Windows Hello 生体認証の企業利用Windows Hello biometrics in the enterprise

適用対象:Applies to:

  • Windows 10Windows10

Windows Hello は、認証を強化し、指紋照合や顔認識を使ったスプーフィングの可能性を防ぐために役立つ生体認証機能です。Windows Hello is the biometric authentication feature that helps strengthen authentication and helps to guard against potential spoofing through fingerprint matching and facial recognition.

注意

初回リリース時の Windows 10 には Microsoft Passport と Windows Hello が含まれており、これらが連携して多要素認証を提供していました。When Windows 10 first shipped, it included Microsoft Passport and Windows Hello, which worked together to provide multi-factor authentication. 展開を簡略化してサポート性を向上するために、Microsoft ではこれらのテクノロジを Windows Hello という名前で 1 つのソリューションに統合しました。To simplify deployment and improve supportability, Microsoft has combined these technologies into a single solution under the Windows Hello name. これらのテクノロジを既に展開済みのお客様に対しては、機能の変更はありません。Customers who have already deployed these technologies will not experience any change in functionality. Windows Hello ではポリシー、マニュアル、およびセマンティクスが簡略化されているため、Windows Hello をまだ評価していない場合も容易に展開できます。Customers who have yet to evaluate Windows Hello will find it easier to deploy due to simplified policies, documentation, and semantics.

従業員が企業でこの新しいテクノロジを使用することになっていることがわかっているため、microsoft はデバイスの製造元と積極的に協力して、お客様の組織に Windows Hello 生体認証をより確実に導入するために役立つ、設計とパフォーマンスに関する厳格な推奨事項を作成しています。Because we realize your employees are going to want to use this new technology in your enterprise, we've been actively working with the device manufacturers to create strict design and performance recommendations that help to ensure that you can more confidently introduce Windows Hello biometrics into your organization.

Windows Hello の動作のしくみHow does Windows Hello work?

Windows Hello は、デバイスのロックを解除する代替手段として、従業員が指紋認証や顔認識を使用できるようにするものです。Windows Hello lets your employees use fingerprint or facial recognition as an alternative method to unlocking a device. Windows Hello では、デバイスに固有の Microsoft Passport 認証情報にアクセスするときに、従業員が自分の一意の生体認証識別子を提示すると認証が行われます。With Windows Hello, authentication happens when the employee provides his or her unique biometric identifier while accessing the device-specific Windows Hello credentials.

Windows Hello の認証システムは、従業員を認証して企業ネットワークへのアクセスを許可します。The Windows Hello authenticator works to authenticate and allow employees onto your enterprise network. 認証はデバイス間でローミングされず、サーバーと共有されず、デバイスから簡単に抽出することはできません。Authentication doesn't roam among devices, isn't shared with a server, and can't easily be extracted from a device. 複数の従業員で 1 台のデバイスを共有する場合は、そのデバイス上で、それぞれの従業員が独自の生体認証データを使うことになります。If multiple employees share a device, each employee will use his or her own biometric data on the device.

従業員に Windows Hello の使用を勧める理由Why should I let my employees use Windows Hello?

Windows Hello には、次のような多くの利点があります。Windows Hello provides many benefits, including:

  • 認証情報の盗難に対する保護を強化できます。It helps to strengthen your protections against credential theft. 攻撃者はデバイスと生体認証の両方の情報または PIN を持っている必要があるため、従業員の知識がなくても、アクセス権を取得するのは非常に困難です。Because an attacker must have both the device and the biometric info or PIN, it's much more difficult to gain access without the employee's knowledge.

  • 従業員は、常に、簡単な認証方法 (PIN と共にバックアップされています) を取得できるので、失われることはありません。Employees get a simple authentication method (backed up with a PIN) that's always with them, so there's nothing to lose. パスワードを忘れる心配もなくなります。No more forgetting passwords!

  • Windows Hello のサポートはオペレーティング システムに組み込まれているため、グループ ポリシーやモバイル デバイス管理 (MDM) 構成サービス プロバイダー (CSP) ポリシーを使って、組織的なロールアウトの一部または個々の従業員やグループに対して、生体認証デバイスやポリシーを追加することができます。Support for Windows Hello is built into the operating system so you can add additional biometric devices and polices as part of a coordinated rollout or to individual employees or groups using Group Policy or Mobile Device Management (MDM) configurations service provider (CSP) policies.
    使用可能なグループ ポリシーと MDM CSP について詳しくは、組織での Windows Hello for Business の実装 をご覧ください。For more info about the available Group Policies and MDM CSPs, see the Implement Windows Hello for Business in your organization topic.

Windows Hello データはどこに保存されますか?Where is Windows Hello data stored?

Windows Hello をサポートするために使われる生体認証データは、ローカル デバイスにのみ保存されます。The biometric data used to support Windows Hello is stored on the local device only. これはローミングせず、外部のデバイスやサーバに送信されることはありません。It doesn't roam and is never sent to external devices or servers. このような分離は、潜在的な攻撃を防ぐために役立ちます。攻撃者が生体認証データを盗もうとしても、侵入先として狙いやすいデータの集約場所がないためです。This separation helps to stop potential attackers by providing no single collection point that an attacker could potentially compromise to steal biometric data. また、攻撃者がデバイスから実際に生体認証データを取得できる場合でも、バイオメトリクスセンサーによって認識される直接の生体認証のサンプルに戻すことはできません。Additionally, even if an attacker was actually able to get the biometric data from a device, it cannot be converted back into a raw biometric sample that could be recognized by the biometric sensor.

