パスワードレス認証とは?FIDO2・Windows Helloの仕組みと実務導入ガイド

ID管理・認証設計

「パスワードは12文字以上、大文字・小文字・数字・記号を含めること」——そのルールを全社に展開した翌月、フィッシングメールで認証情報が盗まれました。

複雑なパスワードを設定していても、入力する仕組みそのものが攻撃の標的になっている以上、パスワードの複雑性要件だけでは守りきれません。

この記事では、パスワードという概念ごと置き換える「パスワードレス認証」の仕組みと、実務での導入ステップを解説します。

「パスワードは複雑にすれば安全」——その前提が崩れている

パスワードに対する主な攻撃手法を整理すると、複雑性要件が無力である理由がわかります。

攻撃手法 概要 複雑なパスワードで防げるか
フィッシング 偽サイトでパスワードを入力させる ❌ 防げない
パスワードスプレー よく使われるパスワードを大量試行 △ 複雑なら多少有効
クレデンシャルスタッフィング 流出したID・パスワードの使い回し ❌ 防げない
キーロガー 入力内容を盗み取るマルウェア ❌ 防げない
Pass-the-Hash パスワードのハッシュ値を悪用 ❌ 防げない

フィッシング・キーロガー・クレデンシャルスタッフィングに共通するのは、「パスワードを入力する」という行為自体を攻撃している点です。

どれだけ複雑なパスワードを設定しても、入力した瞬間に盗まれれば意味がありません。

パスワードレス認証はこの問題に対して、「そもそもパスワードをネットワーク上に送らない」という設計で解決します。

パスワードレス認証とは——なぜ今、パスワードをなくすのか

パスワードレス認証(Passwordless Authentication) パスワードの入力・送信を行わずに本人確認を完了する認証方式の総称。生体認証・セキュリティキー・デバイス証明書などを組み合わせて使用する。

パスワードレス認証の核心は「秘密情報をネットワーク上に流さない」設計です。

従来のパスワード認証では、ユーザーが入力したパスワード(またはこのハッシュ値)がサーバーに送信され、サーバー側で照合が行われます。この「送信する」という工程が攻撃の標的になります。

パスワードレス認証では、秘密情報はデバイスの中にとどまり、暗号化された証明だけをサーバーに送る仕組みになっています。

代表的なパスワードレス認証の方式は以下の3つです。

方式 代表例 特徴
セキュリティキー YubiKey・FIDO2キー 物理デバイスを使用。最もフィッシング耐性が高い
デバイス内生体認証 Windows Hello for Business PCに内蔵された顔認証・指紋認証を使用
認証アプリ Microsoft Authenticator スマートフォンを使用。数字照合で承認

この記事では、エンタープライズ環境で最も採用実績が多いFIDO2Windows Hello for Businessを中心に解説します。

FIDO2の仕組み——公開鍵暗号で「パスワードを送らない」認証

FIDO2(Fast Identity Online 2) FIDO Allianceが策定したパスワードレス認証の標準規格。WebAuthnとCTAP2という2つの仕様で構成される。主要ブラウザ・OS・クラウドサービスがサポートしており、セキュリティキーや生体認証デバイスと組み合わせて使用する。

FIDO2が使う「公開鍵暗号」の考え方

FIDO2は公開鍵暗号を使って認証します。

公開鍵暗号では、「秘密鍵」と「公開鍵」の2つをペアで生成します。

  • 秘密鍵:デバイス内(セキュリティキーやTPMチップ)に保存。外に出ない
  • 公開鍵:サーバー側に登録。漏れても問題ない

認証の流れはこうです。

①ユーザーが認証を要求すると、サーバーが「チャレンジ(乱数)」を送ってくる
②デバイスが秘密鍵でチャレンジに署名して返す
③サーバーが公開鍵で署名を検証し、本人確認完了

このプロセスのどこにも「パスワードを送信する」工程がありません。秘密鍵はデバイスの外に出ないため、フィッシングサイトに誘導されても盗まれるものが存在しないのです。

