合、そのデバイスはセキュリティで保護されていません。

拡張サインイン セキュリティが有効になっているかどうかを確認する方法

Security Center

拡張サインイン セキュリティがシステムで有効になっている場合は、Windows セキュリティ アプリケーションの [デバイス セキュリティ] セクションに、拡張サインイン セキュリティのエントリが表示されます。 このエントリでは、システムのハードウェア機能について説明します。 拡張サインイン セキュリティ セクションが存在しない場合、この機能はシステムで有効になっていません。

デバイスに拡張サインイン セキュリティをサポートしていない生体認証センサーが組み込まれている場合、またはその種類の生体認証ハードウェアがシステムに存在しない場合、対応するセンサーの横に “互換性のないハードウェアが原因で使用できない” という説明が表示されます。 このメッセージは、ハードウェアが拡張サインイン セキュリティをサポートするために必要なセンサーの要件に従っていないことを示しています。

イベント ビューアー

Windows 生体認証フレームワークは、システム上の各センサーが列挙されたときにログ イベントを生成します。 これらのログには、センサーが拡張サインイン セキュリティを有効にして動作しているかどうかを示す情報が含まれます。 生体認証イベントのログは、イベント ビューアーの [イベント ビューアー] > [アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [生体認証] > [Operational] にあります。

生体認証デバイスが Windows 生体認証フレームワークによって正常に読み込まれた場合、対応するセンサーの ID 1108 のログ イベントが発生します。 デバイスが拡張サインイン セキュリティを有効にして動作している場合、センサーは “仮想保護モード” プロセスで分離されたものとして指定されます。 デバイスが拡張サインイン セキュリティを使用していない場合、デバイスは “システム” プロセスで分離されているものとして指定されます。

イベント 1108 では、カメラは “Windows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000)” を使用して記述され、指紋デバイスはデバイス固有のモジュールとデバイス ID を使用して記述されます。 指紋デバイスの場合、デバイス ID は、デバイス マネージャーの [生体認証] [デバイス] > [指紋モジュール] > [プロパティ] > [詳細] > [デバイス インスタンス パス] にあります。

アプリケーションの互換性

拡張サインイン セキュリティ対応のカメラを使用するデバイスの場合は、セキュリティで保護されたデバイス (SDEV) テーブルが必要です。 SDEV テーブルが実装され、VBS が有効になっている場合、SDEV テーブルはセキュリティで保護されたカーネルによって解析され、Peripheral Component Interconnect (PCI) デバイスの構成領域へのアクセスに制限が適用されます。 これらの制限は、SDEV テーブルで指定されたセキュリティで保護されたデバイスの構成領域が悪意のあるプロセスによって操作されないようにするためのものです。

Windows によって明示的にサポートされている場合を除いて、PCI 構成領域の読み取り/書き込みを試みるアプリケーションは、SDEV テーブルの解析と適用が行われたときにバグ チェックを実行します。

これらのソフトウェアの制限により、デバイス イメージに含まれているすべてのドライバーとソフトウェアの互換性をテストする必要があります。 Windows アップデート、Microsoft Store、またはデバイスの製造元が提供するその他の許可されたチャネルを介してシステムに配布されるソフトウェアまたはドライバーも、互換性があるかどうかを確認する必要があります。 この検証を行わないと、システムに予期しない動作が発生する可能性があります。

サポートされていないシナリオ

Windows アップグレードでの拡張サインイン サポートの有効化

拡張サインイン セキュリティは、Windows 10 の 2020 年 10 月の更新プログラムで機能を有効にするために、現在はデバイスの製造元によって構成されたデバイスでのみサポートされています。 この OS ビルドにアップグレードするハードウェア対応のデバイスは、市場では現在サポートされていません。

拡張サインインがサポートされていないセンサー

拡張サインイン セキュリティが有効になっている場合、システムでは、拡張サインイン セキュリティをサポートする生体認証センサーのみが機能します。 すべての非対応センサーは、Windows 生体認証フレームワークによって列挙されません。

システムにどのハードウェアを含ませるか、そして拡張サインイン セキュリティが既定で有効になっているかどうかは、製造元が決定します。 生体認証のモダリティがブロックされることについて懸念がある場合は、デバイスの製造元にサポートを依頼してください。