注意

デバイス上の各センサーには、テンプレートデータが保存される専用の生体認証データベースファイルがあります。Each sensor on a device will have its own biometric database file where template data is stored. 各データベースには、システムに暗号化された、ランダムに生成された一意のキーがあります。Each database has a unique, randomly generated key that is encrypted to the system. センサーのテンプレートデータは、CBC チェーンモードで AES を使って、このデータベース単位のキーで暗号化されます。The template data for the sensor will be encrypted with this per-database key using AES with CBC chaining mode. ハッシュは SHA256 です。The hash is SHA256. 一部の指紋センサーは、OS ではなく、指紋センサーモジュールでの照合を完了する機能を備えています。Some fingerprint sensors have the capability to complete matching on the fingerprint sensor module instead of in the OS. これらのセンサーは、データベースファイルではなく、指紋モジュールに生体認証データを保存します。These sensors will store biometric data on the fingerprint module instead of in the database file.

Microsoft が規定する Windows Hello のデバイス要件Has Microsoft set any device requirements for Windows Hello?

以下の要件に基づいて、各センサーとデバイスによって高いレベルのパフォーマンスと保護が実現されるように、デバイスの製造元と協力しています。We've been working with the device manufacturers to help ensure a high-level of performance and protection is met by each sensor and device, based on these requirements:

  • 他人受入率 (FAR)。False Accept Rate (FAR). 生体認証識別ソリューションで、承認されていない他人が確認されてしまう状況を表します。Represents the instance a biometric identification solution verifies an unauthorized person. これは通常、指定された母集団のサイズに対して発生したインスタンスの数 (100,000 件中 1 件など) の比率として表されます。This is normally represented as a ratio of number of instances in a given population size, for example 1 in 100 000. また、発生の割合 (0.001% など) として表すこともできます。This can also be represented as a percentage of occurrence, for example, 0.001%. この測定値は、生体認証アルゴリズムのセキュリティに関連する最も重要な情報として重視されます。This measurement is heavily considered the most important with regards to the security of the biometric algorithm.

  • 本人拒否率 (FRR)。False Reject Rate (FRR). 生体認証識別ソリューションで、承認されているユーザーを適切に確認できない状況を表します。Represents the instances a biometric identification solution fails to verify an authorized person correctly. 通常、割合で表され、本人受入率と本人拒否率の合計は 1 になります。Usually represented as a percentage, the sum of the True Accept Rate and False Reject Rate is 1. スプーフィング対策や生体検知機能がある場合とない場合があります。Can be with or without anti-spoofing or liveness detection.

指紋センサーの要件Fingerprint sensor requirements

指紋照合を使用できるようにするには、指紋センサーを搭載したデバイスとソフトウェアが必要です。To allow fingerprint matching, you must have devices with fingerprint sensors and software. 代替のログオンオプションとして従業員の一意の指紋を使用する指紋センサー、またはセンサーは、タッチセンサー (大きな領域または小さな領域) でも、スワイプすることもできます。Fingerprint sensors, or sensors that use an employee's unique fingerprint as an alternative log on option, can be touch sensors (large area or small area) or swipe sensors. 各種類のセンサーには、製造元で実装する必要のある詳細な要件が独自に定められていますが、どのセンサーにも、スプーフィング対策の手段 (必須) を搭載する必要があります。Each type of sensor has its own set of detailed requirements that must be implemented by the manufacturer, but all of the sensors must include anti-spoofing measures (required).

小型から大型のタッチ センサーの性能許容範囲Acceptable performance range for small to large size touch sensors

  • 他人受入率 (FAR): < 0.001 ~ 0.002%False Accept Rate (FAR): <0.001 – 0.002%

  • 実際の有効な FRR (スプーフィング対策や生体検知機能がある場合): < 10%Effective, real world FRR with Anti-spoofing or liveness detection: <10%

スワイプ センサーの性能許容範囲Acceptable performance range for swipe sensors

  • 他人受入率 (FAR): < 0.002%False Accept Rate (FAR): <0.002%

  • 実際の有効な FRR (スプーフィング対策や生体検知機能がある場合): < 10%Effective, real world FRR with Anti-spoofing or liveness detection: <10%

顔認識センサーFacial recognition sensors

顔認識に対応するには、特殊な赤外線 (IR) センサーを内蔵したデバイスとソフトウェアが必要です。To allow facial recognition, you must have devices with integrated special infrared (IR) sensors and software. 顔認識センサーは、IR ライトに表示される特別なカメラを使用して、従業員の顔文字機能をスキャンしながら、写真と生きた人の違いを伝えます。Facial recognition sensors use special cameras that see in IR light, letting them tell the difference between a photo and a living person while scanning an employee's facial features. これらのセンサーには、指紋センサーと同様に、スプーフィング対策の手段 (必須) とその設定方法 (オプション) を搭載する必要があります。These sensors, like the fingerprint sensors, must also include anti-spoofing measures (required) and a way to configure them (optional).

  • 誤承諾レート (FAR): <0.001%False Accept Rate (FAR): <0.001%

  • 本人拒否率 (FRR) (スプーフィング対策や生体検知機能がない場合): < 5%False Reject Rate (FRR) without Anti-spoofing or liveness detection: <5%

  • 実際の有効な FRR (スプーフィング対策や生体検知機能がある場合): < 10%Effective, real world FRR with Anti-spoofing or liveness detection: <10%

関連トピックRelated topics