フィッシングに強い理由

FIDO2はドメインと鍵をセットで管理します。

登録時に「このサービス(ドメイン)用の鍵ペア」を生成するため、偽サイト(別ドメイン)では認証が成立しません。ユーザーが偽サイトに誘導されても、そのドメイン用の鍵が存在しないため署名できず、攻撃者は何も得られません。

参考:FIDO Alliance|FIDO2の技術概要

Windows Helloとは——Windowsに組み込まれたパスワードレス認証

Windows Hello for Business Windows 10以降に搭載されたパスワードレス認証機能。顔認証・指紋認証・PINを使ってWindowsにサインインできる。個人向けの「Windows Hello」とは異なり、Active DirectoryやMicrosoft Entra IDと連携した企業向けの展開が可能。

Windows Hello for BusinessとFIDO2の関係

Windows Hello for BusinessはFIDO2と同じ公開鍵暗号を使っています。

違いは認証に使う「何か」の部分です。

FIDO2(セキュリティキー) Windows Hello for Business
認証に使うもの 物理キー(YubiKey等) 顔・指紋・PIN
秘密鍵の保存場所 セキュリティキー内 PCのTPMチップ内
持ち運び 別デバイスが必要 PC本体に内蔵
コスト キー購入費用が発生 追加コスト不要

Windows Hello for Businessの場合、秘密鍵はPC内蔵のTPMチップに保存されます。

TPM(Trusted Platform Module) PCのマザーボードに搭載されたセキュリティチップ。暗号鍵の生成・保存・管理を専用ハードウェアで行う。Windows 11ではTPM 2.0が必須要件とされている。

TPMチップから秘密鍵を取り出すことは極めて困難であり、マルウェアがOS上で動作していても鍵を盗めません。

PINはパスワードと何が違うのか

「結局PINも数字の入力じゃないか」と思う方が多いです。しかしPINとパスワードは根本的に異なります

パスワード PIN
照合場所 サーバー側 デバイス内(ローカル)
ネットワーク送信 される されない
盗んだ価値 別の端末でも使える そのデバイスでしか使えない
フィッシングリスク 高い ほぼゼロ

PINはサーバーに送られず、デバイスとTPMチップの中だけで照合が完結します。仮にPINを盗んでも、そのPCとTPMチップがなければ意味をなしません

Microsoft Entra IDとの連携パターン

Windows Hello for BusinessをEntra ID環境で展開する場合、主に3つの構成パターンがあります。

パターン① クラウドのみ(Entra ID参加)

オンプレADを持たず、Entra IDのみで管理している環境向けです。

ユーザーデバイス(Entra ID参加)
 ↕ 認証
Microsoft Entra ID

最もシンプルな構成です。Microsoft Intuneでデバイス管理と組み合わせると一元管理できます。

パターン② ハイブリッド構成(Entra ハイブリッド参加)

オンプレADとEntra IDを連携しているハイブリッド環境向けです。

ユーザーデバイス(Entra ハイブリッド参加)
 ↕ 認証
オンプレAD ⇔ Microsoft Entra ID(Entra Connect経由で同期)

既存のオンプレAD環境を維持しながらパスワードレス認証を導入したい場合に選択します。ただしEntra ConnectによるAD同期が必須になるため、AD移行中の環境では設計が複雑になります。

ハイブリッド構成の詳細については「Entra IDとオンプレAD連携|ハイブリッド構成の設計と注意点」を参照してください。

パターン③ オンプレAD参加(キー信頼モデル)

完全オンプレ環境で、Entra IDを使わずWindows Hello for Businessを展開するパターンです。ADのみで完結しますが、設定の複雑さと要件(PKIが不要なキー信頼モデルの利用推奨)を把握した上で選択してください。

参考:Microsoft Learn|Windows Hello for Business の展開ガイド

実務での導入ステップと注意点

ステップ① 前提条件の確認

Windows Hello for Business(Entra ID参加・クラウドのみ構成)の主な前提条件は以下です。

項目 要件
OS Windows 10 バージョン1903以降(推奨:Windows 11)
TPM TPM 2.0(TPM 1.2は一部機能制限あり)
Entra IDライセンス Microsoft Entra ID P1以上(条件付きアクセスと組み合わせる場合)
デバイス管理 Intune等のMDMへの登録(推奨)