プラグ可能/周辺機器の生体認証センサー

拡張サインイン セキュリティは、外部指紋センサーまたはカメラ モジュールではサポートされていません。 拡張サインイン セキュリティが有効になっている場合、セキュリティで保護されているかどうかにかかわらず、外部または周辺機器の生体認証センサーの操作はブロックされます。 拡張サインイン セキュリティを備えた周辺機器を使用して Windows Hello でログインする場合は、「拡張サインイン セキュリティの無効化/有効化」を参照してください。

指紋センサー用の Wake on touch

Wake on Touch (WoT) では、ユーザーが 2 回センサーに触れることなく、指紋センサーがシステムをスリープ解除し、ユーザーをログインさせる機能について説明します。 モダン スタンバイをサポートするデバイスでは、Wake on Touch (WoT) センサーの動作が有効になります。

Windows 11 SE バージョン 22H2 および Windows 11 Pro Edu/Education バージョン 22H2 KB5027303 以降、WoT は ESS デバイスで使用できるようになります。

トラブルシューティング

顔/指紋認証が機能しない

生体認証が機能していない場合は、まず VBS が実行され、セキュリティで保護されたコンポーネントが開始されていることを確認します。 VBS が実行されているかどうかを確認するには、システム情報を開き、[システムの概要] を確認します。[実行中] と表示されている “仮想化ベースのセキュリティ” のエントリがある必要があります。

また、生体認証の分離 trust-lets が実行されていることも確認してください。 これらは、[システム情報] > [ソフトウエア環境] > [タスクの起動] の下に “bioiso.exe” と “ngciso.exe” として表示されています。 これらのチェックのいずれかが失敗した場合、システムが拡張サインイン セキュリティの要件を満たしていない可能性があります。 以下の (3) を使用して生体認証サービスを再起動します。

セキュリティで保護された接続が成功したかどうか確認するには、「拡張サインイン セキュリティが有効になっているかどうかを確認する方法」を参照してください。 各種のデータ ソースの更新については、後述の「更新できるもの」セクションで説明します。

1. [サインイン オプション] の [設定] で、機能していない登録を削除して再登録します。Windows Hello Face/Fingerprint のエントリが、「Windows Hello Face と互換性のある指紋スキャナーが見つかりませんでした」という状態や同じような状態で使用できない場合、(2) へ進んで認証が機能しているかどうかを確認します。
2. デバイス マネージャーでは、センサーが [生体認証デバイス] の下に表示されます。 ドライバーを再インストールします。デバイスの名前を右クリックして [デバイスのアンインストール] を選択します。 デバイスを再起動します。この時点で Windows はドライバーの再インストールを試行します。 認証が機能しているかを確認します。
3. 生体認証サービスを再起動するには、まず [サインイン オプション] にアクセスして PIN を削除して、システムから PIN を削除します。 管理者としてコマンド プロンプトを開き、「net stop wbiosrvc」と入力し、次に「net start wbiosrvc」と入力します。 指紋認証が機能しているかを確認します。
4. まだ生体認証がデバイスで動作していない場合は、フィードバック Hub を使用してフィードバック項目を提出します。

PIN が機能しない

PIN は、ロック画面の [サインイン オプション] でリセットできます。 これを行うには、PIN を削除し、もう一度追加します。 これにより、PIN をリセットするよう指示され、PIN 機能が復元されます。

サインイン セキュリティの強化を無効または有効にする

KB5031455 が適用された Windows 11バージョン 22H2 以降、ユーザーは、外部周辺機器を使用してデバイス上の Windows Hello で認証する場合、ESS を一時的にオフにすることができます。

設定アプリを使用して ESS を無効にすることができます。 [スタート]>[設定]>[アカウント]>[サインイン オプション] を選択するか、次のショートカットを使用します。

サインイン オプション

[追加設定]>[外部カメラまたは指紋リーダーでサインインする] に、ESS を有効または無効にするためのトグルがあります。

• トグルが [オフ] の場合、ESS は有効になり、外部周辺機器を使用してサインインすることはできません。 Teams などのアプリ内では外部周辺機器を引き続き使用できることに注意してください
• トグルが [オン] の場合、ESS は無効になり、Windows Hello 互換周辺機器を使用してサインインできます