仮想スマート カードの概要

Warning

Windows Hello for Businessおよび FIDO2 セキュリティ キーは、Windows 用の最新の 2 要素認証方法です。 仮想スマート カードを使用しているお客様は、Windows Hello for Businessまたは FIDO2 に移行することをお勧めします。 新しい Windows インストールの場合は、Windows Hello for Businessまたは FIDO2 セキュリティ キーをお勧めします。

この記事では、仮想スマート カード テクノロジの概要について説明します。

機能の説明

仮想スマート カード テクノロジは、2 要素認証を使用して物理スマート カードに同等のセキュリティ上の利点を提供します。 仮想スマート カードは物理スマート カードの機能をエミュレートしますが、デバイスで使用できるトラステッド プラットフォーム モジュール (TPM) チップを使用します。 仮想スマート カードでは、別の物理スマート カードとリーダーを使用する必要はありません。 TPM に仮想スマート カードを作成します。ここで、認証に使用されるキーは暗号化で保護されたハードウェアに格納されます。

仮想スマート カードは、物理スマート カードと同じ暗号化機能を提供する TPM デバイスを利用することで、スマート カードに必要な 3 つの重要なプロパティ (非エクスポート性、分離暗号化、ハンマリング防止) を実現します。

実際の適用例

仮想スマート カードは機能的には物理スマート カードに似ています。Windows では、常に挿入されるスマート カードとして表示されます。 仮想スマート カードは、外部リソースへの認証、暗号化によるデータの保護、署名による整合性に使用できます。 仮想スマート カードは、社内の方法または購入したソリューションを使用してデプロイできます。また、任意の規模の企業設定で、他の強力な認証方法に代わるものにすることができます。

認証のユース ケース

2 要素認証\u2012 ベースのリモート アクセス

ユーザーが完全に機能する TPM 仮想スマート カードがサインイン証明書でプロビジョニングされた後、証明書を使用して企業リソースへの認証されたアクセス権を取得します。 適切な証明書が仮想カードにプロビジョニングされている場合、ユーザーは仮想スマート カードの PIN のみを指定して、物理スマート カードであるかのように、ドメインにサインインする必要があります。

実際には、これはシステムにアクセスするためのパスワードを入力するのと同じくらい簡単です。 技術的には、はるかに安全です。 仮想スマート カードを使用してシステムにアクセスすると、認証を要求しているユーザーが、カードがプロビジョニングされ、仮想スマート カード PIN が認識されているパーソナル コンピューターが所有されていることがドメインに証明されます。 この要求は、このユーザーのアクセスに対してドメインによって認定されたシステム以外のシステムから発信された可能性がなく、ユーザーが PIN を知らなければ要求を開始できなかったため、強力な 2 要素認証が確立されます。

クライアント認証

仮想スマート カードは、TLS/SSL または同様のテクノロジを使用してクライアント認証にも使用できます。 仮想スマート カードを使用したドメイン アクセスと同様に、認証証明書は、クライアント認証プロセスで要求されているように、リモート サービスに提供される仮想スマート カード用にプロビジョニングできます。 これは、2 要素認証の原則に準拠しています。証明書には、仮想スマート カードをホストするコンピューターからのみアクセスでき、ユーザーは、カードへの初期アクセスのために PIN を入力する必要があるためです。

リモート デスクトップ接続用の仮想スマート カード リダイレクト

仮想スマート カードに関連付けられた 2 要素認証の概念は、ユーザーがドメインにアクセスするために使用するデバイスへの近接性に依存します。 仮想スマート カードをホストしているデバイスに接続する場合、リモート セッション中にリモート デバイス上にある仮想スマート カードを使用することはできません。 ただし、リモート デバイスに読み込まれる接続デバイス (物理制御下にある) 上の仮想スマート カードにアクセスできます。 仮想スマート カードは、2 要素認証の原則を維持しながら、リモート デバイスの TPM を使用してリモート デバイスに特権を拡張してインストールされたかのように使用できます。

機密性のユース ケース

S/MIME メール暗号化

物理スマート カードは、秘密キーを保持するように設計されています。 秘密キーは、電子メールの暗号化と暗号化解除に使用できます。 仮想スマート カードには同じ機能が存在します。 ユーザーの公開キーと共に S/MIME を使用して電子メールを暗号化することで、メールの送信者は、対応する秘密キーを持つユーザーのみが電子メールの暗号化を解除できることを保証します。 この保証は、秘密キーのエクスポート不可の結果です。 悪意のあるソフトウェアの手の届くところには存在せず、暗号化解除中でも TPM によって保護されたままです。

データ ボリュームの BitLocker

BitLocker ドライブ暗号化テクノロジでは、対称キー暗号化を使用して、ユーザーのハード ドライブのコンテンツを保護します。 BitLocker を使用すると、ハード ドライブの物理的な所有権が侵害された場合、敵対者はドライブからデータを読み取ることができません。 ドライブの暗号化に使用するキーは仮想スマート カードに格納できます。これは、仮想スマート カード PIN の知識を必要とし、ドライブにアクセスし、TPM 仮想スマート カードをホストしているデバイスを所有する必要があります。 仮想スマート カードをホストする TPM にアクセスせずにドライブを取得した場合、ブルート フォース攻撃は困難になります。

BitLocker を使用してポータブル ドライブを暗号化し、仮想スマート カードにキーを格納できます。 このシナリオでは、物理スマート カードで BitLocker を使用する場合とは異なり、BitLocker キーはデバイスからのみアクセスできるため、暗号化されたドライブは、ドライブの暗号化に使用される仮想スマート カードのデバイスに接続されている場合にのみ使用できます。 この方法は、バックアップ ドライブと個人用ストレージのセキュリティをメインハード ドライブの外部で使用する場合にも役立ちます。

データ整合性ユース ケース

署名データ

データの作成を確認するために、ユーザーは仮想スマート カードに格納されている秘密キーを使用して署名できます。 デジタル署名は、データの整合性と配信元を確認します。

  • アクセス可能なオペレーティング システムにキーを格納すると、悪意のあるユーザーがアクセスし、それを使用して既に署名されたデータを変更したり、キー所有者の ID を偽装したりする可能性があります
  • 仮想スマート カードにキーを格納することは、それを使用してホスト デバイス上のデータに署名することしかできないことを意味します。 キーを他のシステムにエクスポートすることはできません (マルウェアの盗難など、意図的または意図せず)。

ハードウェアの要件

仮想スマート カード テクノロジを使用するには、サポートされているオペレーティング システムを実行しているデバイスに TPM 1.2 が最低限必要です。