古いPCではTPMが搭載されていないか、TPM 1.2のみの場合があります。展開前に全端末のTPMバージョンを確認することが最初の作業になります。

ステップ② ポリシーの設計

いきなり全社展開せず、パイロットグループ(情シス担当者など)で先行展開することを強く推奨します。

Intuneを使う場合、デバイス構成プロファイルで「Identity Protection」→「Windows Hello for Business」を構成します。

主要な設定項目は以下です。

設定項目 推奨値 理由
Windows Hello for Businessの使用 有効 必須
PINの最小文字数 6桁以上 短すぎるPINは総当たりリスクあり
生体認証の使用 許可 利便性向上
拡張スプーフィング対策 有効 写真による顔認証突破を防ぐ

ステップ③ ユーザーへの案内

技術的な準備が整っても、ユーザーへの案内が不十分だと現場が混乱します

特に伝えるべき内容は以下の2点です。

  • 初回セットアップ時に顔認証・指紋認証・PINの登録が必要であること
  • PCを変えたときは再登録が必要であること(鍵はデバイスに紐づく)

よくある失敗パターン4選

① TPM未確認のまま展開してエラーが多発する

TPMが無効になっているPC、またはTPM非搭載の古いPCでWindows Hello for Businessを展開しようとしてエラーが続出するケースです。展開前にtpm.mscまたはIntuneのハードウェアレポートでTPM状態を全台確認してください。

② PINを「簡単なもの」にするポリシーを設定しない

PINの最小文字数を設定しないと、ユーザーが「0000」や「1234」などの単純なPINを設定してしまいます。PINはサーバーに送られないとはいえ、デバイスを物理的に盗まれた場合のリスクになります。最低6桁以上を強制してください。

③ ハイブリッド構成でEntra Connectの同期遅延を見落とす

ハイブリッド参加環境では、ADとEntra IDの同期が完了していないとWindows Hello for Businessのセットアップが進まないことがあります。Entra Connectの同期サイクル(既定30分)を把握した上で展開スケジュールを組んでください。

④ 条件付きアクセスとセットで設計しない

Windows Hello for Businessを導入しても、条件付きアクセスで「準拠済みデバイスのみ許可」を設定していないと、非管理デバイスからのアクセスを防げません。パスワードレス認証は条件付きアクセスとセットで設計することで初めて効果を発揮します。

条件付きアクセスの詳細については「IAMとは?認証と認可の違いから学ぶアクセス管理の基本」を参照してください。

導入前チェックリスト

環境確認

  • [ ] 展開対象PCのTPMバージョンを確認した(TPM 2.0推奨)
  • [ ] BIOSでTPMが有効になっていることを確認した
  • [ ] OSバージョンがWindows 10 1903以降であることを確認した
  • [ ] Entra IDライセンスを確認した(P1以上推奨)

ポリシー設計

  • [ ] パイロットグループを選定した(情シス・IT担当など)
  • [ ] PINの最小文字数ポリシーを設定した(6桁以上)
  • [ ] 拡張スプーフィング対策を有効にした
  • [ ] 条件付きアクセスポリシーと組み合わせた設計をした

展開・運用

  • [ ] ユーザー向けのセットアップ案内資料を用意した
  • [ ] PC紛失・交換時の再登録フローを決めた
  • [ ] ヘルプデスクの問い合わせ対応フローを整備した
  • [ ] パイロット展開後の問題を確認してから全社展開に移行する

まとめ

今日確認すべきことは1つです。

展開対象PCのTPMが有効になっているかどうかを確認してください。

tpm.mscを実行してTPM管理コンソールを開き、「TPMの製造元情報」に「TPM 2.0」と表示されていれば準備OKです。TPMが無効・非搭載の場合はハードウェアの更新計画から始める必要があります。

パスワードレス認証は「設定すれば終わり」ではなく、条件付きアクセス・デバイス管理・ユーザー教育と組み合わせて初めて機能します。まずは情シス担当者のPCだけでパイロット展開し、運用の感覚をつかんでから全社展開に進めてください。

次は「ドメインコントローラーの冗長化設計」で、AD環境の可用性設計を解説します。

 

あわせてご覧ください

コメント

タイトルとURLをコピーしました