Windows Hello 生体認証の企業利用

適用対象:

  • Windows 10
  • Windows 11

Windows Hello は、認証を強化し、指紋照合や顔認識を使ったスプーフィングの可能性を防ぐために役立つ生体認証機能です。

注意

初回リリース時の Windows 10 には Microsoft Passport と Windows Hello が含まれており、これらが連携して多要素認証を提供していました。 展開を簡略化してサポート性を向上するために、Microsoft ではこれらのテクノロジを Windows Hello という名前で 1 つのソリューションに統合しました。 これらのテクノロジを既に展開済みのお客様に対しては、機能の変更はありません。 Windows Hello ではポリシー、マニュアル、およびセマンティクスが簡略化されているため、Windows Hello をまだ評価していない場合も容易に展開できます。

従業員が企業でこの新しいテクノロジを使用したいと考えるので、デバイスメーカーと積極的に取り組んで、組織に Windows Hello 生体認証を確実に導入するための厳格な設計とパフォーマンスに関する推奨事項を作成しています。

Windows Hello の動作のしくみ

Windows Hello は、デバイスのロックを解除する代替手段として、従業員が指紋認証や顔認識を使用できるようにするものです。 Windows Hello では、デバイスに固有の Microsoft Passport 認証情報にアクセスするときに、従業員が自分の一意の生体認証識別子を提示すると認証が行われます。

Windows Hello の認証システムは、従業員を認証して企業ネットワークへのアクセスを許可します。 認証はデバイス間でローミングされません。サーバーと共有されるので、デバイスから簡単に抽出できません。 複数の従業員で 1 台のデバイスを共有する場合は、そのデバイス上で、それぞれの従業員が独自の生体認証データを使うことになります。

従業員に Windows Hello の使用を勧める理由

Windows Hello には、次のような多くの利点があります。

  • 認証情報の盗難に対する保護を強化できます。 攻撃者はデバイスと生体認証情報または PIN の両方を持っている必要があるため、従業員の知識なしにアクセスすることははるかに困難です。

  • 従業員は、常に PIN でバックアップされる単純な認証方法を取得します。そのため、失う必要はありません。 パスワードを忘れる心配もなくなります。

  • Windows Hello のサポートはオペレーティング システムに組み込まれているため、グループ ポリシーやモバイル デバイス管理 (MDM) 構成サービス プロバイダー (CSP) ポリシーを使って、組織的なロールアウトの一部または個々の従業員やグループに対して、生体認証デバイスやポリシーを追加することができます。
    使用可能なグループ ポリシーと MDM CSP について詳しくは、組織での Windows Hello for Business の実装 をご覧ください。

データはWindows Helloどこに保存されますか?

Windows Hello をサポートするために使われる生体認証データは、ローカル デバイスにのみ保存されます。 ローミングは行わないので、外部デバイスやサーバーには送信されません。 このような分離は、潜在的な攻撃を防ぐために役立ちます。攻撃者が生体認証データを盗もうとしても、侵入先として狙いやすいデータの集約場所がないためです。 さらに、攻撃者が実際にデバイスから生体認証データを取得できた場合でも、生体認証センサーによって認識される可能性のある生の生体認証サンプルに変換することはできません。

注意

デバイス上の各センサーには、テンプレート データが格納される独自の生体認証データベース ファイルがあります。 各データベースには、システムに対して暗号化された一意のランダムに生成されたキーがあります。 センサーのテンプレート データは、CBC チェーン モードの AES を使用して、このデータベースごとのキーで暗号化されます。 ハッシュは SHA256 です。 一部の指紋センサーには、OS ではなく指紋センサー モジュールでの照合を完了する機能があります。 これらのセンサーは、データベース ファイルではなく指紋モジュールに生体認証データを格納します。

Microsoft が規定する Windows Hello のデバイス要件

次の要件に基づいて、各センサーとデバイスが高レベルのパフォーマンスと保護を満たしていることを確認するために、デバイスの製造元と一緒に作業を行っています。

  • 他人受入率 (FAR)。 生体認証識別ソリューションで、承認されていない他人が確認されてしまう状況を表します。 これは通常、指定された母集団のサイズに対して発生したインスタンスの数 (100,000 件中 1 件など) の比率として表されます。 また、発生の割合 (0.001% など) として表すこともできます。 この測定は、生体認証アルゴリズムのセキュリティに関して最も重要と考えられます。

  • 本人拒否率 (FRR)。 生体認証識別ソリューションで、承認されているユーザーを適切に確認できない状況を表します。 通常、割合で表され、本人受入率と本人拒否率の合計は 1 になります。 スプーフィング対策や生体検知機能がある場合とない場合があります。

指紋センサーの要件

指紋照合を使用できるようにするには、指紋センサーを搭載したデバイスとソフトウェアが必要です。 指紋センサー、または別のログオン オプションとして従業員の固有の指紋を使用するセンサーには、タッチ センサー (大きな領域または小さい領域) またはスワイプ センサーを使用できます。 各種類のセンサーには、製造元で実装する必要のある詳細な要件が独自に定められていますが、どのセンサーにも、スプーフィング対策の手段 (必須) を搭載する必要があります。

小型から大型のタッチ センサーの性能許容範囲

  • 他人受入率 (FAR): < 0.001 ~ 0.002%

  • 実際の有効な FRR (スプーフィング対策や生体検知機能がある場合): < 10%

スワイプ センサーの性能許容範囲

  • 他人受入率 (FAR): < 0.002%

  • 実際の有効な FRR (スプーフィング対策や生体検知機能がある場合): < 10%

顔認識センサー

顔認識に対応するには、特殊な赤外線 (IR) センサーを内蔵したデバイスとソフトウェアが必要です。 顔認識センサーは、IR 光の中に表示される特別なカメラを使用して、従業員の顔の特徴をスキャンしながら、写真と生きている人の違いを伝えます。 これらのセンサーには、指紋センサーと同様に、スプーフィング対策の手段 (必須) とその設定方法 (オプション) を搭載する必要があります。

  • False Accept Rate (FAR): <0.001%

  • 本人拒否率 (FRR) (スプーフィング対策や生体検知機能がない場合): < 5%

  • 実際の有効な FRR (スプーフィング対策や生体検知機能がある場合): < 10%

注意

Windows Hello顔認証では、登録または認証中のマスクの装着は現在サポートされていません。 同じようなマスクを着用している他のユーザーがデバイスのロックを解除できる可能性がある場合、登録するマスクを着用すると、セキュリティ上の問題が発生します。 製品グループは、この動作を認識し、このトピックをさらに調査しています。 顔認証を使用して登録またはロック解除する場合は、マスクをWindows Helloしてください。 作業環境でマスクを一時的に削除できない場合は、顔認証からの登録を解除し、PIN または指紋のみを使用してください。

関連トピック